[Logo]
[Titre]

[Retour]

Archive for the ‘Linux’ Category

Script VPN en vadrouille – via pare-feu

Lundi, janvier 2nd, 2017

Suite de l’article Script VPN en vadrouille.

Certains opérateurs indélicats ajoutent des pare-feux entre leurs clients et l’Internet. Un des effets classiques de l’ajout de pare-feux, c’est que les connexions TCP qui ne communiquent pas pendant un certain temps sont considérées comme expirées, et donc automatiquement coupées. La coupure intervient généralement au bout de deux minutes. (suite…)

Script VPN en vadrouille

Lundi, décembre 26th, 2016

De balade de nouveau en Colombie.

Cette année, j’ai refait mon script de connexion vers la maison. Il s’agit de faire croire à face de bouc et co que je suis toujours à la maison pas qu’ils me posent tout un tas de questions dont moi-même ne suis pas sûr de pouvoir répondre…

Tout est fait sous Linux Debian mais il est facile d’adapter à d’autres distribution.

(suite…)

Extraction de la piste son avec avconv

Mardi, novembre 1st, 2016

Sous Linux, l’outil libav permet de manipuler en ligne de commande les vidéos et notamment de scripter tout plein de choses.

Le paquet à installer sous Debian/Ubuntu s’appelle libav-tools (D/U).

Pour extraire la piste son d’une vidéo et la ré-encoder dans un format audio donné (ici ogg-vorbis), il faut utiliser la commande :

avconv -i fichier_video.mp4 \
-map 0:1 \
-strict experimental \
-acodec vorbis -ar 44100 -ac 2 -ab 192k \
fichier_audio.ogg

Ça tient sur une seule ligne sans les \ de fin de lignes; mais dans un script c’est plus clair…

On peut bien sûr jouer sur la qualité de re-compression ou le format audio de sortie :-)

Migration vers le nouveau serveur

Lundi, avril 4th, 2016

Les blogs de Starend et annexes ont migrés vers de nouveaux serveurs qui tournent sur des distributions Linux beaucoup plus récentes. Il était plus facile de refaire un par un quelques petits serveurs, un par service, plutôt que de tout migrer d’un seul coup.

Il ne reste plus grand chose sur l’ancien serveur. Il va pouvoir être complètement réinstallé…

Essaie de M$ Windows 10

Dimanche, août 2nd, 2015

Ca y est, Microsoft fait sa publicité partout pour la sortie de Windows 10. Est-ce que ce sera un bon cru comme Windows 7 ou un taré comme Windows 8 ? L’avenir nous le dira…

Ayant une machine un peu ancienne mais avec une licence Windows 7 valide, je décide de la réinstaller propre en Windows 7 pour ensuite la faire passer en Windows 10, puisque c’est gratuit. Déjà, une réinstallation de W7 complète sans logiciels supplémentaires mais avec toutes les mises à jours, c’est une bonne demi-journée.

En allant chercher chez Microsoft le petit programme qui va bien, je peux lancer tout de suite la mise à jour vers W10. Et hop, trois heures de téléchargement. Il faut dire que les serveurs de distributions de la nouvelle version chauffent un peu en ce moment.

Et la mise à jour commence, 3 heures aussi avec des redémarrages réguliers, un plantage en cours de route… Et enfin, on arrive sur quelque chose d’exploitable !
Ca a fini à 1 heure du mat’ tout ça…

Côté disque, sur les 64Go alloués, 45Go sont occupés, sans rien installer de plus.

Alors ? Bien ou bien ?
Mon avis très perso, c’est que l’interface épuré, ça change du bling bling des interfaces passées avec leurs jeux de transparences et d’effets animés partout. Je suis partagé sur cette interface, j’aime le côté épuré que j’utilise pour nebule, mais là je la trouve un peu moche par défaut. Il y a quand même une bonne cohérence de l’ensemble et c’est fonctionnel, finalement le plus important c’est ça.

Point négatif, c’est que sans compte chez monsieur Microsoft on est vite limité. Beaucoup de programmes le demande. Quand on crée des comptes sur la machine, on nous incite fortement à créer un compte chez M$. Il faut bien cherche le moyen de faire un compte local normal.

Bon, fin de la récréation. Faut quand même que je bosse un peu sur cette machine. Je vais garder le W10 pour tester mes sites web, mais j’ai besoin de mettre un Linux à côté sur le disque.

Au moment de l’installation de W7, au début, j’avais partitionné le disque pour ne laisser que 64Go à Windows. et une petite partition de 1Go pour le /boot du Linux à venir. Je lance l’installation de Linux Debian 8… et je vois que ma petite partition est bien là mais que les 4 partitions primaires sont utilisées. Bref, Monsieur Microsoft a ajouté une partition (800Mo) et n’a pas jugé bon de la mettre en partition étendue. Je suis obligé de sacrifier la petite partition de 1Go pour pouvoir créer une partition principale avec la plus grosse partie du disque pour contenir des partitions étendues.

En une heure l’installation de Debian est terminée, mises à jours comprises. Une autre heure pour les programmes supplémentaires et tout est bon.

On peut choisir au démarrage sur quel système on démarre, et W10 ne se plaint pas de son colocataire :-)

Faire un ‘timelapse’ des feux d’artifices

Samedi, juillet 18th, 2015

Ce 14 juillet, j’ai réussi à trouver une pas trop mauvaise place avec une vue correcte sur la tour Eiffel et son traditionnel feu d’artifice. Plutôt que de rester river à mon appareil pour faire des photos ou filmer, je l’ai laissé sur le trépied avec la télécommande en main et j’ai ainsi pu profiter du feu pendant que l’appareil travaillait tout seul :-)

Je suis parti sur un réglage de l’appareil en rafale lente sur f/8, 100iso et 4s, position 36Mpixels. En cours de route, je suis passé à 2s. Cela donne une série de photos de 2s de pose avec quasi rien de pause en chaque photos. Bon, à un bémol près, j’ai régulièrement saturé le buffer de l’appareil, ce qui provoque quelques passages sans photo.

Et en avant, on bloque la télécommande et on regarde !

tl0016

Ici, c’est le concert avant le feu.

En tout, il y a 747 photos exploitables et à exploiter !!!

tl0441

Et voici donc le film du feu d’artifice en ‘timelapse’ :

Un peu de technique maintenant. Comment faire le film en ‘timelapse’ depuis la série de photos. Tout est fait ici en ligne de commande sous Debian Linux avec convert et avconv. (suite…)

Installation Debian 8 sur clé USB 64Go ultra-petite

Samedi, juillet 4th, 2015

La clé USB

Je souhaite disposer d’un nouveau système d’exploitation entièrement embarqué sur une toute petite clé USB et pouvant être utilisé sur n’importe quel ordinateur PC. Pour cela, j’ai acheté une clé USB SanDisk Ultra Fit 64Go.

c9a8d4b6-c006-438c-93ba-ab7f5a4e341f._V325735931__SR300,300_ SanDisk_Cruzer_Fit_Ultra_64gb_4 downloadImage9494_gallery

A l’achat, il y a une semaine, la clé m’a coûté 26€20.

Elle est vraiment petite et ne dépasse que de 6mm de l’ordinateur une fois connectée. Il manque une petite sangle pour l’attacher au porte clé, sans ça elle sera vite perdu…

Le cache de protection plastique est, comme d’habitude, un peu inutile. Il fonctionne bien pour l’instant mais il finira vite à l’usage par ne plus tenir, et donc il ne protégera plus la clé dans la poche au milieu des autres clés. Mais heureusement, il n’est pas indispensable. Au jugé, la coque de la clé est métallique et semble assez robuste pour ce genre de clé.

Le clignotement rouge de la clé est sympathique et le bienvenue à l’usage.

Le système

J’installe ici le système Debian Linux 8.1.0 pour processeurs 64bits.

banner

Le DVD peut être téléchargé ici. On peut prendre une version plus récente ou plus ancienne (8.0), après installation et mise à jour on aura de toute façon l’équivalent de la dernière version.

Deux petite particularités de mon installation. Pour commencer le système et les données utilisateurs sont intégralement chiffrées, sauf pour la partition de démarrage /boot qui restera non chiffrée (minimum indispensable). Et une partition d’échange en FAT32 de 4Go est maintenu pour pouvoir échanger des données notamment avec des machines sous M$ Windows.

Par facilité, j’utilise une machine dans laquelle je retire le disque dur interne le temps de l’installation. Sinon il faut faire attention en fin d’installation que GRUB soit bien installé sur la clé USB et pas sur le disque interne.

Le partitionnement de la clé ressemble donc à ça :

  1. sda1, 4Go, FAT32, /public
  2. sda2, 512Mo, ext4, /boot, avec indicateur d’amorcage
  3. sda3, 57.6Go, volume physique pour chiffrement :
    1. sda3_crypt, 57.6Go, ext4, /

Pas de partition de SWAP pour deux raisons. On ne va pas faire des choses très gourmandes en mémoire ou on considère que la mémoire vive de l’ordinateur sera suffisante pour cela. Et activer un SWAP sur un disque de type mémoire Flash est un bon moyen de l’user prématurément, il ne supporte pas autant de cycle d’écritures qu’un disque dur.

Le reste, c’est comme d’habitude. Et ça va assez vite, le plus long c’est de télécharger le DVD d’installation…

Personnalisation

Pour continuer, je modifie le fichier des sources de logiciels pour ajouter les contrib et non-free. Je désactive l’option qui permet d’installer automatiquement les paquets recommandés. Ainsi, lorsque l’on installe un nouveau logiciel, il ne met que ce qui est nécessaire en dépendance et pas ce qui est superflu (recommandé). Cela va un peu sauver de la place sur la clé.

Moyennant l’installation de divers logiciels pour mes besoins, il reste 48Go de libre.

La liste de ce que j’ai ajouté :

  • environnement Gnome (lors de l’installation)
  • e17
  • icedove
  • darktable
  • gimp-data-extras
  • gimp-gap
  • gimp-lensfun
  • gimp-plugin-registry
  • gwenview
  • hugin
  • kdenlive
  • libav-tools
  • exif
  • audacity
  • asunder
  • plymouth
  • plymouth-themes
  • firmware* (wireless/ethernet)

La liste de ce que j’ai retiré :

  • rpcbind
  • nfs-common

Firmware pour RTL8192EE

Mardi, mai 12th, 2015

Je joue avec un Lenovo X250 installé fraichement sous Debian 8. C’est une petite machine assez sympathique.
Comparé au X240, le TouchPad est bien mieux conçu… au point qu’il vaut mieux éviter très franchement ce X240.

Mais j’ai un peu coincé pour la carte wifi…

Installer le paquet firmware-realtek

Le driver à utiliser : r8192ee

Le firmware peut être téléchargé ici. Il faut copier rtl8192eefw.bin dans /lib/firmware/rtlwifi/ .

Et enfin un redémarrage ou un déchargement/rechargement du driver r8192ee …

CF :
http://www.fishprogs.info/puppy/firmware/rtlwifi/
http://ftp2.halpanet.org/source/_dev/linux-firmware.git/rtlwifi/
https://wiki.debian.org/fr/rtl819x
http://www.corsac.net/X250/
https://github.com/OpenELEC/wlan-firmware/raw/master/firmware/rtlwifi/rtl8192eefw.bin

lenovo-laptop-thinkpad-x250-main

Personnalisation de sa machine Linux – 1 chargeur de démarrage

Mardi, mai 5th, 2015

Première partie de la personnalisation de sa machine Linux.

Introduction

Le chargeur de démarrage, c’est un tout petit programme. Lorsque l’on allume sa machine, elle exécute le BIOS ou l’UEFI. Ceux-ci sont enregistrés dans une puce de la carte mère et permettent d’initialiser et de configurer la machine avec tous ses périphériques (carte vidéo, carte son, disque dur, etc). Lorsque le BIOS ou l’UEFI ont finit leur travail, ils chargent depuis le disque dur (en général) un petit programme stocké en début de disque, c’est le chargeur de démarrage. On trouve principalement GRUB ou LILO pour Linux, ou le Bootloader pour M$ Windows.

A quoi sert ce petit programme ? Il est souvent masqué ou ignoré de l’utilisateur lorsqu’il ne l’est pas. Et il passe très vite. C’est lui qui va lister les systèmes d’exploitations installés sur le ou les disques durs et permettre à l’utilisateur de choisir lequel il souhaite utiliser. Souvent, il n’y a qu’un seul système d’exploitation, c’est la raison pour laquelle peu d’utilisateurs remarquent le chargeur de démarrage.

On utilise ici GRUB, le chargeur de démarrage installé par défaut sous Debian Linux.

Comme on travaille sur une clé USB, suivant les machines sur lesquelles on va démarrer, il ne sera pas toujours possible de disposer d’une bonne résolution d’écran au démarrage. On fixe par défaut une résolution d’écran assez petite pour minimiser les problèmes, soit du 640×480.

(suite…)

Personnalisation de sa machine Linux – Introduction

Mercredi, avril 29th, 2015

Je vais démarrer un cycle de quelques articles sur la personnalisation d’une machine Linux. Les manipulations seront réalisées sur la toute dernière Debian Linux 8.0 « Jessie » sortie il y a quelques jours seulement. Mais beaucoup de manipulations pourront être reproduites sur Ubuntu et Mint en particulier et sur sur d’autres distributions Linux récentes en général.

Tout est fait dans mon cas sur une installation de Debian 8.0 sur clé USB. En cas de problème, si on casse quelque chose, le Linux installé sur la station, normalement sur le disque dur, n’est pas endommagée, ou a peu de chance de l’être.

On sait tous personnaliser le fond d’écran du bureau et la couleur des fenêtres. Mais il y a pleins d’autres choses que l’on peut adapter à ses gôuts ou aux couleurs de son entreprise ou association.
Voici la liste des sujets qui seront abordés dans les prochains articles :

  1. Personnalisation du chargeur de démarrage ;
  2. Personnalisation du démarrage/arrêt du système ;
  3. Personnalisation du gestionnaire de connexion ;
  4. Choix du gestionnaire de fenêtre ;
  5. Personnalisation du bureau.

Avant de commencer ce travail à plusieurs étages, il faut déterminer le thème graphique, le style ou la charte graphique que l’on souhaite appliquer.

Ajouter un logo sur une vidéo

Samedi, avril 18th, 2015

Pour tagger mes vidéos en masse avec un logo, j’ai recherché un peu sur Internet ce qui pouvait être fait en ligne de commande.

Sous Debian Jessie, il n’y a plus ni mencoder ni ffmpeg. J’avais des scripts avec le premier, faut les changer…
En remplacement, il faut installer libav-tools et utiliser la commande avconv.
CF : https://libav.org/avconv.html

Pour avoir un maximum de compatibilité avec les lecteurs vidéo et autres platines multimédia, j’encode la sortie vidéo en MPEG-4.

Il faut bien sûr un logo de la taille attendue sur la vidéo, au format PNG. Par exemple une image de 100px par 100px avec de la transparence :

logo

Pour insérer le logo sur la vidéo en haut à gauche (à 20px du bord) :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=20:20 [out]" $output

Pour insérer le logo sur la vidéo en haut à droite :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=main_w-overlay_w-20:20 [out]" $output

Pour insérer le logo sur la vidéo en bas à gauche :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=20:main_h-overlay_h-20 [out]" $output

Pour insérer le logo sur la vidéo en bas à gauche :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=main_w-overlay_w-20:main_h-overlay_h-20 [out]" $output

Pour insérer le logo sur la vidéo en bas au milieu :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=(main_w/2)-50:main_h-overlay_h-20 [out]" $output

La valeur -50, c’est la taille du logo divisé par 2.

Pour réduire la résolution de la vidéo, et donc la place et la qualité :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in] scale=1280:720 [cropped],[cropped][watermark] overlay=(main_w/2)-50:main_h-overlay_h-20 [out]" $output

Pour réduire le bitrate, et donc encore la place et la qualité :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -b:v 10000k -bt:v 5000k
-vf "movie=$logo [watermark];[in] scale=1280:720 [cropped],[cropped][watermark] overlay=(main_w/2)-50:main_h-overlay_h-20 [out]" $output

Il ne reste plus qu’à faire le tour de toutes les vidéos à tagger… Une bonne vieille boucle en bash sur un find de la mort dans le dossier des vidéos… et beaucoup de temps…

Pollution de blog

Samedi, septembre 20th, 2014

Quand certains outils marchent trop bien, on finit par ne plus se rendre compte de leur présence… et de leur travail quotidien à notre profit.

C’est le rôle principal de l’informatique que de travailler à notre profit. Et l’informatique sera complètement acceptée par tous quand elle deviendra complètement transparente…

Bref, sur les blogs que j’héberge, il y avait un problème de connexion de Akismet vers ses serveurs. Akismet, pour rappel, permet de nettoyer automatiquement les messages indésirables des blogs.
Autant vous dire que ça se voit tout de suite, subitement, on a tout plein de copains du monde entier…
Par exemple, pour le blog de nebule, c’est 11 messages indésirables en 2 jours… à modérer à la main… à modérer sans modération !

Convertir une police OpenType en TrueType

Samedi, septembre 20th, 2014

On récupère parfois des polices de caractère au format OpenType… mais même si le gestionnaire de fichier les montre et que l’on peut les ouvrir avec la visionneuse, LibreOffice ne les prend pas en compte.

Il faut les convertir en TrueType.

Créer quelque part le fichier otf2ttf.sh contenant :

#!/usr/local/bin/fontforge
# Quick and dirty hack: converts a font to truetype (.ttf)
Print('Opening '+$1);
Open($1);
Print('Saving '+$1:r+'.ttf';
Generate($1:r+'.ttf');
Quit(0);

Et lancer dans un dossier contenant les fichiers .otf la commande :
for i in *.otf; do fontforge -script otf2ttf.sh $i; done

Bien sûr, il faut que le paquet fontforge soit installé.

CF : http://www.thomasvolkmann.com/blog/?p=70 et http://www.stuermer.ch/blog/convert-otf-to-ttf-font-on-ubuntu.html
(Les doubles cotes doivent être remplacées par des simples cotes)

Nouveaux serveurs – mise en ligne

Mercredi, juillet 16th, 2014

Voici la suite de l’article Nouveaux serveurs.

Les deux nouveaux serveurs Whisky et X-ray sont terminés et opérationnels.

Prochaine étape, mettre en place un certificat signé pour le webmail.

Et puis il faut ajouter un serveur de tchat jabber (xmpp) sur Whisky.

Tunnel TLS pour ldap

Dimanche, juillet 13th, 2014

Il y a semble-t-il un bugg récent assez gênant sur la libraire GnuTLS sous Debian 7. Suite à une mauvaise implémentation semble-t-il au niveau de la négociation des algorithmes de chiffrement, il est impossible de générer ou d’utiliser des certificats pour les programmes qui utilisent cette librairie. Et c’est le cas notamment de slapd, le serveur d’annuaire LDAP (OpenLDAP) sous UNIX.

Le problème aurait pu passer presque inaperçu… mais il y eu heartbleed…Et il se trouve donc qu’un certain nombre d’admins systèmes ont dû changer très rapidement les certificats de leurs serveurs, et ont dû tomber sur ce problème.

Il devient ainsi impossible de relier un serveur de messagerie ou un serveur web avec un annuaire LDAP utilisant OpenLDAP. J’ai notamment le problème avec mon serveur postfix

Il est possible de ne pas utiliser la connexion à l’annuaire via TLS. C’est potentiellement un gros problème de sécurité en fonction des différents réseaux que vont traverser ces flux. Bref, ont n’a plus de sécurité sur un flux qui contient toute l’authentification du réseau. C’est assez moyen.

Il est aussi possible de mettre en place une solution de remplacement avec stunnel. Cela revient en fait à faire manuellement la connexion et le tunnel sécurisé par TLS. En plus, on peut conserver les mêmes certificats que le démon slapd.

Côté serveur

Il faut commencer par désactiver l’utilisation du port tcp/636. Pour cela, il faut modifier une ligne dans le fichier /etc/default/slapd :
SLAPD_SERVICES="ldap://127.0.0.1:389/"

Redémarrer le démon slapd.

Ensuite,on concatène le certificat et sa clé dans un seul fichier :
cat /etc/ssl/private/slapd.key /etc/ssl/certs/slapd.crt > /etc/ssl/private/slapd-all.crt

Enfin, on crée le bout du tunnel côté serveur, en réutilisant le certificat :
stunnel -d 636 -r 127.0.0.1:389 -p /etc/ssl/private/slapd-all.crt

Côté client

Le client, c’est le service qui utilise l’annuaire LDAP, par exemple postfix.

On crée le bout du tunnel côté client :
stunnel -c -d 6389 -r ldap.serveur.net:636

Enfin, on dit au client, en l’occurrence postfix, d’utiliser le tunnel. Modifier le fichier /etc/postfix/main.cf (ou équivalent) :
account_server_host = ldap://localhost:6389/

Et on redémarre postfix

CF : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=737921

(suite…)

Nouveaux serveurs

Mardi, juillet 8th, 2014

Je profite de la disponibilité récente de machines virtuelles (VPS) chez OVH à des tarifs vraiment abordables pour scinder des services du serveur zulu :

  1. xray : serveur d’annuaire LDAP, Debian Linux 7.0 ;
  2. whisky : serveur de messagerie (smtp+xmpp+webmail), Debian Linux 7.0.

Le serveur annuaire est opérationnel mais pas encore exploité. Le serveur de messagerie est encore en cours de configuration. Pour ce dernier, je pensais utiliser Kolab, mais au vue des problèmes de configuration pour exporter l’annuaire sur un autre serveur je reviens à Horde

L’annuaire est un service critique pour plusieurs autres services comme la messagerie, les blogs et le wikis.

La messagerie est un point, que dis-je, LE point de vulnérabilité commun à tous les services que l’on utilise sur Internet. Ils ont tous en commun de demander une adresse email de secours sur laquelle on peut recevoir le nécessaire pour réinitialiser les mots de passes. Cela concerne les réseaux sociaux comme facebook et twitter, mais aussi google, gmail, yahoo, live, les assurances, les impôts, les sites marchants, les banques, etc…

Fin de support Windows XP

Mercredi, avril 9th, 2014

Ça y est, nous avons franchi la date fatidique du 8 avril. Il y a eu beaucoup de bruit récemment sur la fin du support de M$ Windows XP. Et pourtant il ne se passe finalement pas grand chose pour l’instant. Pas de fin du monde en vue.
C’est comme si l’on avait enfin franchi le mur du son. On est encore surpris de ne pas s’être fracassé sur le mur… mais on ne se rend pas encore compte que le pire est à venir. Progressivement, on va commencer à perdre des pièces, petit à petit. La perte de contrôle, c’est pour bientôt.

C’est moche, OpenSSL est en train de voler la vedette dans l’actualité. Il faut dire, le problème est sérieux aussi…

Mais revenons à nos moutons…
Cela fait un moment que cette fin de support est prévue. Et pourtant, la presse ne s’en empare que depuis peu. Le laps de temps entre le début de la vague d’alerte et l’expiration de l’échéance a été très court. Tellement court que certains utilisateurs se rendent compte la veille que le machine va avoir des problèmes. Ce laps de temps ne laisse pas de temps de répit à ceux qui ne comprennent pas grand chose à l’informatique. Et oui monsieur, il va falloir très rapidement acheter une nouvelle machine!

Bon, le mur est passé, mais pour l’instant ça tient.
On peut se dire que ça tiendra bien au moins un mois, comme d’habitude entre deux diffusions des mises à jours par Microsoft. Ça n’est pas aussi simple. Il n’y aura sûrement pas plus de nouvelles failles de sécurité qui sortiront dans le même laps de temps. Mais le marché des failles 0-days doit exploser. Pour un groupe de pirates qui souhaite augmenter son botnet, son réseau de machines zombies, une grande quantité de machines vont devenir facilement corruptibles sans qu’un patch ou un anti-virus ne risque de les y déloger. Il s’agit maintenant d’en faire tomber un maximum avant la concurrence. Et une fois qu’une nouvelle machine est dans son botnet, il faut empêcher qu’elle ne tombe aux mains d’un autre botnet… qui éjectera ses concurrents.
Ce nouveau marché de machines prêtes à intégrer un botnet est gigantesque. Au niveau mondial, des statistiques montrent que plus de 27% des ordinateurs individuels sont encore sous Windows XP. Pour des pays comme la Chine, ce serait de plus de 50%.

Il est à noter que malgré le grand âge de Windows XP, 12 ans et 6 mois, et malgré ses nombreuses corrections de sécurité et améliorations (Service Pack) on lui trouve toujours régulièrement de nouvelles failles. Comme quoi, un système d’exploitation, et par extension tout programme, ne se bonifie pas beaucoup avec le temps en terme de sécurité.

Beaucoup vont le regretter, à commencer par les propriétaires des unes machines sur quatre dans le monde sur lesquelles Windows XP tourne encore.
Pourquoi tant de monde l’utilise encore ?

  • C’est un système qui, bien qu’aillant subit plusieurs évolutions, est resté relativement léger. Il est capable de tourner sur des machines jugées aujourd’hui modestes voir complètement obsolètes. Pour ces machines, il est illusoire d’essayer de les migrer vers une version plus récente de Windows.
  • Souvent, les logiciels sont plus problématiques que le système d’exploitation. Si on utilise une vielle application qui n’est plus supportée par son éditeur, on ne peut pas toujours espérer la réinstaller sur une machine plus récente. Et ce problème existe aussi avec certains périphériques que les constructeurs voudraient bien vous faire mettre à jour, bref vous faire racheter. On retrouve ce problème des applications et des périphériques dans les migrations de systèmes d’informations. Voila pourquoi une grande partie des entreprises n’a pas fait migrer ses machines si le besoin ne se faisait pas sentir. Je considère que c’est une faute professionnelle pour un DSI qui n’a pas encore fait migrer ses vieilles machines alors qu’il est forcément prévenu depuis quelques années maintenant. et c’est pareil pour la société de support informatique qui n’a pas prévenu ses clients, et qui va maintenant les mettre au pied du mur.
  • Ensuite, bien d’imparfaite et pas vraiment ergonomique, les utilisateurs ont leurs habitudes avec l’interface. Migrer vers un nouveau système, c’est changer d’interface. Les jeunes s’adaptent vite aux nouveaux environnements. Les plus anciens ont déjà eu du mal à s’adapter à l’informatique, ils auront encore plus de mal à changer.
  • Enfin, certaines machines anciennes sont encore utilisées voir recyclées avec Windows XP parce que cela coûte chère à l’achat ou à la migration. Ça coûte en terme financier, mais aussi en terme de temps et de terme de compétences. Quand on n’a aucun des trois, on garde ce que l’on a. Autant le dire tout de suite, il y a de bonnes chances, faute d’entretien régulier, que ces machines fassent partie d’un botnet.

Que faire avec sa vieille machine ?

  1. Première option, celle que le vendeur voudrait vous voir adopter, c’est de jeter votre ancienne machine et en acheter une nouvelle.
  2. L’autre option, c’est de tenter de mettre à jour a vieille machine vers une version plus récente de Windows. Évidement, il faut acheter une nouvelle licence alors que la machine marchait très bien jusque là (supposition). Il faut la réinstaller et réinstaller toutes les applications, ce n’est pas à la portée de tout le monde.
  3. Et c’est tout ?
    Non, il y a aussi une autre solution, extrême. On peut garder la machine en l’état et ne plus la brancher au réseau. Fini le surf sur Internet, la consultation des messages, le partage des photos. Fini aussi les clés USB que l’on branche dessus avec insouciance… Capote version XXXL!
  4. Il y a la solution de l’autruche. Faire comme si de rien n’était. Après tout, c’est sûrement encore un coup des sionistes/musulmans/capitalistes/états/extra-terrestres (rayer les mentions inutiles) pour étendre leur pouvoir sur la terre.
  5. Et puis il y a la solution du recyclage. Une machine qui a dix ans, on peut encore la réinstaller avec Linux. Il faudra quand même éviter les environnement trop lourds comme Gnome ou KDE. C’est une migration en bonne est due forme, ça demande aussi quelques compétences. Mais, pour peu que l’on n’ai pas de besoin spécifique en logiciels ou des matériels très exotiques, on va pouvoir continuer à utiliser cette machine sur Internet un peu comme avant, mais protégé. Ça va demander de changer quelques habitudes, mais de toute façon, c’est ce qui vous attend quelque soit la solution retenu…

Ripe In Peace.
Leave room for the young.

Windows-XP-RIP-main

Station Linux et serveur Windows – suite 2008

Mardi, avril 8th, 2014

Voici la suite de l’article sur les Station Linux et serveur Windows.

Le même script fonctionne avec un serveur M$ Windows au niveau fonctionnel 2008R2.

Tout est passé du premier coup :
– la génération d’un ticket Kerberos ;
– l’ajout de la machine dans l’AD ;
– la consultation du LDAP.

Pour rappel, la station est sous Ubuntu Linux 13.10 .

Réinstaller Windows 7 Starter

Dimanche, avril 6th, 2014

Les solutions sont parfois bien compliquées pour des problèmes simples à la base…

Je dépanne une machine d’une amie. Cette machine Toshiba Satellite C605-SP4101L est vendu avec M$ Windows 7 Starter et, chose classique, elle rame suite à un problème à l’origine indéterminée. Impossible de nettoyer suffisamment pour retrouver un état stable et correct.
Pas de virus résiduel sur la machine, l’anti-virus à bien travaillé.

toshiba c605sp4101l

Solution : réinstaller.

Sauf que… Cette version de Windows n’est pas disponible à la vente, et impossible de trouver un DVD de réinstallation sur un site sûr.
Le constructeur, classiquement, ne fournit pas de quoi réinstaller la machine si on a pas fait la sauvegarde lors de l’achat. Bref, ce que personne ne fait, en fait.
Il n’est pas prévu de procédure convenable pour réinstaller ce genre de machine au bout de quelques années.
Que faire ? Jeter la machine à la poubelle alors que physiquement elle fonctionne bien.

Je lui aurais volontiers installé un Linux. Surtout que la machine est très bien gérée par Debian 7.0 par exemple.
Mais… à cause d’un périphérique externe très peu diffusé, et donc non supporté par la communauté et l’éditeur, ça n’est pas une solution envisageable.

L’autre solution, c’est d’installer un Windows 7 dans une version commercialisée. Et ensuite, soit on garde cette machine avec un crack, pirate, soit on essaie de la descendre en version (downgrade).
J’ai choisis dans un premier temps de la descente en version depuis une installation en Home Premium. Ça n’a pas fonctionné. Ré-essaie depuis une version Pro, pareil…
Ne reste que le crack. Et ça marche. Elle est activée et fait bien ses mises à jours.

Il faut bien vérifier l’innocuité du crack. Habituellement, ça vient avec une vérole. Il faut aussi vérifier que l’anti-virus est toujours ‘vivant’, c’est à dire qu’il détecte encore les virus…

La morale de cette histoire c’est que, curieusement, on a moins de problème en contournant les protections que en essayant de les respecter.

CF :
https://answers.yahoo.com/question/index?qid=20100317104813AA2xmui
http://tuto4you.fr/crack-activation-windows-7-sp1-hal-7600/

Et merde, encore un article sur Windows, je vais tuer mes scores :'(
Bon, j’y ai quand même installé un Linux pour la prochaine fois où elle aura des problèmes :-)

Racine en lecture seule

Mardi, mars 18th, 2014

Dans l’article sur la mise en place d’un système sur deux clés USB interdépendantes, il était question de faire tourner le système sur une clé en lecture seule. Il faut notamment que la racine soit sur cette clé, mais potentiellement une grande partie du système pour que cela soit intéressant.

C’est aussi un intérêt pour la durée de vie de la clé supportant le système. La technologie des mémoires FLASH dans les clés USB ne supporte pas énormément de cycles d’écriture. Ainsi, empêcher l’écriture revient à réduire considérablement ce risque de panne.

Il y a plusieurs façons de réaliser l’opération :

  1. Partitionner le système de façon à avoir certaines parties en lecture seule (/, /boot, /bin, /usr, /lib, /sbin) et d’autres en lecture/écriture (/home, /var, /tmp, etc…). CF https://wiki.debian.org/ReadonlyRoot .
  2. Utiliser une surcouche au système de fichier pour que celui-ci soit comme si il était en lecture/écriture, mais en fait rien n’est jamais écrit sur le disque. Toute modification reste en mémoire vive et est ainsi perdu au redémarrage. Il faut cependant faire attention dans notre exemple à l’occupation de la mémoire qui va inévitablement grossir avec le temps d’utilisation. CF http://lwn.net/Articles/327738/ .
  3. Faire en sorte que les programmes qui écrivent sur le disque soit n’ai plus besoin de le faire, soit qu’ils soient arrêtés ou désinstallés. Cela veut dire que certains programmes seront inutilisables parce qu’ils nécessitent pour leur fonctionnement d’écrire (compulsivement).

Il peut y avoir un problème avec les mots de passes à gérer. Il est possible de gérer plusieurs partitions chiffrées sans avoir autant de mot de passe à taper qu’il y a de partitions. Une méthode, que je n’ai pas essayé, est de dire à cryptsetup que le mot de passe est commun à plusieurs partitions. Une autre méthode est d’utiliser des des mots de passes dans des fichiers (voir un seul) et finalement de ne plus avoir qu’un mot de passe à saisir, celui de la partition qui contient les fichiers de mots de passes. Et enfin, on peut utiliser LVM par dessus une seule partition chiffrée, et sous-partitionner grâce à LVM. Cette dernière solution marche bien et est réalisable dès l’installation du système (au moins sous Debian et Ubuntu alternate).

(suite…)