[Logo]
[Titre]

[Retour]

Archive for the ‘Linux’ Category

Mise à jour automatique au démarrage

Vendredi, mars 14th, 2014

Voici un moyen de faire automatiquement les mises à jours lors du démarrage du système. On se base ici sur une machine Ubuntu Linux 13.10 en fonctionnement nominal.

Il y a une méthode officielle via unattended-upgrades. Perso, je dois être mauvais, ça ne marche pas bien :'(
Ça me télécharge bien les paquets à installer mais à part me prévenir qu’il faut le faire… ça ne le fait pas tout seul chez moi…

On va répartir le travail en deux parties et une spéciale serveurs. La première est le script qui fait les mises à jours. La deuxième partie concerne l’insertion au démarrage d’une station de travail via upstart. Et enfin une troisième partie va permettre de tenir à jour régulièrement les serveurs.

Comme ça, vous n’aurez plus aucune excuse pour ne pas avoir vos machines à jour!

(suite…)

Station Linux et serveur Windows

Mardi, mars 4th, 2014

Nous allons réaliser ici la première étape pour intégrer des stations Linux dans un domaine Microsoft Active Directory de niveau fonctionnel 2003. L’intégration dans un domaine AD de niveau 2008 et plus sera abordé une prochaine fois.

Conditions de départ de l’expérience :

  • Station : Ubuntu Linux 13.10, installation de base 64bits sans paquet supplémentaire.
  • Serveur : Microsoft Windows 2003 R2, domaine Active Directory activé, niveau de fonctionnalité 2003.
  • Domaine : MONRESEAU.NET

La documentation ci-dessous s’appuie beaucoup sur l’article ‘koo.fi blog – Ubuntu 12.04 Active Directory Authentication‘.

Plan :

  1. Station – Installer et configurer Kerberos
  2. Station – Installer et configurer Samba
  3. Station – Création du fichier Keytab
  4. Station – Régénération automatique du ticket Kerberos
  5. Station – Installer et configurer LDAP
  6. Serveur – Configurer les comptes utilisateurs AD
  7. Station – Configurer NSS
  8. Station – Configurer PAM
  9. Fin
  10. Liens
  11. Annexes

Sur la station, toutes les commandes sont lancées en tant que root ou, mieux, via sudo.

(suite…)

Sélectionner un OS sécurisé en entreprise : ne pas faire d’erreur dès la première étape

Samedi, décembre 21st, 2013

Au détour d’une recherche de renseignements sur de la crypto, je tombe sur l’article Selecting a Secure Enterprise OS: Don’t Make the First Step the Wrong Step.

Je lit l’article de 2005, un peu amusé.
Et aujourd’hui, en 2013, qu’en est-il ?

Et bien aujourd’hui, malgré les incertitudes de l’auteur, Linux n’a pas disparu, ni FreeBSD d’ailleurs. C’est pire encore, il y en a absolument partout!

Comparer le cycle de développement de Microsoft avec les autres OS est un peu osé. Surtout si l’on met en avant la mise à jour du noyau Linux en deux étapes, donc plus long que le même processus chez MS. Or l’histoire a montré que la communauté réagissait plus vite dans les corrections de failles que la société multi-milliardaire en dollars et en machines installées.

Dire que les patchs de Linux peuvent introduire des confusions et des problèmes de gestion, c’est en partie faux. Ce peut être éventuellement le cas si on change radicalement de version ou de distri. Mais c’est faux si on reste sur une distri dite stable ou à support allongé.

Enfin, comparer la gestion des mises à jours chez MS et sur BSD ou Linux est trompeur. MS fait bien son boulot, oui à condition de ne considérer que les logiciels MS à l’exclusion de tout autre. Or dans la vraie vie, on trouve aussi bien sur stations que sur serveurs un grand nombre d’applications tierces dont il faut assurer le suivi au jour le jour. C’est par exemple Flash ou Java. Certains éditeurs font de grands efforts mais chacun travaille dans son coin. Et ce travail de suivi est éreintant. Ah, on me dit que c’est justement un des arguments contre le mode de développement de Linux… Sauf qu’une distribution Linux intègre le suivi de toutes les applications qu’elle propose, et cela va bien plus loin que l’OS et quelques outils. Il est ainsi bien plus facile de tenir à jour un parc Linux qu’un parc Windows, même à long terme.

Si on ajoute en plus de problème de suivi des licences, le casse-tête des applications propriétaires généralement sous Windows n’a pas d’équivalent dans le monde du logiciel libre.
Ah, on me dit que cela ne fait plus partie de la première étape…

Système bootable chiffré sur deux clés USB interdépendantes – suite

Mercredi, novembre 27th, 2013

Il y a plusieurs choses qui peuvent être améliorées dans le système bootable chiffré sur deux clés USB interdépendantes.

C’est un peu technique et aucune solution complète n’est fournie. Si vous voulez les mettre en place, il va falloir gratter par vous même. (suite…)

Système bootable chiffré sur deux clés USB interdépendantes

Vendredi, novembre 8th, 2013

Voici une base de système qui nécessite deux clés USB pour pouvoir fonctionner. Si l’une manque, le système ne peut démarrer et, plus important encore, les données sont indéchiffrables.

Le schéma de principe :

20131108 cryptsetup sur 2 cles usb

L’exemple est réalisé à partir de Debian Linux 7.0, mais ça n’a pas de raison de ne pas fonctionner avec d’autres distributions. Ça marche aussi avec Ubuntu Linux par exemple. Il faut obligatoirement que cryptsetup soit disponible sur la distri. Il faut de préférence que l’on puisse mettre en place le chiffrement dès l’installation du système. Il faut aussi de préférence que le système soit installable directement sur clé USB et sur une partition chiffrée. Si ces deux dernières conditions ne sont pas remplies, l’exercice est réalisable mais il est beaucoup plus complexe à mettre en place.

(suite…)

Apache24 et PHP5 sous Ubuntu 13.10

Mardi, octobre 22nd, 2013

Je n’utilise pas Ubuntu comme serveur web chez moi, mais j’ai un Apache installé sur ma station pour développer sylabe.

Suite à la mise à jour des machines vers la dernière version d’Ubuntu, la 13.10, ma page de test sylabe locale ne fonctionnait plus.

L’erreur est finalement assez simple à résoudre et ne dépend pas vraiment d’Ubuntu mais plutôt de la nouvelle version d’Apache, la 2.4 .
Les insertions de code php, souvent faites avec <? ne fonctionnent plus, il faut utiliser à la place <?php

/dev/random on Linux kernel

Mardi, octobre 22nd, 2013

Theodore Ts’o said (link) :

I am so glad I resisted pressure from Intel engineers to let /dev/random rely only on the RDRAND instruction.   To quote from the article below:

« By this year, the Sigint Enabling Project had found ways inside some of the encryption chips that scramble information for businesses and governments, either by working with chipmakers to insert back doors…. »

Relying solely on the hardware random number generator which is using an implementation sealed inside a chip which is impossible to audit is a BAD idea.

Thanks !!!
Merci à toi :-)

On sait aujourd’hui grâce à tout ce qui est révélé sur les pratiques de la NSA les risques que l’on encourait vis-à-vis de la NSA elle-même mais aussi de fait vis-à-vis de tous autres gouvernements et organisations criminelles ayant suffisamment de moyens.
Le générateur de nombres aléatoires du noyau Linux n’est peut-être pas parfait. Mais on sait qu’il n’est pas mauvais… et que ce n’est pas le pire, loin de là.
Et chez Microsoft, ça s’est passé comment ?

Liens :
https://plus.google.com/117091380454742934025/posts/SDcoemc9V3J
https://www.schneier.com/blog/archives/2013/10/insecurities_in.html
http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?pagewanted=all&_r=0

Ubuntu Linux 13.10

Lundi, octobre 21st, 2013

Enfin arrivée !!!

http://www.ubuntu.com/desktop

J’en profite pour mettre à jour toutes les machines de la maison…
Compter quelques bonnes heures entre le téléchargement et l’installation des nouveaux paquets, et pas loin de 3Go de libre pour une mise à jour.
La mise à jour se fait en lançant en console la commande sudo do-release-upgrade

Le mieux est de faire ça depuis une session graphique sous Unity.
Si vous êtes comme moi sous enlightenment (e17), l’écran va se figer à un moment donné. Pas de panique, ça continue à travailler derrière. Il suffit de basculer sur un écran de terminal [Ctrl]-[Alt]-[F1], de se connecter et de killer un process dépendant de enlightenment et avec un numéro de process élevé… C’est un message d’erreur suite à la mise à jour d’enlightenment justement. Le mieux reste de lancer la mise à jour directement dans l’écran texte ou dans une session graphique avec Unity.

Magnétoscope pour arte.tv

Mardi, octobre 8th, 2013

Suite du post Magnétoscope pour arte.tv. En effet, le site arte.tv +7 évolue et l’ancien script ne marche plus.

J’avais commencé à refaire un script pour télécharger les vidéos sur arte +7. Je n’aidais notamment de ce site, lui aussi périmé par les derniers changements : How to save videos from ARTE +7 on your computer to watch them offline

Et puis je suis tombé sur un petit site fort sympathique : http://floriancrouzat.net/arte/
Le travail est déjà tout fait, et bien! Il suffit de copier l’URL de la page de la vidéo du site arte +7, et on se voit proposer des liens de téléchargement pour plusieurs qualités de visualisation.
Bref, j’ai laissé tomber mon script…

Cependant, je voulais aussi récupérer sur arte future, la série Que faire?
(suite…)

Debian from scratch sous Xen

Samedi, août 31st, 2013

J’ai mis en place une machine pour me permettre de tunneliser un certain nombre de choses depuis la Colombie. La messagerie par exemple…
Cette machine est une machine virtuelle hébergée par une vraie machine qui tourne dans le placard. Le tout animé par xen.

Il existe déjà des tutoriels sur le net pour installer la machine hôte Debian avec xen et pour créer des machines virtuelles notamment avec l’outil xen-create-image.

Mais… les choses ne seraient pas assez simple sinon… je veux plutôt installer une machine virtuelle Debian 7 en utilisant le DVD d’installation et non en passant par debootstrap ou tout autre méthode similaire…

(suite…)

Ebox 3310A

Lundi, juillet 15th, 2013

C’est les soldes!
J’ai craqué sur un tout petit PC en promo. C’est un Ebox-3310A de DMP :

Processor MSTI PDX-600 -1GHz (Fanless)
Memory 512 MB DDR2 onboard
VGA XGI Z9S with 32MB DDR2
External 15-pin D-type female VGA connector
Ethernet Interface Integrated 10/100 Mbps LAN
I/O Enhanced IDE interface, 44pin box header x 1
Type I/II Compact Flash Slot x 1
MicroSD slot (bootable) x 1
RJ-45 Ethernet Connector
External 6-pin Mini DIN for PS2 Keyboard and Mouse
Audio CM119, Line out and MIC in
USB 3 ports (USB 2.0) (2 on Front)
Power Requirement Single Voltage +5V @2A
Dimensions 115 x 115 x 35 mm
Weight 505g
Operating Termperaturet +5 ~ +50°C operating temperature
Certificate CE,FCC

 

Le processeur est une sorte de 486 DX (Vortex86DX2) tournant à 1GHz mais sans ventilateur. Le tout est épaulé par 512Mo de RAM. Rappelez-vous, les processeurs que l’on avaient à notre puberté… Mais ici en beaucoup plus rapide!

Imaginez un peu à quoi cela ressemble : un PC dans un boîtier de 11,5cm de largeur et de longueur et de 3,5cm d’épaisseur !!!
Le tout sans ventilateur, donc sans aucun bruit!

Par contre, pas de disque dur interne. Mais on peut utiliser nativement à la place une carte CompactFlash (CF) ou une carte micro SD. Perso j’utilise une carte micro SD (Class4) de 16Go.

Systèmes supportés

D’après la doc, cette configuration matériel peut supporter M$$$ Windows XP mais aussi Debian Linux ou Ubuntu Linux par exemple. J’ai essayé différentes distributions :

  1. Ubuntu Linux 12.04 LTS i386
  2. Linux Mint i386
  3. Debian Linux 7.1.0 i386

Surprise, Ubuntu et Mint nécessitent en fait un processeur i586 au minimum… Dommage pour le 486. Seule la Debian à effectivement démarrée.

Installation

La méthode pour installer un système Linux sur ce boîtier est assez simple. Il faut une clé USB de au moins la taille du CD-ROM ou DVD-ROM d’installation du système d’exploitation visé.

  1. Sur une machine Linux. Télécharger l’image ISO du système à installer, par exemple Debian Linux 7.1.0.
  2. Insérer la clé USB sur cette machine.
  3. Faire une copie brute de l’image ISO sur la clé USB :
    dd if=debian-7.1.0-i386-CD-1.iso of=/dev/sdc
    avec /dev/sdc le périphérique (visible avec la commande dmesg).
  4. Retirer la clé USB et la brancher sur le boîtier Ebox.
  5. Allumer le boîtier. Il doit trouver tout seul la clé et booter dessus comme si c’était un lecteur CD ou DVD.
  6. Si on insère une carte CF ou micro SD, on peut installer le système dessus…

Si la carte micro SD n’est pas reconnue lors de l’installation, ce qui m’est arrivé avec Debian, il faut la retirer et la placer dans un lecteur de cartes et le relier au boîtier à côté de la clé USB.

Je teste avec Xorg pour voir ce que ça donne en terme de réactivité, puis j’essayerais d’installer FreeBSD par dessus…

Documentation

Le manuel peut être trouvé par ici. Copie du manuel : EBOX-33xxA User Manual

 

 

128M pour Debian 7

Samedi, juillet 13th, 2013

Je ressors des cartons une vieille machine. Jugez plutôt :

  • Marque : Fujitsu-Siemens
  • Modèle : Lifebook B series (B-2175) ref
  • CPU : Intel Celeron 500MHz
  • RAM : 128Mo
  • Disque : 30Go (pas d’origine)
  • Écran : 800×600 tactile

Cette toute petite machine par sa taille et ses performances dispose d’un écran tactile. Bon, à cette époque là, c’était la pré-histoire du tactile… Mais ça marche encore.

Je décide de lui installer une belle Debian toute neuve, la version 7.0.0 i386.

Faute de lecteur CD amorçable, ça n’existait pas encore pour toutes les machines à cette lointaine époque, j’ai du pré-installer la Debian sur le disque sur une autre machine. Une fois le disque remis en place, ça démarre !!!

Le noyau installé est le Linux 3.2.0-4-486. Ce noyau à jour supporte pleinement IPv6 par exemple :-)

Après un complément d’installation pour avoir WindowsMaker, VLC, Slim et Firefox, tout semble fonctionner en graphique. Firefox est un poil lent… mais il tourne quand même!

L’écran tactile est nativement pris en compte. Il marche mais manque d’être correctement ajusté. Il va me falloir retrouver comment je faisais ça à l’époque. Et oui, ça marchait déjà à l’époque via evdev mais il fallait le calibrer.

Le résultat :

Freebox et les sous-réseaux IPv6

Samedi, mai 18th, 2013

Abonné chez Free, je dispose d’une plage d’adresses IP version 6. Fini les translations d’adresses, on va pouvoir joindre directement toutes les machines (moyennant le filtrage), enfin :-)
Bienvenue dans le futur!

La plage réseau disponible est en /64. Certains blogs parlent d’un /56 réellement utilisable. Bref c’est bien plus que ce dont on a besoin…

Là où le bas blèse, c’est qu’il n’est visiblement pas prévu par Free de pouvoir subdiviser le réseau disponible. Toutes les machines doivent être dans une même plage IP unique.
Et si je veux ajouter mon routeur/pare-feu pour créer un sous-réseau de serveurs? Dommage.

Heureusement, tout n’est pas perdu. Il existe une solution :

Le proxy NDP
(proxy Neighbor Discovery Protocol, RFC4389).

Table des matières :
– Routeur de sortie
– Subneting
– Les services de l’Internet en IPv6
– Configuration réseau du pare-feu intermédiaire
– Configuration d’un serveur
– Activation du routage sur le pare-feu
– Activation du filtrage
– Et après… les paquets RA
– Liens externes

(suite…)

Disque chiffré et boot sur clé USB

Lundi, mai 13th, 2013

Voici la documentation pour installer un système Debian Linux 7.0.0 avec un disque chiffré et un boot sur clé USB uniquement :
http://technix.starend.org/si/index.php/Serveur_-_Disque_chiffr%C3%A9_et_boot_sur_cl%C3%A9_USB

Cette documentation est réalisée suite à la réinstallation du serveur neptune.

Conclusion :

Voila, nous avons bien un serveur avec un disque intégralement chiffré et qui démarre tout seul uniquement si sa clé USB associée est branchée.

On peut partir en vacance avec la clé USB, sans elle le serveur ne redémarrera pas et les données resteront au chaud.

Hébergement de fortune…

Vendredi, octobre 5th, 2012

Nouvelle machine Vhost chez un hébergeur…

Et un CentOS d’installé par défaut.
What the fuck!?
Au moins c’est une version récente :-/

Tous les services possibles et (in)imaginables installé et lancés par défaut.
Dude, what the fuckin’ problem?

Et bien sur, pas à jour.
Rattrape donc pour commencer tes 325 paquets à mettre à jour… d’urgence!
Shit.

Et un « truc » insiste par défaut pour que tout ces services tournent en permanence et relance au besoin les manquants dans les 10 secondes…
Nuts!

Modem USB 3G MOVISTAR sous Ubuntu

Lundi, août 6th, 2012

Cette année, on empreinte pour 2 jours une clé USB 3G avec un abonnement Internet via l’opérateur MOVISTAR.

Grosse surprise, il existe un installateur Linux en plus des installateur Woinwoin et Mac. Pas besoin donc de « bidouiller » par défaut :-)

(suite…)

Sur le nuage

Dimanche, juillet 22nd, 2012

Le cloud computing est une nouvelle mode du monde informatique.
Un peu comme le web 2.0, ça regroupe tout un tas de choses qui n’ont pas vraiment de rapport si ce n’est le fait d’être « dans internet »… bref c’est avant tout un terme très commercial…
Et rien à voir avec des substances hallucinogènes :-)

Mais on y trouve quand même des choses intéressantes.

Déjà utilisateur de hubiC et Ubuntu One, j’ai donc installé owncloud. (suite…)

Raspberry Pi

Jeudi, juillet 19th, 2012

Intéressant micro système basé sur ARM et de la taille d’une carte de crédit.

Ca tourne sous un dérivé de Debian Linux :-)
Le prix : 25€ sans compter l’alim et le boitier.

http://www.raspberrypi.org/
http://fr.rs-online.com/ raspberrypi

Magnétoscope pour arte.tv

Samedi, mai 12th, 2012

Diana n’a pas pu voir une émission intéressante sur la Colombie, émission passé sur la chaîne arte. Elle l’a retrouvé sur arte+7, qui diffuse les émissions 7 jours après leur passage en direct sur la chaîne. Mais, ne pouvant l’enregistrer, elle n’a pas pu me la montrer à mon retour…

Il y a pourtant des reportages forts intéressants mais qui une fois diffusés disparaissent du net. Impossible de les retrouver sur quelque site que ce soit, même payant.

Voici donc un petit script pour télécharger la vidéo d’une émission depuis le site de arte+7 et la converti en MP4.. (suite…)

Lecture DVD sous Ubuntu

Vendredi, avril 27th, 2012

Je constate que certaines conneries ont la vie dure.

Le format DVD va bientôt s’éteindre… et on nous e[…]e encore avec la protection CSS, les fameuses zones des DVD qui n’ont pas servi à grand chose si ce n’est de faire c[…]r ceux qui achètent leurs DVD :-(

Bref, sous Ubuntu Linux, il faut encore et encore installer la libdvdcss pour pouvoir lire ses galettes chichement payées. Heureusement qu’on n’a pas besoin de réinstaller souvent notre pingouin!

Bref, j’avais oublié, ça se passe comme ça (en ligne de commande) :

sudo apt-get install ubuntu-restricted-extras
sudo sh /usr/share/doc/libdvdread4/install-css.sh

En plus, à cause de certains personnages, je deviens de plus en plus hermétique à la bêtise humaine… pfu… la dèche…