[Logo]
[Titre]

[Retour]

Archive for the ‘Debian’ Category

Script VPN en vadrouille – via pare-feu

Lundi, janvier 2nd, 2017

Suite de l’article Script VPN en vadrouille.

Certains opérateurs indélicats ajoutent des pare-feux entre leurs clients et l’Internet. Un des effets classiques de l’ajout de pare-feux, c’est que les connexions TCP qui ne communiquent pas pendant un certain temps sont considérées comme expirées, et donc automatiquement coupées. La coupure intervient généralement au bout de deux minutes. (suite…)

Script VPN en vadrouille

Lundi, décembre 26th, 2016

De balade de nouveau en Colombie.

Cette année, j’ai refait mon script de connexion vers la maison. Il s’agit de faire croire à face de bouc et co que je suis toujours à la maison pas qu’ils me posent tout un tas de questions dont moi-même ne suis pas sûr de pouvoir répondre…

Tout est fait sous Linux Debian mais il est facile d’adapter à d’autres distribution.

(suite…)

Extraction de la piste son avec avconv

Mardi, novembre 1st, 2016

Sous Linux, l’outil libav permet de manipuler en ligne de commande les vidéos et notamment de scripter tout plein de choses.

Le paquet à installer sous Debian/Ubuntu s’appelle libav-tools (D/U).

Pour extraire la piste son d’une vidéo et la ré-encoder dans un format audio donné (ici ogg-vorbis), il faut utiliser la commande :

avconv -i fichier_video.mp4 \
-map 0:1 \
-strict experimental \
-acodec vorbis -ar 44100 -ac 2 -ab 192k \
fichier_audio.ogg

Ça tient sur une seule ligne sans les \ de fin de lignes; mais dans un script c’est plus clair…

On peut bien sûr jouer sur la qualité de re-compression ou le format audio de sortie :-)

Essaie de M$ Windows 10

Dimanche, août 2nd, 2015

Ca y est, Microsoft fait sa publicité partout pour la sortie de Windows 10. Est-ce que ce sera un bon cru comme Windows 7 ou un taré comme Windows 8 ? L’avenir nous le dira…

Ayant une machine un peu ancienne mais avec une licence Windows 7 valide, je décide de la réinstaller propre en Windows 7 pour ensuite la faire passer en Windows 10, puisque c’est gratuit. Déjà, une réinstallation de W7 complète sans logiciels supplémentaires mais avec toutes les mises à jours, c’est une bonne demi-journée.

En allant chercher chez Microsoft le petit programme qui va bien, je peux lancer tout de suite la mise à jour vers W10. Et hop, trois heures de téléchargement. Il faut dire que les serveurs de distributions de la nouvelle version chauffent un peu en ce moment.

Et la mise à jour commence, 3 heures aussi avec des redémarrages réguliers, un plantage en cours de route… Et enfin, on arrive sur quelque chose d’exploitable !
Ca a fini à 1 heure du mat’ tout ça…

Côté disque, sur les 64Go alloués, 45Go sont occupés, sans rien installer de plus.

Alors ? Bien ou bien ?
Mon avis très perso, c’est que l’interface épuré, ça change du bling bling des interfaces passées avec leurs jeux de transparences et d’effets animés partout. Je suis partagé sur cette interface, j’aime le côté épuré que j’utilise pour nebule, mais là je la trouve un peu moche par défaut. Il y a quand même une bonne cohérence de l’ensemble et c’est fonctionnel, finalement le plus important c’est ça.

Point négatif, c’est que sans compte chez monsieur Microsoft on est vite limité. Beaucoup de programmes le demande. Quand on crée des comptes sur la machine, on nous incite fortement à créer un compte chez M$. Il faut bien cherche le moyen de faire un compte local normal.

Bon, fin de la récréation. Faut quand même que je bosse un peu sur cette machine. Je vais garder le W10 pour tester mes sites web, mais j’ai besoin de mettre un Linux à côté sur le disque.

Au moment de l’installation de W7, au début, j’avais partitionné le disque pour ne laisser que 64Go à Windows. et une petite partition de 1Go pour le /boot du Linux à venir. Je lance l’installation de Linux Debian 8… et je vois que ma petite partition est bien là mais que les 4 partitions primaires sont utilisées. Bref, Monsieur Microsoft a ajouté une partition (800Mo) et n’a pas jugé bon de la mettre en partition étendue. Je suis obligé de sacrifier la petite partition de 1Go pour pouvoir créer une partition principale avec la plus grosse partie du disque pour contenir des partitions étendues.

En une heure l’installation de Debian est terminée, mises à jours comprises. Une autre heure pour les programmes supplémentaires et tout est bon.

On peut choisir au démarrage sur quel système on démarre, et W10 ne se plaint pas de son colocataire :-)

Faire un ‘timelapse’ des feux d’artifices

Samedi, juillet 18th, 2015

Ce 14 juillet, j’ai réussi à trouver une pas trop mauvaise place avec une vue correcte sur la tour Eiffel et son traditionnel feu d’artifice. Plutôt que de rester river à mon appareil pour faire des photos ou filmer, je l’ai laissé sur le trépied avec la télécommande en main et j’ai ainsi pu profiter du feu pendant que l’appareil travaillait tout seul :-)

Je suis parti sur un réglage de l’appareil en rafale lente sur f/8, 100iso et 4s, position 36Mpixels. En cours de route, je suis passé à 2s. Cela donne une série de photos de 2s de pose avec quasi rien de pause en chaque photos. Bon, à un bémol près, j’ai régulièrement saturé le buffer de l’appareil, ce qui provoque quelques passages sans photo.

Et en avant, on bloque la télécommande et on regarde !

tl0016

Ici, c’est le concert avant le feu.

En tout, il y a 747 photos exploitables et à exploiter !!!

tl0441

Et voici donc le film du feu d’artifice en ‘timelapse’ :

Un peu de technique maintenant. Comment faire le film en ‘timelapse’ depuis la série de photos. Tout est fait ici en ligne de commande sous Debian Linux avec convert et avconv. (suite…)

Installation Debian 8 sur clé USB 64Go ultra-petite

Samedi, juillet 4th, 2015

La clé USB

Je souhaite disposer d’un nouveau système d’exploitation entièrement embarqué sur une toute petite clé USB et pouvant être utilisé sur n’importe quel ordinateur PC. Pour cela, j’ai acheté une clé USB SanDisk Ultra Fit 64Go.

c9a8d4b6-c006-438c-93ba-ab7f5a4e341f._V325735931__SR300,300_ SanDisk_Cruzer_Fit_Ultra_64gb_4 downloadImage9494_gallery

A l’achat, il y a une semaine, la clé m’a coûté 26€20.

Elle est vraiment petite et ne dépasse que de 6mm de l’ordinateur une fois connectée. Il manque une petite sangle pour l’attacher au porte clé, sans ça elle sera vite perdu…

Le cache de protection plastique est, comme d’habitude, un peu inutile. Il fonctionne bien pour l’instant mais il finira vite à l’usage par ne plus tenir, et donc il ne protégera plus la clé dans la poche au milieu des autres clés. Mais heureusement, il n’est pas indispensable. Au jugé, la coque de la clé est métallique et semble assez robuste pour ce genre de clé.

Le clignotement rouge de la clé est sympathique et le bienvenue à l’usage.

Le système

J’installe ici le système Debian Linux 8.1.0 pour processeurs 64bits.

banner

Le DVD peut être téléchargé ici. On peut prendre une version plus récente ou plus ancienne (8.0), après installation et mise à jour on aura de toute façon l’équivalent de la dernière version.

Deux petite particularités de mon installation. Pour commencer le système et les données utilisateurs sont intégralement chiffrées, sauf pour la partition de démarrage /boot qui restera non chiffrée (minimum indispensable). Et une partition d’échange en FAT32 de 4Go est maintenu pour pouvoir échanger des données notamment avec des machines sous M$ Windows.

Par facilité, j’utilise une machine dans laquelle je retire le disque dur interne le temps de l’installation. Sinon il faut faire attention en fin d’installation que GRUB soit bien installé sur la clé USB et pas sur le disque interne.

Le partitionnement de la clé ressemble donc à ça :

  1. sda1, 4Go, FAT32, /public
  2. sda2, 512Mo, ext4, /boot, avec indicateur d’amorcage
  3. sda3, 57.6Go, volume physique pour chiffrement :
    1. sda3_crypt, 57.6Go, ext4, /

Pas de partition de SWAP pour deux raisons. On ne va pas faire des choses très gourmandes en mémoire ou on considère que la mémoire vive de l’ordinateur sera suffisante pour cela. Et activer un SWAP sur un disque de type mémoire Flash est un bon moyen de l’user prématurément, il ne supporte pas autant de cycle d’écritures qu’un disque dur.

Le reste, c’est comme d’habitude. Et ça va assez vite, le plus long c’est de télécharger le DVD d’installation…

Personnalisation

Pour continuer, je modifie le fichier des sources de logiciels pour ajouter les contrib et non-free. Je désactive l’option qui permet d’installer automatiquement les paquets recommandés. Ainsi, lorsque l’on installe un nouveau logiciel, il ne met que ce qui est nécessaire en dépendance et pas ce qui est superflu (recommandé). Cela va un peu sauver de la place sur la clé.

Moyennant l’installation de divers logiciels pour mes besoins, il reste 48Go de libre.

La liste de ce que j’ai ajouté :

  • environnement Gnome (lors de l’installation)
  • e17
  • icedove
  • darktable
  • gimp-data-extras
  • gimp-gap
  • gimp-lensfun
  • gimp-plugin-registry
  • gwenview
  • hugin
  • kdenlive
  • libav-tools
  • exif
  • audacity
  • asunder
  • plymouth
  • plymouth-themes
  • firmware* (wireless/ethernet)

La liste de ce que j’ai retiré :

  • rpcbind
  • nfs-common

Firmware pour RTL8192EE

Mardi, mai 12th, 2015

Je joue avec un Lenovo X250 installé fraichement sous Debian 8. C’est une petite machine assez sympathique.
Comparé au X240, le TouchPad est bien mieux conçu… au point qu’il vaut mieux éviter très franchement ce X240.

Mais j’ai un peu coincé pour la carte wifi…

Installer le paquet firmware-realtek

Le driver à utiliser : r8192ee

Le firmware peut être téléchargé ici. Il faut copier rtl8192eefw.bin dans /lib/firmware/rtlwifi/ .

Et enfin un redémarrage ou un déchargement/rechargement du driver r8192ee …

CF :
http://www.fishprogs.info/puppy/firmware/rtlwifi/
http://ftp2.halpanet.org/source/_dev/linux-firmware.git/rtlwifi/
https://wiki.debian.org/fr/rtl819x
http://www.corsac.net/X250/
https://github.com/OpenELEC/wlan-firmware/raw/master/firmware/rtlwifi/rtl8192eefw.bin

lenovo-laptop-thinkpad-x250-main

Personnalisation de sa machine Linux – 1 chargeur de démarrage

Mardi, mai 5th, 2015

Première partie de la personnalisation de sa machine Linux.

Introduction

Le chargeur de démarrage, c’est un tout petit programme. Lorsque l’on allume sa machine, elle exécute le BIOS ou l’UEFI. Ceux-ci sont enregistrés dans une puce de la carte mère et permettent d’initialiser et de configurer la machine avec tous ses périphériques (carte vidéo, carte son, disque dur, etc). Lorsque le BIOS ou l’UEFI ont finit leur travail, ils chargent depuis le disque dur (en général) un petit programme stocké en début de disque, c’est le chargeur de démarrage. On trouve principalement GRUB ou LILO pour Linux, ou le Bootloader pour M$ Windows.

A quoi sert ce petit programme ? Il est souvent masqué ou ignoré de l’utilisateur lorsqu’il ne l’est pas. Et il passe très vite. C’est lui qui va lister les systèmes d’exploitations installés sur le ou les disques durs et permettre à l’utilisateur de choisir lequel il souhaite utiliser. Souvent, il n’y a qu’un seul système d’exploitation, c’est la raison pour laquelle peu d’utilisateurs remarquent le chargeur de démarrage.

On utilise ici GRUB, le chargeur de démarrage installé par défaut sous Debian Linux.

Comme on travaille sur une clé USB, suivant les machines sur lesquelles on va démarrer, il ne sera pas toujours possible de disposer d’une bonne résolution d’écran au démarrage. On fixe par défaut une résolution d’écran assez petite pour minimiser les problèmes, soit du 640×480.

(suite…)

Personnalisation de sa machine Linux – Introduction

Mercredi, avril 29th, 2015

Je vais démarrer un cycle de quelques articles sur la personnalisation d’une machine Linux. Les manipulations seront réalisées sur la toute dernière Debian Linux 8.0 « Jessie » sortie il y a quelques jours seulement. Mais beaucoup de manipulations pourront être reproduites sur Ubuntu et Mint en particulier et sur sur d’autres distributions Linux récentes en général.

Tout est fait dans mon cas sur une installation de Debian 8.0 sur clé USB. En cas de problème, si on casse quelque chose, le Linux installé sur la station, normalement sur le disque dur, n’est pas endommagée, ou a peu de chance de l’être.

On sait tous personnaliser le fond d’écran du bureau et la couleur des fenêtres. Mais il y a pleins d’autres choses que l’on peut adapter à ses gôuts ou aux couleurs de son entreprise ou association.
Voici la liste des sujets qui seront abordés dans les prochains articles :

  1. Personnalisation du chargeur de démarrage ;
  2. Personnalisation du démarrage/arrêt du système ;
  3. Personnalisation du gestionnaire de connexion ;
  4. Choix du gestionnaire de fenêtre ;
  5. Personnalisation du bureau.

Avant de commencer ce travail à plusieurs étages, il faut déterminer le thème graphique, le style ou la charte graphique que l’on souhaite appliquer.

Ajouter un logo sur une vidéo

Samedi, avril 18th, 2015

Pour tagger mes vidéos en masse avec un logo, j’ai recherché un peu sur Internet ce qui pouvait être fait en ligne de commande.

Sous Debian Jessie, il n’y a plus ni mencoder ni ffmpeg. J’avais des scripts avec le premier, faut les changer…
En remplacement, il faut installer libav-tools et utiliser la commande avconv.
CF : https://libav.org/avconv.html

Pour avoir un maximum de compatibilité avec les lecteurs vidéo et autres platines multimédia, j’encode la sortie vidéo en MPEG-4.

Il faut bien sûr un logo de la taille attendue sur la vidéo, au format PNG. Par exemple une image de 100px par 100px avec de la transparence :

logo

Pour insérer le logo sur la vidéo en haut à gauche (à 20px du bord) :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=20:20 [out]" $output

Pour insérer le logo sur la vidéo en haut à droite :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=main_w-overlay_w-20:20 [out]" $output

Pour insérer le logo sur la vidéo en bas à gauche :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=20:main_h-overlay_h-20 [out]" $output

Pour insérer le logo sur la vidéo en bas à gauche :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=main_w-overlay_w-20:main_h-overlay_h-20 [out]" $output

Pour insérer le logo sur la vidéo en bas au milieu :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=(main_w/2)-50:main_h-overlay_h-20 [out]" $output

La valeur -50, c’est la taille du logo divisé par 2.

Pour réduire la résolution de la vidéo, et donc la place et la qualité :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in] scale=1280:720 [cropped],[cropped][watermark] overlay=(main_w/2)-50:main_h-overlay_h-20 [out]" $output

Pour réduire le bitrate, et donc encore la place et la qualité :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -b:v 10000k -bt:v 5000k
-vf "movie=$logo [watermark];[in] scale=1280:720 [cropped],[cropped][watermark] overlay=(main_w/2)-50:main_h-overlay_h-20 [out]" $output

Il ne reste plus qu’à faire le tour de toutes les vidéos à tagger… Une bonne vieille boucle en bash sur un find de la mort dans le dossier des vidéos… et beaucoup de temps…

Nouveaux serveurs – mise en ligne

Mercredi, juillet 16th, 2014

Voici la suite de l’article Nouveaux serveurs.

Les deux nouveaux serveurs Whisky et X-ray sont terminés et opérationnels.

Prochaine étape, mettre en place un certificat signé pour le webmail.

Et puis il faut ajouter un serveur de tchat jabber (xmpp) sur Whisky.

Tunnel TLS pour ldap

Dimanche, juillet 13th, 2014

Il y a semble-t-il un bugg récent assez gênant sur la libraire GnuTLS sous Debian 7. Suite à une mauvaise implémentation semble-t-il au niveau de la négociation des algorithmes de chiffrement, il est impossible de générer ou d’utiliser des certificats pour les programmes qui utilisent cette librairie. Et c’est le cas notamment de slapd, le serveur d’annuaire LDAP (OpenLDAP) sous UNIX.

Le problème aurait pu passer presque inaperçu… mais il y eu heartbleed…Et il se trouve donc qu’un certain nombre d’admins systèmes ont dû changer très rapidement les certificats de leurs serveurs, et ont dû tomber sur ce problème.

Il devient ainsi impossible de relier un serveur de messagerie ou un serveur web avec un annuaire LDAP utilisant OpenLDAP. J’ai notamment le problème avec mon serveur postfix

Il est possible de ne pas utiliser la connexion à l’annuaire via TLS. C’est potentiellement un gros problème de sécurité en fonction des différents réseaux que vont traverser ces flux. Bref, ont n’a plus de sécurité sur un flux qui contient toute l’authentification du réseau. C’est assez moyen.

Il est aussi possible de mettre en place une solution de remplacement avec stunnel. Cela revient en fait à faire manuellement la connexion et le tunnel sécurisé par TLS. En plus, on peut conserver les mêmes certificats que le démon slapd.

Côté serveur

Il faut commencer par désactiver l’utilisation du port tcp/636. Pour cela, il faut modifier une ligne dans le fichier /etc/default/slapd :
SLAPD_SERVICES="ldap://127.0.0.1:389/"

Redémarrer le démon slapd.

Ensuite,on concatène le certificat et sa clé dans un seul fichier :
cat /etc/ssl/private/slapd.key /etc/ssl/certs/slapd.crt > /etc/ssl/private/slapd-all.crt

Enfin, on crée le bout du tunnel côté serveur, en réutilisant le certificat :
stunnel -d 636 -r 127.0.0.1:389 -p /etc/ssl/private/slapd-all.crt

Côté client

Le client, c’est le service qui utilise l’annuaire LDAP, par exemple postfix.

On crée le bout du tunnel côté client :
stunnel -c -d 6389 -r ldap.serveur.net:636

Enfin, on dit au client, en l’occurrence postfix, d’utiliser le tunnel. Modifier le fichier /etc/postfix/main.cf (ou équivalent) :
account_server_host = ldap://localhost:6389/

Et on redémarre postfix

CF : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=737921

(suite…)

Nouveaux serveurs

Mardi, juillet 8th, 2014

Je profite de la disponibilité récente de machines virtuelles (VPS) chez OVH à des tarifs vraiment abordables pour scinder des services du serveur zulu :

  1. xray : serveur d’annuaire LDAP, Debian Linux 7.0 ;
  2. whisky : serveur de messagerie (smtp+xmpp+webmail), Debian Linux 7.0.

Le serveur annuaire est opérationnel mais pas encore exploité. Le serveur de messagerie est encore en cours de configuration. Pour ce dernier, je pensais utiliser Kolab, mais au vue des problèmes de configuration pour exporter l’annuaire sur un autre serveur je reviens à Horde

L’annuaire est un service critique pour plusieurs autres services comme la messagerie, les blogs et le wikis.

La messagerie est un point, que dis-je, LE point de vulnérabilité commun à tous les services que l’on utilise sur Internet. Ils ont tous en commun de demander une adresse email de secours sur laquelle on peut recevoir le nécessaire pour réinitialiser les mots de passes. Cela concerne les réseaux sociaux comme facebook et twitter, mais aussi google, gmail, yahoo, live, les assurances, les impôts, les sites marchants, les banques, etc…

Réinstaller Windows 7 Starter

Dimanche, avril 6th, 2014

Les solutions sont parfois bien compliquées pour des problèmes simples à la base…

Je dépanne une machine d’une amie. Cette machine Toshiba Satellite C605-SP4101L est vendu avec M$ Windows 7 Starter et, chose classique, elle rame suite à un problème à l’origine indéterminée. Impossible de nettoyer suffisamment pour retrouver un état stable et correct.
Pas de virus résiduel sur la machine, l’anti-virus à bien travaillé.

toshiba c605sp4101l

Solution : réinstaller.

Sauf que… Cette version de Windows n’est pas disponible à la vente, et impossible de trouver un DVD de réinstallation sur un site sûr.
Le constructeur, classiquement, ne fournit pas de quoi réinstaller la machine si on a pas fait la sauvegarde lors de l’achat. Bref, ce que personne ne fait, en fait.
Il n’est pas prévu de procédure convenable pour réinstaller ce genre de machine au bout de quelques années.
Que faire ? Jeter la machine à la poubelle alors que physiquement elle fonctionne bien.

Je lui aurais volontiers installé un Linux. Surtout que la machine est très bien gérée par Debian 7.0 par exemple.
Mais… à cause d’un périphérique externe très peu diffusé, et donc non supporté par la communauté et l’éditeur, ça n’est pas une solution envisageable.

L’autre solution, c’est d’installer un Windows 7 dans une version commercialisée. Et ensuite, soit on garde cette machine avec un crack, pirate, soit on essaie de la descendre en version (downgrade).
J’ai choisis dans un premier temps de la descente en version depuis une installation en Home Premium. Ça n’a pas fonctionné. Ré-essaie depuis une version Pro, pareil…
Ne reste que le crack. Et ça marche. Elle est activée et fait bien ses mises à jours.

Il faut bien vérifier l’innocuité du crack. Habituellement, ça vient avec une vérole. Il faut aussi vérifier que l’anti-virus est toujours ‘vivant’, c’est à dire qu’il détecte encore les virus…

La morale de cette histoire c’est que, curieusement, on a moins de problème en contournant les protections que en essayant de les respecter.

CF :
https://answers.yahoo.com/question/index?qid=20100317104813AA2xmui
http://tuto4you.fr/crack-activation-windows-7-sp1-hal-7600/

Et merde, encore un article sur Windows, je vais tuer mes scores :'(
Bon, j’y ai quand même installé un Linux pour la prochaine fois où elle aura des problèmes :-)

Racine en lecture seule

Mardi, mars 18th, 2014

Dans l’article sur la mise en place d’un système sur deux clés USB interdépendantes, il était question de faire tourner le système sur une clé en lecture seule. Il faut notamment que la racine soit sur cette clé, mais potentiellement une grande partie du système pour que cela soit intéressant.

C’est aussi un intérêt pour la durée de vie de la clé supportant le système. La technologie des mémoires FLASH dans les clés USB ne supporte pas énormément de cycles d’écriture. Ainsi, empêcher l’écriture revient à réduire considérablement ce risque de panne.

Il y a plusieurs façons de réaliser l’opération :

  1. Partitionner le système de façon à avoir certaines parties en lecture seule (/, /boot, /bin, /usr, /lib, /sbin) et d’autres en lecture/écriture (/home, /var, /tmp, etc…). CF https://wiki.debian.org/ReadonlyRoot .
  2. Utiliser une surcouche au système de fichier pour que celui-ci soit comme si il était en lecture/écriture, mais en fait rien n’est jamais écrit sur le disque. Toute modification reste en mémoire vive et est ainsi perdu au redémarrage. Il faut cependant faire attention dans notre exemple à l’occupation de la mémoire qui va inévitablement grossir avec le temps d’utilisation. CF http://lwn.net/Articles/327738/ .
  3. Faire en sorte que les programmes qui écrivent sur le disque soit n’ai plus besoin de le faire, soit qu’ils soient arrêtés ou désinstallés. Cela veut dire que certains programmes seront inutilisables parce qu’ils nécessitent pour leur fonctionnement d’écrire (compulsivement).

Il peut y avoir un problème avec les mots de passes à gérer. Il est possible de gérer plusieurs partitions chiffrées sans avoir autant de mot de passe à taper qu’il y a de partitions. Une méthode, que je n’ai pas essayé, est de dire à cryptsetup que le mot de passe est commun à plusieurs partitions. Une autre méthode est d’utiliser des des mots de passes dans des fichiers (voir un seul) et finalement de ne plus avoir qu’un mot de passe à saisir, celui de la partition qui contient les fichiers de mots de passes. Et enfin, on peut utiliser LVM par dessus une seule partition chiffrée, et sous-partitionner grâce à LVM. Cette dernière solution marche bien et est réalisable dès l’installation du système (au moins sous Debian et Ubuntu alternate).

(suite…)

Mise à jour automatique au démarrage

Vendredi, mars 14th, 2014

Voici un moyen de faire automatiquement les mises à jours lors du démarrage du système. On se base ici sur une machine Ubuntu Linux 13.10 en fonctionnement nominal.

Il y a une méthode officielle via unattended-upgrades. Perso, je dois être mauvais, ça ne marche pas bien :'(
Ça me télécharge bien les paquets à installer mais à part me prévenir qu’il faut le faire… ça ne le fait pas tout seul chez moi…

On va répartir le travail en deux parties et une spéciale serveurs. La première est le script qui fait les mises à jours. La deuxième partie concerne l’insertion au démarrage d’une station de travail via upstart. Et enfin une troisième partie va permettre de tenir à jour régulièrement les serveurs.

Comme ça, vous n’aurez plus aucune excuse pour ne pas avoir vos machines à jour!

(suite…)

Système bootable chiffré sur deux clés USB interdépendantes – suite

Mercredi, novembre 27th, 2013

Il y a plusieurs choses qui peuvent être améliorées dans le système bootable chiffré sur deux clés USB interdépendantes.

C’est un peu technique et aucune solution complète n’est fournie. Si vous voulez les mettre en place, il va falloir gratter par vous même. (suite…)

Système bootable chiffré sur deux clés USB interdépendantes

Vendredi, novembre 8th, 2013

Voici une base de système qui nécessite deux clés USB pour pouvoir fonctionner. Si l’une manque, le système ne peut démarrer et, plus important encore, les données sont indéchiffrables.

Le schéma de principe :

20131108 cryptsetup sur 2 cles usb

L’exemple est réalisé à partir de Debian Linux 7.0, mais ça n’a pas de raison de ne pas fonctionner avec d’autres distributions. Ça marche aussi avec Ubuntu Linux par exemple. Il faut obligatoirement que cryptsetup soit disponible sur la distri. Il faut de préférence que l’on puisse mettre en place le chiffrement dès l’installation du système. Il faut aussi de préférence que le système soit installable directement sur clé USB et sur une partition chiffrée. Si ces deux dernières conditions ne sont pas remplies, l’exercice est réalisable mais il est beaucoup plus complexe à mettre en place.

(suite…)

Debian from scratch sous Xen

Samedi, août 31st, 2013

J’ai mis en place une machine pour me permettre de tunneliser un certain nombre de choses depuis la Colombie. La messagerie par exemple…
Cette machine est une machine virtuelle hébergée par une vraie machine qui tourne dans le placard. Le tout animé par xen.

Il existe déjà des tutoriels sur le net pour installer la machine hôte Debian avec xen et pour créer des machines virtuelles notamment avec l’outil xen-create-image.

Mais… les choses ne seraient pas assez simple sinon… je veux plutôt installer une machine virtuelle Debian 7 en utilisant le DVD d’installation et non en passant par debootstrap ou tout autre méthode similaire…

(suite…)

Ebox 3310A

Lundi, juillet 15th, 2013

C’est les soldes!
J’ai craqué sur un tout petit PC en promo. C’est un Ebox-3310A de DMP :

Processor MSTI PDX-600 -1GHz (Fanless)
Memory 512 MB DDR2 onboard
VGA XGI Z9S with 32MB DDR2
External 15-pin D-type female VGA connector
Ethernet Interface Integrated 10/100 Mbps LAN
I/O Enhanced IDE interface, 44pin box header x 1
Type I/II Compact Flash Slot x 1
MicroSD slot (bootable) x 1
RJ-45 Ethernet Connector
External 6-pin Mini DIN for PS2 Keyboard and Mouse
Audio CM119, Line out and MIC in
USB 3 ports (USB 2.0) (2 on Front)
Power Requirement Single Voltage +5V @2A
Dimensions 115 x 115 x 35 mm
Weight 505g
Operating Termperaturet +5 ~ +50°C operating temperature
Certificate CE,FCC

 

Le processeur est une sorte de 486 DX (Vortex86DX2) tournant à 1GHz mais sans ventilateur. Le tout est épaulé par 512Mo de RAM. Rappelez-vous, les processeurs que l’on avaient à notre puberté… Mais ici en beaucoup plus rapide!

Imaginez un peu à quoi cela ressemble : un PC dans un boîtier de 11,5cm de largeur et de longueur et de 3,5cm d’épaisseur !!!
Le tout sans ventilateur, donc sans aucun bruit!

Par contre, pas de disque dur interne. Mais on peut utiliser nativement à la place une carte CompactFlash (CF) ou une carte micro SD. Perso j’utilise une carte micro SD (Class4) de 16Go.

Systèmes supportés

D’après la doc, cette configuration matériel peut supporter M$$$ Windows XP mais aussi Debian Linux ou Ubuntu Linux par exemple. J’ai essayé différentes distributions :

  1. Ubuntu Linux 12.04 LTS i386
  2. Linux Mint i386
  3. Debian Linux 7.1.0 i386

Surprise, Ubuntu et Mint nécessitent en fait un processeur i586 au minimum… Dommage pour le 486. Seule la Debian à effectivement démarrée.

Installation

La méthode pour installer un système Linux sur ce boîtier est assez simple. Il faut une clé USB de au moins la taille du CD-ROM ou DVD-ROM d’installation du système d’exploitation visé.

  1. Sur une machine Linux. Télécharger l’image ISO du système à installer, par exemple Debian Linux 7.1.0.
  2. Insérer la clé USB sur cette machine.
  3. Faire une copie brute de l’image ISO sur la clé USB :
    dd if=debian-7.1.0-i386-CD-1.iso of=/dev/sdc
    avec /dev/sdc le périphérique (visible avec la commande dmesg).
  4. Retirer la clé USB et la brancher sur le boîtier Ebox.
  5. Allumer le boîtier. Il doit trouver tout seul la clé et booter dessus comme si c’était un lecteur CD ou DVD.
  6. Si on insère une carte CF ou micro SD, on peut installer le système dessus…

Si la carte micro SD n’est pas reconnue lors de l’installation, ce qui m’est arrivé avec Debian, il faut la retirer et la placer dans un lecteur de cartes et le relier au boîtier à côté de la clé USB.

Je teste avec Xorg pour voir ce que ça donne en terme de réactivité, puis j’essayerais d’installer FreeBSD par dessus…

Documentation

Le manuel peut être trouvé par ici. Copie du manuel : EBOX-33xxA User Manual