Starend

Je joue avec un Lenovo X250 installé fraichement sous Debian 8. C’est une petite machine assez sympathique.
Comparé au X240, le TouchPad est bien mieux conçu… au point qu’il vaut mieux éviter très franchement ce X240.

Mais j’ai un peu coincé pour la carte wifi…

Installer le paquet firmware-realtek

Le driver à utiliser : r8192ee

Le firmware peut être téléchargé ici. Il faut copier rtl8192eefw.bin dans /lib/firmware/rtlwifi/ .

Et enfin un redémarrage ou un déchargement/rechargement du driver r8192ee …

CF :
– http://www.fishprogs.info/puppy/firmware/rtlwifi/
– http://ftp2.halpanet.org/source/_dev/linux-firmware.git/rtlwifi/
– https://wiki.debian.org/fr/rtl819x
– http://www.corsac.net/X250/
– https://github.com/OpenELEC/wlan-firmware/raw/master/firmware/rtlwifi/rtl8192eefw.bin

Il y a semble-t-il un bugg récent assez gênant sur la libraire GnuTLS sous Debian 7. Suite à une mauvaise implémentation semble-t-il au niveau de la négociation des algorithmes de chiffrement, il est impossible de générer ou d’utiliser des certificats pour les programmes qui utilisent cette librairie. Et c’est le cas notamment de slapd, le serveur d’annuaire LDAP (OpenLDAP) sous UNIX.

Le problème aurait pu passer presque inaperçu… mais il y eu heartbleed…Et il se trouve donc qu’un certain nombre d’admins systèmes ont dû changer très rapidement les certificats de leurs serveurs, et ont dû tomber sur ce problème.

Il devient ainsi impossible de relier un serveur de messagerie ou un serveur web avec un annuaire LDAP utilisant OpenLDAP. J’ai notamment le problème avec mon serveur postfix…

Il est possible de ne pas utiliser la connexion à l’annuaire via TLS. C’est potentiellement un gros problème de sécurité en fonction des différents réseaux que vont traverser ces flux. Bref, ont n’a plus de sécurité sur un flux qui contient toute l’authentification du réseau. C’est assez moyen.

Il est aussi possible de mettre en place une solution de remplacement avec stunnel. Cela revient en fait à faire manuellement la connexion et le tunnel sécurisé par TLS. En plus, on peut conserver les mêmes certificats que le démon slapd.

Côté serveur

Il faut commencer par désactiver l’utilisation du port tcp/636. Pour cela, il faut modifier une ligne dans le fichier /etc/default/slapd :
SLAPD_SERVICES="ldap://127.0.0.1:389/"

Redémarrer le démon slapd.

Ensuite,on concatène le certificat et sa clé dans un seul fichier :
cat /etc/ssl/private/slapd.key /etc/ssl/certs/slapd.crt > /etc/ssl/private/slapd-all.crt

Enfin, on crée le bout du tunnel côté serveur, en réutilisant le certificat :
stunnel -d 636 -r 127.0.0.1:389 -p /etc/ssl/private/slapd-all.crt

Côté client

Le client, c’est le service qui utilise l’annuaire LDAP, par exemple postfix.

On crée le bout du tunnel côté client :
stunnel -c -d 6389 -r ldap.serveur.net:636

Enfin, on dit au client, en l’occurrence postfix, d’utiliser le tunnel. Modifier le fichier /etc/postfix/main.cf (ou équivalent) :
account_server_host = ldap://localhost:6389/


Et on redémarre postfix…

CF : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=737921

(suite…)

Prenons le cas d’un voleur de téléphone à l’arraché. Mettons qu’il se retrouve avec un téléphone de type Android avec l’écran non verrouillé.

Il est possible dans ce cas de rapidement modifier le code PIN, ou tout autre méthode de verrouillage de l’écran, pour s’approprier le téléphone. Évidemment, par défaut on ne peut pas changer le code PIN si on ne le connaît pas. Je précise que le téléphone n’est pas rooté.

Bon, il faut peut-être déjà changer le délai avant verrouillage pour avoir le temps de travailler. Ça se passe dans les Paramètres, Sécurité, Verrouiller automatiquement.

On ne peut pas changer tout de suite le code PIN de déverrouillage du téléphone parce qu’il demande de le saisir pour accepter d’en mettre un nouveau. Il faut trouver une autre solution pour le changer. Il est possible de le faire via des applications qui ont le droit d’administration de l’appareil. Si si, ça existe.

Si on installe, par exemple, NFC Unlocker ça devient possible.
Direction donc les Applications, Play Store, rechercher « NFC Unlocker », sélectionner l’application , Installer.

Ensuite, il faut lui donner les droits d’administration. Ça se passe dans les Paramètres, Sécurité, Administrateurs de l’appareil, cocher « NFC Unlocker », Activer.

Enfin, on lance l’application « NFC Unlocker », Settings, General, Password… et on change le code PIN sans aucun problème.
CQFD :-)

Ce qui m’a mis la puce à l’oreille, c’est l’application « Uber Device Lock ». Cette application propose par défaut de changer le code PIN… mais ça ne fonctionne pas derrière, le code est invalide…
Heureusement l’application plante assez souvent, ce qui permet de déverrouiller l’écran quand même…

Les solutions sont parfois bien compliquées pour des problèmes simples à la base…

Je dépanne une machine d’une amie. Cette machine Toshiba Satellite C605-SP4101L est vendu avec M$ Windows 7 Starter et, chose classique, elle rame suite à un problème à l’origine indéterminée. Impossible de nettoyer suffisamment pour retrouver un état stable et correct.
Pas de virus résiduel sur la machine, l’anti-virus à bien travaillé.

Solution : réinstaller.

Sauf que… Cette version de Windows n’est pas disponible à la vente, et impossible de trouver un DVD de réinstallation sur un site sûr.
Le constructeur, classiquement, ne fournit pas de quoi réinstaller la machine si on a pas fait la sauvegarde lors de l’achat. Bref, ce que personne ne fait, en fait.
Il n’est pas prévu de procédure convenable pour réinstaller ce genre de machine au bout de quelques années.
Que faire ? Jeter la machine à la poubelle alors que physiquement elle fonctionne bien.

Je lui aurais volontiers installé un Linux. Surtout que la machine est très bien gérée par Debian 7.0 par exemple.
Mais… à cause d’un périphérique externe très peu diffusé, et donc non supporté par la communauté et l’éditeur, ça n’est pas une solution envisageable.

L’autre solution, c’est d’installer un Windows 7 dans une version commercialisée. Et ensuite, soit on garde cette machine avec un crack, pirate, soit on essaie de la descendre en version (downgrade).
J’ai choisis dans un premier temps de la descente en version depuis une installation en Home Premium. Ça n’a pas fonctionné. Ré-essaie depuis une version Pro, pareil…
Ne reste que le crack. Et ça marche. Elle est activée et fait bien ses mises à jours.

Il faut bien vérifier l’innocuité du crack. Habituellement, ça vient avec une vérole. Il faut aussi vérifier que l’anti-virus est toujours ‘vivant’, c’est à dire qu’il détecte encore les virus…

La morale de cette histoire c’est que, curieusement, on a moins de problème en contournant les protections que en essayant de les respecter.

CF :
– https://answers.yahoo.com/question/index?qid=20100317104813AA2xmui
– http://tuto4you.fr/crack-activation-windows-7-sp1-hal-7600/

Et merde, encore un article sur Windows, je vais tuer mes scores :'(
Bon, j’y ai quand même installé un Linux pour la prochaine fois où elle aura des problèmes :-)

Dans l’article sur la mise en place d’un système sur deux clés USB interdépendantes, il était question de faire tourner le système sur une clé en lecture seule. Il faut notamment que la racine soit sur cette clé, mais potentiellement une grande partie du système pour que cela soit intéressant.

C’est aussi un intérêt pour la durée de vie de la clé supportant le système. La technologie des mémoires FLASH dans les clés USB ne supporte pas énormément de cycles d’écriture. Ainsi, empêcher l’écriture revient à réduire considérablement ce risque de panne.

Il y a plusieurs façons de réaliser l’opération :

1. Partitionner le système de façon à avoir certaines parties en lecture seule (/, /boot, /bin, /usr, /lib, /sbin) et d’autres en lecture/écriture (/home, /var, /tmp, etc…). CF https://wiki.debian.org/ReadonlyRoot .
2. Utiliser une surcouche au système de fichier pour que celui-ci soit comme si il était en lecture/écriture, mais en fait rien n’est jamais écrit sur le disque. Toute modification reste en mémoire vive et est ainsi perdu au redémarrage. Il faut cependant faire attention dans notre exemple à l’occupation de la mémoire qui va inévitablement grossir avec le temps d’utilisation. CF http://lwn.net/Articles/327738/ .
3. Faire en sorte que les programmes qui écrivent sur le disque soit n’ai plus besoin de le faire, soit qu’ils soient arrêtés ou désinstallés. Cela veut dire que certains programmes seront inutilisables parce qu’ils nécessitent pour leur fonctionnement d’écrire (compulsivement).

Il peut y avoir un problème avec les mots de passes à gérer. Il est possible de gérer plusieurs partitions chiffrées sans avoir autant de mot de passe à taper qu’il y a de partitions. Une méthode, que je n’ai pas essayé, est de dire à cryptsetup que le mot de passe est commun à plusieurs partitions. Une autre méthode est d’utiliser des des mots de passes dans des fichiers (voir un seul) et finalement de ne plus avoir qu’un mot de passe à saisir, celui de la partition qui contient les fichiers de mots de passes. Et enfin, on peut utiliser LVM par dessus une seule partition chiffrée, et sous-partitionner grâce à LVM. Cette dernière solution marche bien et est réalisable dès l’installation du système (au moins sous Debian et Ubuntu alternate).

(suite…)

Attention – Documentation partielle !
Cette exercice a été abandonné en cours d’installation.
Partial installation.

Après la Clé USB bootable chiffrée sous OpenBSD, le Disque chiffré et boot sur clé USB sous Linux et le Système bootable chiffré sur deux clés USB interdépendantes (et suite) sous Linux, voici le disque chiffré et boot sur clé USB sous FreeBSD.
Objectifs :
1. Chiffrer l’intégralité du disque dur ;
2. Placer le nécessaire pour le démarrage uniquement sur une clé USB amovible ;
3. Permettre le démarrage du système sans saisir de mot de passe.

Basé sur le tutoriel :
– http://namor.userpage.fu-berlin.de/howto_fbsd9_encrypted_ufs.html

L’exercice est réalisé avec le DVD1 de FreeBSD V10.0 RELEASE amd64.

(suite…)

Il y a plusieurs choses qui peuvent être améliorées dans le système bootable chiffré sur deux clés USB interdépendantes.

C’est un peu technique et aucune solution complète n’est fournie. Si vous voulez les mettre en place, il va falloir gratter par vous même. (suite…)

Voici une base de système qui nécessite deux clés USB pour pouvoir fonctionner. Si l’une manque, le système ne peut démarrer et, plus important encore, les données sont indéchiffrables.

Le schéma de principe :

L’exemple est réalisé à partir de Debian Linux 7.0, mais ça n’a pas de raison de ne pas fonctionner avec d’autres distributions. Ça marche aussi avec Ubuntu Linux par exemple. Il faut obligatoirement que cryptsetup soit disponible sur la distri. Il faut de préférence que l’on puisse mettre en place le chiffrement dès l’installation du système. Il faut aussi de préférence que le système soit installable directement sur clé USB et sur une partition chiffrée. Si ces deux dernières conditions ne sont pas remplies, l’exercice est réalisable mais il est beaucoup plus complexe à mettre en place.

(suite…)

Je me suis heurté à un problème de police sous copyright. Cela concerne la police Helvetica, bien trop souvent utilisée.

Elle est notamment utilisée dans le logo croix-rouge française. Tant que l’on dispose du logo dans une taille raisonnable et que le document final n’est pas très grand, ça passe.
Mais que se passe-t-il si le document à produire fait 1m50 ?
Il faut reprendre le logo pour qu’il ai une définition suffisante… et si tu n’as pas un Macentoc très chère ou si tu ne veux pas payer 40€ une police pour refaire un travaille pour lequel celle-ci est déjà employée (et est donc légitime)… et bah t’es dans la m[…]e.
Merci monsieur Apple!
Merci les graphistes en bois pour l’utilisation abusive de polices sous licence alors qu’il existe des tas d’autres polices qui lui ressemble très fortement… et libres de droits…

Bref, si cela peut aider quelqu’un, elle est en téléchargement ici : http://ge.tt/8WMTPG6/v/11

(Merci à http://crossgraphicideas.wordpress.com/2012/08/14/helvetica-neue-font-free-download-complete-family/)

Enfin arrivée !!!

http://www.ubuntu.com/desktop

J’en profite pour mettre à jour toutes les machines de la maison…
Compter quelques bonnes heures entre le téléchargement et l’installation des nouveaux paquets, et pas loin de 3Go de libre pour une mise à jour.
La mise à jour se fait en lançant en console la commande sudo do-release-upgrade

Le mieux est de faire ça depuis une session graphique sous Unity.
Si vous êtes comme moi sous enlightenment (e17), l’écran va se figer à un moment donné. Pas de panique, ça continue à travailler derrière. Il suffit de basculer sur un écran de terminal [Ctrl]-[Alt]-[F1], de se connecter et de killer un process dépendant de enlightenment et avec un numéro de process élevé… C’est un message d’erreur suite à la mise à jour d’enlightenment justement. Le mieux reste de lancer la mise à jour directement dans l’écran texte ou dans une session graphique avec Unity.

On voulait donner l’abonnement internet via la carte SIM de Virgin Mobile Colombia aux parents de Diana. Ils n’ont pas internet à Villapinzon et un abonnement par ADSL est trop chère. Et on voulait que cet connexion internet puisse servir à toute la famille quand ils sont à Villapinzon.

CF : Connexion à internet mobile en Colombie

L’ordinateur familiale, sous Windows XP, était multi-verrolé. Melissa avait déjà récupéré et nettoyé les données. L’ordinateur a été complètement réinstallé avec Debian Linux 7.0. Le bureau par défaut est conservé : Gnome. La transition de XP vers Gnome n’a pas trop posé de problème, ce dernier est assez intuitif :-)

Pour la connexion à l’internet, ne pouvant plus repasser par Villapinzon et installer quoi que ce soit, il fallait une solution facile et qui marche tout de suite. Il n’était pas évident de faire configurer une clé modem USB 3G sur la machine par un non-informaticien. Plutôt que d’utiliser un routeur (hotspot) 3G Wifi qui aurait nécessité l’installation d’une carte wifi dans la machine (et donc de le faire faire par un spécialiste), j’ai trouvé une autre solution plus élégante.

La solution est de relier l’ordinateur avec un câble ethernet à la clé modem USB 3G via un petit boîtier routeur. L’ordinateur sous Debian Linux sait déjà naturellement se connecter à internet via le câble ethernet moyennant le DHCP. Aucune configuration supplémentaire n’est nécessaire.

Il nous a été, étonnamment, assez difficile de trouver une clé modem USB 3G. Tous les magasins informatiques que l’on a trouvé étaient en rupture de stock. Chacun nous renvoyait vers un autre magasin. On a trouvé une clé assez chère à 80000pesos (~35€) chez l’opérateur Claro. Il nous a vendu la clé pré-désimlockée et donné une carte SIM de 3Go pour 15 jours (voir en fin de post). Bon, en fait, ce n’est pas si chère que ça mais on avait espéré la trouver pour moitié moins sur les conseils d’un vendeur…

Il existe plusieurs boîtiers routeurs permettant de partager une connexion 3G avec un réseau Wifi et via une prise ethernet. Je me suis arrêté sur le TP-LINK TL-MR3020 à 60000pesos (~25€). Celui-ci répond aux critères de connectivité ethernet et Wifi, il est administrable par interface web, il est alimenté par un câble USB (relié à l’ordinateur par exemple) et est tout petit. En pratique, il marche bien. Pas besoin de plus :

La connexion à internet via la SIM de Virgin Mobile Colombia n’est pas dans les opérateurs connus du routeur, il faut faire une configuration manuelle.
Se connecter à l’interface web à l’adresse http://192.168.0.254, username : admin, password : admin. Ces paramètres sont d’usine.
Aller dans Network (lien), choisir « 3G/4G Only » si ce n’est pas le cas.
Aller dans Network>3G/4G (lien), Sélectionner « Connection Mode : Connect Automatically » et « Authentication Type : Auto » et faire Save.
Aller dans Advanced Settings (lien). Sélectionner « Set the Dial Number, APN, Username and Password manually ». Remplir les champs comme suit :

• Dial Number : *99#
• APN : web.vmc.net.co
• Username : (vide)
• Password : (vide)

Donc on est connecté à internet par câble ethernet et/ou Wifi via un tout petit routeur sur lequel est branché un modem USB 3G de chez Claro (désimlocké) contenant une puce SIM de chez Virgin Mobile…

Pour la SIM gratuite fournie par Claro (3Go pour 15j), je suis en train de chercher les paramètres…

J’ai mis en place une machine pour me permettre de tunneliser un certain nombre de choses depuis la Colombie. La messagerie par exemple…
Cette machine est une machine virtuelle hébergée par une vraie machine qui tourne dans le placard. Le tout animé par xen.

Il existe déjà des tutoriels sur le net pour installer la machine hôte Debian avec xen et pour créer des machines virtuelles notamment avec l’outil xen-create-image.

Mais… les choses ne seraient pas assez simple sinon… je veux plutôt installer une machine virtuelle Debian 7 en utilisant le DVD d’installation et non en passant par debootstrap ou tout autre méthode similaire…

(suite…)

Je bataille depuis un moment avec un serveur Kimsufi de chez OVH. Ce serveur a une adresse IPv4 et une grande plage d’adresses IPv6. Chouette!

Mais…
Si s’adresse IPv4 et la plage IPv6 sont bien disponibles et fonctionnels, je galère sous FreeBSD v9.0. En l’état, la route par défaut en IPv6 tombe sans prévenir au bout d’une demi-heure après le reboot de la machine…
Donc ce n’est pas bien utilisable en l’état (l’IPv6 bien sûr).

J’ai essayé par tous les moyens depuis le fichier de configuration /etc/rc.conf de changer cette route par défaut. J’ai même modifié /etc/sysctl.conf. Rien n’y fait, le système attribue automatiquement par défaut une adresse de lien local. Cette adresse marche, mais elle n’est pas configurée comme STATIC… donc elle disparaît au bout d’un certain temps.

Je n’ai pas trouvé quel script de démarrage force cette route sur une adresse de lien local (rtsol par exemple). Donc je choisi une autre solution moins élégante mais efficace : je supprime puis force ma route par défaut en fin de démarrage.
Il faut créer le fichier /etc/rc.local avec :
route del -inet6 default
route add -inet6 default 2001:XXXX:XXXX:eaff:ff:ff:ff:ff -static
Changer les droits du fichier (chmod 755 /etc/rc.local).

Et voila, on a notre route par défaut au démarrage, et elle ne tombe pas !

Ref :
– http://www.freebsd.org/doc/handbook/network-ipv6.html
– http://forum.ovh.com/showthread.php?t=85332
– http://help.ovh.com/Ipv4Ipv6#link10
– http://forums.freebsd.org/showthread.php?t=21804

Voici la documentation pour installer un système Debian Linux 7.0.0 avec un disque chiffré et un boot sur clé USB uniquement :
http://technix.starend.org/si/index.php/Serveur_-_Disque_chiffr%C3%A9_et_boot_sur_cl%C3%A9_USB

Cette documentation est réalisée suite à la réinstallation du serveur neptune.

Conclusion :

Voila, nous avons bien un serveur avec un disque intégralement chiffré et qui démarre tout seul uniquement si sa clé USB associée est branchée.

On peut partir en vacance avec la clé USB, sans elle le serveur ne redémarrera pas et les données resteront au chaud.

Depuis quelques temps, j’avais une erreur C01 sur le robot aspirateur. C’est un Samsung NaviBot modèle SR 8855. Cette erreur arrive dans mon cas après une petite dizaines de secondes après le début du travail. En clair, le robot est inutilisable en l’état.

Les réponses sur les forums à ce problème sont assez nombreuses, variées et souvent incohérentes ou incomplètes.

J’ai pris enfin le temps dimanche dernier pour le démonter presque entièrement. Un des commentaires des forums parlait du code d’erreur. Ce serait due à un blocage de la brosse principale. Ça m’a permit de faire la corrélation avec une petite anomalie que j’avais déjà constaté. La brosse principale est enclenchée dans un embout carré, lui-même faisant partie d’une pièce rotative qui permet de transmettre le mouvement de rotation d’un moteur à la-dite brosse. Bien que tournant toujours, le roulement rudimentaire autour de la pièce rotative avait déjà visiblement surchauffé et fait légèrement fondre le plastique autour. Ce n’était pas bon signe… mais comme ça fonctionnait toujours à cette époque là… j’ai laissé faire.

Donc j’ai démonté le robot pour accéder à cette partie qui fait tourner la brosse. soyons clair tout de suite, il faut tout ouvrir. Un vrai chantier. Si on connaît l’intérieur, il n’est à priori nécessaire de démonter la plaque électronique du robot et sa vingtaine de petits connecteurs. Donc ce sera obligatoire pour la première fois que l’on y met les mains…

La conception mécanique générale est assez surprenante. Il y a des parties qui paraissent très bien conçues et d’autres qui sont clairement ficelées à l’arrache. Le chassie a une bonne base, mais il est clair que l’appareil n’est pas bien adapté à son milieu : proche du sol, le nez dans la poussière en permanence. Je dirais que le robot semble avoir subit une phase d’accélération de son développement pour répondre à des objectifs commerciaux et non qualitatifs. Bref, tout ça pour dire que, par exemple, certains éléments qui auraient dus être facilement accessible pour être nettoyés régulièrement obligent en fait le démontage complet de la machine à cette fin.

Après avoir enfin extrait la boite de transmission et le moteur, je peux voir ce qui s’y passe. Et c’est pas beau à voir. Une petite courroie de transmission pleine de graisse fait le lien entre le moteur et la pièce rotative dans laquelle s’insère la brosse.

De fines poussières ou des cheveux broyés au choix sont passés par le roulement pour se mélanger à la graisse. Le mix résultant est venu s’accumuler autour des parties en mouvement au point de les gêner, les écarter, d’augmenter le frottement et donc la températures de l’ensemble. Cela explique la surchauffe du roulement au point de faire fondre le plastique autour. Après nettoyage, il m’a fallu faire refondre un peu le plastique pour remettre en place le roulement.

Résultat, 400 euros de sauvés. Mais le malade, le robot, gardera définitivement des séquelles. Il faut déjà prévoir ses futures opérations…

Cette année, on empreinte pour 2 jours une clé USB 3G avec un abonnement Internet via l’opérateur MOVISTAR.

Grosse surprise, il existe un installateur Linux en plus des installateur Woinwoin et Mac. Pas besoin donc de « bidouiller » par défaut :-)

(suite…)

J’ai un ami qui avait acheté un tout petit boîtier NAS, un de ces boîtier qui dispose de deux disques dur que l’on peut configurer en RAID 0 ou 1 et qui tient dans la main.

Ça ne fait pas un an qu’il l’utilise pour stocker tout un tas de truc comme des photos et des films. Et puis ce matin, patatrac, le disque démarre mais il ne peut plus se connecter dessus…

(suite…)

Petit exercice que je propose suite à un problème.

J’ai plusieurs messages stockés dans l’arborescence vmail (virtual mailbox) utilisé par postfix pour le dépôt de messages et par courier-imap pour la distribution aux utilisateurs.

Depuis, suite à une migration de serveur jouant sur les redirections de messages via les alias, je souhaiterais faire renvoyer ces messages « en l’état ». (suite…)

Petit hack entre amis :-)

Introduction

Le problème est assez simple à la base, me permettre de surfer sur le net de façon sécurisée sur un réseau inconnu (par défaut non sûr).
Un des intérêts est aussi de pouvoir me connecter à ma banque en présentant mon adresse IP Française alors que je suis relié au net depuis l’étranger (Colombie Pologne etc…). Autre cas qui facilite la vie en conservant mon adresse IP, la connexion à Facebook. Dans le cas contraire, on se retrouve dans un processus de vérification d’identité fastidieuse et aléatoire… (suite…)

Je récupère quelques vidéos sur les avions depuis les sites :
– Youtube
– Patricks aviation

Pour Youtube, le plugin tweaktube de Firefox fait l’affaire.
Pour le deuxième site, il faut juste un peu regarder les sources des pages des vidéos pour trouver le bon lien de téléchargement (normalement payant).

Seul problème, les vidéos sont en format flv spécifique au lecteur vidéo flash.

(suite…)