Planète auto-hébergement

2015-08-31

ownCloud mail 0.2.0 disponible au téléchargement


Je sentais le truc venir, je traîne régulièrement sur Github pour suivre l’évolution des outils que j'utilise au quotidien. Trois jours plus tôt, j’étais sur le dépôt de Mail, à baver devant la quantité de commits : ça sentait la nouvelle version. Le lendemain, la 0.2.0 sortait officiellement !

Je parlais déjà de Mail en mai dernier (remarquez le bandeau jaune vous disant que l'info date, il est beau non ?) : pouvoir lire ses mails dans son instance ownCloud, je trouve ça vraiment pratique.

Je parle bien de gérer ses mails, pas de serveur mail. Cette application n'est qu'un client, pas un serveur. Ne vous attendez pas à autre chose qu'une belle interface avec vos mails dedans.

Installer Mail

Si vous l'utilisez déjà, commencez par désactiver et désinstaller l'ancienne version via le gestionnaire d'application. Ensuite, nettoyez sa présence de la base de données :
DELETE FROM oc_appconfig WHERE appid = 'mail';
DROP TABLE oc_mail_accounts;
Vous pouvez maintenant l'installer en récupérant les fichiers ici. Comme toujours, placez l'archive dans le répertoire apps de votre ownCloud.

Installer les dépendances via composer

Lancez les deux commandes suivantes pour installer le reste :
curl -sS https://getcomposer.org/installer | php 
php composer.phar install

... et n'oubliez pas de donnez les bons droits !




Je n'ai pas encore remarqué de changements majeurs au niveau du visuel. Les améliorations sont à chercher sous le capot. L'application est plus agréable qu'avant, même s'il reste des bugs, comme l'affichage des images. Comme j'ai passé une heure à la faire marcher à cause d'une configuration serveur un peu trop stricte, ce bug est peut-être de ma faute, à voir. Enfin, foncez la tester et remonter des bugs ! :)



<noscript></noscript>

2015-08-28

Des jolis graphiques avec Facette 0.3.0




Ça m'étonne, je n'ai jamais parlé de Facette avant ce billet alors que je m'en sers depuis des mois. A l'époque, je cherchais de quoi regarder l'état de mes serveurs via des graphiques jolis, simples et efficaces. Le tout en libre/open source et personnalisable.

Voici donc Facette, une interface qu'elle est belle pour comprendre comment son serveur se comporte, et confirmer les anomalies. Je parle d'anomalie parce que hier, Augier m'a prévenu que mon hébergeur était dans les choux alors que je n'avais rien vu. Un petit tour sur Facette et hop :



Si on regarde le deuxième graphique, on voit bien que la charge CPU est passée d'une situation classique à du néant pendant 10min, de 18h35 à 19h45. Il avait raison, le bougre. Si les VM ne font rien, c'est bien que personne ne traine dessus, et que donc, il y a un problème.

Voici donc un cas simple permettant d'illustrer l'intérêt de ce genre d'outil : confirmer que le grincheux avec qui on gère un pod diaspora* n'affabule pas ! :o)

Revenons à Facette. C'est donc un logiciel Open Source sous licence BSD. Il est encore en développement, en bêta, mais mon expérience me fait dire que c'est un des indispensables outils de monitoring qu'il faut surveiller.

Il permet :
  • de suivre l'état du serveur (CPU, RAM, Réseau, etc) via des jolis dessins. Sur ma capture d'écran, vous voyez le CPU et la mémoire en cache.
  • de regrouper ces graphiques en collections, pour les afficher sur une seule et même page et avoir une vue globale de la situation.
  • de faire tout ça simplement, via une interface graphique.
  • de regrouper les informations de plusieurs instances de Facette en une seule. Pour le moment, je ne surveille que le serveur hébergeant ce blog et diaspote.

Et c'est ce dernier point qui est super : installez Facette sur vos serveurs, regroupez les flux dans une instance posée sur un serveur dédié au monitoring et vous avez un outil super, son API s'occupe de tout.

Pour parler technologies, Facette n'est qu'un générateur de graphiques. Il prend les informations d'un collectd, Graphit, Munin ou encore d'un influxDB et en ressort un truc bien plus agréable. Côté configuration, c'est du json tout simple. La documentation officielle vous en apprendra bien plus que moi.

L'installation est triviale pour Debian et Ubuntu, le dépôt Github propose des paquets 32 ou 64 bits pour Debian Jessie, Debian Wheezie et Ubuntu 14.04 LTS.

C'est l'heure de tester maintenant, à votre terminal ! Les motivés peuvent trouver des bugs, les rapportés et proposer des corrections ;)


<noscript></noscript>

2015-08-25

Connexion SSH impossible après un changement de clé




C'est vraiment le truc stressant par excellence : on doit jouer avec ses clés SSH alors qu'on sait très bien que c'est une mauvaise idée. Pas le choix, faut quand même y aller. On lance ssh-keygen, et on essaye de se connecter : rien, nada, niet.

Quand c'est comme ça, la première réaction, c'est de vite, vite revenir en arrière, histoire de retrouver la configuration d'origine. Hier soir, ça n'a pas marché. Je restais avec une horrible permission denied.

J'ai finalement trouvé la solution, alors je partage. J'en profite pour sortir un rapide tutoriel pour refaire ce genre de manipulation les yeux fermés.

Note : je suis passé par la connexion de secours de mon hébergeur pour réactiver l'authentification par mot de passe. Si vous l'aviez vous aussi désactivée, n'oubliez pas de la remettre en place et de relancer OpenSSH.

Générer une clé valide

Cette partie n'est pas obligatoire si vous être certain que votre clé est bonne.

ssh-keygen -t rsa -b 4096 -C "$(whoami)@$(hostname)-$(date -I)"
Avec cette commande, vous avez une bonne clé, datée qui plus est.

Vérifier les droits des fichiers importants

chmod 700 ~/.ssh
chmod 600 ~/.ssh/*
Notez aussi que vous devez être propriétaire de ces mêmes fichiers et répertoire.
chmod -R utilisateur: ~/.ssh

Être certain que le serveur connait cette clé

ssh-copy-id -i ~/.ssh/id_rsa.pub "utilisateur@votreserveur.tld -p port"
Cette commande vous permet avec certitude de synchroniser vos machines. Pas de doute possible en passant par là.

Ajouter votre clé à votre système

C'est là que j'ai trouvé la solution à mon problème : une fois générée, la clé n'est pas forcément connue par votre OS/OpenSSH. Voici la commande magique que je ne connaissais pas :
ssh-add 
C'est tout. Ces sept caractères furent les plus importants de ma soirée.

J'espère que ce petit tutoriel rapide vous aidera. Moi, je sais déjà où je viendrais rechercher des informations la prochaine fois que je me ferai peur.


<noscript></noscript>

2015-08-24

Mesure de consommation énergétique en open source – téléinfo EDF et chauffe eau

Je suis retombé récemment sur des optocoupleurs que j’avais acheté dans l’espoir de faire une lecture des trames de téléinfo qui sont mises à disposition sur mon compteur électrique EDF. Projet relativement simple quand couplé avec une Raspberry Pi, les tutoriels sont nombreux et détaillés (MagdiBlog, Montage teleinfoToute la domotique, documentation des informations reçues sur les trames, etc). Ma première tentative il y a plusieurs mois avait échoué pour raison inconnue, et j’avais remballé mon bazar car la pièce où se trouve le compteur n’est pas mon atelier, je peux pas laisser des câbles traîner en vrac.

Je m’y suis donc remis, et ai fini par réussir à le faire marcher. Je pense que ce qu’il me manquais à l’époque était la désactivation du port série prise par le kernel linux au démarrage comme port série virtuel (édition de /boot/bootcmd.txt et /etc/inittab voir ici). Voilà le matériel installé :

IMG_8668

IMG_8667

Du coup, plutôt que de ré-écrire un énième script pour extraire les informations, je suis aller chercher les projets libre qui font cela (et en particulier en python). J’ai trouve hallar/teleinfo, BmdOline/teleinfo, lhuet/teleinfo et j’ai fini par utiliser house-on-wire avec son script teleinfo_json qui me semblait pratique pour pouvoir reverser ces données dans autre chose.

J’avais donc les données brutes affichés dans un terminal, j’ai donc cherché un moyen de collecter ces données et pouvoir les exploiter. Au fil des lectures, je suis tombé sur un billet de Charles-Henri Hallard qui parlait de faire des POST HTTP sur le projet EmonCMS de OpenEnergyMonitor. Bingo. Ça me parait très adapté, un POST http pour envoyer mes données en JSON me paraissait un bon début à moindre frais. En plus, il y a du MQTT dedans pour la suite. Le tout en open source avec des gens qui font du open hardware, potentiel d’évolution inclus donc.

J’installe donc EmonCMS en auto-hébergement sur mon serveur maison. Et je colle un appel http (utilisant l’excellent httpie) dans un cron et je vois donc mes « inputs » se mettre à jour dans mon installation auto-hebergée de EmonCMS.

Screenshot_2015-08-17_21-59-18

J’ai du ensuite configurer un « feed » pour enregistrer l’historique de cet « input » et hop, un graph des valeurs est visible.

Screenshot_2015-08-17_22-00-03

On peut ensuite construire des dashboard en cliquant dans l’interface et c’est visuellement pas mal.

Screenshot_2015-08-17_22-00-32

Lancé dans ces mesures, je me suis dit qu’un détecteur piezzo sur une Arduino permettrais d’enregistrer et superviser l’activité du chauffe eau. Un mini montage inspiré de Adafruit, une modification de  AnalogInOutSerial du site Arduino, un montage « à l’arrache » de l’Arduino sur ma chaudière et un mini-script python dans un cron, et hop. L’installation est (pour l’instant) un peu sommaire, mais ça fonctionne.

IMG_8664

IMG_8665

Je garde en stock une amélioration du processus (un peu plus compliquée) : lire les données sans fil entre la télécommande et la base ou en sortie de la télécommande qui a une sorte de connecteur disponible.

EmonCMS semble être un projet sympathique (avec OpenEnergyMonitor ils ont des modules open-hardware pour alimenter les données), et leur application web est simple et de bon goût (je n’ai pas encore tout exploré ou bidouillé), mais c’est un bon début.

La suite :

  • comprendre les mesures,
  • faire une boucle de rétroaction sur nos habitudes de consommation énergétique,
  • rendre tout cela un peu plus stable (arrêter le scotch),
  • faire des rapports d’anomalies sur EmonCMS (accents, etc.),
  • contribuer quelques idées à EmonCMS (identifier les appareils selon le type de courbe),
  • renseigner et utiliser OpenBEM (Open Source Building Energy Model) qui vient préinstallé avec EmonCMS,
  • faire marcher la mesure en alternant mode connecté et déconnecté (avec conservation de l’historique),
  • remplacer la RaspberryPi par une carte basée Arduino qui peut probablement faire la même chose en consommant moins.

À la prochaine.

2015-08-23

10 raisons de mettre à jour vers Ubuntu


Un billet du dimanche léger. Au détour d'une page, sur diaspora*, je suis tombé sur cette parodie de la pub pour Windows 10 : 10 Reasons to Upgrade to Windows 10.

Au delà du fait que ça me fait penser que sans télé, on ne rate pas grand chose, je trouve l'idée rigolote. Je vous laisser admirer le travail d'Andreas Heimann.

<iframe allowfullscreen="" frameborder="0" height="480" src="https://www.youtube.com/embed/EWa0sVvhp2E" width="853"></iframe>

Il nous rappelle les bases : la personnalisation, la sécurité, la logithèque bien remplie et aussi les jeux, auxquels je tiens beaucoup.

Il évite par contre le débat sur le fait qu'il parle d'Ubuntu 15.04, qui n'est pas une LTS. Je continuerai à conseiller les LTS aux autres versions d'Ubuntu. C'est dommage mais peu important dans la démonstration : on peut se servir d'un autre OS que Windows.

Il ne parle pas non plus des autres distributions GNU/Linux, mais là aussi, c'est un autre débat. En fait, c'est juste drôle, comme vidéo.

En parlant de personnalisation, je vous prépare des billets là-dessus. Depuis des lustres, je n'utilise que la configuration graphique par défaut, qui passe plutôt bien, mais le changement est en marche. Je vous montrerai le résultat !



<noscript></noscript>

2015-08-21

PluXml - Afficher une alerte quand un billet est trop vieux


Lorsqu'on passe un temps fou sur l'internet à lire une quantité dingue d'information, on n'a pas toujours le réflexe de s’inquiéter de la date à laquelle les informations lues ont été publiées. Même un vieux roublard peu se faire avoir.

Cela faisait un bout de temps que je voulais afficher chez moi ce que l'on peut trouver sur la toile, comme chez Philippe Scoffoni, comme là : un message alertant le lecteur que ses yeux se baladent sur du texte de l'air glaciaire.

J'ai donc sorti mes doigts de DevOps pour pondre ces quelques lignes de code, largement inspirées de ce que j'ai trouvé ici.

<?php
    $ndays = 90;
    if(floor((strtotime(date('YmdHi')) - strtotime($plxShow->plxMotor->plxRecord_arts->f('date'))) / (60*60*24)) > $ndays) : ?>      
        <p style="background-color: #ffe17a; text-align:center; vertical-align:middle; color: black; padding:5px;border-radius: 2px;box-shadow;color: #404040; "> Attention, ce billet se traine depuis plus de 3 mois. Les informations qu'il contient ne sont peut-être plus à jour. </p> <br />
<?php endif; ?>
Ce n'est sans doute pas ce qui se fait de plus beau, malgré l'aide de Smol, mais ça fait le taff. Quand un billet affiche plus de 3 mois au compteur, j'annonce la couleur. Trois mois, exemple, dans l'espace temps de l'Internet, c'est frôler l'obsolète.


Ce bout de code est à placer dans la page article.php, fichier à éditer via les paramètres d'affichage, entre header et le premier h1, mais libre à vous de le mettre où vous voulez, avec la couleur que vous voulez, les photos de licorne que vous voulez, et j'en passe.


<noscript></noscript>

2015-08-19

Blog en IPv6

[edit du 20/08/2015]

Ce n’est pas une information qui changera la face du monde mais depuis aujourd’hui, mon blog auto-hébergé est accessible aussi en IPv6. L’accès est en outre possible en https (certificat auto-signé).

Merci à cdemoulins pour son commentaire.

Des jeux, des jeux, des jeux !


Il faut en parler, c'est important, parce que oui, nous pouvons jouer sous GNU/Linux. D'ailleurs, je vous certifie que je ne m'en prive pas quand mon emploi du temps m'en laisse le loisir.

Je passe des heures sur, parmi d'autres, Dota2 LoL n'étant que pour casual gamers mais aussi sur TF2, Trine et Cities:Skylines qui me comble en fin de soirée. Ce dernier est vraiment super, pour peu que construire une ville vous fasse rêver.



Dans ma collection, de tête, il ne me manquait qu'un seul titre : Company of Heroes 2. Avant d'abandonner Microsoft Windows, il était le titre auquel je jouais le plus. En supprimant fièrement ma partition W7, je savais que je lui disais adieu. Et là, surprise, joie, bonheur : il arrive chez nous !



Je vous proposerais bien des captures d'écran de ces jeux, mais ma carte graphique m'a laissé tomber dans la nuit de samedi à dimanche...

Pour les curieux, je joue avec mon PC fixe propulsé par Ubuntu 14.04LTS et une Nvidia. Si vous tournez avec des AMD, laissez tomber, les drivers AMD ne sont vraiment pas au niveau.

La question qu'on peut se poser, c'est celle des performances. Là, c'est assez aléatoire : les patchs des éditeurs permettent d'améliorer les choses après un lancement souvent peu optimisés. Personnellement, je ne joue qu'a des jeux vraiment jouables : si c'est saccadé, moche ou les deux, je laisse tomber en attendant un patch salvateur.

Je vous laisse avec une pile d'articles de Phoronix à parcourir : c'est pas . Vous y trouverez des comparatifs entre GNU/Linux et Windows.


<noscript></noscript>

2015-08-18

Quel service d’hébergement d’email choisir suite au passage de la loi sur le renseignement

La loi sur le renseignement française va permettre à l’Etat français d’installer ses appareils d’espionnage économique & politique chez n’importe quel hébergeur français (sans qu’il lui soit possible de refuser ni de communiquer dessus bien sûr) et par la même occasion flinguer l’économie française en incitant les clients à ne plus confier leur données à des prestataires français.

Si vous pensez n’avoir rien à cacher (ce qui est vraisemblablement faux), vos correspondants, eux, n’ont peut-être pas les mêmes impératifs, ni la même façon d’aborder la protection de leur vie privée. En vous protégeant, vous protégez non seulement votre vie privée mais aussi celle de tous ceux qui échangent avec vous.

Mais où donc aller pour héberger ses emails hors de France et des 5 eyes (USA, UK, etc…) ?

Bien sûr, la solution radicale est d’autohéberger ses emails mais c’est assez compliqué à mettre en œuvre pour moi pour l’instant.

Aussi, je vais tenter de rassembler ici une liste d’hébergeurs d’emails pas chers qui prennent au sérieux notre vie privée :

N’hésitez pas à proposer d’autres services si vous en connaissez.

J'aime(5)Ferme-la !(0)

Nouveau design en approche pour diaspora*


Des nouvelles de diaspora* !

Augier, mon camarade, qu'on peut lire ici et voir sa tête , avec qui je gère diaspote.org, le pod des copains, travaille beaucoup, beaucoup sur diaspora*. Dernièrement, c'est sur le design qu'il s'excite, pour le bien de tous. Voici une capture d'écran de la bête, que vous pouvez tester sans souci en créant un compte sur diaspote.



Comme il le dit si bien : c'est du Material design. Je ne sais pas trop ce que ça veut dire, mais ça tient la route et j'aime bien !

Je peux même avoir la satisfaction de voir que son post annonçant que son boulot est en démo chez nous est aussi, ou presque, bien synchronisé entre diaspora-fr, le pod de Fla, et diaspote. Vous pouvez les comparer ici et .
La fédération est gentille avec nous, petit pod de développement ;-)

Ce design n'est pas le définitif, la communauté décidera, mais j'espère que ça sera accepté sans trop de problème.

Pour celles et ceux qui voudraient essayer diaspora* sans prendre de risque, pensez à utiliser Framasphère, le pod de l'association Framasoft.


<noscript></noscript>

2015-08-17

Paramétrage pfsense suite à l’installation

Ce billet fait suite à un autre que je viens de publier : Premiers pas avec pfsense.

A ce stade le firewall/routeur est en place et permet déjà de se connecter à internet en IPv4 depuis son LAN. C’est minimal mais ça marche. Cependant, la configuration n’est pas achevée et il reste plusieurs choses intéressantes à paramétrer. C’est ce que je vais aborder dans ce billet.

Ajout de nouvelles interfaces réseau

Une fois l’installation de base OK, j’ai ajouté physiquement deux cartes réseau afin de gérer deux VLANs supplémentaires. La première carte réseau dédiée au WLAN, l’autre pour une DMZ. Une fois la machine redémarrée, j’ai déclaré ces nouvelles interfaces dans l’interface web d’administration pfsense (interfaces -> (assign) -> ajouter les interfaces qui vont bien). Rien de compliqué.

Paramétrage du NAT et règles de parefeu

Le NAT pour rediriger les requêtes arrivant du WAN sur les ports TCP 25, 80 et 443 vers mon serveur (adresse locale 192.168.1.10) situé sur la partie DMZ.
Je n’ai pas (encore) réussi à bien paramétrer le mode loopback. En attendant que je le fasse, j’ai simplement modifié le fichier /etc/hosts de ma machine fixe afin d’associer l’IP locale de mon serveur à mes divers sous-domaines.

NAT

Concernant les règles de parefeu, il est configuré comme suit :

  • Le réseau LAN n’est pas accessible de l’extérieur.
  • Le réseau WLAN n’est pas accessible de l’extérieur, sauf pour le LAN.
  • Le réseau DMZ n’a pas de règles particulières vis à vis des autres VLANs.
  • J’ai temporairement interdit les connections extérieures en IPv6 vers le VLAN DMZ le temps de configurer correctement mon serveur (inutile de se précipiter 😛 ).

FW-WAN

FW-DMZ

FW-LAN

FW-WLAN

Paramétrage IPv6

Avant de découvrir pfsense, j’ai plusieurs fois tenté sans succès d’utiliser la connectivité IPv6 qui m’était fournie par OVH (un /56).
J’ai à chaque fois échoué, faute finalement à du matériel incompatible avec cette norme. Il est d’autant plus rageant de constater que son matériel est incompatible quand on a justement acheté le dit matériel pour tester sa connectivité IPv6. C’est ce qui m’est arrivé avec un routeur Cisco Small Business RVS4000 qui au final ne pouvait fonctionner en double pile IPv4/IPv6 que sur la partie LAN. Côté WAN, seul fonctionne IPv4. Bref…

Avec pfsense, ça n’a pas été immédiat mais j’ai pu avoir quelque chose de fonctionnel. OVH fournit un /56, ce qui permet donc de subdiviser ce bloc en 256 autres blocs en /64. J’ai donc décidé d’utiliser un /64 par VLAN. Pour le paramétrage en lui même, voilà ce que j’ai fait :

interfaces -> WAN

  • Pour « IPv6 Configuration Type », j’ai sélectionné « DHCP6 ».
  • J’ai coché « Use IPv4 connectivity as parent interface ».
  • J’ai coché « Send IPv6 prefix hint ».
  • Pour « DHCPv6 Prefix Delegation size », j’ai sélectionné « 56 ».

interface-WAN

interfaces -> LAN (mais ça vaut pour les autres VLANs aussi)

  • Pour « IPv6 Configuration Type », j’ai sélectionné « Track interface ».
  • A « IPv6 Interface », un seul choix possible : « WAN ».
  • Pour « IPv6 Prefix ID », j’ai pris une valeur entre 0 et ff (chaque valeur correspondant à l’un des 256 blocs /64 possible) ; Chaque VLAN doit avoir une valeur différente.

interface-LAN

Rien à paramétrer côté serveur DHCPv6. Les machines connectées aux différents VLANs peuvent soit s’autoconfigurer en IPv6, soit être configurées manuellement.
Les règles de parefeu sont calquées sur celle d’IPv4, hormis pour le NAT qui n’a pas lieu d’être ici.

Après ça, je peux enfin profiter de ma connectivité IPv6 😀 !!!

Je perdu pas mal de temps à essayer de configurer mes interfaces LAN, WLAN et DMZ avec des adresses IPv6 statiques + le serveur DHCPv6 sur le firewall/routeur comme indiqué dans le tuto suivant : logiciel-pfsense-en-ipv6-sur-un-lien-dsl-ovh. Autant j’arrivais sans soucis à configurer correctement en IPv6 les machines de mon réseau, autant impossible d’atteindre autre chose que la passerelle OVH hors de mon réseau. Je pense avoir suivi le tuto à la lettre mais rien à faire (je n’exclue pas d’avoir oublié quelque chose mais bon).

Passer de ownCloud 8.0.x à OC 8.1.x, des astuces





En introduction, j'annonce tout de suite je ne ne souhaitais pas forcément passer à la version supérieure d'OC, de la 8.0.x à là 8.1.x, mais comme le gestionnaire automatique du logiciel me l'a gentiment proposé : j'ai cliqué sur mettre à jour, suivant, valider, confirmer, terminer.

J'y suis allé un peu fort, tête baissée, sans sauvegarde. Ne faites pas ça chez vous ! Des backups, des backups et des backups !
Du coup, j'ai découvert qu'avant de faire cette manipulation, il y avait quand même des trucs à savoir.

Chiffrement

Si vous utilisez le chiffrement, sachez que vous n'aurez pas de souci de mise à jour. OC va avancer comme un grand et télécharger ses nouveaux fichiers. Par contre, il va préventivement désactiver le module de chiffrement et vous demandera de le réactiver à la main.
C'est n'est pas un drame, mais j'ai quand même fait les choses à l'envers : réactiver l'application Default Encryption Module dans le gestionnaire d'application. Ne surtout pas faire ça ! Je me suis retrouvé avec une page blanche. Tout cassé le OC. Il faut d'abord l'activer dans votre panel d'administration, qui ensuite, vous demandera de réactiver le module.
Si vous êtes allés un peu trop vite et que la page blanche vous nargue, voici la solution pour vous en sortir :

Connectez-vous à votre serveur MySQL/MariaDB et sélectionnez votre base de données OC.
mysql> use votredbowncloud;
Affichez les informations relatives à vos applications installées. Ici, la limite est à 60 parce que c'est dans ces eaux là qu'apparaissent les informations sur chiffrement. Changez cette valeur pour coller à votre installation.
mysql> select * from oc_appconfig limit 60;



Voyez ci-dessus une partie du résultat de la commande. La valeur enable est à yes. Pour la desactiver, passons-là à no :
mysql> update oc_appconfig set configvalue="no" WHERE appid="files_encryption" AND configkey="enabled";
C'est tout. Rafraichissez votre page et respirez. Sachez que cette manipulation est valable pour désactiver n'importe qu'elle application. Il suffit de remplacer la valeur de appid par le nom de la cible. Merci les gars.

Les applications ne marchent plus

C'est normal, malheureusement. Pour corriger tout ça, il va vous falloir télécharger les versions à jour de vos bébés sur app.owncloud.com.

Voici une coute liste d'applications à mettre à jour à la main :
  • Documents
  • Calendar
  • (j'écris ce billet après coup, il doit en manquer mais ma mémoire flanche.)

Là aussi, c'est n'est pas très difficile à faire. Tout se passe dans votre installation ownCloud, dans le répertoire apps. Virez l'ancien répertoire portant le nom de l'application à corriger, remplacez-le par celui que vous venez de télécharger, donnez-lui les bons droits pour que le serveur web s'en accommode. Terminé !

Notez que la mise à jour d'une application peut entrainer un changement plus important qu'escompté. OC vous demandera de se mettre à niveau. Lancez-vous dans la manip' sans crainte.

C'est pas déchiffré ?!

Encore un truc bizarre qui peut arriver. Si vous ne pouvez pas lire la totalité de vos fichiers, relancez la commande magique suivante, avec l’utilisateur www-data (ou http si vous êtes sous dérivé de redhat) :
php /chemin/vers/votre/installation/occ upgrade
Maintenant, vous devriez pouvoir vous lancez dans l'aventure, presque sereinement.


<noscript></noscript>

2015-08-16

Dépannage de filesystem à distance

J’ai appris quelques trucs suite à un plantage système. Rien d’exceptionnel, mais deux astuces utiles quand on doit réparer le filesystem d’un serveur debian via SSH.

Contexte

Quelques uns de mes services ne répondaient plus un beau matin. Évidemment, ça se produit quand je suis en vacances loin de chez moi…

Bon, en me connectant en SSH sur la machine concernée, je constate des erreurs d’I/O sur un des disques du serveur (en réalité, il s’agit de cartes SD).

Lancer un fsck sur le filesystem root au redémarrage

Au début je croyais que c’était sur le filesystem root. Et impossible de faire un fsck s’il est monté.

Pour lancer le fsck au redémarrage du système, avant que le filesystem soit monté, je connaissais déjà :

touch /forcefsck

… sauf qu’il faut être connecté physiquement sur la machine pour voir ce qu’il fait, et surtout pour répondre à ses éventuelles questions.

Donc attention à ne pas faire ça quand on est loin de la machine : s’il y a une erreur sur le filesystem, la machine attendra une réponse de l’utilisateur… que vous ne pourrez jamais donner et vous ne pourrez plus vous y connecter en SSH.

Heureusement, il est possible de configurer debian pour qu’il corrige automatiquement les erreurs de filesystem lors du fsck au démarrage.
Il faut modifier la dernière ligne dans /etc/default/rcS :

FSCKFIX=yes

(à utiliser avec précaution bien sûr. J’avais une sauvegarde au cas où les corrections fassent pire qu’avant, et j’ai enlevé cette option depuis)

Ensuite, si on reboote avec le /forcefsck, il corrige ce qu’il peut sur le filesystem concerné (sans rien demander) puis termine le démarrage.

Forcer le redémarrage du serveur

Que faire quand la commande reboot n’arrive pas à le faire redémarrer ?

Tenter d’abord :

reboot -f

Et si ce n’est pas mieux, la méthode forte (qui revient à débrancher/rebrancher violemment l’alimentation) :

echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger

Source : http://www.yakakliker.org/Linux/Forcer_le_red%C3%A9marrage_d%27un_Linux_%C3%A0_distance

Ce qu’il s’était passé dans mon cas

En fait, ce n’était pas le disque système qui posait problème (ça m’apprendra à ne pas regarder les logs correctement), mais un autre (qui est aussi une carte SD).

Dans /var/log/kern.log, il y avait des erreurs :

[mmc-err] update clock timeout, fatal error

Damned, il semblerait que la carte SD soit complètement morte ? Quelques reboots ne changent rien à l’affaire.

Heureusement, j’ai une sauvegarde quotidienne (automatique) de tous mes serveurs. Donc j’ai repris les données de la veille, les ai copiées sur un autre filesystem (qui, heureusement, avait la place suffisante), et ai créé des symlinks pour qu’il les trouve. Ouf…

De retour chez moi, la carte SD n’a a priori pas de problème (fsck -f me dit que tout est ok). Je pense qu’elle était simplement un peu sortie de son emplacement, et que les contacts ne se faisaient plus correctement.

2015-08-14

Metalliquoi ? Une chaîne Youtube à découvrir


Youtube, c'est Google, c'est donc le mal, toussa toussa. Je sais. Mais, des fois, il faut reconnaître qu'on y trouve de quoi passer un bon moment, un bon moment intelligent même.

J'en parlais sur diaspora, le réseau social que tout le monde croit mort alors que non.

Voici donc Metalliquoi dont le principe est franchement chouette pour les gens dont l'oreille permet l’écoute du Metal. Oui, cette musique de sauvages mérite qu'on s'y attarde. C'est là que Hubert, sa jeune barbe, ses cheveux trop longs et ses tshirts noirs entrent en jeu. En quelques vidéos, il fait le tour des différents styles qui se cachent sous l’appellation "Metal", nous parle de l'importance des fringues, des goodies mais aussi des filles qui y traînent et les différents types de chant.

Bref, il parle de la galaxie Metal trop souvent méconnue. Foncez, c'est super ! J'ai redécouvert du son que j’écoutais quand j'avais 10 ans de moins.

<iframe allowfullscreen="" frameborder="0" height="315" src="https://www.youtube.com/embed/-TbIr8R-oRE" width="560"></iframe>

<noscript></noscript>

2015-08-13

Premiers pas avec pfsense

Le besoin de départ

J’ai récemment décidé de revoir un peu mon réseau local.

Jusqu’à présent, l’architecture était relativement commune pour une installation domestique, à savoir un modem/routeur/wifi couplé à un switch (deux en fait) et divers équipements terminaux reliés dessus. du classique de chez classique.

Dans le mesure où je m’auto-héberge et que l’une des machines de mon réseau local est accessible de l’extérieur, je considère qu’il y a potentiellement un risque pour l’ensemble des autres machines reliées à mon réseau. J’ai donc entrepris de réfléchir à la politique que je voulais mettre en place sur mon réseau afin de le sécuriser au mieux. Autre point, mon matériel actuel ne gère pas l’IPv6 alors que mon FAI me le propose. C’est dommage de ne pas l’utiliser.

Il m’a donc semblé judicieux de mettre en place un parefeu matériel dédié. Avec un budget limité et désireux d’opter pour une solution simple, efficace et aussi libre que possible, je me suis rapidement tourné vers pfsense (basé sur freeBSD). Côté matériel, j’ai recyclé une vieille tour bureautique à laquelle j’ai ajouté 3 interfaces réseau PCI supplémentaires.

  • Est-ce la solution en parfaite adéquation avec mon environnement ?
  • N’est-ce pas là un peu trop musclé pour affronter mon petit problème de réseau ?

J’ai eu quelques doutes au début, d’autant que mon serveur, bien qu’étant accessible depuis l’extérieur, n’est employé que pour répondre à des besoins relativement confidentiels. Les risques sont donc faibles. J’ai toutefois dans l’idée que cette solution est la bonne car elle me place en situation d’administrer un parefeu très complet dans un cas vraiment concret. Donc, allons-y !!!

Récapitulatif des besoins

Ce que je veux mettre en place est assez simple :

  • Isoler mon serveur et les objets connectés (ou que pense ne pas contrôler) dans un VLAN dédié (DMZ).
  • Isoler les utilisateurs connectés en wifi dans un autre VLAN dédié (WLAN).
  • Ne garder dans le dernier VLAN (LAN) que les machines de confiance n’ayant pas à être accessible depuis l’extérieur.
  • Le parefeu doit empêcher les machines du VLAN « DMZ » d’atteindre les VLAN, « WLAN » et « LAN ».
  • Le parefeu doit empêcher les machines du VLAN « WLAN » d’atteindre le VLAN « LAN ».
  • Les autres connections sont possibles, y compris pour atteindre le WAN.
  • La solution doit permettre d’utiliser IPv6 sur chaque interface (WAN, DMZ, LAN et WLAN).

Une contrainte que je n’ai pas indiqué : dans mon logement, mes équipements reliés au réseau se trouvent à deux endroits. Ces deux endroits sont reliés entre eux par un câble Ethernet. Dans le mesure où les switchs de part et d’autre de ce câble doivent porter plusieurs VLAN, j’ai donc dû m’équiper de switchs manageables supportant la norme de VLAN 802.1Q (c’est la norme standard). Ce n’est pas l’objet de ce billet donc je ne détaille pas plus.

La pratique à présent

Installation du système de base

Connecter le câble eth du lan à l’interface qui doit être reliée au lan. Je précise qu’à cet instant, je n’ai pas encore branché deux des cartes réseau PCI. Je ne dispose donc à cet instant que de deux interfaces réseau. J’ai procédé ainsi pour ma première installation car je voulais m’assurer que tout fonctionnait déjà correctement comme ça.

Je ne branche rien sur l’autre interface (WAN) et je démarre sur le cd pfsense 2.2.3 .
Je ne l’ai pas précisé avant j’ai branché un écran et un clavier sur la machine. C’est encore ce qu’il y a de plus simple pour installer le système.

On arrive très vite à la configuration des interfaces réseau :
VLAN –> taper sur « enter »
WAN –> indiquer le nom de l’interface (fxp0 dans mon cas)
LAN –> indiquer le nom de l’interface (re0 dans mon cas)
optional interface –> taper sur « enter » (normal puisque je n’ai pas encore connecté les cartes PCI ethernet additionnelles).
valider par « y »

Petite précision, lorsque précédemment la procédure d’installation m’a demandé d’indiquer les noms des interfaces, j’ai choisi celle connectée au réseau. Par déduction, j’arrive donc à savoir qui est qui. C’est un peu empirique mais ça marche.

La configuration continue et après quelques dizaines de secondes, quelques bips mélodiques indique que l’on arrive au menu.
Puisqu’on veut réaliser une installation, choisir « 99 » (ce choix n’est possible que lorsque l’on boot sur le CD d’installation et pas lorsqu’on se connecte ensuite par SSH par exemple).

Accepter les réglages par défaut
Puisque je débute, je sélectionne « Quick/Easy Install ».
Dernier message d’alerte au cas où…

Faire OK et l’installation sur le disque commence et va prendre quelques minutes.

Il est demandé à un moment de choisir la version du noyau (kernel). Ma machine étant un PC de bureau, je sélectionne un noyau standard.

Rapidement ensuite, cela se termine et on peut soit retourner au menu, soit rebooter directement -> Reboot.

Le login et le password par défaut sont rappelé à ce moment là.
login : admin
password :pfsense

Ne pas oublier d’extraire le cd d’installation à ce moment là.
La machine reboot et arrive une nouvelle fois au menu.

Finalisation de l’installation de base via l’interface web

A partir de maintenant, j’utilise l’interface web d’administration.
On se connecte via le navigateur à l’adresse par défaut https://192.168.1.1

A la première connexion, un assistant de configuration se lance :
– une fois arrivé aux informations générales, je renseigne le hostname et le domaine. Je laisse les champs réservés au DNS vides (ils seront configurés automatiquement ensuite).
– Je renseigne la bonne Timezone (Europe/Paris) et je ne touche pas au serveur de temps par défaut.
– A l’étape de configuration de l’interface WAN je sélectionne dans mon cas PPPoE (mon interface WAN est reliée à mon modem/routeur configuré en bridge) et je renseigne simplement le nom d’utilisateur et le mot de passe donné par mon FAI (OVH). Je ne touche à rien d’autre.
– La configuration du LAN est on ne peut plus sommaire. Il suffit de lui assigner une IP fixe privée et le masque qui va bien (192.168.1.1/24 dans mon cas).
– On configure ensuite le nouveau mot de passe admin.
– Il suffit juste ensuite de cliquer sur « reaload »

Conclusion

Même si j’ai essayé de bien détailler ce que j’ai fait, je considère que billet n’est pas réellement un tuto à l’installation pfsense (je débute et je peux avoir commis des erreurs l’air de rien). J’ai simplement eu envie de montrer que cela n’est pas si compliqué d’arriver à une installation fonctionnelle sans trop de soucis.

Dans un billet à suivre, je détaillerai un peu plus le paramétrage de ce firewall tel que je l’ai fait.

2015-08-11

De Firefox 40 vs Chromium




Ma configuration matérielle est plutôt agréable depuis ma dernière mise à jour : un processeur traînant 8 cores et 8 Go de RAM. J'en suis franchement content. C'est une bête de course pour moi qui ne change de PC qu'en bout de course, après des années d'utilisation intensive.

Cependant, malgré les largesses qu'il m'offre, je me tapais encore et toujours un Firefox parfois poussif. C'est quand même chiant sachant que c'est le logiciel que, comme beaucoup, j'utilise le plus, mais hors de question de changer pour la concurrence. Je soutiens les gars de Mozilla à fond : Firefox, Thunderbird et FirefoxOS font partis de ma vie pour longtemps.

Ce n'est qu'à de rares occasions que je percevais les galères de Firefox... jusqu'à hier soir. En bon fan de Dota2, un jeu non-libre auquel j'offre quelques heures de jeux par semaine, j'ai entrepris de regarder les rediffusions de la finale de The International, le plus grand tournoi mondial autour du jeu de Vavle.

Pour ce faire, je suis passé par Twitch.tv et flash. Oui, flash. Je vous le dis tout de suite : ce fut une horreur. Des saccades, des freezes, un truc pas regardable du tout. En désespoir de cause, je me souviens que Chromium traîne dans mon Ubuntu 14.04.
Et là, je suis dépité : fluide, beau, en plein écran qui plus est. Bordel, la frustration ! Firefox est loin, loin, loin derrière. Je me dis, comme lot de consolation, que c'est du flash tout naze et que, pour regarder 4 vidéos par ans, ce n'est pas un drame. Ca laisse tout de même un goût amer.

Après cette déconvenue, je me remémore les sites sur lesquels je perçois un ralentissement chiant. En premier lieu, je me souviens que la navigation sur NextInpact n'est jamais fluide. Leur dernière mise à jour n'aidant en rien la situation puisqu'en scrollant, le site s'allonge et s'allonge encore en affichant les commentaires sous les articles. En deuxième, diaspote, le pod diaspora que j'administre avec Augier : là aussi, tu scrolles jusqu'à la fin du monde pour afficher des informations (si, si !) qui n'en finissent pas, dans le même lot j’ajoute Twitter et je vais m’arrêter là. Leur point commun ? Faire chauffer la molette du mulot.

Bingo ! La note de version de Firefox 40 m'apprend que ce problème saute : joie ! Et je le confirme, c'est dingue, y'a plus de ralentissements donnant l'impression de pousser Firefox dans ses derniers retranchement.

Bon, rien de nouveau sous le soleil de Twitch.tv et flash, mais ça, qu'est-ce qu'on s'en fout.

Enfin voilà, je m’arrête. Je suis tellement fier de mon Firefox que je voulais vous en parler : allez tester maintenant, si vous êtes sous GNU/Linux et que vous vous êtes perdus dans Google Chrom(uim)e sous prétexte que c'est vachement plus fluide.


<noscript></noscript>

Installation automatique des mises à jour de sécurité sur Debian

Il existe un moyen d’installer automatiquement les mises à jour des logiciels sans nécessiter d’interaction humaine.

C’est pratique si l’utilisateur ne peut pas faire les mises à jour (manque de compétences, pas de de droits administrateurs, oubli) ou pour un serveur (si vous en avez bcp à gérer ou pendant vos vacances).

Ca s’appelle unattended-upgrades

# apt-get install unattended-upgrades

Pour activer les mises à jour automatiques, il faut ensuite lancer cette commande, et choisir « Yes » :

# dpkg-reconfigure unattended-upgrades

unattended-upgradesPar défaut, seules les mises à jour de sécurité seront appliquées quotidiennement.

Vous pouvez changer ce comportement pour appliquer d’autres types de mise à jour en éditant le fichier /etc/apt/apt.conf.d/50unattended-upgrades

Les logs des mises à jour automatiques se trouvent dans le dossier /var/log/unattended-upgrades/

Vous trouverez plus d’info sur le wiki de Debian et le wiki d’Ubuntu.

J'aime(10)Ferme-la !(0)

2015-08-09

Don du mois : pdf2htmlEX

Ce post s'inscrit dans la série des dons pour vous donner envie de contribuer même très modestement à des logiciels libres. Les petites pierres font les grands édifices.

Mes précédents dons étaient destinés à des projets. J'ai découvert très récemment pdf2htmlEX, un logiciel permettant de convertir un pdf en html avec une fidélité exceptionnelle. Le logiciel est d'ailleurs particulièrement adapté pour les équations.

Je tire du README quelques examples:

  • Bible de Genève, 1564 (fonts and typography): HTML / PDF
  • Cheat Sheet (math formulas): HTML / PDF
  • Scientific Paper (text and figures): HTML / PDF
  • Full Circle Magazine (read while downloading): HTML / PDF
  • Git Manual (CJK support): HTML / PDF

J'ai eu l'occasion de tester ce logiciel sur quelques uns de mes documents (produit avec LaTeX), et je suis bluffé par le résultat. Etant auto-hébergé, l'affichage progressif de l'html améliorera l'expérience utilisateur. C'est donc 7$ qui vont à l'auteur de ce projet ce mois-ci.

Entre « Internet libre, ou Minitel 2.0 ? » et aujourd’hui, les choses ont bien changé !

En 2007, un moment historique allait faire du bruit sur Internet : la conférence Internet libre, ou Minitel 2.0 ? présentée par Benjamin Bayart sensibilisait les internautes sur le thème de l’auto-hébergement.

J’ai choisi un court extrait marquant que j’avais retranscrit lors de mon premier visionnage de la conférence :

Quand moi j’ai installé Linux sur mon PC, j’ai rien changé au monopole de Microsoft et j’ai rien changé à l’informatique moisie.

À force qu’on soit plusieurs à l’avoir fait, à force qu’on soit plusieurs à avoir réfléchi à comment le faire mieux, comment le faire plus simple, comment le faire plus vite, on a fini par prendre des parts de marché comme disent les business men. Donc si ! Quand tu mets tes pages persos sur ton PC et que tu te dis « putain c’est chiant à installer Apache il faudrait faire plus simple » tu fais avancer le truc.

Quand tu réfléchis à « comment je pourrais faire un autre chose qu’un PC c’est-à-dire un machin qui brûle pas 150 watts mais plutôt 12 watts pour héberger mes pages perso », tu fais avancer le merdier. Si vous êtes 2000 à faire avancer le merdier il avancera plus vite que si je suis tout seul. Donc je t’accorde que pour le moment mon site web qui est sur mon PC à la maison, ça va pas changer la face du monde.

Quand on sera 10 millions en France à faire ça, quand les 5 millions de gamins qui skybloguent ils skyblogueront chez eux, c’est-à-dire qu’au lieu d’aller mettre leur contenu chez les autres ils feront un aptitude-install-skyblog « et plouf », alors on aura progressé.

Il y a eu de nombreux essais et des échecs, par exemple Beedbox a été motivé par cette conférence mais abandonné en 2012. Il y a en revanche deux percées intéressantes, d’abord YunoHost qui est un projet initié en 2012, puis CozyCloud toujours en cours de développement.

Ces projets démontrent que le message a été entendu, diffusé, vulgarisé, approprié par des développeurs et enfin concrétisé. En quelques années, une conférence telle que celle-ci n’aurait plus le même ton. Bien que les outils existent désormais (et également à l’étranger), de nombreuses problématiques restent d’actualité concernant la redondance, la haute disponibilité, la maintenance et la sécurité, qui nécessitent une implication allant au delà de la simple installation de ces excellentes solutions.

Comme j’ai pu le lire quelque part : « seul on va plus vite, ensemble on va plus loin ».

2015-08-04

Matchstick : les DRM m'ont tué




Et voilà, un projet tué par les DRM. On se rêvait à utiliser ces petites clés sans fil pour afficher ce que l'on voulait sur nos écrans. Basées sur FirefoxOS qui plus est, de quoi faire battre le cœur des derniers fans de Mozilla, les Matchsticks s’annonçaient comme des accessoires de geeks barbus à avoir. Elles étaient même prêtes à me motiver pour acheter une télévision, c'est dire.

C'est foutu.

Les initiateurs du projet se sont lancés dans l’intégration des DRM pour pouvoir streamer des cochonneries aux formats infâmes. Des Netflix, des vidéos Dailymotion, Youtube ou que sais-je encore ? Voilà pourquoi ce beau projet s'est cassé la figure.

Sans cette décision, critiquable facilement de notre point vue de libriste, nous aurions peut-être une matchstick dans les mains. Ceci-dit, qui sait ce qu'il s'est passait dans le têtes de l’équipe de bidouilleurs ?

C'est mal, mais je vais quand même dire que je me voyais bien tester Popcorn Time avec ce truc. Tant pis pour moi.

We have come to the conclusion that we will not be able to reliably predict the completion date of the DRM development without significantly more research, development and integration.

Nous en sommes venus à la conclusion que nous ne seront jamais capable de d'annoncer une date viable marquant de l’intégration des DRM sans plus de recherche, de développement et d’intégration.

C'est avec ces mots que ces joyeux lurons annoncent qu'ils vont rembourser les gens qui soutenaient leur projet.

Tristesse.

Reste plus qu'à espérer que d'autres vont prendre la relève, le projet étant libre de bout en bout, du hardware au software. D'ailleurs, les gens se demandent s'ils donneront les clés et les instructions nécessaires à la mise au point de matchstick-like, celle sans DRM, ce qui serait plutôt une bonne idée.


<noscript></noscript>

2015-08-03

Deux semaines en utilisation intensive de FirefoxOS




Je ne suis pas un gros utilisateur de smartphone, loin de là : téléphoner, envoyer des SMS, prendre des photos débiles, lire quelques mails, peu de navigation, quelques balades sur mon FreshRSS et diaspote. Voilà tout. Un gars simple, en fait.

Ces deux dernières semaines, je suis passé à travers une période d'astreinte et une semaine de vacances. Sans surprise, c'est la semaine d'astreinte qui m'a le plus stressé : je devais pouvoir être sur le pont à la moindre vibration de mon téléphone. En bon bidouilleur, ma préparation était nulle : une version instable de FirefoxOS, la 2.2. Les mails ne marchaient pas toujours, des craches réguliers, le réveil en carafe et j'en passe. Du coup, je me suis recompilé une 2.0, normalement stable.

Une semaine en 2.0, donc, et c'est sans surprise que rien de spécial n'est arrivé. Je recevais ma centaine de mails par jour, sans souci. FirefoxOS, en 2.0, s'est révélé fonctionnel. C'est dingue, non ? Personne n'en parle plus vraiment, sans doute à cause de la sortie des Ubuntu Phone, mais je me force à le répéter : une version stable n'apporte pas toutes les super fonctionnalités du monde mais offre ce qu'il faut. Le seul vrai souci, commun à bien des smartphones, est la vitesse à laquelle la batterie se vide. Relever vos mails toute les 30min et vous ne tiendrez pas forcement la journée. Il me semble que ce souci est réglé dans les nouvelles versions de l'OS de Mozilla. Une prochaine mise à jour s'impose pour tester tout ça.

La deuxième semaine, celle de vacance, s'est aussi bien passée. Une mention spéciale pour l'application GPS TomTom dont je parlais ici. Elle tourne bien. Dans Paris, sur la presqu’île de Crozon et sur l'autoroute. Eh oui, ça marche. Il faut attendre quelques minutes que la puce GPS du Flame se retrouve et c'est bon.

Les bidouilleurs parlent des versions en cours de développement, traînant des bugs et des incohérences, mais la version stable s'offre à nous sans bizarreries. Comme toujours, il ne reste plus qu'à produire des téléphones de qualité supérieure et FirefoxOS sera vraiment chouette.


<noscript></noscript>

2015-08-02

Toujours dans le coin


Un dernier billet datant du 16 juin, c'est pas terrible pour un blog. On pourrait imaginer qu'il est abandonné et que son propriétaire se prépare à le supprimer. La période estivale calme quand même le jeu : des blogueurs prennent quand même le temps d'aller se perdre en vacances ! C'est d'ailleurs de là que je reviens, de vacance. Une semaine sous le soleil breton, ça redonne la pèche. Une semaine ? On est loin du mois et demi d'absence de billets, me direz-vous. Un problème d’hébergeur explique le reste du vide. Tout simplement.

Je viens de dépoussiérer le clavier, enfin, au plaisir de vous faire lire des choses et d'autres, du coup !




<noscript></noscript>

2015-07-30

Activer l’accélération matérielle AES pour son VPN

ITC-cloud-info-aesnifull.gif.rendition.cq5dam.thumbnail.920.460

On a vu comment monter un VPN, maintenant, comment peut on l’améliorer d’un point de vu performance ?

via l’accélération matérielle de votre CPU !

Alors, ça ne sera pas valable dans tous les cas, puisqu’il faut que votre cpu vous propose les instructions nécessaires, ainsi que votre VPN et votre distribution sachent les utiliser.
Pour commencer vérifiez, si votre CPU a les bonnes instructions : au minimum « AES », au mieux « AES-NI », si comme moi vous avez un CPU Intel, vous pouvez faire un tour sur le site du constructeur : Intel ARK.

Ou consulter la liste suivante : http://ark.intel.com/fr/search/advanced?AESTech=true&MarketSegment=DT

Vous pouvez également vérifier directement sur votre VPN coté serveur et coté client la présence du flag :

#sur un linux
cat /proc/cpuinfo | grep flags
#sur une BSD
dmesg -a | grep Features

Dans mon cas, mon client VPN (un Pfsense) est virtualisé sur un Proxmox à partir du couple KVM+Qemu.
De base le CPU qui est virtualisé, ne propose pas l’accès à ces instructions, il faut donc modifier la conf de votre VM, pour lui spécifier d’utiliser le cpu du même type que l’hôte :

Capture d’écran_2015-07-30_12-07-53

Après un reboot, je vérifie si ma VM voit le bon CPU et les bonnes instructions :
Capture d’écran_2015-07-30_12-22-19

Capture d’écran_2015-07-30_12-23-06

C’est bon pour moi, tout le petit monde est présent !


 

Dans PF, « System / Advanced / Miscellaneous »
Vous avez une section « Cryptographic Hardware Acceleration »

Vous devez y activer les options de votre CPU :

Capture d’écran_2015-07-30_12-26-33Puis dans « VPN / OpenVPN / Client », éditez votre conf,
Pour y spécifier là aussi le type d’accélération matérielle, et l’algo à utiliser, dans mon cas « AES-128-CBC » (je n’ai pas encore testé le 256, mais ça sera fait rapidement) :

Capture d’écran_2015-07-30_12-28-10

Il faut maintenant se connecter sur la partie serveur d’OpenVPN (en CLI ou via l’interface AS) pour modifier les options de l’algo à utiliser.

sur AS, dans « Advanced VPN », rajouter pour le serveur et le client : « cipher AES-128-CBC »

Capture d’écran_2015-07-30_12-29-46

On sauvegarde tout, on redémarre les dameons et les clients.
et tout devrait fonctionner.

 

La différence de perfs ne se voit pas immédiatement, mais en chargeant un peu le VPN, je dirais que la consommation CPU a baissé d’un bon tiers.
J’attends de tester plus longtemps et de voir les graphs de conso CPU pour être sur de ça, à moins que ça ne soit un effet placebo 😉

2015-07-28

POC : un VPN facile à utiliser !

Fotolia_79265714_Subscription_Monthly_M-600x400

Puisqu’il est dans l’air du temps de protéger sa vie privée et sa connexion internet,
Je me suis demandé comment, j’allais pouvoir faire : simple, efficace et avec un waf au top du top (sinon chez moi, aucune chance de mise en prod !).

Le VPN c’est bien beau, mais il faut se taper la conf, les explications (pour le coté waf 😉 ), les outils sur différents supports et périphériques …
Mais ça reste en quand même une bonne méthode, à savoir faire transiter tout son trafic jusqu’à un point de sortie, qui idéalement serait dans un pays ayant encore un peu de respect pour la neutralité du Net, la liberté d’expression, la vie privée : La Corée du Nord !!!

(nan j’deconne)

Je donc fais rapidement le tour des solutions de VPN qui existent, mais à chaque fois, je me pose la question : « est il sur ? », y a t’il de l’écoute, des logs, où est situé le siège de la boite derrière ça, c’est NSA approuved ? …
Bref trop de questions …

Pis en cherchant, je suis tomber sur le très bon article de Korben, et ce qu’il présente est pas mal du tout, pourquoi ne pas s’en inspirer ?

État des lieux :

J’ai sous la main :

  • un VPS en Suède
  • une connexion chez l’agrume
  • un hyperviseur
  • un switch de niveau 2
  • un AP manageable

Tant que je suis à la réflexion, j’établis un plan ip simple à visualiser  (du moins pour moi) :

– 192.168.0.0/24   ⇒ mes adresses privé de base @home
– 172.27.224.0/21 ⇒ l’adressage du VPN pour la partie NAT
– 10.10.0.0/24      ⇒ adressage privé passant uniquement par le VPN

Ainsi, de tête : 192.x.x.x = normal, 172.x.x.x = ip derrière le vpn, 10.x.x.x ip privé passant par le vpn
Je vais pouvoir attribuer ces ips en fonction des besoins, machines, utilisateurs …

Commençons par le VPS :

J’ai un modèle très basique, avec un core, 512 Mo de ram (256 suffisent), 10 Go de disque, une bande passante en 100/100 Mbs
Le tout sous une Debian Jessie, avec OpenVPN comme serveur VPN (libre à vous d’en choisir un autre en fonction de vos exigences), et parce que je suis fainéant, j’ai également rajouté l’interface OpenVPNAS

apt install openvpn
wget http://swupdate.openvpn.org/as/openvpn-as-2.0.17-Debian7.amd_64.deb
dpkg -i openvpn-as-2.0.17-Debian7.amd_64.deb
passwd openvpn

Hop, c’est plié !

Vous pouvez faire un essai en vous connectant à l’interface administration avec le user « openvpn » et le mot de passe créé précédemment :

Capture d’écran_2015-07-28_15-23-58
Je pourrais en rester là, et utiliser « bêtement » OpenVPN comme ça, mais avec la version gratuite d’AS, on est limité à seulement deux connexions en simultanées, et il n’existe pas de client OpenVPN pour certains de mes périphériques (Rpi, TV, domotique … ) l’idée est donc de passer par une simple passerelle réseau qui elle sera un client du VPN !

La passerelle :

Korben, part sur un équipement physique, chose que je n’ai pas, je vais donc faire ma passerelle sur une VM, et ça tombe bien, j’ai déjà un Pfsense qui tourne !
Pour la virtualisation, j’ai donc une VM de type KVM, avec le stricte minimum : 2 core, 512 Mo de ram, 8 Go de disque et deux interfaces réseau Virtio.

Capture d’écran_2015-07-28_14-59-10

La version choisie est Pfsense en 2.2.4 64bit, je passe sur l’installation qui est de base, je dédie l’interface « net0″ au WAN et « net1″ au LAN.
Je compte utiliser ma partie Lan comme une sorte de DMZ (derrière le VPN), et la partie WAN sera sur mon réseau LAN.

J’inverse donc les règle de base de Pfsense : à savoir autoriser l’administration de la GUI depuis le WAN, et toujours sur cette interface j’active l’ICMP et j’autorise le port 161 (le snmp pour ma supervision).

Capture d’écran_2015-07-28_15-05-37

Attention, les règles Pfsense sont propres à vos besoins et votre adressage, et n’étant pas un pro du réseau (encore moins de PF), je vous invite à pas forcément recopier bêtement ce que je fais :)

Connectons le PF à notre VPS OpenVPN :

Korben l’explique très bien dans son article, en gros il suffit de rajouter les certificats de notre utilisateur OpenVPN (présent dans la conf « autologin »), puis de configurer le client, croiser les doigts, prier vite fait, et ça devrait fonctionner, sinon les logs du VPS (/var/log/openvpnas.log) sont assez verbeux pour dépanner.


le CA

 

le CRT et la KEY

le CRT et la KEY

la conf du client OpenVPN

la conf du client OpenVPN

Si ça fonctionne bien, dans le menu « Status/ Openvpn » vous devriez voir votre connexion sur le VPS :

Capture d’écran_2015-07-28_15-47-31

Maintenant que votre VPN fonctionne, il faut spécifier à l’interface LAN de notre PF, d’utiliser la passerelle du VPN sur le VPS (ça va tout le monde me suis ?)

Donc toujours dans la partie « Rules », sur l’onglet LAN, on modifie la gateway de l’interface LAN :

Capture d’écran_2015-07-28_15-51-57

et ça donne ça :
Capture d’écran_2015-07-28_15-51-36

Isoler le réseau :

Pour assurer une étanchéité complète et un bon cloisonnement des réseaux, quoi de mieux qu’un VLAN ?
J’ai donc créé deux VLAN :

  • le vlan « standard » pour mon usage @home, qui passera par ma box en sortie
  • le vlan « vpn » qui est interdit de sortie via la box, et donc le trafic transite obligatoirement via le Pfsense et donc sort via le VPN sur internet.

Pour commencer, j’ai mis la patte « wan » du PF dans le vlan « std » et la patte « lan » est sur le vlan « vpn ».

La suite se passe sur la conf de votre switch, sur mon Dlink ça donne ça :

Capture d’écran_2015-07-28_16-02-18

et sur mon hyperviseur je configure mon vlan « vpn », le vmbr99 bridger sur l’interface vlan99, a qui j’ai déclaré, je vous le donne en mille : le vlan 99 !

Capture d’écran_2015-07-28_16-05-22

Puis les VMs qui en ont besoin :

Capture d’écran_2015-07-28_16-07-16

les tests :

Il est temps de tester maintenant :)

ça tombe bien, j’ai une VM connecté derrière le PF,
je lui configure une ip (en statique pour le moment):

#ifconfig
eth1      Link encap:Ethernet  HWaddr 02:b9:00:e0:2f:a6  
          inet addr:10.10.0.2  Bcast:10.10.0.255  Mask:255.255.255.0
          inet6 addr: fe80::b9:ff:fee0:2fa6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22642282 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12166508 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:28863790491 (26.8 GiB)  TX bytes:2215289439 (2.0 GiB)

# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=58 time=57.2 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=58 time=57.8 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=58 time=57.9 ms

ça me semble bon, vous pouvez faire un petit essai : w3m http://showip.net
et vérifier si c’est bien l’ip, le fai et la position géographique de votre VPN :

Capture d’écran_2015-07-28_16-13-48

Allons un petit peu plus loin :

 

On y est presque, ça fonctionne, mais c’est encore peu utilisable !
Et pour un bon waf, il me faut du wifi !
Je commence donc à rajouter un serveur DHCP sur ce vlan, puisqu’il n’y en a pas (forcément, on est sur un réseau isolé !).

Direction Pfsense :

Dans Service /DHCP Server / pour la partie LAN (surtout pas la wan, hein 😉 )

Capture d’écran_2015-07-28_16-19-08

Je me connecte sur l’interface de mon AP (une Cisco MR18), et je rajoute un SSID dédié à mon VLAN 99
Où il est important de configurer le mode « bridge » et taguer le vlan 99 :

Capture d’écran_2015-07-28_16-24-25Capture d’écran_2015-07-28_16-24-00

On vérifie le bon fonctionnement avec les premiers clients :

Capture d’écran_2015-07-28_16-25-34
ça me semble bon, et c’est validé par les traces routes sur Pfsense, les baux DHCP …

 

Voici un dernier schéma « simplifié » de mon installation, avec mes deux vlans, et mes équipements :

réseau@home

 

J’ai maintenant deux réseaux WIFI à ma disposition l’un qui passe par ma box, l’autre par le VPN, et en fonction des besoins je peux passer de l’un à l’autre de façon quasi instantané et sans avoir à modifier ou bidouiller quoique ce soit. Et c’est pareil pour les machines en filaire, elles ont maintenant deux configurations (IP/VLAN) en fonction des besoins.
Et ça marche pour n’importe quel équipement: téléphone, console de jeux, TV, PC …

Voici donc comment se termine cette présentation 😉
Je n’avais rien à cacher, mais j’avais envie d’avoir le choix !
L’installation n’est pas forcément simple, mais à l’usage il est très facile d’utiliser ce VPN !

2015-07-27

JAH-6 – Des premiers pas timides d'un débutant sysadmin

Journal de bord du capitaine :
Date : 18 janvier 2010
Lieu : Perdu dans le cyber espace

Les préliminaires étant clos une bonne fois pour toute, j'allais enfin pouvoir me jeter dans l'arène et devenir mon propre administrateur système avec pour nouveau slogan : "Si ça marche pas c'est de ma faute !" . En effet, tout le défi dans le fait de devenir son propre fournisseur de service (courriels, messagerie instantanée etc) c'est d'assurer une qualité de service correcte, ce qui, au vu de mes maigres prétentions, ne devait pas être si difficile. On notera ici l'usage de l'imparfait qui souligne à quel point mon hypothèse de départ a pu s'avérer erronée par la suite.

Sur les conseils d'un ami, la première chose que j'ai cherché à configurer fut l'outil de gestion des paquets, car avant d'installer quoique ce soit il fallait commencer par s'assurer que les options par défaut convenaient à ce que je souhaitais. En fait, 95 % des utilisateurs normaux se seraient contentés des réglages par défaut mais, pour ma part, il y en a une option que je souhaitais à tout prix modifier. Ce qu'il faut savoir, c'est que les paquets dans les dépôts indiquent trois choses : leurs dépendances, leurs recommandations et leurs suggestions. Seuls les dépendances (comme leur nom l'indique) sont strictement nécessaires et suffisantes au bon fonctionnement de l'application; par exemple : le web-client de messagerie jwchat dépend d'apache et recommande ejabberd, mais si je veux l'utiliser avec un autre serveur jabber rien ne m'en empêche. Si j'ai choisi de ne sélectionner aucune tâche lors de l'installation de ma distribution c'était, en partie, pour avoir un contrôle et une connaissance la plus précise possible de ce qui était installé sur mon serveur, il est donc normal de ne pas installer de composants inutiles et que je ne connaîtrai pas. Or la comportement par défaut du gestionnaire de paquet Debian, apt, est d'installer non seulement les dépendances d'un paquet mais aussi ses recommandations. On se retrouve donc vite avec un système "pollué" par des paquets non souhaités. Une recherche sur Internet et quelques clics plus tard j'avais modifié le fichier nécessaire afin de ne plus installer les recommandations des paquets, et ce quel que soit l'utilitaire que j'utilise [1]. Il existe en effet plusieurs interface pour apt, en modifiant sa configuration et non pas celle de ses interfaces j'étais ainsi certain que ce réglage serait pris en compte partout.

Maintenant que j'étais certain que si des merdes se trouvaient sur mon serveur, elles y étaient par ma faute, j'allais pouvoir installer ma première application. Il est de notoriété publique que plus quelque chose est inutile, plus il est indispensable, c'est pourquoi la première application que j'ai installée fut : vrms (virtual Richard Matthew Stallman) qui ne sert à rien d'autre qu'à détecter les paquets non libre d'un système. À ma grande joie, mais sans surprise, M.Stallman aurait été fier de moi [2] car mon système était entièrement libre !

Une fois mes convictions de libriste rassurées, je me suis intéressé aux performances de mon système et à sa santé. Un ordinateur que j'avais monté avec tant de facilité et de délicatesse méritait qu'on le surveille de près. L'utilitaire hdparm me rassura sur les performances de mon système (je craignais l'influence du chiffrement), quant à lm-sensors il me confirma que rien n'était ni en surchauffe, ni en surtension, ce qui était plutôt rassurant.

Mais pour le moment, aussi bien portant soit-il, mon ordinateur restait un "classique" PC de bureau avec un écran et un clavier nécessaire à son utilisation. Pour qu'il devienne enfin un vrai serveur, il lui fallait une chose indispensable : un accès distant sécurisé. En effet, tous les systèmes de type serveur sont, heureusement, accessible et administré à distance. L'installation du paquet ssh allait me fournir tous les moyens de communications dont je pourrais avoir besoin : un serveur et un client SSH. La configuration du serveur SSH fut enfantine : un fichier texte de configuration à éditer pour lui spécifier le port à écouter (différent de celui par défaut de préférence, pour des raisons de sécurité) et l'interdiction de se connecter directement en root (évitant ainsi les attaques directes sur le compte root par brute force). Un redémarrage du serveur SSH (et pas de toute la machine !) et le tour était joué, moyennant bien sûr que le port à écouter soit redirigé convenablement depuis le modem internet faisant office de routeur vers le serveur.

Et voilà (en français dans le texte) ! Je m'affranchissais ainsi de la nécessité d'un écran et d'un clavier. Les deux seuls câbles nécessaires au bon fonctionnement de mon serveur n'étaient plus que son câble d'alimentation et le câble Ethernet le reliant au modem. À l'avenir, toutes les opérations d'administration, d'installation ou quoique ce soit d'autre pouvaient s'effectuer à distance depuis n'importe quel PC disposant d'une connexion internet, plus besoin d'avoir un accès physique au serveur, le rêve !

Conclusion :

  • Les réglages par défaut sont souvent très bien choisis mais prendre le temps de les étudier et, éventuellement, de les modifier permet d'avoir un meilleur contrôle sur ses données et ce qui se passe sur sa machine.
  • La configuration d'un accès distant par SSH est on ne peut plus simple et est un très bon exemple de comment configurer un service : un simple fichier texte à modifier et le programme à redémarrer, et les modifications de configuration seront prises en compte. La documentation officielle fournie, le plus souvent, le détail de chaque option du fichier de configuration donc il ne faut jamais hésiter à s'y référer.

Avec mon serveur accessible à distance, j'allais pourvoir l'utiliser depuis n'importe où, et le premier des "vrais" services que je voulais mettre en place était la messagerie instantanée ! J'allais enfin devenir mon propre fournisseur de messagerie !

Prochaine entrée dans le journal : De l'installation et de la configuration tortueuse d'un serveur jabber

Notes

[1] J'ai créé un fichier /etc/apt/apt.conf.d/02norecommends contenant simplement : APT::Install-Recommends "false"; .

[2] $ vrms : No non-free or contrib packages installed on Misa! rms would be proud.

2015-07-10

Auto-hébergement et déni de service (wordpress - xmlrpc), quelques jours de frayeur et d'enquête...

Depuis le début de la semaine, j'étais confronté à un problème que je n'avais jamais eu jusque là (ça fait 4 ans 1/2 que je m'auto-héberge) : plusieurs fois dans la journée (aléatoirement), mon serveur ne répondait plus du tout, la seule chose que je voyais c'était que la LED correspondante aux écritures sur le disque dur était en permanence allumée. La seule solution à ce problème était de couper l'alimentation du serveur et de le relancer. Cela corrigeait le problème pendant quelques heures (parfois moins) puis ça recommençait. Voici les différentes étapes qui m'ont permis de comprendre ce qui se passait et comment j'ai corrigé ce problème.

noy.jpg

Le premier symptôme n'a pas été difficile à voir : le voyant du DD de mon serveur restait en permanence allumé. J'ai trouvé ça étrange en plein milieu de la journée, du coup, j'ai essayé de me connecter sur un service web de mon serveur : impossible. Ensuite, j'ai essayé de me connecter en SSH : plus de 5 minutes à attendre un prompt qui ne venait pas. On voyait clairement que le serveur en avait par dessus la RAM de toutes ces écritures et ne pouvait traiter de nouvelles requêtes. Seule solution : reboot hard (bouton reset de mon serveur).

Analyse des logs

Premier réflexe pour essayer de comprendre ce qui s'est passé : l'analyse des logs. J'ai trié les logs par date de dernière modification et les ai tous consultés (ceux du /var/log) : rien à signaler. J'ai ensuite regardé du côté de mes logs apache. La seule chose que j'ai trouvé c'était cette ligne dans le error.log d'apache :

[Sun Jul 05 19:21:12 2015] [error] server reached MaxClients setting, consider raising the MaxClients setting

Ça devait être la conséquence du ralentissement de la machine. Quand mon serveur était à genoux, les requêtes continuaient à arriver, il ne pouvait pas les traiter rapidement ; de ce fait, elles s'empilaient et le serveur crashait. La première chose que j'ai faite a été d'augmenter cette valeur et d'attendre. Comme prévu, le problème est revenu, peu importait la valeur que je mettais. Rien à voir de plus de ce côté-là donc.

J'ai ensuite "analysé" mes logs apache grâce à goaccess (que je vous recommande !). Pas de grosse attaque là non plus. Par exemple, la capture ci-dessous indique le nombre de hits par IP pour un fichier de log d'access passé en paramètre (j'ai un fichier différent par vhost). J'ai vérifié les plus gros consommateurs, c'était des requêtes légitimes :

goaccess.jpg

J'ai ensuite regardé mes graphes de supervision Munin, rien à signaler côté RAM, CPU, IO, etc. On voyait bien une coupure mais rien avant cette coupure. C'était, pour faire simple, "tout nickel" et "tout cassé" d'un check à l'autre...

Désactivation des services consommateurs

Pour essayer de délimiter les risques, j'ai désactivé les services qui sont les plus consommateurs sur mon serveur et non-indispensables. J'ai donc désactivé Subsonic, Transmission et Munin. Le serveur continuait à planter, j'en ai donc déduit que cela devait venir de MySQL ou/et apache.

Génération d'un fichier d'analyse

Sachant que le problème reviendrait assez rapidement, j'ai mis en place un script qui m'a permis de stocker certains indicateurs (les requêtes HTTP, les processus en cours, la taille des disques, l'utilisation du swap, etc.). Je passais ce script toutes les 4 minutes et stockais le résultat dans un fichier. Voici un rendu d'exemple (que j'ai épuré) :

top.jpg

On voit bien ici qu'à 21h24, j'avais 11 processus apache et qu'à 21h28, j'étais passé à 212 mais que mon script n'a pas réussi à calculer d'autres infos (le disque était déjà trop occupé). Les infos intéressantes ici sont que l'incident s'est produit très rapidement entre 21h24 (où tout allait bien) et 21h28 où le serveur ne répondait plus à rien.

On voit également que mysql commence à swapper. J'ai donc creusé de ce côté.

La piste MySQL

Je n'avais auparavant activé aucun log sur mon serveur MySQL, j'ai donc dû les activer vers 15h30 (dernier crash avant celui-ci) pour analyser le futur problème. Pour info, voici les lignes ajoutées dans mon fichier my.cnf :

log_error                      = /var/log/mysql/mysql.log
log_warnings                   = 2
slow_query_log  = /var/log/mysql/mysql-slow.log
long_query_time = 4

Les requêtes de plus de 4 secondes sont désormais logguées. Après le crash de 21h24, j'ai trouvé des entrées intéressantes dans mon fichier mysql-slow.log :

myslow.png

Ces requêtes (toutes sur le même vhost) sont apparues à 21h26 (entre 24 et 28, comme vu ci-dessus). Je décide donc d'aller voir dans les logs d'accès de ce vhost (les logs d'erreur ne montrant absolument rien). Et là, voici ce que je découvre :

logxmlrpc.png

J'ai noté toutes les heures de plantage de mon serveur, systématiquement, cela correspond avec ce type de requête de Googlebot vers la page xmlrpc.php de mon vhost (qui est un site Wordpress). Je n'ai pas réussi à détecter cela automatiquement car les requêtes ne sont pas très nombreuses et les IP des Googlebots ne sont jamais les mêmes.

Conclusion

Du coup, un tour rapide sur un moteur de recherche en tapant les mots-clé "wordpress xmlrpc dos" et j'ai eu confirmation de ma découverte : c'est un problème bien connu d'attaque par déni de service sur les CMS Wordpress même pour les plus à jour (le mien était en dernière version du core et des plugins installés).

Pour corriger cela, j'ai installé le plugin Wordress Disable XML-RPC Pingback. Depuis, plus aucun problème : je ne vois même plus aucune entrée de ce type dans les logs. Je ne pense pas qu'il s'agisse d'une coïncidence mais que c'est ce plugin qui empêche les requêtes des bots (j'avoue ne pas avoir trop creuser cette partie là)...

Voilà pour ce petit compte rendu, il vous sera peut-être utile si un jour vous êtes confronté à ce problème :) Si vous avez d'autres astuces ou des choses auxquelles je n'ai pas pensé, n'hésitez pas ! À bientôt

Edit 24 heures plus tard : le problème est réaparu, il s'agissait donc bien d'une coïncidence que les requêtes se soient arrêtées quand j'ai mis en place le plugin. Du coup, j'ai mis une règle iptables pour bloquer ces requêtes :

/etc/fail2ban/filter.d/apache-wp-xmlrpc.conf :
[Definition]
failregex = ^<HOST> -.*POST /xmlrpc.php HTTP.*
ignoreregex =

/etc/fail2ban/jail.local :
[apache-wp-xmlrpc]
enabled = true
port    = http,https
filter  = apache-wp-xmlrpc
logpath = /var/log/apache2/access*.log
maxretry = 3

Affaire à suivre. N'hésitez pas à regarder les commentaires où j'indiquerai si des requêtes ont été bloquées (je ne suis pas le seul d'ailleurs).

2015-06-30

Proxmox 4 beta 1 – présentation

Enfin du nouveau chez Proxmox !

Logo-ProxmoxVE

Après avoir attendu un kernel 3.x avec support d’OpenVZ qui n’est jamais sorti, GmbH nous propose une beta pour la nouvelle monture 4.0.
ce qui est prévu pour la version finale :

  • 4.0 will be based on Debian Jessie 8.x
  • New high availability manager
  • Linux Containers (LXC), fully integrated in our storage model (local storage, Ceph, ZFS, DRBD9, …)
  • DRBD9
  • IPv6 support
  • GUI update to Sencha Ext JS 5.x

Ce qui est actuellement disponible sur la béta 1 du 22/06/2015 :

L’installateur a aussi été mis à jour, puisqu’il permet maintenant de modifier les options de formatage depuis l’iso (avant il fallait passer au préalable par l’installation d’une Debian nue pour avoir un peu plus de souplesse, tel que le raid, le partionnage …).
Il est maintenant possible de choisir le FS, la taille, et même d’installer directement sur un pool zfs (avec là aussi différentes options disponibles).

Le reste ce déroulement comme sur une version 2.x ou 3.x.

 

Une fois installé, et authentifié sur l’interface web, petite déception la GUI n’a pas encore été mise à jour (c’est vrai qu’elle est un peu vieillotte !)

Capture d’écran_2015-06-30_13-17-57

Tout de même quelques ajustements, comme par exemple le nouveau logo pour les CTs LXC (en orange ceux qui sont UP et en gris les DOWN).

Une chose qui me rassure : la gestion des ressources pour les containers, c’était pour moi un gros atout d’OpenVZ : la simplicité de réservation de la ram et du CPU, et c’est toujours le cas pour les containers LXC:

Capture d’écran_2015-06-30_13-18-27

Autre modification de la GUI : la disparition de la console VNC en java, elle n’était pas toute jeune, mais avait le mérite de fonctionner dans le cas d’une utilisation d’un cluster couplé à des keepalive en load balancer !

 

Enfin un kernel 3.x !!

Enfin un kernel 3.x !!

pveversion -v
proxmox-ve: 4.0-3 (running kernel: 3.19.8-1-pve)
pve-manager: 4.0-16 (running version: 4.0-16/a7dc5694)
pve-kernel-3.19.8-1-pve: 3.19.8-3
lvm2: 2.02.116-pve1
corosync-pve: 2.3.4-2
libqb0: 0.17.1-3
pve-cluster: 4.0-13
qemu-server: 4.0-12
pve-firmware: 1.1-5
libpve-common-perl: 4.0-8
libpve-access-control: 4.0-5
libpve-storage-perl: 4.0-11
pve-libspice-server1: 0.12.5-1
vncterm: 1.2-1
pve-qemu-kvm: 2.3-5
pve-container: 0.7-2
pve-firewall: 2.0-3
pve-ha-manager: 1.0-4
ksm-control-daemon: 1.2-1
glusterfs-client: 3.5.2-2
lxc-pve: 1.1.2-1
lxcfs: 0.9-pve1
cgmanager: 0.37-pve1

 

Du coté de la CLI, quelques changements, comme la disparition de pvectl (logique me direz vous !), mais ils auraient pu le conserver et l’adapter, ce qui était bien pratique pour les scripts !
Que l’on se rassure, il y a maintenant toute la palanqué d’outils LXC :

lxc-attach, lxc-checkconfig, lxc-config, lxc-destroy, lxc-freeze, lxc-ls, lxc-start, lxc-unfreeze, lxc-wait,
lxc-autostart, lxc-checkpoint, lxc-console, lxc-device, lxcfs, lxc-monitor, lxc-stop, lxc-unshare,
lxc-cgroup, lxc-clone, lxc-create, lxc-execute, lxc-info, lxc-snapshot, lxc-top, lxc-usernsexec

on y trouve des outils tel que « lxc-top » qui n’avait pas son équivalent en OpenVZ

Capture d’écran_2015-06-30_13-35-44
la structure du fichier de conf des containers a aussi changé, elle est maintenant de ce type (est ce que les options utilisées jusqu’à maintenan en OpenVZ sont toujours valables ?) :

cat /etc/pve/lxc/100/config 
lxc.include = /usr/share/lxc/config/debian.common.conf
lxc.arch = i386
lxc.cgroup.cpu.cfs_period_us = 100000
lxc.cgroup.cpu.cfs_quota_us = 200000
lxc.cgroup.cpu.shares = 1024
lxc.cgroup.memory.limit_in_bytes = 536870912
lxc.cgroup.memory.memsw.limit_in_bytes = 1073741824
lxc.rootfs = loop:/var/lib/vz/images/100/vm-100-rootfs.raw
lxc.utsname = test1
pve.disksize = 8
pve.volid = local:100/vm-100-rootfs.raw
lxc.network.type = veth
pve.network.bridge = vmbr0
lxc.network.hwaddr = 46:7D:C7:B2:32:54
lxc.network.name = eth0
lxc.network.veth.pair = veth100.0

 

Chose importante, les templates OpenVZ peuvent être utilisés pour créer de nouveaux containers LXC !

Pour le moment il n’y a pas encore d’outil pour migrer un CT OpenVZ vers un LXC, cependant d’après le wiki Promox, on peut transformer un backup OpenVZ en un template et l’utiliser pour créer un nouveau LXC, donc de l’ancien container OpenVZ !
(Je ne l’ai pas encore testé, je mettrais ce billet à jour quand ce sera le cas.)

Il n’y a pas de date pour la version finale, mais maintenant les nouvelles versions ne suivront plus les updates RedHat (pour le kernel notamment) mais ceux de Ubuntu Server, et le prochain kernel annoncé (sur le forum officiel) est donc le 4.1 à la sortie de Ubuntu 15.10.

les liens :

  • L’annonce du forum : http://forum.proxmox.com/threads/22532-Proxmox-VE-4-0-beta1-released!
  • Pour télécharger l’iso de la beta : http://proxmox.com/en/downloads/item/proxmox-ve-4-0-beta1-iso-installer

 

 

YunoHost, l’auto-hébergement simplifié

Yunohost est un OS dérivé de Debian pour s’autohéberger facilement. Le nom du projet provient de la phrase « why you no host yourself ».

On peut y installer en quelques clics des applications comme Owncloud, WordPress, Wallabag, RoundCube, etc… Les interfaces utilisateurs et administrateurs m’ont l’air agréables à utiliser.

Ca m’a l’air d’être une bonne tentative pour simplifier l’auto-hébergement. Je ne l’ai pas installé mais je testerai bien à l’occasion.

Coté sécurité, je ne sais absolument pas ce que ça vaut. Le code se trouve sur GitHub. Mais je ne sais pas si le projet est assez suivi pour avoir du code review. Il s’agit quand même d’exposer toutes ses données personelles sur le net et la moindre erreur peut se payer très cher…

J'aime(4)Ferme-la !(1)

2015-06-24

Nouveau déménagement

J’ai déménagé dans un nouveau logement début juin, ce qui m’a permis de me rendre compte qu’une des plus difficulté liée à l’auto-hébergemenit est le déménagement : backup, installation temporaire des services vitaux dans le cloud, débrancher le matériel, déménager sa connexion internet, prier pour que la connexion internet arrive vite (et qu’elle ne soit pas trop pourrie) et enfin tout réinstaller…

Vraiment c’est du sport et je parle en connaissance de cause puisque c’est le deuxième déménagement que je fais en peu de temps (j’avais d’ailleurs fait un article sur le sujet à l’époque) et que je vais devoir re-déménager une nouvelle fois à court terme.

C’est donc avec du retard, que je vous annonce que la SheevaBoite a fonctionné pendant 2 semaines sur un serveur VPS OVH (sans aucune mention particulière pour le visiteur). J’aurai aimé ajouter un message comme je l’avais fait la dernière fois mais comme je le disais, la vie réelle a pris le pas sur mon serveur et ce dernier s’est retrouvé relegué au second plan. C’est également un problème d’un déménagement : les priorités ne sont plus les mêmes en vieillissant.

Pour ce qui est de la connexion internet, je passe de 7Mb/s à 12Mb/s en restant sur la même rue mais en me rapprochant de 500m du DSLAM, ce qui n’est pas une mauvaise opération en soi.

Bref, maintenant que tout est revenu à la normale, tous mes services sont “up and running”, je vais pouvoir à nouveau écrire des articles car cela fait bien longtemps que le rythme de publication n’est pas extraordinaire.

Bienvenue dans mon nouveau chez moi…

2015-06-16

Événement : Pas Sage En Seine 2015



C'est cette semaine que va se dérouler Pas Sage En Seine, PSES pour les intimes, à Paris, dans les locaux de la Numa. Au programme de cet événement qu'il ne faut pas rater, des conférences de haut vol, des rencontres et de la surchauffe cérébrale. Cela fait des années que je veux y aller, je vais en profiter !

Je vous propose une liste des conférences auxquelles je vais assister :

Jeudi 18 juin
- 19h : Rien à cacher, par Laurent Chemla
- 20h : Goleaks , Will de Coninck et Romain Ledroit

Vendredi 19 juin
- 19h : La Brique Internet
- 20h : Data Bullshit
- 21h : French Data Network et autres contre le gouvernement

Samedi 20 juin
- 13h : Sortir les entreprises des GAFAM
- 14h : Il était une fois Internet

Dimanche 21 juin
- 11h : Le logiciel libre à la radio
- 13h : Un an de campagne à la quadrature du net

Bon, c'est un aperçu. J'en ferais sans doute plus. Le programme complet est disponible ici. Pour ceux qui n'auraient pas la chance de pouvoir, ou l'envie de se déplacer à la Capitale, je crois me souvenir que ces vidéos sont retransmises en direct via le site officiel.

En espérant vous y croiser nombreux ! :)


<noscript></noscript>

2015-06-09

Apple Music, un truc de punk


A la base, je ne voulais pas vraiment faire de billet sur l'annonce de la sortie de Apple Music, le nouveau service révolutionnaire de la marque à la pomme, mais bon, comme j'ai commencé à écrire, le voici.

Si on résume ce qui s'est dit, Music sera un service de streaming, de gestion de sa collection de musique et un réseau social. Ce que les gens voulant se faire connaître recherchent par tous les moyens : de la promo simple, hype, et un bouton acheter juste en haut à droite. L'acheteur est directement accessible, son porte-feuille grand ouvert. L’idée est pas mal, en fait : Apple va devenir le meilleur moyen de se faire connaître. On sait bien que les gens à la mode, et riches, ont des iPhone, des écouteurs Beats et sont accros aux réseaux sociaux. Bingo, quoi !

Ce qui me chagrine, et ça ne regarde que moi, c'est que c'est encore le big data qui va faire tourner toute cette machine. Cupertino va engranger les statiques de ses utilisateurs iTunes pour proposer les bons morceaux dans l'air du temps tout en utilisant les données individuelles de chacun d'entre eux pour perfectionner les propositions. Du big data, tout simplement. En plus, c'est tellement simple pour eux : iPhone, iPod, iWatch, iTunes, que des outils de relevé de données. Si Google avait réussi à devenir aussi cool, ils l'auraient fait. On va se retrouver avec des gens pensant être uniques grâce à des choix basés sur leur personnalité, par l’intermédiaire d’algorithmes ultra puissants qui vont tout simplement aplanir la diversité via des propositions basées sur les statistiques de la masse. Bah vi, vous croyez quoi ? Si vous ne connaissez pas le groupe à la mode, vous passez pour un débile, cf la vie de la recré : "Nan, tu connais pas ?!".

Apple va calibrer la musique, pas la révolutionner. Ils ont en main (et poignet) la masse des utilisateurs et toutes les informations qu'il faut pour s'en sortir. On va se retrouver avec les bons gars branchés sur Music pour répandre la bonne parole et les autres les suivants. Les effets de masse, ou le comportement mainstream, si vous voulez. Enfin, faut pas oublier qu'ils ont dit qu'ils permettraient aux petits de se faire connaître : oui, oui. Comme dans les radios grand public, les chanteurs changent rapidement, le style, pas vraiment.

Ca me fait penser à ce dessin (source):



Je l'avais publié pour rire. On se retrouve tous là-dedans, pas uniquement les punks. Moi, le faux hippie bobo libriste, je fais partie d'un groupe de gens qui se sentent plus malins, alors que c'est faux. Il faut savoir prendre du recul sur soi pour éviter le piège du "Moi je sais, toi, t'es con". C'est difficile mais ça se fait. Les libristes devraient s'y mettre, d'ailleurs. Les nombreux échecs de ces dernières années devraient nous faire comprendre que la technique ne fait pas tout, même si la nôtre est parfois aussi puissante.

Toutes ces phrases pour dire que le big data va tourner à plein régime, que les gens vont laisser faire. Ce coup-ci, ça ne touche pas la santé, les assurances ou les comportements auto-radicalisés, simplement la musique.

Les utilisateurs d'Apple pensent être ce genre de keupons. Des gars à la marge parce que tellement intelligents. Ils se trompent, peut-être, mais ce qui est certain, c'est qu'ils sont tous des punks.

Je termine à la BORNE :

<iframe allowfullscreen="" frameborder="0" height="315" src="https://www.youtube.com/embed/vQs6i3hD6M8" width="420"></iframe>


<noscript></noscript>

2015-06-07

Les Jeunes (la génération Y) par Usul


<iframe allowfullscreen="" frameborder="0" height="315" src="https://www.dailymotion.com/embed/video/x2qygtn" width="560"></iframe>
Les Jeunes (la génération Y)

Je vous propose de regarder la dernière vidéo d'Usul, sur la Génération Y (Why?). Son contenu est à prendre avec un regard critique, comme tout ce que vous pouvez voir.
Elle fait 25 minutes, c'est juste assez pour se remettre le cerveau en place après avoir doré toute la journée sous le soleil. Si elle vous branche, n’hésitez pas à regarder ses autres créations.

Note : je me suis rendu compte que Dailymotion empêche la lecture de la vidéo pour vous forcer à bouffer de la pub avant de profiter du contenu. Pensez à désactiver le bloqueur de pub, donc. Et c'est du flash, bah.

Bon visionnage.


<noscript></noscript>

2015-06-04

Popcorn Time pense à l'offre légale et c'est beau




Oh que c'est beau ! Popcorn Time, l'outil ultime des pirates en herbe qui veulent regarder des films, des séries et des mangas sans se prendre la tête envisage de proposer du contenu légal.

PCT passe par le réseau P2P pour proposer ses films et séries. C'est important de le rappeler puisque contrairement au streaming, cette solution permet de repartir la charge entre les utilisateurs du logiciel et les propriétaires de serveur "seedbox". C'est donc bon pour le réseau en empêchant les FAI de taper du poing sur la table parce que le peering n'est plus équitable : un bon point contre les atteintes à la neutralité du net.

Inutile aussi de rappeler que c'est un logiciel libre. Enfin, j’espère.

Cette belle application équitable tourne doucement son regard vers une version légale : je dis oui ! Imaginez que cette technologie serve enfin à diffuser des œuvres libres de droit ou dans le domaine public est fantastique !

Il ne dépend que de nous de la faire connaître, de la diffuser, de la passer pour un logiciel cool, un truc swag, frais, ou ce que vous voulez, pour que les gens se l'approprie. C'est souvent là qu'on se plante : faire passer les technologies libres pour des trucs cools est notre dernier problème puisqu'on sait déjà qu'elles sont massivement utilisées dans tout un tas de domaines et souvent depuis des années.

Bref, tout ça pour dire que j'en rêve, de voir Popcorn Time légal. Même s'il faut payer quelques euros pour s'en servir, je paye tout de suite. Ca peut paraître étrange mais c'est une réflexion d'un amoureux des technologies et du réseau qui dit ça.

Ca serait aussi une très bonne nouvelle de voir PCT devenir la tête du mouvement "streaming via P2P" avant que Apple ou Netflix se lancent réellement dans la bataille. Ils cherchent des développeurs et posent des DRM autour de cette idée.

Bon, maintenant, s'ils veulent nous offrir du contenu récent, ils vont devoir se lever tôt, les majors du cinéma n’étant pas prêt à faire sauter les DRM, limitations que j'ai du mal à imaginer efficaces sur PCT. Il faudrait vraiment trouver quelque chose contre ces cochonneries, plus que ça dont personne ne parle. Si PCT prend de l'ampleur, on peut aussi imaginer qu'il fasse tourner le vent. C'est beau de rêver.


<noscript></noscript>

2015-06-01

Twitter et l’hébergeur


Alors que mon hébergeur me forçait à me déconnecter, puisqu'il était dans les choux, j'ai essayé de réfléchir à une présence sur les réseaux sociaux classiques. Je reviens dans la danse via Twitter. Je ne sais pas encore comment je vais m'en servir, sans doute en complément de mon pod diaspora. Reste à savoir si je vais supporter ce qui se raconte chez l'oiseau bleu.

Sinon, même si je n'y peux rien, je tiens à excuser les indisponibilités de ces derniers jours. Je n'ai pas trouvé cette situation si grave que ça. Ce blog n'est pas un site d’actualité ou un wiki. S'il n'est pas joignable, ce n'est pas très grave. Et puis la grande majorité des visiteurs viennent via les flux RSS, autant dire qu'ils ne se rendent pas compte que je ne répondu plus aux ping.

Mon compte twitter est ici, s'il vous intéresse. Sinon, mon compte diaspora est ici.

A tout vite.


<noscript></noscript>

2015-05-31

Fabriquer et partager

Résumé : faire en sorte que le monde matériel soit aussi agréable que le monde du logiciel libre

Logiciel Libre

Depuis près de 10 ans, ma culture est fortement influencée par le Logiciel Libre. Il s'en est suivi l'auto-hébergement. L'apport est immense :

  • Indépendance. Liberté d'usage, c'est la liberté 0.
  • Connaissance. Compréhension profonde du fonctionnement des logiciels. Elle n'est pas totale car un OS est devenu un système complexe mais j'ai le sentiment d'avoir une vision globale du système et locale lorsque je désire comprendre le fonctionnement précis d'un algorithme.
  • Sureté. Elle découle du point précédent. Rien n'est 100% sûr, mais le modèle du libre m'assure une sureté maximale en terme de vie privée et de fiabilité.
  • Evolutivité. Je peux modifier un morceau pour l'adapter à mes usages. Je peux écrire des codes pour automatiser des tâches. Avant d'être un outil de communication, ce fût le premier intérêt de l'informatique, avant que l'usage majoritaire comme une télévision ne s'impose.
  • Pérennité. Je réduis au maximum ma dépendance au bon vouloir d'un éditeur privé qui pourrait m'imposer des limitations (DRM), cesser le développement, perdre en rétrocompatibilité.
  • Résilience. Eviter les silos, les solutions uniques. Le logiciel Libre, avec sa part communautaire, renforce la coopération, l'acentralisation et la résilience.
  • Prix. Faible coût de l'ensemble. Il pourrait être nul, mais j'apporte ma petite contribution financière lorsque temps et/ou connaissances me manquent.

Mais tout ceci concerne les biens non-rivaux. Qu'en est-il des biens rivaux (ie matériels) ?

Le monde matériel

Je suis de plus en plus déçu par les solutions toutes faites, que ce soit dans le cadre personnel comme professionnel. Il y a deux stades.

Stade 1 : quand ça marche

Quand ca fonctionne :

  • les solutions existantes ne sont pas toujours adaptées aux besoins. C'est se résigner à avoir une épine dans le pied en permanence.
  • les solutions existantes possèdent des fonctionnalités dont je n'ai que faire. Le produit est donc plus complexe que nécessaire, donc plus sujet à la panne et éventuellement au manque de facilité d'usage.
  • la solution acquise ne peut pas évoluer, il faut racheter.
  • les prix sont exorbitants (surtout pour les marchés de niches, ici je pense au cadre professionnel). Un facteur 10 entre le coût des composants et le produit n'est pas impossible, loin de là.
  • le fabricant a pu mettre en place de l'obsolescence programmée.

Stade 2 : ça ne marche plus

L'appareil tombe en panne :

  • le fabricant ne gère plus le produit, le fabricant n'existe plus (manque de pérennité).
  • le coût de la réparation est délirant. Pour des problèmes mineurs, j'ai déjà vu des fabricants changer toutes l'électronique d'un appareil. Cherche-t-on à pousser au nouvel achat ?
  • difficulté d'interfacage d'un produit : pas de standard de communication prévu, ou protocoles fermés/non interopérables/obsolètes.

Approche de solutions

Cette approche veut se calquer sur celle que m'apporte le logiciel Libre au sens où on y retrouve les mêmes avantages : indépendance, connaissance, évolutivité, pérennité, prix. Le point sureté est cependant moins évident.

L'approche que je me propose est donc de cuisiner plutôt que d'acheter le plat préparé. Ca demande d'apprendre la cuisine, de passer un peu de temps, mais la première satisfaction est la satisfaction personnelle et intellectuel d'avoir réussi et appris. Attention, il n'est pas question de partir de zéro mettant en place une rizière dans le jardin.

Il s'agit donc d'apporter une réflexion critique sur les produits que l'on nous vend. Il y a deux niveaux de réflexion à distinguer :

Niveau 1. Parmi un ensemble de solutions clés en main, laquelle m'offrira le moins de désavantages compte tenu des stades 1 et 2 ci-dessus :

  • Balance besoin réel - offre
  • Bidouillabilité
  • Relation de dépendance au fabricant

Niveau 2. Balance prix fait-main plus temps / tout-fait moins apprentissage.

En cherchant une échelle plus atomique de l'achat, c'est généralement maximiser un niveau de satisfaction du niveau 1. C'est adopter l'esprit "hacker" au sens noble du terme. C'est se donner une puissance sur les choses en agissant plutôt qu'en étant passif et donc tributaire des aléas. La valeur de l'échelle est donnée par le niveau 2.

Exemple d'une station météo :

  • échelle 1 : achat d'une station toute faite
  • échelle 2 : achat d'un capteur d'humidité, de température, d'un microcontrolleur, et d'un afficheur
  • échelle 3 : se fabriquer un capeur d'humidité, se fabriquer un afficheur...

L'échelle 2 maximise mon niveau 1 et 2.

Quelques points de départ pour réfléchir

J'apprécie beaucoup la vision de David Manise, et en voici une tranche, que je renommerai bien en "Les 10 trucs les plus importants pour vivre...", s'il me le permet. Je n'aime pas ce terme survie (et lui non plus, d'après ce que je sais).

Les points 8 à 10 nous intéressent ici :

  1. Ton matériel doit être simple et fiable. Plus ça ressemble à une massue, mieux c’est. Plus ça ressemble à une calculette, moins ça marchera. Une lame fixe ressemble plus à une massue qu’un couteau suisse. Un poncho est plus « massue » qu’une veste. Etc. Moins de pièces mobiles, plus de qualité de finition/fabrication.
  2. Toujours tricher, toujours gagner. Sors du cadre. Ne t’impose pas de contraintes artificielles. Si c’est une mauvaise idée qui fonctionne, c’est que c’est une bonne idée. Ne laisse personne t’enfermer dans une prison mentale. Reste libre, critique, et humble.
  3. On a toujours avantage à coopérer. Même égoïstement, c’est généralement plus payant de coopérer avec les gens qu’on rencontre. Ne fais pas confiance aveuglément. Ne sois pas non plus paranoïaque. Assainis en permanence ton réseau. Tisse du lien avec des gens bien. Evite et oublie les autres. Tout simplement.

Plus particulièrement, pour le point 8, je cite David Manise sur l'apport d'une massue par rapport à un couteau suisse :

Si les massues de nos ancêtres sont restées à la mode pendant des millions d’années (pour finalement être célébrées dans le cadre d’un étrange culte semi-religieux que les États-Uniens appellent « base-ball »), ça n’est pas pour rien. La massue est l’archétype de l’outil de survie idéal : simple, fiable, d’une efficacité brutale, et ne sollicitant ni notre intelligence, ni notre motricité fine. Lorsque vous avez un choix à faire entre deux pièces d’équipement, choisissez donc, de façon réaliste, celle qui a le plus de points communs avec une bonne vieille massue... Le plus simple, le plus efficace, le plus facile à utiliser (pour vous), le plus robuste. Les pièces d’équipement de type « massue », loin d’être un choix démontrant un manque d’intelligence, sont une approche réaliste. Elles sont par ailleurs d’autant plus intéressantes qu’elles nous permettent un éventail beaucoup plus large d’utilisations « originales », qui diffèrent parfois grandement de leurs applications d’origine. À titre d’exemple, je dirais qu’on peut très bien utiliser un bandana pour égoutter des pâtes, mais qu’une passoire fait une bretelle de sac à dos plutôt médiocre. De même, un simple bâton de marche peut servir de bras de levier, de grattoir, de point d’appui pour un abri, de béquille, de perche pour faire tomber les pommes ou pour écarter les ronces (et accéder à cette belle grosse mûre bien juteuse sans se piquer), voire de bois de chauffage (vécu !).

Ca peut parraitre elliptique, ce paragraphe est là juste pour essemer.

Ouverture de mes notes

La conséquence est l'ouverture de mes notes. Je possède des wiki privés et je vais en ouvrir une partie du contenu.

Les objectifs sont les suivants :

  • établir une revue bibliographique
  • documenter ce que je fais et les choix qui sont pris
  • déposer les explications et les codes sous license libre afin qu'ils puissent être repris et améliorés

Le site est ici : http://share.sciunto.org et j'ai choisi l'anglais afin de partager avec le plus grand nombre. Il m'arrivera, comme d'habitude, de déposer une petite note sur ce blog ; l'un n'exclue pas l'autre.

2015-05-27

Et si on revenait dans la danse


Vous savez quoi ? Je me demande régulièrement si je ne devrais pas me refaire un compte Twitter. J'en avais un, fût un temps, mais lire les pensées des énergumènes de ce réseau social m'avait complètement rendu dingue. Le besoin de pondre du contenu dès l’avènement d'un événement rendaient les réflexions d'une débilité crasse, enfin, quand je dis réflexions, pensons plutôt « remarques ». C'est la maladie du moment ça, l’instantané : le tweet qui va bien, le seflie qui prouve, les commentaires sur Facebook qui détournent le bon vieux « first ! » pour en faire une preuve de coolitude.
Tout le monde le sait, des gens en parlent, c'est un travers qui nous rend spectateur de notre vie. On doit préparer notre image publique pendant l'action alors qu'on devrait en profiter. C'est navrant.

Ca me rappelle une histoire vraie, de bout en bout : une amie part faire le tour du monde. Elle en a l'occasion alors elle fonce, la chanceuse ! Du côté de la Nouvelle Zélande, elle accueille un couple d'amis. Le rendez-vous était convenu et tout le monde s'attendait avec impatience ! Une retrouvaille au bout du monde, c'est quand même chouette. Sauf que ce couple d'amis n'a pas supporté ce pays très longtemps. Je ne me souviens plus du pourquoi du comment, ce n'est pas important. Ce qui est très important, c'est qu'ils ont quand même pris le temps de se prendre en selfie, en photo, ou ce que vous voulez, toutes dents dehors sur fond de paysages fantastiques. Photos postées sur Facebook, cela va de soi.

Ils l'ont, leur instant bonheur pour leurs amis. La photo est publiée pour le prouver. Qui ne connaît pas l'histoire vraie ne sait pas que leur voyage s'est mal passé, l'image prouve le contraire et rares sont ceux qui découvriront cette supercherie.

C'est un exemple tellement simple, tellement courant, tellement parlant, de ce que font les gens sur l'internet mondial.

On en trouve partout.

Si je traîne sur un réseau social autre que diaspora, un jour, c'est que je me sentirais capable de laisser ces malheureux sur le bord de la timeline pour me concentrer sur les curieux qui cherchent encore du contenu que je peux éventuellement produire via ce blog. Ces gens-là méritent peut-être qu'on sorte, nous, les libristes un peu radicaux, de notre isolement. Tout le monde n'est pas obligé de se lancer dans Twitter (ne me parlez pas de Facebook, c'est mort) mais les créateurs de contenus devraient peut-être y penser.


<noscript></noscript>

2015-05-20

Aidez-vous, aidez Grammalecte




Personne n’évite les fautes, ou alors elles sont rares, très rares et nombreux sont ceux qui, comme moi, sont capables de repérer une coquille chez les autres mais pas dans ses propres textes. Phipe peut témoigner, il passe régulièrement ici pour me relire et m'envoyer des messages privés sur diaspote pour que je me corrige.

Bref, les fautes, les erreurs, les coquilles, l'ignorance, c'est pour tout le monde. Du coup, quand on voit qu'un libriste se motive pour nous pondre une extension Firefox et Thunderbird pour nous aider, on ne peut que l'encourager.

Vous l'avez compris, c'est donc ce matin que j'ai décidé de filer 5 malheureux euros pour aider Grammalecte à émerger.

Le projet est tout proche de son objectif des 15 000 euros. Il reste 10 jours pour trouver les 3 000 dernières pièces qui manquent. Ce genre d'outil étant exceptionnellement utile, foncez les aider à votre tour.

Pour les utilisateurs de cette saloperie de Google Chrome/Chromium, va falloir vous motiver puisqu'il attendra les 25 000 euros avant de vous supporter. Oui, c'est méchant.


<noscript></noscript>

2015-05-16

[Film] Ex Machina


Parler cinéma, c'est un truc que je ne fais pas souvent, la faute à la ligne éditoriale de ce blog : du libre, de l'open-source et tout ce qui peut s'y rattacher. Mais bon, j'ai souvent envie de parler d'autre chose, alors voilà : Ex Machina !



Ce film nous parle d'intelligence artificielle, d'humain, de sentiments. Il est vraiment troublant. L'histoire tourne autour d'un milliardaire propriétaire d'un moteur de recherche qu'il utilise pour créer une IA incroyable et un de ses employés chargé de lui faire passer le test de Turing.

Pas de spoil ici, je vous encourage simplement à le regarder ! Pensez à faire le rapprochement avec Google et ses nombreux rachats dans le domaine de la robotique, ça donne le vertige.


<noscript></noscript>

2015-05-13

ownCloud Mail débarque dans l'appstore en version 0.1.3




J'en parlais en septembre 2014 comme d'une application qui allait faire du bien : ownCloud ne souffrait plus que de l'absence d'un client courriel pour devenir une boite à outils géniale. C'est maintenant bon !

Comme je le dis dans ce titre à rallonge, c'est encore une version en développement. Rien n'est garanti dans tout les types d'utilisation mais, chez moi, ça tourne très bien avec mon malheureux compte "pro" gmail et mon adresse personnelle en dadall.info. C'est un peu lent, mais ça doit venir de mon serveur.

Sinon, je me retrouve avec une interface agréable, la possibilité de lire mes mails partout et des notifications quand un petit nouveau débarque. De plus, il s’intègre tout seul dans mon Firefox en se proposant d'envoyer un mail quand je clique sur une adresse.



Si vous voulez tester la bête, vous pouvez la télécharger ici et suivre le guide d'installation rapide ici. Ne négligez pas l'installation sous peine de ne pas comprendre pourquoi vous avez un écran tout blanc !

Cette sortie se glisse bien dans l'air du temps : vous avez votre cloud et des applications pour le gérer comme un grand. En plus, c'est une défi technique agréable à relever ;-)


<noscript></noscript>

2015-05-10

Astuces du dimanche #4


Quatrième version des astuces du dimanche ! Je dois avouer que j'aime bien cette formule simple et rapide pour partager des astuces peu révolutionnaires mais qu'il fait bon rappeler de temps en temps.

Au programme de cette semaine : partager des fichiers en réseau sans se prendre la tête et comment créer une archive de sauvegarde (pour un backup, par exemple) et vous l'envoyer alors que vous n'avez pas de place sur le disque dur.

Partager ses fichiers via python

Sans clés USB ou système de partage en réseau, il est bien difficile de partager un fichier avec le PC du voisin. La solution suivante permet de se servir de python pour créer un serveur web simple. Il sera accessible depuis votre adresse IP et le port spécifié.

  • Avec python 2.7 ou plus
# python -m SimpleHTTPServer 80
  • Avec python 3 ou plus
# python -m http.server 80
Lancez l'une de ces commandes depuis un terminal ouvert là où se trouve le ficher à transférer, donnez votre IP et le port à votre pote/collègue et le tour est joué. Attention tout de même à ne pas lancer cette commande depuis votre /home/ sous peine de partager l’intégralité de votre vie privée ;-)

Création et envoie d'archive par le réseau

C'est un truc que je rencontre souvent au boulot : faut faire un gros tar.gz de sauvegarde et le placer bien au chaud sur une autre machine mais pas moyen d'y arriver avec l'espace disque disponible.
Pas de panique, la commande tar associée à ssh, à un pipe et cat permette de faire des miracles.

ssh -n ServeurDistant -p PORT 'tar zcvf - toto.txt' | cat - > toto.tar.gz

Avec ça, depuis votre terminal, vous récupérez le contenu de toto.txt, que vous archivez simplement sur votre disque dur local. Celui du serveur distant n'est plus utilisé : terminé le problème de place !

Bon dimanche ! :)


<noscript></noscript>

2015-05-09

Notes de service - Modération et diaspote


La première note de service touche ce blog. Je dois malheureusement mettre en place une modération des commentaires. Trop de spam me pourrissent la vie. J’espère que ça sera temporaire.

La deuxième note de service est une indisponibilité malheureuse de diaspote pendant un peu moins de 24h suite à une mise à jour foireuse. On reste à la pointe de la nouveauté avec ce que cela entraine de petits problèmes ! :)
La remise en service a pris un peu de temps mais tout refonctionne maintenant. Notez qu'une mauvaise manipulation de ma part a entrainé une perte de fichiers images. Je suis tout désolé. Maintenant je sais qu'il ne faut pas utiliser la commande git clean sans réfléchir.

Voilà pour ce billet rapide. Bon weekend ! :)


<noscript></noscript>

2015-05-06

Joyeux International day Against DRM




Aujourd'hui, c’est la journée contre les DRM. Qui en parle ? Peu de gens.

Les débats tournent, fort heureusement, plus autour du projet de loi sur le renseignement, que je condamne comme tous mes pairs blogueurs et techniciens.

Mais les DRM ?

On voit que Mozilla doit se plier aux règles pour incorporer à contrecœur les DRM dans Firefox.

On voit que le passage tant attendu au HTML5 en remplacement du flash se fait beaucoup via Google Chrome aux dépens de Firefox.

On voit que de belles applications de Firefox OS se trouvent retardées pour cause d’intégration de DRM, pour Netflix.

Les DRM s'installent dans notre paysage et on n'en parle plus. Aujourd'hui, c'est la journée internationale contre les DRM. Un écho quelque part ? Non, pas vraiment. On va se faire avoir, les amis, on va se faire avoir. Ils avancent doucement mais sûrement pendant qu'on se voit obliger de s’écarteler pour lutter contre toutes les autres cochonneries qui pointent le bout de leur nez.

Je dois avouer que ça me déprime.


<noscript></noscript>

2015-05-05

Une dernière vidéo avant de voir nos députés tuer une partie de nos libertés


<iframe allowfullscreen="" frameborder="0" height="540" src="https://www.dadall.info/www.dailymotion.com/embed/video/x2p398w" width="960"></iframe>
6 heures contre la surveillance : Combattre... par Mediapart

Cette vidéo regroupe les propos Benjamin Bayart, Pouria Amirshahi, Isabelle Attard et Clémence Bectarte. Elle est tirée des 6h de direct organisés hier soir par Mediapart. Vous retrouverez toutes les vidéos ici.

Bon visionnage, on se reparle après le vote prévu dans les environs de 16h / 17h30.


<noscript></noscript>

2015-05-04

diaspora* : le réseau social libre et décentralisé passe en 0.5





Enfin une nouvelle version stable à se mettre sous la main ! Diaspora* passe donc en 0.5.0.0.

Petit rappel pour les retardataires : diaspora* est un réseau social qui n'est pas détenu ou contrôlé par une entreprise.

La bienséance et les propos emmerdants n'y figurent pas en bonne place. On y trouve des gens engagés, ou pas, dont les idées sont souvent enrichissantes. Rassurez-vous, on y trouve aussi des photos de chats. Dans les choses vraiment bien, diaspora* vous certifie que les propos ne sont pas triés ou organisés de façon à mieux coller à vos envies du moment. Ça peut paraître un peu brutal dit comme ça, mais quand on sait que Twitter, Facebook & co s'amusent à penser à votre place, savoir qu'un réseau social existe sans vous infliger ça, c'est agréable.
Pour finir, je dirais que le réseau est entretenu par des bénévoles qui ne gagnent pas le moindre kopeck en vous offrant leurs portes d’entrées. Pas de profilage qu'on pourrait revendre. Mieux mais un peu plus compliqué, vous pouvez installer votre propre pod et partager avec nous depuis votre chez vous.

Et cette nouvelle version alors ?! Comme partout, on retrouve des mises à jour : Ruby 1.9 n'est plus supporté, la 2.0 l'est toujours et la 2.1 l'est maintenant. 

Dans les nouveautés, on notera l’arrivée d'un système de détection des comptes abandonnés pour soulager le travail des podmins, l’intégration de Camo pour proxifier tout ce qui serait appelé depuis l’extérieur du pod, et qui vous traque donc, et le fameux chat, qui reste malheureusement expérimental.

Je passe sur la longue liste de bogues corrigés et la toute aussi longue liste des petites améliorations qui se cachent un peu partout. Vous pouvez passer par l'annonce officielle pour tout découvrir ou par le blog de Fla.

Les pods vont maintenant se mettre à jour tout doucement. Courage aux podmins qui gèrent des serveurs noyés d'utilisateurs, je bois du café à votre santé !

Si l'envie de tester diaspora* vous submerge, vous pouvez librement vous inscrire sur Framasphere, le pod de l'association Framasoft, venir faire un tour sur Diaspote, le pod que je gère avec l'ami Augier, ou choisir celui qui conviendra le mieux par ici.


<noscript></noscript>

2015-05-02

Don du mois : grammalecte

Ce post s'inscrit dans la série des dons pour vous donner envie de contribuer même très modestement à des logiciels libres. Les petites pierres font les grands édifices (ex de pratiques similaires : 1, 2).

Ce mois-ci, j'ai choisi de donner à grammalecte, une campagne de financement pour un correcteur grammatical. Le montant de ce don est de 5€. Les raisons de ce soutien :

  • développement d'un logiciel libre (comme spécifié ici.
  • utilité grand public évidente
  • fonction serveur qui offira la possibilité d'interfacer avec n'importe quel logiciel et language (latex, markdown...).
  • greffons firefox et thunderbird qui rendront la solution populaire (donc retour d'expérience, donc amélioration à long terme)

Pour donner à grammalecte.

2015-05-01

L’art de se compliquer la vie ?

Je passe mon temps à me compliquer la vie lorsque je touche à un ordinateur, et à plus forte raison lorsque je l’administre. A y regarder de près, ce n’est pas forcement faux, en apparence du moins. Je pense en fait que ce n’est qu’une question de point de vue et que tout le monde ne place pas le curseur au même endroit. Il m’a donc semblé intéressant de regarder ça plus en détail.

Une histoire de curseur

Qui dit curseur dit compromis entre, au moins, deux paramètres :

  • Le premier est la simplicité d’usage et le côté accueillant de la chose (user friendly comme on dit quand on est hype).
  • Le second paramètre est lié à la maîtrise et, par extension, au degré de confiance que l’on a envers l’outil.

De mon point de vue, lorsqu’on utilise un outil qui nous facilite grandement la vie, il se produit deux choses :

  • D’une part, on transfert la complexité d’une tâche avec peu de valeur ajoutée à un outil.
  • D’autre part, on mobilise son énergie à faire autre chose.

Mobiliser ses capacités à faire des choses intéressantes ou vraiment créatives, c’est cool. La contre partie, c’est qu’il faut se poser quelques questions basiques avant de transférer un tâche quelle qu’elle soit. En fait, la question la plus intéressante consiste à savoir quel est le contrôle que l’on a sur ce nouvel outil. Ce que l’on néglige souvent, c’est que celui contrôle l’outil peut plus facilement contrôler les données traitées par cet outil. Alors, quand on contrôle soit même l’outil, pas de problème, mais quand c’est un autre que vous, c’est sensiblement plus compliqué…

L’innovation

Le cloud, lorsqu’il est géré par un tiers (c’est donc ce détail qui a de l’importance ici), est l’exemple typique où l’on est amené à échanger un peu du contrôle que l’on a de nos données contre un peu de confort. Oui, c’est pratique de pouvoir travailler sur un document depuis n’importe quelle machine, simplement en se connectant à un service avec son navigateur web. Toutefois, ce document n’est alors plus sous votre contrôle et vous ne pouvez rien faire si d’aventure, votre fournisseur de service cloud décidait d’apprécier votre prose. Dans l’absolu, vous n’avez même pas le moyen de savoir quels traitements sont appliqués à vos documents. Finalement, ce ne sont peut être déjà plus tout à fait vos documents (j’exagère à peine).

Le cloud n’est qu’un exemple parmi d’autres mais c’est le plus parlant. J’aurais tout aussi bien pu parler de voitures sans pilotes, de télévisions connectées, de services centralisés sur internet… L’innovation aujourd’hui, au moins dans le numérique, semble se focaliser uniquement sur les moyens de nous simplifier la vie, et par ricocher, nous amène à déléguer à des tiers la gestion de choses anodines en apparence mais potentiellement importantes dans le fond. L’utilisateur moyen n’aurait pas d’autre but que de se décharger des basses besognes à n’importe quel prix, afin de mobiliser son énergie à réaliser des tâches de plus haut niveau ?

L’envie de progrès

Je ne me retrouve pas dans cette course à l’innovation car à mon sens, elle nous dépossède peu à peu, mais sûrement, de choses importantes. Je pense d’abord au respect de notre vie privée, mais aussi à notre indépendance vis à vis de tel ou tel fournisseur de solution, à notre capacité de faire des choix éclairés ou à notre autonomie face à un dysfonctionnement. L’innovation vue sous cet angle ressemble plus à un moyen d’asservir ou de garder l’utilisateur captif qu’autre chose. En tout cas, elle ne permet pas de réel progrès.

L’envie de progrès me semble être le dénominateur commun de ceux qui cherchent à comprendre comment tout ce joyeux bordel fonctionne et comment il pourrait mieux fonctionner pour profiter à tous. Le partage de l’information à chaque fois que c’est possible ou la curiosité sont alors des réponses possibles face à cette problématique.

Je me complique la vie, certes, mais c’est un acte assumé. Assumé en tout cas depuis que j’ai pris conscience de l’importance de ce qu’il est nécessaire de perdre pour un peu de confort. Mon propre curseur est sans doute plus proche de l’envie (ou plutôt de la nécessité) de maîtrise que de la facilité d’usage.

Ainsi, ceux qui passent de temps à autre sur ce blog savent par exemple qu’il est auto-hébergé. Ça implique des contraintes :

  • Matériel fonctionnant 24h/24, 7j/7 à mon domicile (conso électrique supplémentaire ; plan de reprise d’activité en cas de pannes).
  • Gestion de la politique de sauvegarde des données que l’on gère (typiquement, le mail de mes quelques comptes).
  • Administration au quotidien.
  • Chercher à comprendre comment ça fonctionne.

Ça peut paraître lourd et contraignant. La réalisation de cette tâche aurait été nettement plus simple (et possiblement mieux réalisée sur le plan technique) si je l’avais transférée chez un prestataire de service quelconque. Pour autant, mes données sont sur ma machine et je suis le seul à y avoir légitimement accès. Ça ne me met pas totalement à l’abri car un cambriolage ou un piratage est toujours possible après tout, mais ça va dans le bon sens.

L’auto-hébergement (et tant qu’à faire, rien qu’avec du logiciel libre) n’est qu’un exemple. j’aurais aussi pu parler de l’utilisation d’outils permettant d’améliorer le respect de sa vie privée sur le web. Un navigateur Firefox, bien paramétré et avec les bons plugins par exemple est parfois contraignant à utiliser au quotidien et rend certains sites quasiment impraticables. Cet outil a en fait un rôle pédagogique car il pointe par exemple des problèmes potentiels de sécurité. J’ai en mémoire un site web sur lequel je ne pouvais pas naviguer lorsque le plugin « request policy » était activé dans mon navigateur, la faute à un menu entièrement géré par JQuery (JQuery étant chargé dans ce cas depuis le site de google).

Pour conclure

La guillotine a en son temps été une innovation technique remarquable. Pourtant, le progrès pour l’homme fut d’en interdire l’utilisation. Il en va de même pour l’innovation dans le numérique qui n’est pas non plus synonyme systématiquement de progrès. Conservons donc notre curiosité et notre esprit critique, même si ça fait parfois mal au crâne.

Manifestation ce lundi 4 mai contre le #PJLRenseignement




On remet ça les amis ! On retourne dans la rue, sans doute sous la pluie, mais motivé pour bien montrer à notre représentation nationale qu'on ne veut pas de ces boites noires au cœur de notre beau réseau.

Pour plus d'informations, je vous redirige vers le billet de Tristan Nitot.

On se retrouve ce 4 mai, 18h30 environ, Esplanade des Invalides.

Bon week-end et à lundi ;-)


<noscript></noscript>

2015-04-30

Ubuntu 14.04 : activer la connexion filaire




Je viens de changer de matériel pour rafraîchir le vieux PC fixe sur lequel je traîne le plus clair de mon temps. Nouveau processeur avec la carte mère qui va bien et un peu plus de mémoire vive.

Je passe donc d'un vieux Intel Q6600 à un AMD FX 8250, de 4 cores à 8 et ça fait du bien. Le support de cette petite merveille est une carte mère Gigabyte 990XA-UD3. Après mise en place, cette CM m'a quand même filé du boulot : pas moyen d'avoir une connexion filaire. C'est assez con quand on est sur un PC fixe. C'est un problème de driver qui ne passe pas correctement.

Pour la retrouver, voici la solution :

sudo apt-get install linux-headers-generic build-essential dkms
wget wget http://ftp.debian.org/debian/pool/main/r/r8168/r8168-dkms_8.039.00-1_all.deb
sudo dpkg -i r8168*.deb
echo "blacklist r8169" | sudo tee -a /etc/modprobe.d/blacklist-r8169.conf
sudo modprobe -rfv r8169
sudo modprobe -v r8168
sudo service network-manager restart
Et hop, c'est tout. La connexion ethernet repart. Maintenant, pour vous, le dernier problème à résoudre est de trouver un moyen d'avoir une connexion internet ou une clé USB pour récupérer les quelques paquets à installer :-). Moi, je suis passé par un vieux dongle wifi qui traînait dans un carton.


<noscript></noscript>

2015-04-29

Auto-hébergement : le retour

Voilà un moment que j’ai rédigé ce premier article sur mes réflexions sur l’auto-hébergement de mes services web. Près de quatre ans ont passé et un certain nombre de choses ont évolué.

Petit tour du propriétaire…web-server

Matériel

Commençons par la base. Le serveur que j’utilisais lors de la rédaction de mon premier article était clairement limité et a commencé à montrer de sérieux signes de faiblesse quelques mois plus tard.

J’ai donc investi dans un mini-PC répondant un peu mieux à mes besoins en terme de puissance et d’espace de stockage sans sacrifier les coûts : coût direct ( à l’achat) et indirect (consommation électrique). Processeur Intel Atom D525, 2 Go de mémoire vive et 320 Go d’espace disque et 25 W de consommation électrique le tout pour à peine plus de 200 euros à l’époque. La parfaite petite bête pour subir mes expérimentations. et me rendre quelques menus services.

Système d’exploitation

Je vais passer rapidement sur ce point, il n’y a pas grand chose à en dire, j’utilise une distribution Ubuntu serveur (14.04 aujourd’hui) qui me convient parfaitement et qui me permet de garder un parc informatique uniforme puisque mes autres machines fonctionnent également avec Ubuntu.

Je vois d’ici le puristes critiquer ce choix avec plus ou moins de raisons valables. Je suis conscient que qu’Ubuntu n’est pas le choix le plus pertinent pour un serveur, mais c’est le miens.

Services

Voici la partie vraiment intéressante de l’article.

Je parlais d’iFolder comme alternative à DropBox, je me suis finalement dirigé vers ownCloud et son client desktop qui sont les outils parfait pour la synchronisation et le partage de fichiers. Simple d’installation, de configuration et d’utilisation cet outil est l’une des meilleurs trouvailles que j’ai fait. D’autant plus qu’il ne se limite pas au partage de fichier mais est capable de beaucoup d’autres choses via les « apps » qu’on peut lui ajouter. En ce qui me concerne j’utilise notamment l’app calendar qui m’a permis de me séparer de Google Calendar l’un des outils du géant américain que j’utilisais le plus. L’app contact permet également de disposer d’un annuaire de contact synchronisable avec le protocole CardDAV.

Subsonic est un outil que j’avais déjà repéré lors de la rédaction du premier article et je peux aujourd’hui dire que je ne me suis pas trompé. C’est une petite merveille qui me permet de streamer l’intégralité de ma bibliothèque musicale via navigateur web quand je suis au travail ou chez moi, mais aussi via l’application android dédiée lorsque je suis en voiture ou dans les transports en commun. Un vrai bonheur d’avoir accès à la totalité de ses titres et de gérer ses playlist depuis n’importe où. Je sais que certain regretterons de ne pouvoir découvrir de nouveaux titres comme avec Deezer ou Spotify, mais je suis pour ma part pleinement satisfait de cette solution.

Le gros morceau : Google. Nous l’avons vu plus haut j’ai réussi à me séparer de Google calendar grâce à ownCloud, mais il reste quelques outils.

La disparition de Google Reader en 2013 m’a forcé (pour mon plus grand bien) à adopter une solution alternative. rssLounge n’étant plus maintenu j’ai finalement jeté mon dévolu sur Selfoss, un outil simple et relativement bien fait. Compatible PC et smartphone il répond parfaitement à mes besoins pour l’agrégation de mes flux RSS. Il en permet la lecture, l’archivage des articles favoris et le partage via les réseaux sociaux ou par mail.

Comme je le disais il y a quatre ans, la migration de mes projets Google Code étais alors déjà en cours, c’est désormais chose faite et tout est géré vie Redmine et mes dépôts Subversion. Une solution très pratique et complète même si Redmine me paraît parfois un peu lourd pour mon serveur. Mais pour l’heure hors de question de m’en séparer.

J’avais également abordé la question de Google Doc, outil que j’utilisais très peu. L’alternative que j’évoquais alors ne semble pas très active et n’en ressentant pas le besoin, j’ai laissé ce point de côté.

Reste le sacro-saint Gmail. C’est désormais le seul outil auquel je n’ai pas trouvé d’alternative satisfaisante. Les choses bougent et on voit fleurir un peu partout différents projets de messagerie, mais pour l’heure aucun qui répondent aussi parfaitement à mes exigences que l’outil de Google. Je vais donc continuer à l’utiliser pendant encore un certain temps je pense, mais certainement de plus en plus en chiffrant mes messages pour sécuriser mes échanges.

Petits plus

Je ne l’avais pas prévu au départ, mais quelques outils sont venus se rajouter à la liste de ceux que j’avais énoncé en 2011.

Notamment transmission un client BitTorrent disposant d’une interface web simple et parfaitement fonctionnel. Un petit outil accessible à distance pour le téléchargement et le partage de fichiers (en toute légalité bien évidemment).

Afin de rendre accessible simplement certaines informations j’ai également mis en place un wiki grâce à dokuwiki. Simple et sans base de données, l’outil parfait pour avoir quelques pages facilement accessibles et modifiables depuis l’extérieur.

Tous ces services sont donc désormais installés sur mon serveur. Tous accessibles par navigateur, et depuis peu tous sécurisés par SSL pour limiter les risques de fuites d’informations. La configuration d’Apache pour en arriver là a demandé du temps et a pas mal joué avec mes nerfs, mais c’est fait et ça fonctionne parfaitement avec mes certificats auto-signés. C’est un petit plus qui trouve de plus en plus son importance aujourd’hui.

Un dernier petit point intéressant lorsqu’on héberge, comme moi, ses services sur une ligne ADSL classique et que son IP publique est donc régulièrement changée par son FAI. OVH permet l’utilisation, avec les noms de domaine achetés chez eux, de l’outil ddclient qui a le même rôle que DynDNS ou No-Ip. Cela permet donc de mettre à jour automatiquement son adresse IP publique auprès des DNS et permet donc de disposer d’un nom de domaine parfaitement personnalisé et de sous-domaines, même pour un serveur auto-hébergé. C’est un point très appréciable et qui facilite la vie quand il s’agit de se connecter à ses différents services.

Conclusion

Il me reste à l’avenir à installer et configurer une annuaire LDAP pour permettre de synchroniser les identifiants de connexion sur chacun de ces services, et pouvoir ainsi gérer plus facilement l’ajout d’utilisateurs et le renouvellement des mots de passe.

Je l’indiquais en clôture de mon article précédents, les alternatives accessibles au moins expérimentés d’entre nous commencent à fleurir un peu partout. Le projet BeedBox que je citais semble être en pause depuis un moment maintenant, mais d’autres communautés comme Yunohost ou CozyCloud par exemple se montrent de plus en plus actives et c’est tant mieux.

Face aux actualités récentes concernant la surveillance des données par les gouvernements et les grands acteurs économiques, l’auto-hébergement me paraît plus que jamais une solution à essaimer et cultiver.

Flattr this!

2015-04-28

TomTom et Mozilla s'associent pour pondre un GPS pour FirefoxOS



C'est une critique qu'on trouve régulièrement dans les fils de discussion autour de FirefoxOS : cet OS mobile n'a pas de GPS digne de ce nom.

C'est vrai qu'avec Here Maps, qu'on ne trouve même plus dans le marketplace, on frôle à peine le tolérable, si on compare l'application avec celles disponibles sur Android, iOS et les autres. Ceci dit, personnellement, quand je me balade dans les rues de Paris, je suis bien content de l'avoir. A pied, le nez sur l'écran, ça passe. En voiture, ce n'est pas la même histoire. Cependant, personne ne sait comment l'application de Nokia va évoluer : elle est à vendre et les prétendants ne sont pas vraiment ma tasse de thé.

Pour pallier ce manque, TomTom et Mozilla se sont mis d'accord pour fournir un GPS en HTML5 pour FirefoxOS. On connaît bien TomTom et leur capacité à faire des GPS plus que convenable alors la nouvelle va donner du baume aux cœurs des adeptes du système mobile de la fondation.

C'est une annonce, il va falloir attendre de savoir ce que ça va donner et quand on pourra jouer avec la chose. L’idée m'enchante tout de même.


<noscript></noscript>

2015-04-27

GNU/Linux Debian 8 Jessie est disponible !



C'est après 24 mois de boulot que les gars de chez Debian nous annoncent la sortie de leur dernier né : Jessie

Au programme de cette version, on notera comme changements notables le passage officiel à systemd comme remplaçant de sysvinit, une grosse amélioration du support de l'UEFI, l’utilisation du kernel 3.16 et le support étendu d'office grâce au travail des équipes LTS et Security (5 ans de tranquillité !)

On peut aussi lister les différentes mises à jour :
  • GNOME 3.14
  • GIMP 2.8.14
  • KDE 4.11.13
  • LibreOffice 4.3.3
  • Iceweasel (Firefox) 31.6
  • Icedove (Thunderbird) 31.6.0
Ils nous disent que la mise à niveau devrait se passer sans douleur et sans période de déconnexion, ce qui est une bonne nouvelle pour ceux qui gèrent des serveurs. Cependant, pensez tout de même à regarder les notes de publication, histoire d’être certain que vous ne ferez pas le mauvais choix.

Je me sers de Jessie sur mes deux PC portables et j'en suis très très content. Avec du GNOME, c'est beau, c'est fluide et vraiment très agréable. J’écris ces quelques mots depuis un vieux EliteBook 8530w qui carbure vraiment avec Debian 8.

Lors de la sortie de Debian 7, on était passé pas loin d'avoir une distribution efficace et assez fraîche pour une utilisation Desktop, avec la 8, on a franchi le pas. Elle n'a pas grand chose à envier aux Ubuntu, Mageia et consœurs, si ce n'est quelques outils qui installent automatiquement les greffons multimédias.

Pour la télécharger, c'est par ici et pour l'essayer en Live, c'est ici.

Il ne me reste plus qu'à prévoir la mise à jour de ce serveur et de celui de diaspote !


<noscript></noscript>

2015-04-22

Installer Sonerezh sur Debian Wheezy


Je me rends compte que les gens rencontrent des difficultés à installer le lecteur de musique en ligne Sonerezh alors voici un rapide tutoriel pour s'en sortir.

Vous trouverez ci-dessous de quoi installer la branche master, celle qui marche directement tout en contenant quelques petits bugs peu gênants.

Je passe sur l'installation de LAMP, vous trouverez les infos qu'il vous faut par ici.

Récupérer les sources

git clone https://github.com/Sonerezh/sonerezh.git -b master

Configurer les droits

chown -R www-data: sonerezh/
chmod -R 775 sonerezh/

Vérifier les modules Apache2 nécessaires

Voici la liste des modules pour Apache2 que j'utilise actuellement. Cette liste en contient surement qui ne sont pas utiles à Sonerezh mais je pars du principe que si cette liste marche chez moi, ça marchera chez vous ;)
  •  core_module (static)
  •  log_config_module (static)
  •  logio_module (static)
  •  version_module (static)
  •  mpm_event_module (static)
  •  http_module (static)
  •  so_module (static)
  •  actions_module (shared)
  •  alias_module (shared)
  •  auth_basic_module (shared)
  •  authn_file_module (shared)
  •  authz_default_module (shared)
  •  authz_groupfile_module (shared)
  •  authz_host_module (shared)
  •  authz_user_module (shared)
  •  autoindex_module (shared)
  •  cgi_module (shared)
  •  cgid_module (shared)
  •  deflate_module (shared)
  •  dir_module (shared)
  •  env_module (shared)
  •  fastcgi_module (shared)
  •  headers_module (shared)
  •  mime_module (shared)
  •  negotiation_module (shared)
  •  proxy_module (shared)
  •  proxy_balancer_module (shared)
  •  proxy_http_module (shared)
  •  reqtimeout_module (shared)
  •  rewrite_module (shared)
  •  setenvif_module (shared)
  •  ssl_module (shared)
  •  status_module (shared)

S'il vous en manque, un a2enmod nondumodule vous permettra de l'activer.

Vérification des dépendances pour PHP5

  • libapache2-mod-php5
  • php5
  • php5-cgi
  • php5-cli
  • php5-common
  • php5-curl
  • php5-fpm
  • php5-gd
  • php5-imagick
  • php5-mcrypt
  • php5-mysql
  • php-acp

Il en manque ? apt-get install nomdupaquet pour l'installer.

Configuration du virtualhost

Adaptez ce virtualhost à votre installation.

<VirtualHost *:80>
        ServerAdmin admin@monserv.tld
        ServerName www.monserv.tld
        DocumentRoot /var/www/sonerezh
        <Directory /var/www/sonerezh>
                Options -Indexes
                AllowOverride all
                Order allow,deny
                allow from all
        </Directory>
    CustomLog   /var/log/apache2/demo.sonerezh.bzh-access.log "Combined"
    ErrorLog    /var/log/apache2/demo.sonerezh.bzh-error.log
</VirtualHost>

Redémarrez apache2 pour que tout soit bien chargé et certifié sans erreur.

Configurer MySQL

C'est par ici que ça se passe, la documentation officielle est très claire.



Nous y voilà, c'est la fin ! Vous pouvez maintenant vous connecter à votre instance Sonerezh et suivre la procédure d'installation automatique !


<noscript></noscript>

2015-04-19

Facebook lit les documents Google Doc partagés

  1. Créez un nouveau document Google Doc.
  2. Créez un lien de partage (seuls les personnes connaissant le lien peuvent accéder au document)
  3. Partagez ce lien dans un message privé sur Facebook.
  4. Regardez immédiatement la page web Google Doc, vous verrez 2 utilisateurs anonymes connectés à votre document ! Et ce alors que votre destinataire n’a pas encore lu votre message !

Facebook a l’air d’aspirer tous les nouveaux documents Google Doc échangés sur Facebook. Le même comportement s’observe si vous publiez le lien Google Doc sur votre mur Facebook.

Autre élément corroborant, une vignette miniature du document apparaît dans Facebook à coté de votre lien. Cela montre que Facebook l’a lu et en a fait une capture d’écran. Votre document a de forte chances d’être exploité à toute fin utile pour Facebook et les USA (tracking publicitaire, détection des terroristes et pédophiles, espionnage commercial par la NSA, etc…)

Bref, Facebook, ce n’est pas chez vous, et ce n’est pas privé. Relisez ses conditions d’utilisation.

J'aime(6)Ferme-la !(0)

Astuces du dimanche #3


Aujourd'hui je vous parle de deux utilitaires qui devraient être connus de tous, ou presque, enfin, ceux qui gèrent des serveurs : Tmux et Screen.

Tmux

On m'en parle depuis pas mal de temps. Jamais je n'avais fait l'effort de m'y mettre de peur de devoir changer trop d'habitudes. Ça, c'était jusqu'à il y a encore quelques jours. Je sais maintenant m'en servir et pourquoi. Conclusion : c'est super !

Installer le paquet

aptitude install tmux

Utiliser tmux

C'est là que ça demande de la pratique, mais pas tant que ça. Une fois que vous connaissez les 5 commandes les plus intéressantes, vous pouvez être le roi du monde :
  • ctrl^b + " = Découpage horizontal
  • ctrl^b + % = Découpage vertical
  • ctrl^b + o = Changer de fenêtre
  • ctrl^b + x = Fermer la fenêtre actuelle
  • ctrl^b + z = Passer en plein écran
A partir de là, vous pouvez vous amuser à afficher des choses comme ça :




De gauche à droite : un echo tout simple, Htop, Emacs avec 2 fenêtres et Emacs affichant le code d'une image PNG en hexl-mode. Le tout dans une seul terminal ouvert. C'est quand même chouette. Notez l'inception Tmux dans Emacs ! :-)
Vous l'aurez compris, Tmux permet d'utiliser plusieurs terminaux dans un seul affichage. Super pratique dans un nombre incalculable de cas. Vous trouverez sans doute une bonne occasion de vous en servir.

Screen

Installer Screen

aptitude install screen
Screen reprend une fonction de Tmux dont je n'ai pas parlé au dessus puisque je ne m'en sers tout simplement pas. Screen permet de détacher un terminal virtuel. En bon français, on pourrait dire que le terminal passe en tâche de fond tout en continuant de fonctionner et sans qu'une action ne le dérange. On peut reprendre la main via une simple commande et rejouer avec ultérieurement.

J'utilise screen dans deux cas : pour faire tourner mon pod diaspora et pour exécuter des commandes extrêmement longues sur un serveur. Screen détachant le terminal dans lequel la commande est exécutée, celle-ci devient insensible à une déconnexion et continue ainsi à tourner. Ça sauve la vie ce genre de chose.

Utiliser Screen

  • screen -S nomdelasession = créer une session
  • screen -ls = liste les sessions en cours
  • screen -r nomdelasession = permet de récupérer une session

Mais encore :

  • ctrl^a + d = détache le terminal en cours
  • ctrl^a + n = va au terminal suivant
  • ctrl^a + p = va au terminal précédent
  • ctrl^a + c = créer un nouveau terminal

On pourrait dire que Tmux est plus avantageux que Screen puisqu'il permet aussi de détacher les terminaux mais, personnellement, je les vois vraiment dans deux rôles différents. Tmux pour le bordel, Screen pour le détachage de terminal.

Voilà pour ce dimanche. Je vous laisse fouiller les mans des deux outils pour trouver ce qu'ils cachent encore. Entre Tmux, Screen et Emacs, je vous souhaite bon courage pour ne pas vous tordre les doigts !


<noscript></noscript>

2015-04-18

JAH-5 – De l'installation épique d'une Debian Lenny

Journal de bord du capitaine :
Date : 10 janvier 2010
Lieu : Perdu dans le cyber espace

J'avais profité du délai de livraison pour lire en détail la section consacrée au choix de la distribution dans le wiki sur l'auto-hébergement dont j'ai déjà parlé dans ce journal [1]. Mon choix s'est assez rapidement arrêté sur la dernière Debian stable : Lenny 5.0.3, les distributions Debian étant réputées pour leur fiabilité, leur stabilité et leur documentation fournie. Par ailleurs, étant tombé dans le monde du logiciel libre par le terrier Ubuntu, j'étais un peu familiarisé avec les principes de fonctionnement (dépôts de paquets installant des binaires pré-compilés et autres) et les logiciels de base (entre autre apt) des distributions Debian. Je me suis donc procuré sur le site officiel le manuel d'installation Debian pour amd64 (l'architecture de mon processeur Intel Atom) et j'ai commencé à le lire en entier.

Ce fut une erreur, car ce manuel, ultra complet, bien qu'écrit clairement, contient beaucoup de détails qui peuvent perdre l'utilisateur novice. Je me suis alors rabattu sur les sections spécifiques qui présentent des guides rapides d'installation. Comme je l'ai dit précédemment, la documentation Debian est très bien fournie et contient tout ce que l'on peut chercher à savoir : les guides d'installation rapide se trouvent en annexe de la documentation officielle, nul besoin d'écumer le net à la recherche de conseil.

J'ai opté pour une installation dite : netinstall, qui permet d'installer et de lancer l'installateur Debian avec le minimum de paquets requis, puis lors de l'installation les paquets supplémentaires nécessaires, en fonction des choix de configuration, sont téléchargés à la volée. Ne disposant pas de lecteur cd-rom sur mon serveur, l'installation par clé USB me sembla un choix judicieux. J'ai donc suivi les indications de la "méthode détaillée" décrite dans le guide d'installation Debian afin de créer une clé USB bootable contenant l'installeur (copie de quelques fichiers sur la clé et édition d'un fichier texte).

Lorsqu'on se lance dans quelque chose de nouveau, il convient de faire les choses une à une afin de savoir précisément quelle étape à pu causer des problèmes en cas de soucis. C'est pourquoi, avant même de tenter le démarrage sur clé USB, j'ai mis sous tension mon serveur et essayé de l'allumer. Et là, un miracle : il a démarré sans problème ! Le disque dur étant bien évidemment vide, une fois l'initialisation terminée, le programme d'installation par réseau (installé par défaut dans la carte-mère) s'est lancé puis stoppé une fois qu'il eût terminé d'examiner le réseau, sans rien trouver pour démarrer.

Je redémarre afin de paramétrer le BIOS pour qu'il tente le démarrage en priorité sur les périphériques amovibles puis les disques durs internes et ensuite seulement les périphériques réseau. Je sauvegarde, insère ma clé USB, redémarre, le BIOS s'initialise et là ... c'est le drame : "Boot Error". J'appuie sur une touche, le programme d'installation par réseau se lance alors et se termine comme la fois précédente. Cela semble donc évident : il y a un problème avec ma clé USB. Il est possible que lors du téléchargement, ou de la copie, un des fichiers ait été corrompu. Je repars donc de zéro et récréé une clé en retéléchargeant les fichiers depuis les serveurs Debian (je vérifie les sommes de contrôles, cette fois), je retente et là ... même résultat. Ayant heureusement plusieurs PC en ma possession, je teste ma clé sur un autre ordinateur : l'installateur démarre sans problème. Cette "Boot Error" était donc bien due à mon serveur et non à l'installateur sur le clé. Un problème matériel me semblant exclu (j'ai testé sur différents ports USB par acquis de conscience) il ne pouvait s'agir que d'un problème de configuration du BIOS; mais n'ayant rien modifié, à part l'ordre de démarrage des périphériques, l'erreur venait plus probablement d'une des options par défaut que d'une de mes modifications.

C'est Internet qui m'apporta la solution : en cherchant le nom de ma carte-mère et USB Boot Error, les premiers liens me guidèrent vers différents forums qui m'apprirent qu'une des options par défaut du BIOS concernant la gestion des périphériques amovibles gérait mal les périphériques bootable [2]. Ça ne s'invente pas ! Une fois cette option changée, je tente un énième redémarrage et là ... miracle : l'installateur démarre !

Les premières étapes de l'installation se déroulent sans problème : langue, nom de la machine, nom de domaine, etc. Arrive l'étape de la recherche d'une image iso sur le périphérique d'installation, cette image étant sensée contenir plus ou moins de paquets selon celle qui a été copiée lors de la création de la clé. Tout était beaucoup trop facile depuis une dizaine de minutes, je n'aurais pas dû baisser ma garde. Une nouvelle fois, une erreur : "Il n'y pas d'image iso sur le périphérique ou elle n'est pas nommée correctement". Après plusieurs relectures attentives du guide d'installation Debian, je me rends compte que je ne sais tout simplement pas lire. Le guide indiquait de copier une image dite "netinst" voyant un répertoire "netboot" à côté du répertoire où j'avais récupéré les autres fichiers, j'ai été cherché mon iso dans ce répertoire "netboot" ... Cette idiotie m'a fait perdre une bonne demi-heure avant que je m'en rende compte et que je récupère enfin, en quelques minutes, sur le site de Debian, une vraie iso "netinst". Ma clé correctement préparée, j'ai pu redémarrer l'installateur sur mon serveur.

Une fois les étapes préliminaires terminées, arrive, de nouveau, la détection de l'image iso qui cette fois ce déroule sans problème. Forcément, une fois qu'on fait ce qui est marqué dans le manuel et qu'on improvise pas en lisant les mots de travers ça ce passe mieux ! Après quelques minutes, vient l'étape clé de la gestion du disque dur. Ayant à l'avance préparé mes partitions, je ne pensais pas passer trop de temps sur cette étape; erreur monumentale bien sûr, car j'avais oublié de prendre en compte le chiffrement ! N'étant pas du tout familier du chiffrement des partitions, je m'improvise expert en cinq minutes avec wikipédia, le temps de me renseigner sur les options proposées par l'installateur Debian, notamment l'utilisation de LVM (Logical Volume Manager) qui, résumons très grossièrement, permet de créer des partitions logiques sans tenir compte des disques physiques en présence; par exemple : faire une seule partition sur deux disques distincts ou encore redimensionner très simplement des partitions sans perdre leur contenu. Il est possible d'utiliser LVM sur des volumes chiffrés mais j'ai fait le choix de ne pas l'utiliser.

Je décide donc de chiffrer entièrement mes deux partitions et de les utiliser comme prévu, car le chiffrement se passe en deux temps : tout d'abord on chiffre un volume, afin d'augmenter la sécurité, il est rempli de données aléatoires (ce qui peut s'avérer assez long si les volumes sont importants); le volume qu'on avait sélectionné apparaît alors comme volume chiffré et une nouvelle partition (identique au volume chiffré avant son chiffrement) s'ajoute au menu de sélection des partitions. On peut alors utiliser cette nouvelle partition comme n'importe quelle autre : choisir son utilisation (système de fichiers, swap, etc), son point de montage, la rendre amorçable ... Je paramètre donc mes partitions comme prévu : une pour la racine du système et l'autre qui accueillera les répertoires personnels des utilisateurs. C'était avant le drame bien entendu, car au moment de passer à l'étape suivante l'installateur me signale par un message d'erreur que si je veux chiffrer mes partitions, il me faut obligatoirement une partition de boot non chiffrée. Cela est bien sûr indiqué dans le guide d'installation Debian mais à trop vouloir gagner du temps, on finit toujours par en perdre !

Dans mon malheur, j'ai eu la chance de ne pas avoir à redémonter tout le PC pour remettre le SSD sur mon PC de bureau. Puisque j'avais aligné, partitionné et configuré mon disque en ligne de commande la dernière fois, je n'ai eu qu'à ouvrir le terminal disponible dans l'installateur et tout recommencer, en laissant cette fois une partition d'une centaine de Mo qui ne sera pas chiffrée et servira pour le boot. Une fois les partitions créées, je recommence toutes les étapes d'installation depuis le début (y compris le long remplissage des deux volumes chiffrés); était-ce nécessaire ou aurai-je pu simplement reprendre à l'étape de configuration des disques ? Je n'en sais rien mais dans le doute, je suis reparti de zéro.

Sur les conseils d'un ami, je ne désigne aucune partition comme étant amorçable, soit disant que ça sert à rien ! Je termine toutes les étapes de l'installation (enfin !), viens alors le moment de redémarrer et là ... c'est le drame : bien que la bonne séquence de démarrage ait été définie dans le BIOS, il ne se passe rien lors de la tentative de démarrage sur le disque dur, c'est le démarrage par réseau qui finit par s'amorcer. Ayant un doute sur le "ça sert à rien de marquer la partition comme amorçable", je décide donc de refaire toutes les étapes (y compris les longues) de l'installateur afin que dans l'étape de configuration des disques, je puisse choisir la partition de boot comme partition amorçable.

Lors d'une des dernières étapes de l'installateur, il est demandé de choisir certaines tâches correspondantes à l'utilisation que l'on souhaite faire de l'ordinateur (bureau, serveur, portable etc). Ces tâches correspondent chacune à un ensemble de paquets qui vont être installés sur le PC. Comme la fois précédente, je choisis de n'installer que le minimum de paquets (aucune tâche sélectionnée) afin d'une part : d'éviter d'installer des paquets qui ne me serviront pas (des programmes inutiles pour moi pourraient être lancé en tâche de fond sans que j'en sois conscient); et d'autre part : de limiter le plus possible l'espace sur le disque. L'installateur se termine par l'installation et la configuration de grub (programme permettant de choisir quel système lancer au démarrage) sur la partition amorçable (à mon avis, c'est ici que ça avait pêché la fois précédente).

Je redémarre et là ... ça marche ! Une fois l'initialisation du BIOS terminée, je vois apparaître l'écran de grub qui me propose de lancer Debian en mode normal ou en mode "single-user", je sélectionne le mode normal, le démarrage de Debian commence : je rentre mes mots de passes pour mes partitions chiffrées [3] et enfin j'accède à l'écran de connexion Debian où je peux me connecter avec les comptes root et utilisateur que j'ai créé lors de l'installation.

Conclusion :

  • Les guides d'installation Debian sont très bien fait donc il ne faut pas hésiter à les consulter à chaque étape (lire tout en avance ne sert à rien) et surtout il ne faut pas remplacer un mot par un autre !
  • En cas de problème : Internet est là. Lorsqu'on rencontre un problème en informatique il est rare qu'on soit le premier.

Maintenant que j'avais un système Debian fonctionnel, j'allais pouvoir commencer à installer et à configurer ce dont j'avais besoin pour mon serveur. Mon impatience était à son comble !

Prochaine entrée du journal : Des premiers pas timides d'un débutant sysadmin

Notes

[1] Voir la note n°2 de l'article JAH-1 – Du pourquoi.

[2] Il fallait changer l'option "USB Mass Storage Emulation Type" de "Auto" à "All Fixed Discs". D'après un post de ce thread le paramètre "Auto" considérerait les clés USB de grande capacité comme des disques et refuserait de démarrer dessus.

[3] Chaque partition ayant été chiffrée séparément, elles avaient chacune un mot de passe différent. J'ai appris lors de mes installations suivantes de Debian à utiliser LVM pour créer plusieurs partitions sur un unique volume chiffré, cela simplifiant la procédure de démarrage puisqu'il n'y a qu'un seul mot de passe à taper.

2015-04-17

ownCloud Server laisse tomber Windows Server




C'est officiel, ça y est. J'en parlais au conditionnel dans ce billet en sachant bien que si la question était posée, c'est que ça allait arriver.

[...]we have decided to stop support for Windows as an ownCloud application server.

Cette phrase est cachée dans le premier paragraphe de leur (très) long billet d'annonce. On se retrouve donc avec l'une des plus belles et des plus abouties solutions d'informatique dans les nuages choisissant de ne plus supporter officiellement Microsoft Windows Server.

Ils restent tout de même prudents en ne laissant pas complètement tomber les utilisateurs qui seraient coincés sur cette plate-forme :
  • Ils fournissent des  machines virtuelles
  • Script de migration vers ces VM
  • Support de OC 8 pour Windows maintenu

Si vous voulez savoir pourquoi OC laisse tomber Windows, voici les principales raisons :

  • PHP mal supporté
  • Des magouilles insupportables à faire
  • Des problèmes d'encodage
  • Donc des problèmes de synchronisation
  • Des problèmes de clés de chiffrement
  • Des bugs avec MSSQL
L'abandon de Windows Server sera effective avec la sortie de OC 8.1, ça vous laisse du temps pour vous retourner.

J'en reviens au questionnement sur la position de Microsoft dans le monde de l’hébergement. Ils semblent doucement abandonner ce secteur. Quand on voit que le Windows ordinaire se dirige vers une plate-forme gratuite de vente de services liés à la Apple, cette situation n'est pas étonnante et je suis certain que ça ne sera pas la seule annonce d'abandon parmi les rares applications libres ou open sources qui la supportent encore.


<noscript></noscript>

2015-04-15

Chanson : Gare aux Godillots !


Je vous partage déjà une chanson de JCFrog qui s'attaque au Projet de loi sur le Renseignement, #PJLRenseignement pour les connaisseurs, sur toutes les pages de ce blog. Il y parodie Rape Me de Nirvana pour taper sur les envies de surveillance de masse du gouvernement.

Ce soir, c'est sur les députés naïfs, inconscients ou incompétents qui voteront les yeux fermés le projet de loi du gouvernement, qui en prennent pour leur grade.

Voici sa dernière chanson, bonne écoute !


<iframe allowfullscreen="" frameborder="0" height="315" src="https://www.youtube.com/embed/90L28nunboU" width="420"></iframe>

J'en profite pour vous rappeler que c'est demain que ces godillots voteront en souriant la fin de la vie privée en France malgré la mobilisation sur le terrain économique des entreprises professionnelles du métier.

Quel beau pays.


<noscript></noscript>

2015-04-12

Le B2D contre le Projet de loi sur le Renseignement


Si vous n'en avez pas encore entendu parler, je vous redirige vers le site Sous-surveillance.info, sinon, sachez que ce texte va être discuté cette semaine, très rapidement, et soumis au vote ce jeudi de cette même semaine.

Je me déclare ouvertement contre l'installation de "boites noires" dans le cœur du réseau français. Depuis cet espace, j'affichais déjà un bandeau vous incitant à vous renseigner depuis le site dédié de la Quadrature du Net. Maintenant, je change ma page d’accueil.

Ce n'est malheureusement pas grand chose, c'est pour ça que je serai aussi présent lors de la manifestation de ce lundi 13 avril devant l’Assemblée Nationale.

J’espère vous y retrouver nombreux.

<iframe allowfullscreen="" frameborder="0" height="315" src="https://www.youtube.com/embed/UBdVr9Kj6nc" width="420"></iframe>


<noscript></noscript>

2015-04-10

JAH-4 – Du montage musclé d'un petit serveur

Journal de bord du capitaine :
Date : 6 janvier 2010
Lieu : Perdu dans le cyber espace

Un boîtier où chaque chose est sensée avoir sa place avec l'espace suffisant, des composants fait pour s’emboîter les uns dans les autres, des trous, des vis et un tournevis; voila ce qui s'étalait sous mes yeux au moment où j'ai décidé d'attaquer le montage de mon serveur. Le cœur rempli de l'espoir que dans une petite heure, je pourrais le brancher !

Première chose : le petit sac de vis fourni avec le boîtier. Il me semblait étonnement rempli, je commence donc à détailler son contenu. Je trouve quatre vis identiques j'en déduis donc que ce doit être celle qui vont servir à fixer la carte-mère. En effet, la première étape du "Quick start" fourni avec la carte-mère commence logiquement par la fixation de celle-ci au boîtier. On notera, au passage, que la documentation détaillée de la carte-mère est sur cédérom, et celle du boîtier uniquement disponible sur Internet. Parfaitement logique et simple lorsqu'on monte son tout premier PC. Mais ne chipotons pas, peu de personnes prennent le temps de lire ces manuels (à tort, le plus souvent) donc l'écologie y gagne !

Je commence donc par ouvrir le boîtier Antec. Procédure simple et rapide, composée du dévissage de quelques vis et de coulissement de quelques pièces métalliques. Une fois l'accès au fond du boîtier dégagé, il ne me reste qu'à pousser à l'extérieur du boîtier les nombreux câbles d'alimentation des futurs composants. Ainsi est pleinement dégagé l'espace qu'occupera la carte-mère, les quatre pas de vis étant accessible.

Avec ma carte-mère, était fourni ce que j'appellerai "la grille des connectiques". Cette grille est sensée être mise à la place de la grille fournie avec le boîtier, afin de "coller" parfaitement à l'emplacement des sorties de la carte-mère; permettant, par la même, de ne pas laisser d'ouverture superflue qui serait une porte à poussières. Et c'est là qu'ont commencé les difficultés pour moi …
Car si la grille du boîtier s'est enlevée en une seconde, la nouvelle ne me semblait pas parfaitement adaptée à l'espace qui lui était réservé. J'ai donc passé près de 50 minutes à essayer de la mettre le mieux possible, poussant de toutes mes forces avec mes doigts sur tout les endroits possibles, afin qu'elle soit enfoncée au maximum partout. Je n'ai pas osé utiliser d'outils de type marteau ou autre, afin que le destin ne soit pas tenté de m'apporter, une nouvelle fois, la preuve de ma maladresse et de ma malchance chronique. J'avoue qu'après quasiment une heure de combat, j'étais plutôt satisfait et persuadé d'être arrivé à la clipper correctement.

L'étape suivante consistait en la mise en place de la carte-mère. Gros problèmes de ce type de matériel : aucune prise et des composants fragiles tout les millimètres ! Après avoir failli arracher le ventilateur du processeur et un radiateur, j'ai enfin réussi a poser la carte-mère sur les pas de vis; et là, c'est le drame : les trous de la carte-mère ne sont pas en face des pas de vis ! Il s'agit de quelques millimètres de décalage mais, tout de même, cela empêche le vissage.

Après de multiples tentatives, je me rend à l'évidence : quelque chose bloque ! Mais quoi ? Le problème de ce type de boîtier, c'est que tout est, pour ainsi dire, calculé au poil de cul pour rentrer; donc il n'est pas aisé (disons le : c'est impossible) de regarder, par exemple, en dessous de la carte-mère si rien n'accroche ou tout autre chose. La conclusion à laquelle je suis arrivé, c'est que la fameuse grille ne devait pas être suffisamment enfoncée. Pas grand chose, à peine un millimètre, mais cela suffisait à gêner la carte-mère. Je me suis alors résolu à faire quelque chose que je déteste : forcer sur des composants fragiles !

Tout en poussant au maximum la carte-mère avec une main, j'ai donc essayé de visser une des vis que j'avais repérée, tout au début, dans un des trous de la carte-mère qui était presque en face de son pas de vis. J'ai, bien évidemment, fait tomber la vis sur la carte-mère; on recommence ! La seconde fois, j'arrive presque à poser la vis dans le trou, tout en continuant à pousser avec le bout de mes doigts (en feu), je me saisis du tournevis et commence à visser; et là, nouveau drame : ça résiste ! Et pas qu'un peu ! Au point où j'en suis, je continue à forcer le vissage, jusqu'au moment où je m'aperçois que je suis en train de littéralement creuser dans la carte-mère ! J'arrête là les frais et étudie attentivement les vis et les trous dans lesquels elles sont sensées rentrer : ce n'étaient pas les bonnes ...

Après un tri attentif de toutes les vis fournies, et des essais dans les trous de la carte-mère et dans les pas de vis, je finis par trouver les bonnes vis; on recommence ! Cette troisième fois fut le bonne, ma première vis (légèrement de biais) est à moitié dans son pas de vis, je recommence donc l'opération avec les autres. A chaque vis, je devais forcer un peu moins, la carte-mère se rapprochant, au fur et à mesure, de sa position nominale. Au final : 3 vis à 100 % dans leur pas et la 4ème à 75 % ; ce qui n'est pas si mal et surtout bien suffisant pour que la carte-mère ne bouge plus jamais.

Le reste du montage se passa, relativement, sans encombre. Il n'y avait qu'à suivre l'ordre des composants à brancher, le "Quick start" détaillant tout à l'aide de schémas très clairs. Je n'ai eu à improviser que pour les leds du boîtier où, chose très étrange, une des connectiques était un embout femelle pour trois pins (alors que seulement deux fils y étaient reliés) et sur la carte-mère seulement deux pins étaient prévus. J'ai aligné, dans l'embout femelle, les fils avec les pins présents sur la carte-mère et j'ai branché le tout.

Conclusion :

  • Tout enfoncer à fond et ne pas hésiter à marteler ou découper ce qui peut l'être pour ne pas avoir à forcer sur des composants fragiles.
  • Toujours tester les vis pour être sûr de visser les bonnes sur le pas adéquate (comme Sheila)
  • Surtout ne pas se presser et ne pas s'énerver

En appliquant ces quelques conseils simples tout le monde peut monter un ordinateur.

En remettant la dernière vis du boîtier, je dois avouer que je me senti soulagé; cela terminait, en théorie, toutes les manipulations matérielles que j'avais à faire. La suite se passerait via un clavier et un écran, environnement dans lequel je me sens un peu plus à l'aise. Il ne restait plus qu'à prier qu'une fois mis sous tension, et le bouton d'allumage pressé, tout cela n'allait pas me griller sous le nez ...

Prochaine entrée du journal : De l'installation épique d'une Debian Lenny

t411 bloqué, The Pirate Bay bloquée, et les autres... mais ?!


On est vendredi, rigolons un peu aidé par le dessin de Grise Bouille.



Faites donc un tour sur son blog, ça vaut le coup !


<noscript></noscript>
Généré le 2015-09-02 18:25 UTC avec Planet Venus