Planète auto-hébergement

2017-09-20

Shellinabox à la place d’ajaxterm pour un accès web-SSH

J’avais précédemment écrit un article sur Ajaxterm : https://blog.mossroy.fr/2014/10/18/ajaxterm-acces-ssh-minimaliste-via-le-navigateur-apres-correction-css/

Mais je l’ai remplacé par Shellinabox, qui a bien plus de fonctionnalités.

L’objectif est pour moi toujours le même : avoir un accès SSH basique à mes machines, depuis à peu près n’importe où.

Shellinabox permet les mêmes choses qu’Ajaxterm, mais en mieux : il me parait plus rapide (il ne rafraîchit pas l’écran complet à chaque fois), permet de faire du copier-coller (un peu), et fonctionne sur Firefox OS (oui, je sais, ça n’intéressera pas grand-monde).

D’autre part, je n’ai jamais eu de réponse sur les corrections que j’avais proposées sur Ajaxterm, donc je suppose que le projet n’est plus maintenu.

Bugs de clavier sur les anciennes versions

Je l’ai testé la première fois sur Debian 8 Jessie, qui fournit la version 2.14. Hélas, il y avait des bugs assez gênants sur le clavier : certaines touches, notamment « ! » et « ) », ne marchent pas sur Firefox, (mais elles fonctionnent sur Firefox OS et Chromium). Cf https://github.com/shellinabox/shellinabox/issues/81.

La version 2.20 corrige les problèmes de clavier, mais n’est disponible que sur Debian 9 Stretch. J’ai essayé d’installer le paquet .deb de stretch sur jessie : pas possible à cause d’une dépendance  à openssl 1.1.0 (et jessie ne fournit que la version 1.0.0). J’ai essayé de tricher en mettant de liens symboliques vers la version 1.0.0 : pas possible.

Mais bref, après mise à jour de mon serveur en version Stretch, ces bugs ont disparu.

Configuration

Par défaut, Shellinabox est exposé en HTTPS sur le port 4200.

Mais, avant de l’exposer sur Internet, je le fais passer par mon reverse-proxy Apache, qui fait le chiffrement avec Let’s Encrypt, et ajoute une authentification (surveillée par fail2ban).

La configuration est classique :

<VirtualHost *:443>
        ServerName shell.flaht.eu
        ProxyRequests Off
        <Proxy *>
                Require all granted
        </Proxy>
        SSLProxyEngine on
        ProxyPass / https://localhost:4200/
        ProxyPassReverse / https://localhost:4200/
        SSLEngine on
        SSLCertificateFile    /etc/letsencrypt/live/mondomaine.tld/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/mondomaine.tld/privkey.pem

        # Login/mot de passe pour accéder
        <Location />
                AuthType Basic
                AuthName "Authentication required"
                AuthUserFile /etc/apache2/auth-file
                Require valid-user
        </Location>
</VirtualHost>

D’autre part, j’ai besoin dans certains cas que ce shellinabox soit également accessible par nginx. Voici la conf que j’utilise :

server {
        # SSL configuration

        listen 443 ssl;
        listen [::]:443 ssl;

        server_name mondomaine.tld;

        ssl_certificate    /etc/letsencrypt/live/mondomaine.tld/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mondomaine.tld/privkey.pem;

        location / {
                proxy_pass https://127.0.0.1:4200;
                proxy_redirect default;
                auth_basic "Authentication required";
                auth_basic_user_file /etc/apache2/auth-file;
        }
}

Le copier-coller

Il est pas top, mais c’est toujours mieux que rien.

Si vous voulez copier du texte depuis le terminal, il faut sélectionner le texte et utiliser ctrl-C, plutôt que de faire clic-doit->copier (que je n’ai pas réussi à faire marcher).

Dans le sens inverse, pour copier du texte dans le terminal, le clic-droit-> « Paste from browser » fonctionne, mais est mono-ligne.

Afficher par défaut le « Soft Keyboard »

Sur Firefox OS (et a priori sur toutes les plateformes qui n’ont pas de clavier), avoir le « Soft Keyboard » peut être nécessaire pour accéder aux touches de clavier non alphanumériques (Echap, Tabulation etc).

Sauf que, pour l’activer, il faut faire un clic-droit… qu’on ne peut pas faire non plus si on n’a pas de souris.

Dans le code source, ils ont apparemment un peu pensé à ce genre de cas, en l’activant automatiquement sur les plateformes Apple, et quelques autres. J’ai proposé un Pull Request pour étendre ce mécanisme aux user-agents ayant les termes « Mobile » ou « Tablet » (en suivant les recommandations de Mozilla).

En attendant que quelqu’un de shellinabox se penche sur cette proposition, il est possible de le modifier manuellement, en surchargeant le fichier javascript de l’outil.

Ca se passe dans /etc/default/shellinabox, en rajoutant un paramètre dans SHELLINABOX_ARGS :

SHELLINABOX_ARGS="--no-beep --static-file=ShellInABox.js:/var/lib/shellinabox/ShellInABox-softkeyboardon.js"

Malheureusement, c’est tout le fichier javascript qu’on remplace par celui qu’il faut créer dans /var/lib/shellinabox. Ce n’est pas exceptionnel puisqu’on va perdre le bénéfice des mises à jour ultérieures de ce fichier. J’aurais préféré pouvoir injecter un bout de javascript, mais je n’ai pas trouvé de meilleur moyen à court terme.

J’ai récupéré le fichier javascript ShellInABox.js depuis le navigateur, et y ai simplement rajouté la ligne 311, en gras ci-dessous :

// Enable soft keyboard icon on some clients by default.
if (navigator.userAgent.match(/iPad|iPhone|iPod/i) != null ||
  navigator.userAgent.match(/PlayStation Vita|Kindle/i) != null ||
  navigator.userAgent.match(/Mobile|Tablet/i) != null) {
    this.softKeyboard = true;
}

 

2017-08-16

JAH-13 – De la gestion des certificats SSL

Journal de bord du capitaine :
Date : 20 avril 2012
Lieu : Perdu dans le cyber espace

Lorsque je me suis lancé dans l'auto-hébergement, une fois passée l'étape du matériel, une des premières choses que j'ai faite a été d'acquérir un nom de domaine. Ce n'est en aucun cas obligatoire mais, il faut bien l'avouer, avoir son propre nom de domaine, c'est quand même plus classe que d'utiliser son adresse IP et c'est surtout plus simple à retenir (surtout avec la généralisation des adresses IPv6). À l'époque, j'avais fait le choix de n'acheter mon nom de domaine que pour un an, me laissant ainsi la porte ouverte à un éventuellement changement de registrar. J'ai depuis conservé mon registrar d'origine par simplicité et par fainéantise d'en chercher un nouveau.

De plus Gandi propose deux services dont j'étais utilisateur : la gestion de sa zone DNS et la possibilité d'obtenir un certificat SSL. Il est vrai que quand on est comme moi un grand débutant ne pas avoir à s'occuper de ces services fait gagner du temps. Mais cette année au moment du renouvellement de mon nom de domaine je me suis dit qu'il était temps de m'occuper moi même de mon certificat SSL.

En soit, créer son certificat SSL n'est pas compliqué mais le point clé repose dans la signature. En effet, un certificat SSL sert à authentifier un serveur, mais quelle confiance pourrait-on accorder à un serveur qui dirait lui-même "Oui oui, je suis bien moi et pas un vilain serveur tiers qui se fait passer pour moi" ? Ce qui est le cas pour tout les certificats auto-signés. D'ailleurs, lors d'une tentative de connexion en HTTPS à un serveur avec un certificat auto-signé, certains bons navigateurs affichent un avertissement de sécurité.

Pour résoudre ce problème, il existe le principe de la chaîne de confiance : depuis le plus haut niveau des autorités de gouvernance d'internet il est possible de se faire certifier comme tiers de confiance afin de pouvoir délivrer des certificats qui ne provoqueront pas d'avertissement de sécurité. Ces tiers peuvent également avoir le droit de certifier d'autres sources de confiance, créant ainsi une chaîne de signature. En fait, la plupart des navigateurs, ou plus généralement des distributions, sont fournis avec un certain nombre de certificats racines, chaque certificat racine correspondant à une source de confiance ayant le droit de délivrer et de signer d'autres certificats. Ainsi, lorsqu'un client reçoit le certificat SSL d'un serveur afin d'établir une connexion, il va remonter la liste des signatures et regarder si l'autorité de plus haut niveau fait partie de sa base de donnée; dans le cas contraire, il affichera un avertissement de sécurité. En pratique, d'autres choses sont vérifiées telles que la date de validité du certificat etc .

Pendant deux ans, mon certificat SSL était donc fourni par Gandi. Ayant décidé de gérer ce certificat moi-même, la méthode la plus rapide aurait été de se faire rapidement un certificat auto-signé et l'affaire aurait été réglée mais, par curiosité intellectuelle, et aussi parce que je trouve ça plus propre, j'ai opté pour une méthode un peu différente : créer ma propre autorité de certification (dont le certificat serait auto-signé) me permettant ainsi de signer moi-même les divers certificats dont je pourrais avoir besoin. Ainsi, les utilisateurs de mon site web pourront installer mon certificat racine et naviguer sur mes différents domaines sans avertissement de sécurité.

Il existe de nombreux tutoriels sur comment se créer en trois commandes son propre certificat auto-signé mais les exemples complets de ce que je souhaitais faire ne sont pas nombreux. J'ai pu trouver mon bonheur dans GNU/Linux magazine Hors Série n° 50 : Spécial apache [1].. La création d'un certificat SSL reposant sur un système de requête puis signature par une autorité, un "dédoublement de personnalité" me sera donc nécessaire afin d'assumer les deux rôles.

La première étape consiste donc à créer un certificat auto-signé qui va me permettre de signer mes autres certificats, jouant ainsi le rôle d'autorité de certification. Une fois mon autorité de certification prête il ne me restait plus qu'à créer une requête pour mon nom de domaine. A ce stade plusieurs possibilités s'offraient à moi :

  • Un certificat par nom de domaine et sous-domaine
  • Un certificat "joker" ou "wildcard" valable pour mon nom de domaine et tout les sous-domaines possibles
  • Un seul certificat pour mon nom de domaine et définir mes sous-domaines comme nom alternatif [2].
J'ai choisi la troisième option qui était bien moins fastidieuse que la première et je trouve plus propre et sécurisée que la seconde. En effet, dans cette option, seuls les sous-domaines définis explicitement lors de la création de la requête sont couvert par le certificat. Il est même possible de définir des noms de domaines complètement différents comme exemple.org, exemple.com ou www.exemple.net pour un même certificat.

Pour définir un tel certificat, il suffit de modifier la configuration d'openSSL or puisque je dois faire office à la fois d'autorité de certification et de client il ne faut pas oublier de créer un second fichier de configuration pour faire les modifications. Ainsi, selon le rôle à endosser, il suffira d'utiliser tel ou tel fichier de configuration.

Une fois le fichier de configuration modifié pour définir les noms alternatifs, il faut émettre une requête avec la configuration client et la signer à l'aide de l'autorité de certification précédemment créée. Ensuite, il n'y a plus qu'à modifier les configurations des applications utilisant le chiffrement SSL telles que apache ou ejabberd pour leur indiquer où se trouve ce nouveau certificat à utiliser.

Afin qu'un navigateur n'émette pas d'avertissement de sécurité lors d'une connexion à un serveur dont le certificat a été signé par mon autorité de certification, il faut rendre accessible son certificat racine. J'ai donc pour cela simplement ajouté un lien symbolique depuis le répertoire racine de mon site vers le certificat racine. En se connectant avec son navigateur à ce certificat, il sera proposé à l'utilisateur d'enregistrer ce certificat en reconnaissant sa capacité à authentifier certains types de serveurs comme par exemple un serveur web ou un serveur de courrier. En pratique, un utilisateur peut donner une plus ou moins grande visibilité à un certificat racine en l'enregistrant soit dans chaque application ou bien au niveau système pour qu'il soit globalement accessible.

Pour vérifier la bonne prise en compte du nouveau certificat, et vérifier l'installation du certificat racine, il suffit de se connecter en HTTPS au serveur sur lequel il est installé et de regarder les détails du certificat.

Conclusions :

  • La création et la gestion de certificats SSL est une partie importante de la sécurité d'un serveur, trop souvent expédié à la va-vite par un certificat auto-signé, alors qu'il suffit de creuser un peu le sujet pour faire quelque chose de propre et proposer un service de qualité à ses utilisateurs.
  • Faire les choses proprement ne requiert pas forcément de passer à la caisse, il existe d'ailleurs d'autres solutions que celle que j'ai choisie afin de créer des certificats qui ne généreront pas d'alerte de sécurité par exemple en utilisant l'autorité de certification collaborative CAcert [3].

Prochaine entrée dans le journal : De la mise en place d'un serveur de courriels complet

Notes

[1] Malgré son âge beaucoup d'articles sont encore d'actualité et il est toujours disponible ici .

[2] Les noms alternatifs du sujet (Subject Alternative Name) sont en fait une extension de x509 (le standard des clés publiques des certificats) permettant d'associer plusieurs valeurs à un seul certificat de sécurité.

[3] Depuis firefox 39.0 il n'est plus permis d'importer le certificat racine de CAcert car ce certificat auto-signé utilise l'algorithme MD5 qui est considéré comme obsolète.

2017-08-09

Openmailbox modifie son offre

En soit, une telle nouvelle ne m'intéresse pas car mon mail est auto-hébergé. Toutefois, nombreux sont ceux qui utilisent ce service. Nombreux sont ceux aussi à avoir été pris de cours lorsque le service a sans prévenir modifié son offre, amputant au passage l'offre gratuite de choses de base comme l'accès POP/IMAP. Certains semblent avoir du mal à digérer cela. A mon sens, ça pointe autre chose : un service mail ne peut pas à la fois être simple, gratuit, pérenne, éthique et efficace.

Les conditions générales d'utilisation ne sont jamais lues car souvent illisibles, faut bien l'avouer. Ici coup de bol, elles sont simples et claires : https://www.openmailbox.org/tos. Malheureusement, c'est pas pour ça qu'elles sont plus lues. Il existe bien une offre gratuite mais quoi qu'il arrive, OpenMailBox se décharge des conséquences des aléas techniques sur leurs utilisateurs, utilisateurs qui sont au passage seuls responsables de leurs données.

Je peux comprendre qu'une annonce aussi brutale soit (très) mal perçue mais il faut quand même remettre les choses à leur place. Un service gratuit peut s'arrêter du jour au lendemain sans préavis. C'est quasiment ce qui est arrivé là et c'est une chose à prendre en compte lorsque l'on s'inscrit. Il est de la responsabilité des utilisateurs de prendre les mesures adéquates pour faire face à ce qui peut survenir et qui est prévisible (encore une fois, c'était tout à fait prévisible à plus ou moins longue échéance). Donc la moindre des choses, c'est de sauvegarder ses données ailleurs périodiquement. La bonne pratique serait d'en conserver au moins une copie locale à jour. Cela est aussi utile en cas de problème technique indépendant de la volonté du tiers qui propose le service.

Chose amusante, car sans conséquences sur l'instant, ils sont nombreux à migrer vers un autre service gratuit. A ceux là, je tiens juste à rappeler que ça ne change rien au problème et qu'ils gardent cette épée de damoclès au dessus de la tête s'ils ne se sentent pas plus responsables de leurs données. Le prochain arrêtera peut être complètement son service sans possibilité de récupérer ses données.

Chose plus inquiétante, ceux qui se plaignent sont majoritairement des utilisateurs du service gratuit et ils se comportent comme des clients pour qui tout est dû et qui balaient leurs propres obligations d'un revers de main (envers eux même et envers le tiers qui propose le service). Je ne trouve pas ça sain comme approche. Dans les commentaires que j'ai pu lire, je vois qu'ils sont nombreux à annoncer vouloir migrer vers l'offre gratuite de net-c. Si vous vous trouvez dans ce cas là, je n'ai pas regardé dans le détail mais c'est probablement un très bon choix. Toutefois, en utilisant leur service gratuit, les conditions d'utilisation (point 12.1) stipulent par exemple et très clairement que lorsque vous accédez à leur service, vous ne devez pas bloquer leurs publicités (les CGU sont un peu plus consistantes que celles d'OpenMailBox mais elles restent lisibles, ne vous privez pas). Je serais curieux de connaître la proportion d'utilisateurs qui tiendra compte de ce genre de détail avant de souscrire... Et qu'est-ce qui empêche le service en question de bloquer l'accès à leur site pour les utilisateurs gratuits ne respectant pas cette clause ?

2017-08-06

Surveiller ses services auto-hébergés avec UptimeRobot et les SMS de Free Mobile

Être prévenu par SMS si son site auto-hébergé a des soucis, c’est quand même la classe, non ?

Ca permet d’être tout de suite au courant en cas de coupure d’accès Internet, ou d’électricité, ou d’un autre problème technique. Ou parfois des erreurs de configuration qu’on n’aurait pas soupçonnées ;-)

Et une manière de le faire facilement (et gratuitement) est d’utiliser UptimeRobot et les APIs de SMS de Free Mobile.

  + 

Pour tout ce que je décris ci-dessous, un compte gratuit chez UptimeRobot est suffisant. La version payante peut permettre d’avoir des contrôles plus fréquents (c’est jusqu’à 5 minutes en version gratuite, ce qui me parait largement suffisant).

Configurer ce qu’il faut monitorer

On peut vérifier si un port est accessible, ou si une machine peut être pingée (et d’autres choses : regardez sur leur site).

Mais le plus intéressant est de vérifier si une URL répond, et si la réponse contient une chaîne de caractères censée y être.

Configurer la manière d’être alerté

On peut être alerté par email, Twitter, et plusieurs autres moyens (qui peuvent être combinés).

Ils proposent notamment un « email-to-SMS », qui fonctionne avec certains opérateurs, mais Free n’est pas dans la liste.

On peut être alerté directement par SMS (n’importe quel opérateur), mais il faudrait avoir un compte payant pour cela.

Heureusement, UptimeRobot permet aussi d’appeler une URL (« Web-Hook »), et c’est ce qu’on va utiliser.

Évidemment, il faut d’abord avoir activé l’API de SMS dans votre console Free Mobile.

Dans l’interface d’administration de UptimeRobot, on peut créer un « alert contact » de type Web-Hook, et définir une URL du type :

https://smsapi.free-mobile.fr/sendmsg?user=12345678&pass=xxxx&msg=UptimeRobot%20indispo%20*monitorFriendlyName*%20(*monitorURL*)%20*alertTypeFriendlyName*%20*alertDetails*&

(en remplaçant le user id et le mode de passe par ceux issus de votre console de gestion Free).

Et c’est tout ! Nous voilà avec du monitoring simple et gratuit. J’utilise ça depuis quelques mois et ça marche très bien.

Et les statistiques d’accès ?

Vos statistiques d’accès peuvent être faussées par ces requêtes. Ca dépend si elles fonctionnent via du javascript (type Google Analytics, ou Piwik en mode javascript) ou via les logs de votre serveur HTTP (type Awstats ou Piwik en mode logs ou image). Ce n’est que dans le second cas qu’elles sont affectées.

Pour éviter ce biais, il est possible d’ignorer les requêtes de UptimeRobot via leur User-Agent (qui contient « UptimeRobot ») ou leurs IP sources (cf https://uptimerobot.com/locations.php).

Et pourquoi ne pas auto-héberger le système de surveillance ?

Ben oui… sauf que le serpent se mort la queue si vous mettez tout au même endroit. S’il y a une coupure de courant ou d’Internet, vous ne risquez pas d’être alerté.

Par contre, si vous hébergez de système de contrôle ailleurs (chez un copain, par exemple), ça peut marcher.

Apparemment, le projet phpservermonitor fait le nécessaire. Ils supportent a priori en standard l’envoi de SMS chez Free Mobile, à partir de la version 3.2.0. Mais je n’ai pas eu l’occasion de tester.

 

Chiffrer simplement un fichier texte avec Vim

Bonjour à tous,

Après 7 ans de bons et loyaux services, j'ai enfin décidé de réinstaller mon serveur perso. Oui, vous avez bien lu, je n'avais jamais changé de version de Debian (Lenny) depuis 2010, date d'installation de mon serveur à la maison (c'est pas bien). Bref, ça m'a donné l'occasion de remettre le nez dans pas mal de choses, en particulier remettre en place un nouveau fichier texte chiffré avec Vim. C'est une astuce peu connue que je voulais partager avec vous.

Vimlogo.svg.resized.png

J'utilise les fichiers vim chiffrés depuis 2010. À l'époque, le mode de compression était le format zip, peu fiable. Aujourd'hui, il est possible (et fortement recommandé) de chiffrer avec la méthode blowfish2. Cette méthode est supportée depuis la version 7.4 de vim, ça fait déjà un petit bout de temps.

Bon, fini le bla bla, voici comment on chiffre un fichier rapidement et simplement.

1. Mise en place

On commence par ouvrir un nouveau fichier normalement avec vim

Ensuite on va choisir la méthode de chiffrement avec la commande :setlocal cm=blowfish2


Enfin, on chiffre avec la commande :X, suivi de la clé de chiffrement

Une fois fait, on peut sortir du fichier normalement avec un :wq.

2. Lecture

Et là où c'est super, c'est que pour relire le fichier, il suffit juste de l'appeler normalement avec la commande vim (exemple : vim /tmp/secret). Vim vous indiquera alors la méthode de chiffrement utilisée :

Vous pouvez modifier votre fichier et l'enregistrer normalement avec :wq, plus besoin de passer par du :X, vim chiffrera systématiquement votre fichier à l'enregistrement.

3. Avertissement

Attention, si vous vous trompez de mot de passe pour ouvrir le fichier, vous aurez un écran de ce type :

N'enregistrez surtout pas ce fichier en l'état, sinon vous perdrez vos données. Sortez en prenant soin de faire :q! et retournez-y en tapant le bon mot de passe.

Vous voyez, c'est tout simple !

2017-08-01

Firefox : tester la compatibilité de vos extensions avec e10s




Quand est arrivé e10s, la gestion du multiprocessus, on a tous voulu en profiter. Normal, on nous annonce que Firefox va devenir une bête de course, on ne va quand même pas passer à côté ! Si vous tournez avec le navigateur le plus efficace du moment, pensez à vérifier que vous en exploitez bien toute la puissance !

Comment ? Avec Add-on Compatibility Reporter ! Il s'installe tout simplement en tant que module et va vous fournir ce type d'information précieuse :



Eh oui, il va vous dire si une de vos extensions vous empêche de jouer avec les dernières avancées du butineur. J'avais peur du résultat de l'analyse de mes extensions mais seule celle gérant la suppression des cookies m'a posé problème. J'ai trouvé une alternative avec Cookie AutoDelete et le tour était joué.

Vous n'avez plus aucune raison de ne plus parcourir le web à la vitesse grand V. Et si vous êtes un utilisateur de Chromium, dommage.


<noscript></noscript>

2017-07-28

Mon adresse email est inhabituelle

Cela fait 10 ans cette année que je gère mon mail comme un grand. C'est super d'avoir ses adresses mail personnelles sur son propre serveur mail. Je peux en créer autant que je veux dessus, avec n'importe quel nom, du plus drôle au plus court en passant par des choses plus passe partout. Je ne risque pas en tout cas de ne pas pouvoir en créer une car une autre personne l'a déjà prise. Pour les quelques adresses créées, je suis généralement resté sur des choses courtes ou assez évocatrices en fonction des besoins. Je peux par exemple décider de créer une adresse en cas d'inscription à une liste de diffusion ou quand je sais que je risque de me faire spammer lorsque je dois quand même laisser une adresse valide quelque part. Dans ce dernier cas, je pourrais aussi me créer des adresses jetables ailleurs.

La contrepartie, c'est que mon nom de domaine est ce qu'il est d'une part, et qu'il est surtout inhabituel pour le quidam dans une adresse mail. En soit, il n'est pas trop compliqué car composé de deux mots existants intercalés par un tiret et qu'il est enregistré sur le TLD .fr . Toutefois, il est devenu de plus en plus rare de voir des adresses mail autres que celles fournies par gmail, yahoo et les FAI en général. Non content de présenter un problème de manque de diversité (la centralisation est énorme sur les services mail en général), cela renforce l'idée qu'une adresse mail doit forcement se terminer par un truc comme gmail.com, yahoo.fr, orange.fr, etc... Cela me pose parfois un problème lorsque je donne une adresse personnel de vive voix. Une fois l'étonnement de mon interlocuteur passé, vient le moment où il faut bien épeler le truc. C'est là qu'on peut avoir l'impression d'agacer alors même que ce n'est pas le but. Est-ce que je peux leur en vouloir individuellement ? Non bien entendu. L'environement global conduit massivement vers cela, c'est tout.

Fut un temps, je donnais encore une adresse yahoo dont les mails étaient redirigés vers l'une des boîtes mail sur mon serveur pour éviter de gêner mon monde sans doute. J'ai passé le cap et maintenant, je donne directement l'adresse sur mon domaine. Si c'est pénible, ce n'est pas mon problème. Moi, c'est l'adresse que j'utilise et que je consulte et ce n'est pas moins une adresse mail qu'une autre avec un nom de domaine plus commun. Une lubie de geek ? En partie au début probablement mais aujourd'hui non, je vois les choses de manière plus simple. L'outil est assez ouvert pour permettre à quiconque de le faire (comprendre "quiconque" par le fait que c'est techniquement possible et qu'il n'y a pas d'interdiction à le faire) et je pense que je suis la personne la mieux placée pour gérer mes serveurs mail. Finalement, mes adresses ne sont pas plus compliquées que celles proposées par les gros services de mail mais la complexité ne se retrouve pas au même endroit.

2017-07-19

Facette 0.4rc1 disponible




Mon bon vieux Facette s'est offert une nouvelle version et je suis complètement passé à côté...! Je me souviens l'avoir abandonné après avoir souffert de pas mal d'instabilité en sa version 0.3. Espérons que cette 0.4 corrigera le tir, et ça semble être le cas quand je parcours les notes de version. Monitorix ne me satisfaisant pas vraiment, je retourne lorgner sur Facette.

Au programme :
  • Réécriture du Front-end
  • Réécriture du Back-end
  • Ajout de stockage en BDD (MySQL, PostgreSQL, SQLite)
  • Configuration gérée par un .yaml
  • Ajout de templates de collection
  • Ajout d'alias de graphiques et de collection
  • Ajout d'une API
  • Disponible en français et en anglais
  • Etc
Bon, si avec tout ça, je ne retrouve pas mon bonheur perdu, je balancerai un paquet de #Tristitude sur Mastodon ! Je sors ce billet alors que je suis déjà en train de m'amuser avec. J'ai un peu souffert pour le faire tourner, rien de méchant mais je sortirai un tuto pour expliquer comment s'en servir assez rapidement.


<noscript></noscript>

2017-06-14

Nouvelle instance mastodon : social.jesuislibre.net

J’ai installé ma propre instance de Mastodon : https://social.jesuislibre.net

Le tutoriel écrit en français par Angristan est limpide et je n’ai pas eu de soucis pour l’installer sur Debian 9.
Le seul soucis est la config Apache qui n’est documentée proprement.

Ça tourne au poil et rapidement sur un petit NUC en auto-hébergement.
Ça m’a aussi permis d’utiliser la v1.4.1 quand Framapiaf est toujours en v1.3.2 (je ne sais pas pourquoi)

Je suis moins satisfait de la fédération. J’ai découvert l’envers du décors :
– le fil global que contient que les posts publics des personnes suivies par des comptes locaux. Donc si t’es seul sur ton instance. T’as juste rien à par les gens que tu suis déjà…
– la recherche de personnes ne se fait que parmi les personnes connues par ton serveur (donc suivies par des comptes de ton serveur). Donc si t’es seul, tu ne trouves que les personnes que tu suis déjà.
– sur la page de profil d’un compte, tu ne vois que les billets qui sont déjà arrivés sur ton serveur. Donc, pour un nouveau compte, tu ne vois rien.
– la liste des abonnés affichés sur le profil d’un compte distant ne comptabilise que les abonnés du serveur local. Donc si t’es tout seul sur ton serveur, les profils externes n’ont qu’un abonné. Toi. Bonjour la découverte.
– la recherche par htag ne fonctionne que sur les posts recus par ton serveur local.
– les commentaires à des messages émis par des comptes d’autres serveur ne se sont pas visibles.

Finalement, on retrouve presque les mêmes limitations que sur Diaspora, l’autre réseau décentralisé a-centré. Ces limitations poussent les nouveaux à s’inscrire sur une grosse instance pour avoir du contenu. Et donc nuisent à la décentralisation.

C’est dommage car si on clique sur le profil d’un utilisateur, on arrive sur la page web du profil sur son serveur d’hébergement. Et là, on retrouve tout son historique et ses abonnés. C’est dommage que l’interface de mastodon ne puisse pas récupérer ces infos d’elle même.

Ca permettrait également de partager (retweeter booster dans le jargon de mastodon) un post ancien que le serveur n’a jamais reçu.

Related Posts:

2017-06-13

UBPorts : retrouver les Desktop Apps




Avec mon passage à UBPorts pour mon Aquaris M10 FDH, j'ai rapidement regretté l'absence des Desktop Apps (Firefox, LibreOffice, etc) de la liste des applications disponibles. Une recherche rapide m'a soulagé : il est possible de les retrouver, mais ça demande un peu d'effort. Voici l'astuce.

Installer le Desktop Apps Scope

Pour installer cette dépendance, il faut passer par l'OpenStore pour installer uApp Explorer. Une fois fait, il faut maintenant passer par l'uApp pour installer le scope Desktop Apps Scope. Cette première étape va vous permettre d'avoir accès aux X Apps que nous allons pouvoir bientôt installer.

Préparer l'appareil

- Il faut maintenant passer l'appareil en mode développeur. On l'active en allant dans les paramètres, puis À propos et en cliquant sur le mode développeur. Notez qu'il faut mettre en place un code de sécurité pour pouvoir le faire. Petit piège.
- Connectez-vous à la tablette depuis votre ordinateur en tapant phablet-shell depuis votre terminal. Elle va vous permettre de vous connecter à votre appareil en SSH, mais la manipulation peut se faire directement depuis un terminal lancé depuis l'appareil.
- Une fois connecté, tapez la commande suivante pour mettre en place le conteneur qui accueillera les applications tournant avec X.
libertine-container-manager create --id ubuntu --name 'ubuntu' 
L'opération va bien prendre 10 min. Allez vous en griller une ou c'que vous voulez. 'ubuntu' sera l'identifiant (id) du conteneur, il est à titre indicatif, vous pouvez mettre ce que vous voulez. Faudra penser à reporter la modif' à l'étape suivante.

Une fois que c'est terminé, il faut rendre le conteneur persistant en tapant ce qui suit :
libertine-container-manager exec --command "/bin/bash" --id ubuntu 
Vous vous prendrez un retour avec de simples warnings dans les dents mais tout va bien, vous êtes dans la matrice et vous pouvez maintenant installer vos applications !

Installer vos applications

Tout simple, un exemple pour Firefox :
apt install firefox 
Et voilà ! Bon, LibreOffice semble ne pas tourner, mais j'ai réussi à faire tourner VLC !

Vous pouvez retrouver l'origine de ce billet par ici.


<noscript></noscript>

2017-06-03

Améliorer la recherche dans Nextcloud avec Nextant




La recherche dans Nextcloud est bien foutue mais commence à montrer ses limites quand on s'amuse à stocker une grande quantité de fichiers. En plus, elle ne va pas analyser ce qui se passe au niveau du contenu. C'est là que l'ami Solr débarque via une extension plutôt pratique : Nextant.
J'annonce tout de suite, ce billet va parler d'un outil en Java, et même qu'il va falloir l'installer. Si vous faites partie de ceux qui s'obstinent à dire que Java, c'est de la merde, plutôt que de pester sur des développeurs d'applications, au mieux, maladroits, passez votre chemin.
C'est aussi un peu compliqué, mais bon, je vais tenter de faire de mon mieux pour vous rendre la tâche presque simple !

Installer Java

On attaque fort, j'avais prévenu ! Si vous êtes sous Debian 8, vous aurez besoin de passer par les backports puisque la version présente dans les dépôts classiques est trop ancienne. Il faut les mettre en place et taper la commande suivante :
apt-get -t jessie-backports install openjdk-8-jdk

Vérifier la version utilisée par le système

Les versions de Java cohabitent dans votre système. Si vous aviez déjà du java, il faut faire comprendre à l'OS que c'est la toute dernière qu'il faut  :
root@dadall:/var/www/# java -version
openjdk version "1.8.0_131"
OpenJDK Runtime Environment (build 1.8.0_131-8u131-b11-1~bpo8+1-b11)
OpenJDK 64-Bit Server VM (build 25.131-b11, mixed mode)
Si le résultat retourné n'est pas le même que le mien, corrigez le souci en passant par l'update-alternatives :
root@dadall:/var/www/html/nc#  update-alternatives --config java
Il existe 2 choix pour l'alternative java (qui fournit /usr/bin/java).

  Sélection   Chemin                                          Priorité  État
------------------------------------------------------------
  0            /usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java   1071      mode automatique
  1            /usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java   1071      mode manuel
* 2            /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java   1069      mode manuel

Appuyez sur <Entrée> pour conserver la valeur par défaut[*] ou choisissez le numéro sélectionné :
Dans mon cas, tapez 2 et vous en aurez fini avec Java.

Installer Solr

On va passer par l'installeur automatique. C'est bien plus simple et ça permet de ne pas se prendre la tête.
D'abord, prenez le temps de créer un utilisateur solr :
adduser --disabled-login solr
su solr
cd ~
Placez-vous dans sa home et récupérez les sources :
$ wget http://mirrors.ircam.fr/pub/apache/lucene/solr/6.5.1/solr-6.5.1.tgz
$ tar -zxvf solr-6.5.1.tgz
Puis lancez la procédure :
# bash solr-6.5.1/bin/install_solr_service.sh solr-6.5.1.tgz 
Une fois terminée, on va faire un peu de configuration. On va simplement dire à Solr de ne répondre qu'aux sollicitations locales en remplaçant cette ligne :
<Set name="host"><Property name="jetty.host" /></Set>
par :
<Set name="host"><Property name="jetty.host" default="127.0.0.1" /></Set>
dans le fichier présent là-bas : /opt/solr/server/etc/jetty-http.xml. C'est une configuration simple mais importante : elle évite de rendre vos données accessibles à l'extérieur.

Vous pouvez maintenant démarrer la bête :
# /etc/init.d/solr start 
Solr est maintenant démarré mais il lui marque un dernier truc : un core. On va le créer en deux minutes en tapant ça avec le user solr créé pour l'occasion :
/opt/solr/bin/solr create -c nextant 
Et voilà pour Solr ! Place à l'extension !

Installer Nextant

Bon, là, si vous avez réussi toutes les étapes précédentes, c'est que vous pouvez aller cliquer dans la gestion des applications de votre Nextcloud pour activer le bousin. Tout est déjà rempli pour vous. C'est très clair et un bouton «tester» est là pour vous permettre de tout valider !



Solr fonctionne sur le principe des indexations : à un instant T, il va gober tout ce qu'il y a à savoir dans vos fichiers et l'organiser à sa sauce. Pour la première, il est plus que conseillé de la faire à la main en tapant la commande (avec le user de votre Nextcloud, pas le user solr) :
./occ nextant:index 
L'indexation de nouveau contenu ne se fera pas en temps réel mais via un cron Nextcloud. C'est à dire de temps en temps, alors ne vous étonnez pas si le dernier document que vous venez d'ajouter n’apparaît pas immédiatement dans les résultats de recherche.

Une section «Pour aller plus loin» est disponible dans la doc de Nextant. Elle indique, entre autre, comment exclure des répertoires de l'indexation. C'est pas mal si vous ne voulez pas voir certaines infos apparaître maladroitement.

Vous pouvez maintenant faire vos recherches dans vos fichiers !


<noscript></noscript>

2017-05-28

UBports prend le relai d'Ubuntu Touch




Ubuntu Touch. On va encore raconter que c'est un terrible échec et que blablabla.
Soit, ça n'a pas donné ce qu'espérait un grand nombre de libristes. On pourrait même dire qu'Ubuntu nous a fait le même coup que Firefox OS : on se lance, on fait de la communication dans tous les sens et on finit par laisser tomber le projet, faute de moyen et de croissance.

C'était prévisible. Je me souviens avoir écrit un billet racontant que j'allais supporter l'initiative en choisissant une tablette et non un smartphone. Jouer avec une tablette qui peut se retrouver seule au monde du jour au lendemain, c'est peu gênant. Jouer avec un smartphone, outil du quotidien, qui peut se retrouver loin de mises à jour de sécurité et de stabilité : non.
Enfin, je n'ai pas spécialement suivi les commentaires / articles / billets de blog qui se sont, peut-être, déchaînés après l'annonce de l'abandon par Canonical par simple manque d'intérêt : faut pas jouer, les amis, quand on sait qu'on va perdre.

Ce qui change par rapport à l'aventure Firefox OS, semble-t-il, c'est la force de la communauté d'Ubuntu. Clairement, on dirait qu'elle donne une leçon à celle de Mozilla. Même si les situations sont différentes, certes, les ubunteros semblent avoir réussi à pondre une alternative à UT : UBports. C'est d'ailleurs depuis ma M10 FHD tournant avec l'OS communautaire, que je vous écris ces quelques lignes.

Je vais prendre quelques jours pour faire le tour du propriétaire et je reviendrai pondre un billet sur ce qu'il y a de bien et de moins bien entre la version obsolète d'UT et la nouvelle chose communautaire qu'on appelle maintenant UBports.

Pour celles et ceux qui voudraient déjà se lancer dans l'aventure, la liste des appareils supportés est disponible par ici.


<noscript></noscript>

2017-05-16

Du bon usage de la sauvegarde de donnée -2-

dsc07744.jpg La sauvegarde de données est devenue aujourd'hui indispensable, on ne le répétera jamais assez !
Pourtant un grand nombre de gens ignorent parfois volontairement cette corvée, prétextant un manque de temps…
Choisissez !

  • Quelques minutes à passer pour la mise en place, et penser à mettre en marche le processus de temps à autres,
  • Ou alors Tout perdre… photos et montages vidéos, documents, mails, travaux divers ayant nécessités de longues heures de travail…

J'ai choisi mon camp !
… Pourtant je continue de m'inquiéter…Que se passerait-il si j'étais victime d'un sinistre, étant donné que mon original et mes sauvegardes sont situées au même endroit !
Qui plus est, c'est bien beau d'auto-héberger ses sites, mais en cas de pépin, les sites disparaitraient eux-aussi !

Bref, J'ai la ceinture et les bretelles, je m'en vais ajouter le parachute en mettant en place une sauvegarde distante, dans un second lieu…
Si la première méthode décrite est ultra simple et se doit d'être le minimum syndical à appliquer pour tous, la méthode qui suit s'applique aux geek et aux curieux un poil paranoïaque…

Sauvegarde distante synchronisée


1 - Principe :

Mes ordinateurs (serveur, bureau, etc) depuis le site A contactent automatiquement tous les jours un ordinateur de sauvegarde (si possible un vieux bouzin de récup) sur le site B, pour lui demander de s'allumer.
Ensuite ces ordinateurs poussent vers l'ordi de sauvegarde une synchronisation de type rsync, similaire au billet précédent.
Une fois l'opération terminée, l'ordinateur de sauvegarde s'éteint.
Le tout silencieusement, c'est à dire sans qu'on s'en soucie.
Bien sûr je continue la sauvegarde locale sur disque dur externe… suffit juste d'y penser.

Pour faire tout cela nous aurons besoin de :

  1. Un vieil ordi avec suffisamment de capacité en disque dur, installé dans un coin quelque part ou vous avez confiance (la famille, les amis…).
  2. Un routeur capable de faire du WOL (Wake On Lan).
  3. Évidemment une connexion internet sur les deux sites.


2 - Le routeur :

J'ai choisi un Routeur Linksys/Cisco modèle WRT54GL
Le « L » c'est pour Linux, qui à donc la particularité d'être prévu pour être reprogrammé avec des Firmwares alternatifs.
On va donc y coller le Firmware DD-WRT qui propose des fonctions WOL intéressantes !

Comment flasher votre WRT54GL en DD-WRT

Le routeur neuf est en configuration d'usine, donc avec un Firmware Linksys.
On aura besoin de télécharger le Firmware DD-WRT « mini généric » stable [1] depuis la page http://www.dd-wrt.com : dd-wrt.v24_mini_generic.bin
Flasher le firmware doit être fait avec une connexion stable uniquement par câble réseau.
dsc07749.jpg

  1. Brancher le routeur sur le secteur.
  2. Ne pas mettre le petit adaptateur d'interrupteur sur le câble Alim !
  3. Brancher le câble RJ45 livré, entre le routeur et un ordinateur.
  4. Accédez à l'interface web Linksys avec votre navigateur, 192.168.1.1 dans la barre d'adresse

Nom d'utilisateur : laisser vide
Mot de passe : admin

  • Aller au menu Administration
  • Puis le sous-menu Firmware Upgrade.
  • Cliquer sur le bouton Parcourir et sélectionner le fichier dd-wrt.v24_mini_generic.bin.
  • Cliquer sur le bouton « Upgrade » et arrêter de respirer pendant 2 minute minimum !

/!\ N'arrêtez pas votre ordinateur, ne fermez pas votre navigateur, ou n'éteignez pas le routeur pendant cette phase !
Le navigateur envoie le fichier au routeur, qui se charge alors de flasher le firmware dans son électronique…
La led « power » se met à clignoter et au bout de quasi 1 minute, la page va se rafraichir et inscrire que l'opération s'est bien déroulée et invite à cliquer sur « continue »…
NE PAS CLIQUER DESSUS !
Attendre encore, la led « power » n'a en effet pas terminé de clignoter…
Quand elle aura terminé, le routeur aura terminé de redémarrer et sera enfin prêt !

  • Pour jouir de son routeur DD-WRT, rendez-vous à la même adresse, 192.168.1.1

Nom d'utilisateur : root
Mot de passe : admin

  • L'opération peut très bien se terminer ici, puisque l'option qui nous intéresse, dans le menu Administration -> WOL est bien présente.


  • Pour ceux qui voudraient bénéficier d'autres fonctionnalités, il est possible de charger ensuite une autre version plus complète de DD-WRT

Voir le wiki pour les différences entre les versions

J'ai choisi la dd-wrt.v24_std_generic.bin.

  1. Pour la mise à jour, on va d'abord, par sécurité activer l'option Boot_wait depuis le menu Administration. Ceci sera utile en cas de flashage raté.
  2. Aller au menu Administration
  3. Puis le sous-menu Firmware Upgrade.
  4. Cliquer sur le bouton Parcourir et sélectionnez le fichier dd-wrt.v24_std_generic.bin.
  5. Cliquer sur le bouton « Upgrade » et arrêter de respirer pendant le décompte de 300 secondes, DD-WRT s'occupe de tout !

/!\ N'arrêtez pas votre ordinateur, ne fermez pas votre navigateur, ou n'éteignez pas le routeur pendant cette phase !

3 - WOL en local :

C'est très simple et doit fonctionner sans problème !

  • Aller au menu Administration > WOL

Entre l'adresse MAC de l'ordinateur à mettre en marche, ajouter un nom et l'adresse IP broadcast du réseau qui termine donc par 255.

  • Cliquer « Wake Up » et hop, le PC s'allume !

WOL04.png

  • À noter que WOL en local fonctionne très bien sans ce routeur spécial, ni aucune config particulière d'un autre routeur, avec la simple commande :
wakeonlan adresse-MAC

Après bien sûr avoir installé wakeonlan.
On peut aussi utiliser l'interface graphique gwakeonlan pour effectuer la même opération.

sudo apt-get install gwakeonlan wakeonlan


4 - WOL à travers internet :

Ici ça se complique un peu plus…
Pour allumer l'ordi à travers internet, on va envoyer sur internet un packet magique sur l'adresse MAC de l'ordi vers l'IP publique fournie par son FAI.
Le routeur le reçoit et doit l'envoyer à l'ordi qui nous intéresse, identifié normalement par une adresse IP locale qui lui sera attribué seulement quand l'ordi sera allumé… Mince alors !! Comment qu'on peut faire alors ??
Bon, d'abord on va faire suivre le packet magique sur les ports UDP 7 à 8 vers une IP bidon, mais qui fait partie de votre réseau local ![2]

  • Menu NAT/Qos > Port Range Forwarding

WOL02.png
Puis, on ajoute et exécute une commande dans le routeur.

  • Menu Administration > Commands
ip neigh change la-même-IP-bidon lladdr adresse-MAC nud permanent dev br0
ip neigh add la-même-IP-bidon lladdr adresse-MAC nud permanent dev br0


WOL03.png

Ce qui va avoir pour effet d'associer l'IP à l'adresse MAC.
Ainsi le packet magique magique entrant sur le port 9 est envoyé à l'IP bidon, et comme le routeur sait que l'IP bidon correspond à l'adresse MAC de l'ordi à démarrer, ben hop, l'ordi s'allume !
Une fois l'ordi démarré, il pourra prendre l'IP qu'on veut, fixe ou attribuée par le DHCP.

  • La commande pour parvenir à allumer le PC depuis un autre ordi sur internet : (cependant elle doit marcher en local aussi !)
wakeonlan -i IP-Publique -p 9 adresse-MAC

On peut aussi s'aider de service en ligne comme celui-ci : http://wakeonwan.webou.net/

Enfin, associer l'IP publique à un nom de domaine grâce à No-IP sera bien plus pratique, surtout si l'IP en question est soumise à renouvellement toutes les 24h, comme c'est encore souvent le cas.

5 - WOL à travers internet et une BOX Adsl :

Précision donc, que tout ces tests ont fonctionnés avec un Modem Adsl !
Avec une BOX Adsl, il faut prendre en compte le fait que cette BOX est en fait un routeur, à qui il faut aussi indiquer que le paquet magique reçut par l'IP publique doit aller à un ordi spécifique du réseau local.

  • Mais alors pourquoi ne pas avoir utilisé la BOX Adsl pour faire le WOL ???

Bien que ces box soient des routeurs, ceux-ci sont bridés et dépouillés de nombreuses fonctionnalités par le FAI… donc on oublie le WOL ou la possibilité de diriger le paquet magique vers l'adresse broadcast.

Donc il suffit d'ajouter dans la machinbox une redirection de port UDP 7 à 9 vers l'IP du routeur WRT54GL, qui prendra donc le relais.
Pour le coup il vaut mieux que le DHCP soit désactivé sur le routeur WRT54GL, et laisser le DHCP de la machinbox gérer le réseau local, tout en lui réservant l'IP fixée dans le routeur WRT54GL.
Et si vraiment ça veut pas, ou que la fonction n'est pas possible, on peut toujours déclarer en DMZ l'IP du routeur Linksys dans la BOX Adsl… À condition toujours que la fonction soit disponible.
.
wol.png

6 - Configuration de l'ordinateur distant :

installation de base d'une distribution Debian Squeeze depuis le CD netinstall.
installation des paquets lm-sensors openssh-server hddtemp rsync less ccze.
Tester et valider qu'on arrive bien à se connecter sur la machine en ssh via l'IP publique…

7 - Script de Synchronisation :

Maintenant qu'on sait allumer l'ordi distant, il va falloir lui envoyer les données à sauvegarder.
Je fais ça avec rsync par dessus ssh sur le PC qui va pousser les data vers le PC distant :

#!/bin/sh
######################################################################
# Synchronisation des data poussées depuis Debianbox vers BackupData #
######################################################################
# Allume L'ordi distant BackupData | attend 30 secondes ##############
# Synchronise les dossiers | Arrête L'ordi distant BackupData ########
# Envoie un E-mail avec le log #######################################
######################################################################

wakeonlan -i backupdata.dyndns.org -p 9 XX:XX:XX:XX:XX:XX
sleep 30s

date >> /var/log/SYNCHRO-BackupData.log
echo "\n" >> /var/log/SYNCHRO-BackupData.log

# synchro des dossiers :

rsync -e ssh -avz --delete /home/makoto/ root@backupdata.dyndns.org:/home/makoto >> /var/log/SYNCHRO-BackupData.log

# Arrêt du PC BackupData

echo "\n" >> /var/log/SYNCHRO-BackupData.log
date >> /var/log/SYNCHRO-BackupData.log
ssh root@backupdata.dyndns.org 'halt'
# ajoute une séparation pour la prochaine concaténation
echo "\n---------------------------------------------------------------------------------------------------------------------------------------" >> /var/log/SYNCHRO-BackupData.log

# Envoie d'un email avec le log

mutt -s "Synchronisation depuis Debianbox vers BackupData" adresse@email.com -a /var/log/SYNCHRO-BackupData.log < /chemin/emailmessage.txt
  • Pour que le script ne demande pas le mot de passe root à chaque ligne,

Créer une paire de clés publiques/privées sur le PC qui va pousser les data vers le PC distant :

ssh-keygen -t rsa

Laisser le chemin par défaut et laisser la demande de passphrase vide.
Copier la clé publique sur le PC distant :

ssh-copy-id -i /root/.ssh/id_rsa.pub "-p N°-de-port root@backupdata.dyndns.org"
  • Ne pas oublier de créer le fichier /chemin/emailmessage.txt

Mission accomplie !

8 - Conclusion :

Reste à planifier le script en automatique (crontab) pour une exécution régulière, ou une exécution ponctuelle en fonction de sa manière à produire du contenu; Ceci afin de ne pas laisser un delta de différences trop important entre l'original et la sauvegarde, sous peine de se retrouver avec une synchronisation très longue à faire, l'Upload Adsl étant ce qu'il est…
Et bien sûr à apporter l'unité centrale de l'ordinateur chez vos connaissance et bidouiller un poil leur réseau…

Suite

Ressources :

http://doc.ubuntu-fr.org/wakeonlan
http://www.crack-wifi.com/tutoriel-flash-wrt54gl-avec-firmware-dd-wrt.php
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Docu_%28FR%29
http://www.philten.com/wol-livebox/

Notes

[1] Et uniquement celui-ci, pour un routeur sorti d'usine avec un firmware Linksys résident donc !

[2] J'ai bien pensé à utiliser l'adresse de broadcast pour la redirection de port, mais même si la saisie est bien prise en compte, le WOL ne fonctionne pas

2017-05-10

Debian 8.8

Mise à jour pour la version stable de Debian qui passe à la version 8.8

Vous trouverez ici la liste des changements en français. Comme d’habitude, principalement des corrections de bugs et de sécurité.

A noter la suppression du paquet Owncloud car il était obsolète. Il faut maintenant l’installer à la main (voir passer à Nextcloud)

N’oubliez pas que pour bénéficier de la mise à jour du noyau, il faut redémarrer la machine.

 

Related Posts:

2017-04-14

Mastodon : Oops! An unexpected error occured




Si, par curiosité, vous avez monté votre instance Mastodon pour vérifier l'intérêt du nouveau réseau social libre du moment, vous êtes peut-être tombés sur cette erreur à la relance des services. Tout semble bien se passer mais votre timeline publique et vos notifications ne marchent plus. Enfin, elles ne contiennent que les événements en cours, pas les passés.

Oops! An unexpected error occured

Comme contexte, j'ai rencontré ce souci lors du passage à la 1.1.2. N'ayant pas fait le passage à la 1.1.1, vous aurez peut-être déjà fait une partie de ce que je vais raconter ci-dessous.

Mettre à jour Ruby et réinstaller ses dépendances

Ces opérations se font avec l'utilisateur dédié à Mastodon, pas en root.

Pour ruby :
rbenv install 2.4.1 
Pour ses dépendances :
gem install bundler 
bundle install --deployment --without development test 
yarn install && yarn upgrade 
Si vous avez le regard perçant, vous avez remarqué la présence du yarn upgrade qui va vous éviter l'erreur à l'origine de l'écriture de ce billet.

Nettoyer et recompiler les assets

Le nettoyage :
RAILS_ENV=production bundle exec rails assets:clean 
La recompilation :
RAILS_ENV=production bundle exec rails assets:precompile 
Une fois tout ça fait, vous pouvez relancer votre instance Mastodon et revenir tooter parmi nous !


<noscript></noscript>

2017-04-05

Installer Collabora Online avec Nextcloud




Le soleil repointe le bout de son nez et je ne trouve plus le temps de sortir des billets. L'apéro passe avant tout mais malgré ça, j'ai quand même pas mal joué avec mon serveur.
D'abord, j'ai changé de crémerie, encore, pour laisser tomber mon C1 chez Scaleway pour une Kimsufi aux caractéristiques bien plus rigolotes : adieu l'ARM, coucou le Core i3. Ça m'a permis de mettre en place l'objet de ce billet : Collabora Online dans Nextcloud via Docker !

je présuppose que votre machine tourne sous Debian Jessie (what else ?) avec Nextcloud 11.0.2.

Installer Docker

Je suis passé par l'installation de Docker CE. Ça permet d'avoir une version plus récentes de la bête.

On commence par les dépendances qui vont bien :
apt-get install apt-transport-https ca-certificates curl software-properties-common 
On enchaîne sur la clé GPG du dépôt :
curl -fsSL https://download.docker.com/linux/debian/gpg | apt-key add -
On ajoute le dépôt dan le sources.list :
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/debian $(lsb_release -cs) stable" 
Pour finir, on installe notre nouveau jouet et c'est parti !
apt-get update && apt-get install docker-ce

Mise en place du conteneur de Collabora

On le télécharge :
docker pull collabora/code 
On le lance :
docker run -t -d -p 127.0.0.1:9980:9980 -e 'domain=votre\\.instance\\.com' --restart always --cap-add MKNOD collabora/code 
C'est pendant cette étape que je me suis le plus pris la tête... Ils disent de lancer docker avec pour paramètre un sous-domaine pour Collabora alors qu'il ne le faut pas, pas chez moi du moins. En fait, comme Collabora tourne sur le même serveur que mon instance, pas besoin de sous-domaine.

Configurer votre Vhost

Pour Nginx, ajoutez ces lignes dans votre vhost : (snippet ici).

    # static files     
    location ^~ /loleaflet {
        proxy_pass https://127.0.0.1:9980;
        proxy_set_header Host $http_host;
    }       
    # WOPI discovery URL
        location ^~ /hosting/discovery {
        proxy_pass https://127.0.0.1:9980;
        proxy_set_header Host $http_host;    
    }        
    # websockets, download, presentation and image upload
    location ^~ /lool {        
        proxy_pass https://127.0.0.1:9980;
        proxy_set_header Upgrade $http_upgrade;  
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $http_host;
   }
Pour Apache2. c'est trop long alors cliquez sur snippet !

Et voilà pour le plus chiant !

Activer Collabora

Maintenant, pour terminer, allez donc activer l'application en la configurant avec le sous-domaine de votre instance : https://votre.instance.com. Pensez bien à cliquer sur "Appliquer" si vous ne voulez pas risquer de devenir chèvre...

Tous ces efforts vous permettront de cliquer paisiblement sur ces 3 nouvelles options :



Amusez-vous bien !


<noscript></noscript>

2017-03-29

Installation d’OpenMediaVault 3 sur Debian 8 comme interface web d’administration

OpenMediaVault est le pendant Debian de FreeNAS, par l’un de ses développeurs d’ailleurs, mais c’est une autre histoire. Il s’installe habituellement via un ISO, pré-installé sur Debian, mais nécessite de formater intégralement le support de destination, ce qui est un poil gênant quand on envisage un dual boot avec Windows, vous vous en doutez.

Alors voyons plutôt comment installer OMV sur une Debian 8 classique glanée sur le site officiel.

Installation

Connectez vous en SSH sur votre machine, passez en root et ajoutez le dépôt OMV en exécutant :

cat <<EOF >> /etc/apt/sources.list.d/openmediavault.list
deb http://packages.openmediavault.org/public erasmus main
# deb http://downloads.sourceforge.net/project/openmediavault/packages erasmus main
## Uncomment the following line to add software from the proposed repository.
# deb http://packages.openmediavault.org/public erasmus-proposed main
# deb http://downloads.sourceforge.net/project/openmediavault/packages erasmus-proposed main
## This software is not part of OpenMediaVault, but is offered by third-party
## developers as a service to OpenMediaVault users.
# deb http://packages.openmediavault.org/public erasmus partner
# deb http://downloads.sourceforge.net/project/openmediavault/packages erasmus partner
EOF
export LANG=C
export DEBIAN_FRONTEND=noninteractive
export APT_LISTCHANGES_FRONTEND=none
apt-get update
apt-get --allow-unauthenticated install openmediavault-keyring
apt-get update
apt-get --yes --force-yes --auto-remove --show-upgraded  --no-install-recommends --option Dpkg::Options::="--force-confdef" --option DPkg::Options::="--force-confold" install postfix openmediavault

Configuration initiale

Maintenant que tous les paquets sont installés, on va appeler le script d’initialisation :

omv-initsystem

OpenMediaVault va à présent redéfinir la configuration d’un certain nombre de logiciels et de services, en se basant sur ce que l’interface permet de modifier.

Connectez vous sur :

http://<serveur>

avec l’identifiant admin et le mot de passe openmediavault.

Votre utilisateur SSH perdra le droit de se connecter dès la première application de configuration depuis l’interface web. Allez sur l’interface web, dans « Gestion des droits d’accès / Utilisateur », ajoutez le groupe « ssh » aux utilisateurs que vous souhaitez.

Sur le même principe, OMV redéfinit en partie la configuration de la machine. Allez dans « Système / Réseau / Interface » et ajoutez l’interface eth0 en DHCP.

Configuration de services dans OMV

Dans « Système / Notifications », configurez le système pour être tenu informé de l’état de santé de votre NAS. À l’heure où j’écris ces lignes, une erreur survient si on tente d’inscrire une adresse email pour le champ « Mail secondaire ». Le ticket a été ouvert sur la plateforme de gestion des bugs il y a quelques semaines.

Dans « Stockage / Disques physiques », repérez la correspondance entre les périphériques et leur modèle. Ensuite, dans « Stockage / Gestion du RAID », créer votre RAID en cochant les cases correspondant aux disques dans l’ordre voulu, par exemple /dev/sda, /dev/sdd, /dev/sdb, /dev/sdc donnera un RAID 10 avec une grappe contenant /dev/sda et /dev/sdd et une autre grappe contenant /dev/sdb et /dev/sdc.

Je vous conseille fortement d’activer la surveillance de santé des disques S.M.A.R.T dans « Stockage / S.M.A.R.T ». Il faut se balader dans les onglets « Paramètres » et « Périphériques » pour tout bien activer.

Si vous avez acheté un onduleur avec retour d’information par port série, dans « Système / Plugins », installez openmediavault-nut puis allez dans « Services / UPS » pour l’activer.

Source

Cette série d’articles peut vous intéresser :

  1. Un NAS-médiacenter-seedbox-steambox- PC de salon pour 1000€
  2. Comment prémunir votre NAS contre le maximum de risques
  3. Choix des composants de mon NAS 2017
  4. Montage des composants dans le BitFenix Phenom M version Micro ATX
  5. Mise en place d’un dual-boot en présence d’un RAID
  6. Montage Plug-and-Play des clés USB sous Debian sans interface graphique
  7. Installation de Kodi sur Debian 8 comme interface multimédia
  8. Installation d’OpenMediaVault 3 sur Debian 8 comme interface web d’administration
  9. Installation de Deluge sur Debian 8 comme interface web de téléchargement de torrents
  10. Ruse pour compresser efficacement une image de partition sous Linux

2017-03-28

Installation de Kodi sur Debian 8 comme interface multimédia

Je vais vous montrer comment mettre Kodi au démarrage d’une Debian serveur (sans interface graphique) et sans recourir à un environnement de bureau tel qu’Unity, Gnome ou KDE.

J’ai choisi l’interface Kodi pour monter mon mediacenter. Ce logiciel est très actif, il a de superbes applis sur mobiles (y compris sur Ubuntu Phone) et beaucoup d’addons.

À ce sujet, certains installent Plex. Même si Kodi ne répond pas à tout, pensez simplement qu’en installant Plex toutes les données de votre NAS seront accessibles par la boite qui le développe.

Bon, alors premier conseil, ne LISEZ PAS le fucking manuel, les docs sont écrites dans le désordre.

Installer le driver Nvidia

Applicable si vous avez une carte Nvidia bien entendu. Ajoutez le dossier « non-free » aux dépôts officiels utilisés (à ajouter après « main » dans /etc/apt/sources.list). Avec apt, installez le paquet nvidia-detect et exécutez la commande du même nom pour savoir quel driver installer. Si c’est par exemple nvidia-driver, installez-le, puis installez nvidia-xconfig et lancez-le à son tour pour générer le fichier de configuration pour le serveur graphique.

Ajouter le dossier jessie-backports aux dépôts

Debian 8 est l’actuelle version stable de Debian. Ça signifie que la version des logiciels proposés dans les dépôts est fixée depuis des années, Kodi n’y est même pas : c’est encore XBMC !

Il suffit d’ajouter « jessie-backports » en plus de « main » sur le dépôt officiel dans /etc/apt/sources.list. Si ce n’est pas clair, suivez ce tuto. Puis lancez apt-get update.

Installer Kodi

su root

apt-get install kodi kodi-visualization-* xorg xinit dbus-x11

adduser --disabled-password --disabled-login --gecos "" kodi

usermod -a -G cdrom,audio,video,plugdev,users,dialout,dip,input,netdev kodi

Modifier /etc/X11/Xwrapper.config et remplacer :

allowed_users=console

par

allowed_users=anybody

Créer le fichier /etc/systemd/system/kodi.service :

[Unit]
Description = Kodi Media Center

# if you don't need the MySQL DB backend, this should be sufficient
After = systemd-user-sessions.service network.target sound.target

# if you need the MySQL DB backend, use this block instead of the previous
# After = systemd-user-sessions.service network.target sound.target mysql.service
# Wants = mysql.service

[Service]
User = kodi
Group = kodi
Type = simple
#PAMName = login # you might want to try this one, did not work on all systems
ExecStart = /usr/bin/xinit /usr/bin/dbus-launch --exit-with-session /usr/bin/kodi-standalone -- :0 -nolisten tcp vt7
Restart = on-abort
RestartSec = 5

[Install]
WantedBy = multi-user.target

On ajoute les droits d’éteindre la machine, de la mettre en veille et de programmer son arrêt :
apt-get install policykit-1 upower acpi-support consolekit

Et en créant le fichier /var/lib/polkit-1/localauthority/50-local.d/custom-actions.pkla :

[Actions for kodi user]
Identity=unix-user:kodi
Action=org.freedesktop.upower.*;org.freedesktop.consolekit.system.*;org.freedesktop.udisks.*
ResultAny=yes
ResultInactive=no
ResultActive=yes

Pour vérifier que tout fonctionne :
systemctl start kodi

Puis :
systemctl enable kodi

Tips

Pour utiliser une application télécommande sur smartphone, j’ai remarqué qu’il fallait aller dans le menu « Système / Services / Serveur Web », l’activer et changer le port sur 9090 (et pas un autre) puis aller dans le menu « Système / Services / Contrôle à distance » et autoriser la prise de contrôle par des logiciels externes.

Source 1, source 2

Cette série d’articles peut vous intéresser :

  1. Un NAS-médiacenter-seedbox-steambox- PC de salon pour 1000€
  2. Comment prémunir votre NAS contre le maximum de risques
  3. Choix des composants de mon NAS 2017
  4. Montage des composants dans le BitFenix Phenom M version Micro ATX
  5. Mise en place d’un dual-boot en présence d’un RAID
  6. Montage Plug-and-Play des clés USB sous Debian sans interface graphique
  7. Installation de Kodi sur Debian 8 comme interface multimédia
  8. Installation d’OpenMediaVault 3 sur Debian 8 comme interface web d’administration
  9. Installation de Deluge sur Debian 8 comme interface web de téléchargement de torrents
  10. Ruse pour compresser efficacement une image de partition sous Linux

2017-03-23

Faire une redirection de port sur son routeur avec UPnP

Pour rendre accessible une machine derrière une box Internet (NAT), on doit souvent rentrer dans l’interface d’administration web de la dite box pour faire de l’adressage statique d’IP selon l’adresse MAC, puis de la redirection de port ou assigner un IP comme DMZ.

Mais saviez-vous que vous pouviez aussi créer votre redirection de port depuis votre PC en une ligne de commande et sans connaître le mot de passe admin du routeur grâce à UPnP ?

UPnP est un protocole réseau inventé pour simplifier la connexion d’appareils domestiques. La plupart des routeurs internet grand public l’activent par défaut.

Sous linux, il existe un logiciel graphique ultra-simple pour ajouter des redirection de ports upnp-router-control :

En ligne de commande, il existe miniupnpc (le paquet sur Debian a le même nom). Pour ouvrir rediriger le port 22 extérieur de la box vers le port 22 de l’ordinateur sur lequel est lancé la commande, rien de plus facile que :
$ upnpc -r 22 TCP

Pour lister les redirections de ports:
$ upnpc -l

Pour supprimer la redirection du port 22:
$ upnpc -d 22 TCP

Cerise sur le gateau, vous pouvez même demander au routeur votre IP publique externe:
$ upnpc -s | grep ExternalIPAddress | cut -c21-

Related Posts:

2017-03-22

Montage Plug-and-Play des clés USB sous Debian sans interface graphique

À la suite de l’article précédent, vous avez peut être choisi d’installer Debian en mode serveur sans interface graphique et de lancer Kodi au démarrage de la machine (encore une fois, un tutoriel sortira bientôt à ce sujet).

Néanmoins vous aurez besoin d’accéder au contenu d’une clé USB dès son branchement à un port USB. Et vous allez être très déçu d’apprendre que nativement sous Linux, les clés USB ne sont pas Plug-and-Play, le montage d’une partition est exclusivement manuel, via /etc/fstab ou via la commande mount.

La raison est toute simple : Linux laisse l’utilisateur libre de choisir les options de montage. Le Plug-and-Play est intégré à plus haut niveau, par les environnements tels que Unity, KDE ou Gnome.

Quand on n’a pas d’environnement de bureau, on doit recourir à un script écoutant les évènements de connexion des périphériques USB et réalisant le montage automatiquement. J’en ai justement trouvé un sur serverfault proposé par Mike Blackwell.

On va créer un fichier /usr/local/bin/usb-mount.sh et lui mettre les droits d’exécution :

#!/bin/bash

# This script is called from our systemd unit file to mount or unmount
# a USB drive.

usage()
{
    echo "Usage: $0 {add|remove} device_name (e.g. sdb1)"
    exit 1
}

if [[ $# -ne 2 ]]; then
    usage
fi

ACTION=$1
DEVBASE=$2
DEVICE="/dev/${DEVBASE}"

# See if this drive is already mounted, and if so where
MOUNT_POINT=$(/bin/mount | /bin/grep ${DEVICE} | /usr/bin/awk '{ print $3 }')

do_mount()
{
    if [[ -n ${MOUNT_POINT} ]]; then
        echo "Warning: ${DEVICE} is already mounted at ${MOUNT_POINT}"
        exit 1
    fi

    # Get info for this drive: $ID_FS_LABEL, $ID_FS_UUID, and $ID_FS_TYPE
    eval $(/sbin/blkid -o udev ${DEVICE})

    # Figure out a mount point to use
    LABEL=${ID_FS_LABEL}
    if /bin/grep -q " /media/${LABEL} " /etc/mtab; then
        # Already in use, make a unique one
        LABEL+="-${DEVBASE}"
    fi
    MOUNT_POINT="/media/${LABEL}"

    echo "Mount point: ${MOUNT_POINT}"

    /bin/mkdir -p ${MOUNT_POINT}

    # Global mount options
    OPTS="rw,relatime"

    # File system type specific mount options
    if [[ ${ID_FS_TYPE} == "vfat" ]]; then
        OPTS+=",users,gid=100,umask=000,shortname=mixed,utf8=1,flush"
    fi

    if ! /bin/mount -o ${OPTS} ${DEVICE} ${MOUNT_POINT}; then
        echo "Error mounting ${DEVICE} (status = $?)"
        /bin/rmdir ${MOUNT_POINT}
        exit 1
    fi

    echo "**** Mounted ${DEVICE} at ${MOUNT_POINT} ****"
}

do_unmount()
{
    if [[ -z ${MOUNT_POINT} ]]; then
        echo "Warning: ${DEVICE} is not mounted"
    else
        /bin/umount -l ${DEVICE}
        echo "**** Unmounted ${DEVICE}"
    fi

    # Delete all empty dirs in /media that aren't being used as mount
    # points. This is kind of overkill, but if the drive was unmounted
    # prior to removal we no longer know its mount point, and we don't
    # want to leave it orphaned...
    for f in /media/* ; do
        if [[ -n $(/usr/bin/find "$f" -maxdepth 0 -type d -empty) ]]; then
            if ! /bin/grep -q " $f " /etc/mtab; then
                echo "**** Removing mount point $f"
                /bin/rmdir "$f"
            fi
        fi
    done
}

case "${ACTION}" in
    add)
        do_mount
        ;;
    remove)
        do_unmount
        ;;
    *)
        usage
        ;;
esac

Puis on créé un fichier /etc/systemd/system/usb-mount@.service pour le service systemd :

[Unit]
Description=Mount USB Drive on %i
[Service]
Type=oneshot
RemainAfterExit=true
ExecStart=/usr/local/bin/usb-mount.sh add %i
ExecStop=/usr/local/bin/usb-mount.sh remove %i

On fini en ajoutant des règles au fichier /etc/udev/rules.d/99-local.rules surveillant les évènements de connexion/déconnexion de clés :

KERNEL=="sd[a-z][0-9]", SUBSYSTEMS=="usb", ACTION=="add", RUN+="/bin/systemctl start usb-mount@%k.service"
KERNEL=="sd[a-z][0-9]", SUBSYSTEMS=="usb", ACTION=="remove", RUN+="/bin/systemctl stop usb-mount@%k.service"

Ce script n’est pas parfait, son comportement devient même assez étrange si la partition d’une clé USB n’a pas de nom et qu’on en branche une seconde : les dossiers se mélangent. Arrangez vous pour toujours nommer vos clés, ou proposez moi une correction du script ci-dessus 🙂

Source

Cette série d’articles peut vous intéresser :

  1. Un NAS-médiacenter-seedbox-steambox- PC de salon pour 1000€
  2. Comment prémunir votre NAS contre le maximum de risques
  3. Choix des composants de mon NAS 2017
  4. Montage des composants dans le BitFenix Phenom M version Micro ATX
  5. Mise en place d’un dual-boot en présence d’un RAID
  6. Montage Plug-and-Play des clés USB sous Debian sans interface graphique
  7. Installation de Kodi sur Debian 8 comme interface multimédia
  8. Installation d’OpenMediaVault 3 sur Debian 8 comme interface web d’administration
  9. Installation de Deluge sur Debian 8 comme interface web de téléchargement de torrents
  10. Ruse pour compresser efficacement une image de partition sous Linux

2017-03-07

Vérifier la sécurité de son instance Nextcloud


Avoir son informatique dans les nuages, c'est franchement chouette. Mettre en place les services dont on a besoin et s'en servir, c'est même carrément jouissif pour le bidouilleur que je suis. Et je ne vous parle même pas des services inutiles que je m'amuse à faire tourner quand même ! Ne me regardez pas comme ça, nous sommes nombreux dans ce cas-là !

Dans les services que j'utilise beaucoup, il y a ownCloud, devenu Nextcloud dans mon cas. Il fait vraiment le café et me rend un nombre impressionnant de services. Du coup, il est devenu particulièrement critique : à force de mettre des choses et d'autres dedans, on y retrouve une partie de ma vie loin de l'écran, carrément personnelle, que je ne veux pas voir traîner n'importe où.

Là aussi, je suppose que je ne suis pas le seul dans ce cas et c'est peut-être pour ça que les gars de NC ont sorti un utilitaire pour scanner et analyser la qualité de l'installation de leur bébé de part le grand Internet et ses habitants, qui ne sont pas toujours des grands spécialistes.



Voici ce que vous devriez tous avoir sous les yeux une fois l'adresse de votre instance donnée à bouffer au scanner, et c'est presque un minimum ! Le A+ traduit un serveur configuré avec les normes en vigueur chez les professionnels. Ça tombe bien, l'hébergement, c'est mon métier.

Cette note est tout de même trompeuse puisqu'elle ne s'intéresse pas à la configuration complète du serveur sur lequel Nextcloud tourne, mais c'est déjà ça.

Si vous passez par un prestataire, faites aussi le test et n'hésitez pas à lui remonter, poliment, d'éventuelles inquiétudes !

Nextcloud étant un outil qui doit rester ouvert sur le web, il doit impérativement faire l'objet d'une vigilance importante. D'autres outils peuvent tourner avec des accès très restreints, pas NC.

Je profite de ce billet pour balancer un lien vers cet article de l'excellent Reflets.info : Jacques Attali digital, au propre et au figuré. On peut y lire des choses à la fois drôles et tristes sur la vitrine web de gens qu'on imaginerait à l'écoute de ce genre de problématique. Et je ne parle même pas de Yahoo...


<noscript></noscript>

Logiciel libre et auto hébergement, quid de la masse populaire?

Un utilisateur de Facebook rapporte 80$ de revenus publicitaires par an à Facebook. C’est une moyenne. Un utilisateur très assidu en rapporte plus.

In fine, Facebook dégage un bénéfice net de 10 milliards de dollars par an, principalement issu des revenus publicitaires.

Le prix à payer pour le service est :

  • accepter les messages publicitaires (comme sur TF1 ou la plupart des magazines papier en kiosque)
  • le profilage de son comportement à tout fin future
  • la censure selon les règles de Mark Zuckenberg (pas de nudité, etc…)
  • l’espionnage d’Etat, en premier lieu des USA.

Si l’on considère ces points comme non problématiques, alors les services proposés par Facebook (Facebook, Instagram, WhatsApp) sont très pratiques.

Il permettent de tisser des liens et accéder à des informations à une échelle et vitesse sans précédent pour le plus grand nombre et. Certes le web permet de communiquer à l’échelle de la planète depuis longtemps, mais la plupart des gens ne peuvent apprendre le HTML, comprendre le fonctionnement d’un serveur dans un réseau, payer un nom de domaine ou ne serait ce que le matériel nécessaire à un hébergement.

J’adore le logiciel libre notamment car il permet de voir et s’approprier comment fonctionne réellement un ordinateur mais la plupart des gens ne comprennent même pas ce qu’il y a derrière le mot « cloud ». Le « nuage » de fumée est un concept qui leur est suffisant pour utiliser le service.

Il y a donc là un dilemme. Si les alternatives libres à Facebook sont plus contraignantes à l’utilisation que Facebook, il est peu probable que la majorité des gens y migrent. Tout simplement car ils n’en comprennent pas l’enjeu et donc l’intérêt.

Leurs besoin sont instinctifs ou basiques : envoyer une vidéo rigolote, partager facilement des infos publiques, voir des images de mode vestimentaire, etc… et ils n’ont rien de sérieux à cacher. Snowden a tout dit et presque rien n’a bougé.

Dans ce contexte, quel est l’objectif du logiciel libre pour la masse des individus ?

Sa forme actuelle présuppose que l’utilisateur est éclairé, ne serait ce que pour décider quel moyen technique de communication utiliser (XMPP, email, Diaspora, GNUsocial, Movim, WebRTC, etc…) et maintenir lui même son ordinateur (comprendre APT/RPM est plus complexe qu’utiliser un app store de Google/Apple/Microsoft) et donc un utilisateur non éclairé ne peut pas s’en sortir seul.

Une faible partie de la population est actuellement prête à faire l’effort d’apprentissage (dénombrez parmi vous les utilisateurs éclairés de logiciels libres qui ne travaillent pas dans l’informatique) et l’usage d’un logiciel libre par un utilisateur non éclairé est similaire à l’utilisation d’un logiciel propriétaire (il ne peut rien modifier, est tributaire des conditions d’un prestataire pour toute modification ou administration de son informatique).

Tout le monde n’est pas programmeur comme Stallmann.

A mon avis, le libre ne s’imposera que si Facebook abuse de son monopole et devient un problème pour l’écosystème au dessus de lui (annonceurs, services de paiement, éditeurs de contenus, etc…). A ce moment, certains acteurs pourraient se regrouper pour imposer une base logicielle plus propice à la « libre » concurrence et fabriquée à partir de logiciels/protocoles libres et interopérables.

De la même manière, Steam a posé un pied dans l’environnement Linux, mais les utilisateurs ne bougeront pas à moins que les performances Linux dépassent celles de Windows ou que Microsoft gère mal sa cannibalisation du marché avec son magasin d’application intégré à Windows 10. Mais bon, Steam, c’est le mal, puisque pour le coup, c’est un système de DRM pour logiciels non libres.

Related Posts:

2017-03-06

Fairphone 2 : corriger le GPS de votre téléphone




Alors là, je viens de faire tomber le dernier blocage frustrant de mon Fairphone 2 : le GPS qui ne tournait pas. J'étais devenu fort en lecture de cartes sur OsmAnd~ mais je saturais aussi un peu. C'est marrant de faire le malin en sachant lire un carte dans tous les sens en 2017, mais bon, voilà, hein.
J'avais déjà passé trop de temps sur les moteurs de recherche et le forum Fairphone mais l'autre soir, dans une ultime tentative, j'ai débloqué ma situation ! Voici comment j'ai fait :

En préambule, notez que je me sers de l'Open Source OS du Fairphone, livrée sans les Google Apps. Si vous utilisez la version classique de l'OS, ce tutoriel n'est sans doute pas pour vous. Ah, et j'ai un Fairphone 2, pas le 1.
Et aussi, manipuler votre téléphone est à vos risques et périls ! Ne faites pas n'importe quoi ! Et puis, le GPS ne tourne toujours pas forcément très bien. Si je trouve des astuces pour l'améliorer, ou si vous en avez : je mettrais à jour ce billet.

Passer le téléphone en root

Pas besoin de brancher le téléphone au PC pour lancer le mode debug en ligne de commande depuis un terminal sous GNU/Linux... Pour passer root, il vous suffit de connaître le bon chemin et de taper plusieurs fois sur avec votre doigt sur Numéro de build.
Paramètres -> À propos du téléphone -> Numéro de build 
Tapotez votre écran au niveau de la case plusieurs fois et vous deviendrez le hacker de votre FP2. Retournez dans les paramètres et activez le Root Acces dans le nouveau menu "Options pour développeurs".

Passer Amaze en root

Maintenant, comme il va falloir modifier la configuration du GPS qui se trouve être un simple fichier texte dans les méandres de votre appareil, autorisez l'application Amaze à faire n'importe quoi.
Amaze -> Paramètres -> Divers 
Activez l'option "Gestionnaire Root" et le tour est joué : vous pouvez maintenant aller trifouiller dans la " / Racine" de votre Android.

Modifier le fichier gps.conf

Ce filou se trouve dans /system/etc/gps.conf.

Là, vous trouverez une ligne à commenter (en plaçant un # devant) une autre à dé-commenter et un 0 à remplacer par un 1 :
NTP_SERVER=time.gpsonextra.net
# NTP_SERVER=europe.pool.ntp.org
devient :
# NTP_SERVER=time.gpsonextra.net 
NTP_SERVER=europe.pool.ntp.org
Ensuite :
INTERMEDIATE_POS=0
devient :
INTERMEDIATE_POS=1
Vous pouvez enregistrer les modifications et redémarrer votre téléphone pour qu'elles soient prises en compte.

Un fois relancé, je vous invite à tester (depuis un endroit où vous pouvez capter du GPS !) votre nouvelle configuration avec l'application SatStat, disponible depuis F-Droid. Si tout va bien, vous devriez voir le nombre de satellites auxquels votre téléphone est connecté !

Maintenant, profitez enfin de OsmAnd~ et oubliez l'insupportable "Position Inconnue" quand vous voulez vous géolocaliser sur la carte. Bonheur.
 

<noscript></noscript>

2017-03-01

Redis-stat ou comment monitorer Redis simplement


Redis est un outil que je continue de découvrir alors que je le manipule au boulot depuis maintenant des mois, et franchement, j'adore. Je ne ferai pas de cours sur son utilité, la page Wikipédia raconte ce qu'il faut. Ici, je vous propose un outil pour le monitorer très simplement : Redis-stat.

Plutôt qu'un long discours, la capture d'écran :



Comme vous pouvez le constater, les informations sont sommaires mais suffisantes pour donner un aperçu de comportement du Redis. Bon, après, s'il vous en faut plus, il faudra passer par un outil bien plus complexe que redis-stat !

Pour l'installation, c'est une Gem ruby simple qu'il faut récupérer, mais d'abord, les dépendances :
apt-get install ruby ruby-dev make g++
Puis :
gem install redis-stat 
Pour lancer l'outil, un petit (pourquoi petit ?) :
redis-stat --server --daemon 
La configuration par défaut est parfaite si vous n'avez pas trop bidouillé la configuration de votre instance.

Je termine ce rapide billet en vous disant que l'utilisation de Redis, c'est bon pour la santé ! Mon Nextcloud s'en sort bien mieux depuis qu'il tape dedans.


<noscript></noscript>

2017-02-28

Connexion SSH à travers un ordinateur relai avec ProxyJump

Depuis OpenSSH 7.3 il existe une manière bien pratique d’établir une connexion SSH en passant un ordinateur relai et ceci de manière transparente.

Imaginez la situation suivante, vous voulez vous connecter en SSH sur une machine (toto@destination) mais celle-ci ne vous est pas accesible directement. Vous devez passer par une autre machine (titi@relai).

Voici la commande qui permet de vous connecter en une ligne à la destination :

$ ssh -J titi@relai toto@destination

Vous pouvez aussi créer un alias dans le fichier de config ~/.ssh/config

Host destination_through_relai
HostName destination
ProxyJump titi@relai:22

Et vous pouvez chainer autant de sauts/relais que vous voulez.

Related Posts:

2017-02-19

Compiler le client de synchronisation de Nextcloud




Voici un billet qui pourra être chouette pour les amateurs de compilation pas trop longue ni très compliquée. Comme contexte, il faut savoir que les développeurs de Nextcloud ne fournissent pas de paquet tout fait pour leur client de synchronisation. La raison ? Le trop grand nombre de distributions, le temps de travail et, sans doute, la compatibilité du client d'ownCloud.
M'enfin, si vous avez envie de profiter de votre instance avec le bon nom et le bon logo, voici les quelques étapes à suivre :

On installe les outils de base :
apt-get install git cmake
 On récupère les sources du client depuis le dépôt officiel :
git clone https://github.com/nextcloud/client_theming.git
On se place dans le répertoire de travail :
cd client_theming
 On met à jour les modules présents dans les sources :
git submodule update --init --recursive
 On récupère les dépendances facilement en s'appuyant sur ce qui est déjà fait avec le client ownCloud. Pourquoi ? Tout simplement parce que les bases sont les mêmes !
apt-get build-dep owncloud-client 
C'est à partir de là qu'on prépare la compilation :
mkdir build-linux
cd build-linux
cmake -D OEM_THEME_DIR=`pwd`/../nextcloudtheme ../client
Voici le retour que vous devriez avoir si la préparation de la compilation se passe bien :
dada@dada-desktop:~/work/nextcloud/client_theming/build-linux$ cmake -D OEM_THEME_DIR=`pwd`/../nextcloudtheme ../client
-- Build of crashreporter disabled.
-- GIT_SHA1 eaeed08544d1d7f4031d28a8e1bd9dd5e08a60fd
-- Could NOT find INOTIFY (missing:  INOTIFY_LIBRARY_DIR)
-- Could NOT find Sphinx (missing:  SPHINX_EXECUTABLE)
-- Could NOT find PdfLatex (missing:  PDFLATEX_EXECUTABLE)
-- Found SQLite3: /usr/lib/x86_64-linux-gnu/libsqlite3.so (Required is at least version "3.8.0")
CMake Warning (dev) at cmake/modules/CheckPrototypeDefinition.cmake:43 (if):
  Policy CMP0054 is not set: Only interpret if() arguments as variables or
  keywords when unquoted.  Run "cmake --help-policy CMP0054" for policy
  details.  Use the cmake_policy command to set the policy and suppress this
  warning.

  Quoted variables like "HAVE_ICONV_CONST" will no longer be dereferenced
  when the policy is set to NEW.  Since the policy is not set the OLD
  behavior will be used.
Call Stack (most recent call first):
  cmake/modules/FindIconv.cmake:55 (check_prototype_definition)
  csync/CMakeLists.txt:22 (find_package)
This warning is for project developers.  Use -Wno-dev to suppress it.

-- Found SQLite3: /usr/lib/x86_64-linux-gnu/libsqlite3.so;/usr/lib/x86_64-linux-gnu/libsqlite3.so (Required is at least version "3.8.0")
-- Found Qt5 core, checking for further dependencies...
-- Using Qt 5!
-- Found Qt5Keychain: /usr/lib/x86_64-linux-gnu/libqt5keychain.so  
-- Performing Test COMPILER_HAS_HIDDEN_VISIBILITY
-- Performing Test COMPILER_HAS_HIDDEN_VISIBILITY - Success
-- Performing Test COMPILER_HAS_HIDDEN_INLINE_VISIBILITY
-- Performing Test COMPILER_HAS_HIDDEN_INLINE_VISIBILITY - Success
-- Performing Test COMPILER_HAS_DEPRECATED_ATTR
-- Performing Test COMPILER_HAS_DEPRECATED_ATTR - Success
CMake Warning at shell_integration/CMakeLists.txt:11 (find_package):
  By not providing "FindKF5.cmake" in CMAKE_MODULE_PATH this project has
  asked CMake to find a package configuration file provided by "KF5", but
  CMake did not find one.

  Could not find a package configuration file provided by "KF5" (requested
  version 5.16) with any of the following names:

    KF5Config.cmake
    kf5-config.cmake

  Add the installation prefix of "KF5" to CMAKE_PREFIX_PATH or set "KF5_DIR"
  to a directory containing one of the above files.  If "KF5" provides a
  separate development package or SDK, be sure it has been installed.

Dolphin plugin disabled: KDE Frameworks 5.16 not found
-- Could NOT find Doxygen (missing:  DOXYGEN_EXECUTABLE)
-- Configuring done
-- Generating done
-- Build files have been written to: /home/dada/work/nextcloud/client_theming/build-linu

A partir de là, vous avez deux choix : installer le client directement après la compilation ou créer un paquet puis l'installer. Personnellement, je préfère la deuxième.

Installation directe :
make && sudo make install 
Création du paquet :
make && checkinstall 
Une fois avoir répondu aux quelques questions que l'outil vous demande, vous aurez un paquet .deb à installer en un clique !

Je vous laisse parcourir la doc de checkinstall, ce super outil !

Vous pouvez maintenant profiter d'un client de synchronisation avec les bonnes couleurs et le bon logo. Hey oui, il n'y a pas encore beaucoup de nouveautés...


<noscript></noscript>

2017-02-14

Google favorise les contenus récents

J’ai enfin compris pourquoi Google avait une mémoire de poisson rouge.

Google favorise les contenus récents en les boostant dans son classement. Google a déposé un brevet dessus.

La règle ressemble à ceci :

Bilan, un site web ou article peut se retrouver premier sur une requête mais sur un temps très court. Ça dépend du contenu produit par la suite qui viendra le masquer.

Exemple :

Donc quand on dit qu’Internet n’oublie pas c’est vrai, mais en pratique Google a une mémoire de poisson rouge.

Résultat :

  • la vérité de Google change grandement en fonction du moment où la recherche est effectuée et un buzz peut enterrer une vérité.
  • Il suffit de publier régulièrement sur un sujet pour cacher d’autres infos ou concurrents.
  • Publier en dernier sur un sujet permet de temporairement être premier facilement.
  • Le buzz prend le pas sur les articles de fond.

Le bon coté des choses est bien sûr que l’on tombe plus souvent sur du contenu actualisé.

 

Related Posts:

2017-02-10

Retours du FOSDEM 2017




Trois ans que des membres de diaspora* se déplacent en Belgique pour montrer aux libristes que notre tendre réseau social est toujours vivant, toujours debout.

Déjà 3 ans ! J'ai du mal à me rendre compte du temps qui passe et le FOSDEM fait partie des événements qui me resynchronisent avec la réalité. En 2015, nous étions partis à l'aventure, nous faisons maintenant partie du décor !



Par rapport à l'année dernière, en plus d'allemands, de français, d'un finlandais et d'un suisse, nous avons découvert IRL le russe qui avait décroché les fonds de la campagne de financement participatif pour refondre la fédération et ajouter de quoi jouer dans le core du logiciel : Senya !
Un vrai bon gars qu'on a déjà prévu de revoir. A priori en Finlande mais rien n'est encore arrêté.

Cette troisième édition s'est fait remarquer part la création d'une nouvelle salle de jeu : la Decentralized Room, ou la AW 125 pour les intimes. Remarquée de par sa petite taille et la foule qui voulait s'y engouffrer : 60 places, c'était vraiment trop peu. J'ai malgré tout réussi à y entrer pour encourager et supporter l''ami Fla qui y présentait la conférence suivante :


Le libre, la décentralisation et les consciences politiques qui vont avec (quoi qu'en disent certains) bougent des foules de curieux. Super nouvelle !

Trois jours pendant lesquels nous avons beaucoup parlé, à tel point que Lukas a frôlé l'extinction de voix en plein milieu de l’événement. Il faut dire que les curieux étaient au rendez-vous : on parle de plus de 8 000 visiteurs tout de même ! Des visiteurs dont le discours a évolué : on ne nous demande plus si le projet tourne mais où il en est. Les gens qui viennent nous voir en nous demandant ce qu'est diaspora* sont toujours là mais beaucoup moins nombreux qu'avant. Comme quoi, communiquer, ça paie bien !

Je ne ferai pas l'erreur de lister les gens avec qui j'ai parlé, de peur d'en oublier, mais sachez que j'ai vraiment apprécié chaque discussion et le cours de français autour de la prononciation de Bruxelles ! ;-)

J'ai profité de l'événement pour utiliser ma tablette dans un environnement critique : tenir un stand sans PC, c'est fichtrement gênant mais j'ai quand même pris le pari de ne me servir que de mon Aquaris M10 Ubuntu Edition. Je suis assez content du résultat : pas de panne, pas de comportement vraiment bizarre. Tant mieux, je n'avais pas pris de PC de rechange ! Et c'était plutôt cool de choper ma tablette à pleine main pour faire des démos sous le nez des visiteurs !
Au passage, celle-ci n'est plus disponible à l'achat depuis le site de BQ. Dommage.

Dans les trucs que nous avons utilisé en grandeur nature, je peux rapidement vous parler du tchat de diaspora*. Nous avons tous un pod sur lequel il est activé, coup de bol ! Bon, Telegram resta l'outil principal, certes, mais quand même !

Bref, le FOSDEM, ce lieu de rencontre et d'échange nous a encore permis, podmins, développeurs et simples utilisateurs, de nous retrouver autour de succulentes bières belges et rien que pour ça : Merci !
Par contre, promis, l'année prochaine, je trouverai le temps pour m'organiser un peu mieux pour, au moins, assister à plus d'un talk. #Tristitude

Ah, pour les photos, foncez faire un tour sur votre pod et cherchez le tag #FOSDEM ou #FOSDEM2017.


<noscript></noscript>

2017-01-26

ProtonMail va passer au SMTP et au français




Tout est dans le titre mais je vais essayer de pondre un billet avec un peu de mots dedans parce que j'ai bien vu que les deux critiques formulées dans mon premier billet autour du service sont bien remontées dans les réseaux sociaux.
Et, aussi, parce qu'il faut vraiment que je m'entraîne avec mon bépo.

Bref, quand je disais que le manque de traduction en français de l'interface était un problème, c'est toujours vrai mais c'est sur le point de disparaître. La traduction est en cours ! Pas de date prévue pour la disponibilité de la VF, mais ça arrive !

Quant au support du SMTP, ils n'en parlent pas encore officiellement, contrairement à la traduction qui a eu le droit à un billet de blog, mais les utilisateurs que nous sommes avons reçu un mail nous invitant à participer à une beta !
J'ai postulé dans l'espoir de faire revivre mon Thunderbird, ivre de joie et certain d'être sélectionné... sans réponse pour le moment. #Tristitude
Sachez quand même que c'est dans les tuyaux et que je vous tiendrai informé de l'évolution de la situation !

Avec ces deux évolutions, ProtonMail pourra se targuer d'être un fournisseur de courriel franchement pas mal.

Ah, et aussi, tout le monde en parle mais je le rappelle quand même : ProtonMail est accessible via Tor maintenant. Quand on sait que c'est la dernière URL qui marche avec TPB quand tout le monde s'acharne sur eux, c'est pas mal.


<noscript></noscript>

2017-01-19

J'ai vu La Sociale


Encore un article sur le Cinéma. Ils vont croire que je supporte leur industrie, les autres... mais non.

La Sociale est un film documentaire sur la création de notre belle Sécurité Sociale. Vous savez, cet outil qui nous permet d'être égaux devant la souffrance ?



Il est clair que pour le trentenaire que je suis, la Sécu, c'est quelque chose qui a toujours été là, qui le sera toujours, et que jamais je n'ai pris le temps de comprendre.
Qu'elle est son histoire, son origine, son intérêt dans un pays miséreux d'Après-guerre et même son intérêt maintenant ?
C'est là que le documentaire de Gilles Perret a joué un rôle important : il m'a appris un paquet de trucs et a redonné la patate à mon côté sale militant gauchiste.
Ce n'est pas un documentaire pointu, plein de détails et de schémas. C'est une balade humaniste autour de cette chose informe dont on connaît tous le nom et la couleur de la carte mais pas plus. On y chope quand même les billes pour comprendre le but des réformes déjà faites et à venir. Des belles cochonneries qui massacrent le principe de base de la Sécu : passer de la charité à la solidarité.

Bref, je vous invite à aller le voir, si vous avez la chance d'avoir un cinoch' qui le diffuse encore.

Pour plus de détails, en sorte d'aller plus loin, abonnez-vous à Arrêts sur Images et jetez-vous sur leur émission : "Sécu : Parlons du trou de mémoire et non du trou financier ". Là, c'est une mine d'informations dingues que tout le monde devrait avoir en tête avant d'oser dire "le trou de la Sécu".


<noscript></noscript>

2017-01-18

Installer les certificats SSL de LetsEncrypt avec Certbot

Voici ma procédure pense-bête. L’idée est de migrer des virtualhosts Apache déja configuré vers LetsEncrypt avec un bon contrôle, à savoir:
– aucun changement automatique des fichiers de configuration des sites web
– un certificat par sous domaine

Installer le générateur de certificats SSL en suivant la doc sur https://certbot.eff.org/

Arrêter le serveur web:

# systemctl stop apache2

Lancer le générateur de certificats SSL:

# certbot certonly

Choisir l’option 3 : « Spinup a temporary webserver (standalone) »

Saisir le nom de domaine. Ex: « tuxicoman.jesuislibre.net »

Ca va créer un certificat dans /etc/letsencrypt/live/ . Le certificat est aussi copié dans /etc/letsencrypt/archive/ et une tache de renouvellement est ajoutée dans  /etc/letsencrypt/renewal/ . Comme ça vous savez quoi effacer si vous faites de la merde.

Dans les fichiers de virtualhosts Apache qui sont destinés à recevoir du SSL , vous devez mettre au moins les lignes suivantes :

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/tuxicoman.jesuislibre.net/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/tuxicoman.jesuislibre.net/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf

Répéter l’opération pour tous les noms de domaine.

Redémarrer le serveur web:

# systemctl start apache2

Les certificats ont une durée de vie de 90 jours.

On va modifier la méthode de renouvellement pour utiliser Apache. Car sinon, la méthode « standalone » requiert que Apache soit éteint.

# grep -rl 'authenticator' /etc/letsencrypt/renewal/ | xargs sed -i "s/authenticator = standalone/authenticator = apache/g"

On peut ensuite vérifier que la procédure de renouvellement fonctionne:

# certbot renew --dry-run

Enlever « –dry-run » pour le faire réellement.

Mais en pratique vous n’aurez pas à vous en occuper. Vos certificats seront renouvelés automatiquement. Une tache journalière vérifie si vos certificats vont expirer et les renouvelle pour vous. Elle met son log dans /var/log/letsencrypt/letsencrypt.log

Par contre, je n’ai pas trouvé le code ou le crontab qui est responsable de cette tâche journalière. Ça m’intrigue… mais je suis sûr qu’un lecteur me donnera la solution ;)

Related Posts:

2017-01-17

Un stand diaspora* au FOSDEM 2017


C'est enfin officiel ! Nous serons au FOSDEM ce premier week-end de février ! Les bénévoles sont au courant depuis un bout de temps mais j'attendais d'avoir mes billets de train pour vous l'annoncer officiellement.

C'est donc maintenant certain : Augier et moi, podmins de diaspote.org, seront pour la troisième année consécutive au Free and Open Source Software Developers' European Meeting à Bruxelles. Ça se passera du samedi 4 au dimanche 5 février.

Nous y retrouverons une équipe de bénévoles internationaux formée de français, d'allemands. d'un suisse, un américain, un finlandais et j'en passe. De mémoire, je crois que nous serons une petite dizaine pour vous accueillir et parler pendant deux jours de diaspora* et de l'univers des réseaux sociaux libres.

Nous serons dans le bâtiment K :




C'est un sacré plaisir de se retrouver là-bas avec les copains. Les belges nous offrent vraiment un super événement où il fait bon traîner et faire des rencontres. L'année dernière, le stand diaspora* s'était transformé en vrai outil de fédération avec des gars de Framasoft, de Movim et d'autres. A priori, ça devrait être un peu la même cette année !

Belgique oblige, la dégustation de bière sera aussi de la partie : viendez trinquer, on n'est pas méchant !

A tantôt !


<noscript></noscript>

Mise à jour Debian 8.7

Debian 8.7 vient de sortir. Il s’agit d’une mise à jour mineure pour la version stable de Debian nommée actuellement « Jessie ».

Comme d’habitude sur Debian stable, il n’y a pas de mise à jour majeure des logiciels, juste des correctifs très localisés et de sécurité. C’est bien là l’intérêt de la version « stable » de Debian, des changements mineurs qui assurent le moins d’introduction de bugs possible. Ça permet de faire la mise à jour en étant confiant que la machine marchera toujours demain, sans régression.

La mise à jour est transparente, il suffit de suivre d’installer les nouveaux paquets proposés par votre outil de mise à jour préféré.

Sinon, en ligne de commande :

# apt update; apt upgrade

Related Posts:

2017-01-10

Statistiques de blog… à prendre avec des pincettes

Les blogs aiment bien parler de leur statistiques de visite après une année écoulée. Cependant, il faut prendre les statistiques avec des pincettes.

Il faut notamment :

  • enlever les robots et spammeurs de commentaires, qui sont souvent le gros des visiteurs sur des petits sites web!
  • ajouter tous ceux qui utilisent des bloqueurs de traqueurs comme Ublock Origin et qui ne sont donc pas comptés par GoogleAnalytics ou Piwik (…du moins par défaut)
  • ajouter ceux qui lisent les articles uniquement en RSS ou qui n’exécutent pas de code javascript.
  • oublier Facebook qui repompe le contenu.

Ensuite, qu’est ce qui est décompté?

  • Les pages vues: compliqué pour les pages déroulantes ou qui se rafraîchissent automatiquement. Si un visiteur ouvre le site web après avoir lu le RSS, on compte 2 pages vues ?
  • Les visiteurs : Il faut s’assurer qu’on ne compte pas plusieurs fois la même personne. Hors, l’IP change, les cookies sont parfois supprimés (ex: Cookie self destruct), la personne revient sur le site depuis un autre appareil (smartphone + pc)
  • Les visites : Piwik considère qu’un visiteur qui revient plus de 30 minutes après sa première visite, génère une nouvelle visite. Mais si on a déjà du mal à compter les visiteurs, ça va fausser le comptage des visites… Et cette définition de « visite » est propre à chaque outil de comptage et sujet à débat.

Donc, ce n’est pas facile du tout. Chaque outil (Piwik, Awstats, GoogleAnalytics, Xiti, etc…) va mesurer différemment et donner des résultats différents. D’où la difficulté de comparer.

Certains sites web seront plus sensibles aux bloqueurs de traqueurs si leur visiteurs sont plus geek. Et donc, même comparer des statistiques entre sites web utilisant le même outil est difficile.

Donc finalement, les statistiques pour un blog perso, ça permet surtout d’avoir une vague idée de sa popularité (Il y a t il plus que 10 personnes qui me lisent?) sans en savoir beaucoup plus. (Quid de la qualité du lectorat ?)

Si vous voulez avoir la plus grosse, ne vous prenez pas la tête, vous pouvez tricher comme je l’ai montré avec GoogleAnalytics ou même Piwik

Related Posts:

2017-01-04

L'auto-hébergement garde-t-il du sens si le plus important n'y est pas ?

Récemment, Genma a publié un article au sujet de l'impact de diverses coupures électriques sur son activité auto-hébergée : Coupure-de-courant-et-auto-hebergement. Diverses idées sont développées dans ce billet mais celle qui a retenu mon attention est la suivante : L'auto-hébergement c'est bien mais il ne faut pas le faire pour les services sensibles et desquels on est fortement dépendant. J'ai bien entendu laissé un commentaire sur son blog mais je trouvais justifié de développer un peu plus mon point de vue ici.

En gros, le blog et le mail seraient à ne pas héberger derrière une ligne ADSL car on ne peut se permettre soit un blog inaccessible, soit la non réception de ses mails. On a chacun des priorités variables mais je conçois aussi que ces deux usages soient importants. Dans le cas des coupures électriques à répétition il est évident que ça perturbe fortement l'activité de ces services et que si c'est prolongé, ça fini par causer des pertes définitives de données. Typiquement, vous commencez à perdre des messages si votre serveur mail n'est pas en mesure de les réceptionner pendant plusieurs jours d'affilée et dans la mesure du possible, il est préférable d'éviter ça. A l'inverse les divers services moins importants peuvent être auto-hébergés.

J'ai en fait une approche diamétralement opposée et forcement, j'en arrive à préconiser à peu près l'inverse. J'ai décidé de m'auto-héberger, non pas pour tester des services mais parce que j'ai éprouvé le besoin de reprendre le contrôle de mes données personnelles, notamment le mail. J'ai alors décidé de m'auto-héberger. Forcement de mon point de vue, l'auto-hébergement perd fortement de son sens si on décide de ne pas y stocker les données que l'on a de plus précieuses.

Alors oui, le faire soit même présente des risques car on a rien sans rien. Il faut cependant se donner les moyens de ses ambitions. Dans des billets de blog divers et variés, je vois que certains peuvent utiliser des machines peu fiables pour faire de l'auto-hébergement (typiquement des Raspberry Pi avec un système sur carte SD). Sur le principe bon, pourquoi pas, c'est amusant et très formateur. Le côté Geek en plus, c'est cool aussi.

Pourtant quand on se lance là dedans pour vraiment rapatrier ses données personnelles, le jeu doit être pensé sérieusement dès le départ. Grossièrement, il faut déjà penser à se faire son analyse de risques puis identifier ceux qui sont les plus impactants et corriger ce qui doit vraiment l'être par des actions les plus efficientes possible. Et comme on pense à l'avenir, et bien on planifie ce qui n'aura pas pu être mené immédiatement tout en prévoyant des mesures palliatives si d'aventure le pire devait arriver.

Dans le cas de multiples coupures électriques de quelques heures il est assez simple d'évaluer l'impact que ça peut avoir sur ses services auto-hébergé. On peut alors apprécier les risques encourus : perdre des visiteurs de blog ? voir ses mails arriver avec 1 jour de retard ? Perdre carrément des mails ? Risquer de la casse matérielle ? Perte définitive des données stockées ? Risque très probable d'avoir d'autres priorités que les services auto-hébergés à gérer lorsque la coupure survient ? Tout ça est prévisible et si on pense son auto-hébergement sérieusement on peut immédiatement éliminer certains risques, atténuer les effets encourus par d'autres risques et dans tout les cas avoir une meilleure vue sur l'ensemble des risques résiduels. Le tout encore une fois, c'est de penser ce jeu de manière sérieuse car le risque, ça se gère.

Je pense que différentes motivations poussent à s'auto-héberger. Je me garderai bien d'être catégorique sur ce qu'il convient ou non de faire. La seule chose sur laquelle il faut à mon sens être clair quand on parle d'auto-hébergement, ce sont justement les motivations qui conduisent à s'y essayer. Ça aide à mettre en perspective les propos des uns et des autres et à les replacer dans le bon contexte. Les propos de Genma sont tout à fait pertinent dans son contexte et, à mesure que j'y réfléchi, pas du tout dans le mien.

2017-01-03

Retour sur mon équipement de 2016


2017 commence et comme pas mal de monde, je vous propose une sorte de bilan de l'année passée. En vrac, j'ai essayé de combiner au mieux mon attachement au libre, au plaisir mais aussi à l'équitable tout au long de l'année. J'ai balancé quelques liens dans le billet mais tout n'y est pas. J'ai pas mal papoté cette année alors pensez à faire un tour dans les tags de l'article pour avoir plus de détails :-)

Smartphone : un Fairphone 2

Mon Flame ayant rendu l'âme, j'ai décidé de revenir à un smartphone plus classique, quoique. Le Fairphone, c'est une vision de l'équitable et du durable appliquée au téléphone portable qui traîne dans la poche. Pas de fioritures ici, juste un outil qui fonctionne. Une énorme partie du téléphone est constituée de pièces changeables, comme la batterie pour ne parler que d'elle. Niveau OS, c'est un Android AOSP qui le fait tourner, sans aucun compte Google : je ne me sers que des applications libres quand c'est possible, sinon je passe par l'outil de Tuxicoman (GooglePlayDownloader) pour récupérer les quelques récalcitrantes.

Tablette : une Aquaris M10

Ici, on ne peut pas dire que ce soit l'équitable et le durable qui prime. Je n'avais pas vraiment besoin d'une tablette avant que l'envie de supporter l'initiative de Canonical ne pointe le bout de son nez. La convergence, c'est à dire la mélange entre le mode tactile et le mode bureau a aussi beaucoup joué. Ma tablette est maintenant le seul outil que je trimballe avec moi pendant mes nombreux déplacements. Je peux écrire des trucs et me connecter en SSH avec un clavier digne de ce nom en plongeant la main dans ma sacoche en bandoulière. Nickel.

Serveurs : un C2 pour diaspote et peertube

Avec Augier, on manquait de mémoire vive pour notre pod diaspora* et l'envie de faire tourner un nœud Peertube pointait le bout de son nez. On est donc passé d'un C1 à un C2, toujours chez Scaleway. Les performances ne sont pas plus fantastiques qu'avant mais les quelques Go de RAM supplémentaires permettent maintenant aux utilisateurs de poster des photos sans faire tomber la machine. #Sérénitude

Manette : un Steam Controller

Loin du libre, quoique, le Steam Controller vient combler un manque de plusieurs années : pas de manette pour jouer à Rocket League & co. Steam proposant sa propre manette en plus de jeux jouables sous GNU/Linux, j'ai trouvé plutôt logique de dépenser des sous chez eux.
En écrivant ces lignes, je me rends compte que je devais écrire un billet sur cette manette. Oops. N'étant pas un gros joueur, et n'ayant aucun moyen de comparaison si ce n'est quelques vagues souvenirs de la DualSock de la PS2, je préfère éviter !

Clavier : un TypeMatrix 2030

Pour celles et ceux qui ne connaissent pas ce clavier, c'est une petite merveille pour geeks/développeurs/devops. Il a la particularité de proposer une organisation des touches qui lui est propre et, surtout, des peaux (skins) permettant de changer l'agencement du clavier de façon très agréable. J'ai personnellement pris un TypeMatrix qwerty avec un skin azerty et un skin bépo.
Bon, je me sers actuellement du skin Azerty. Je ne me sentais pas d'attaquer directement le bépo ! Je m'y mettrai plus tard, normalement. On m'a dit que c'était le meilleur moyen de ne jamais s'y mettre. J'sais pas, on verra bien !

Son : des Zero Audio Tenore ZH-DX200-CT

Ici non plus, n'étant qu'un énorme amateur de musique, je me garderai de dire que ce sont les meilleurs écouteurs intra-auriculaires que j'ai jamais utilisé mais le fait est qu'ils sont carrément super ! La honte est sur moi cependant : pas moyen de passer par autre chose qu'Amazon pour les récupérer. Je promets que c'est la dernière fois que je faute. Il n'empêche que je redécouvre des morceaux que je connais depuis très longtemps. C'est du bonheur.

Je crois que j'ai tout raconté. J'ai l'impression que 2016 fut une super année d"un point de vue de mon équipement de geek. J'sais pas ce que vous avez trouvé à acheter/supporter de votre côté mais je vais avoir besoin d'aide pour faire aussi bien en 2017.

Il ne me reste plus qu'à vous souhaiter une bonne année 2017 pleine de libre et de bonheur !


<noscript></noscript>

2016-12-31

Bonnes résolutions 2017

Voici une liste de bonnes résolutions que vous pouvez prendre pour cette nouvelle année :

Facile :

  • Utiliser Firefox comme navigateur web par défaut sur tous vos appareils. Installer l’extension Ublock Origin pour supprimer les pubs des sites web.
  • Utiliser un compte mail respectueux de la vie privée (ex: ProtonMail, OpenMailbox, Gandi)
  • Utiliser Conversations sur Android pour chatter de manière privée.
  • Ouvrir un compte sur le réseau social Diaspora, l’alternative décentralisée à Facebook et Twitter
  • Faire un don (aussi minime soit-il) à un logiciel libre

Moyen :

  • Apprendre les bases de la programmation avec Python. Vous comprendrez mieux comment fonctionne un ordinateur et pourrez automatiser des taches.
  • Installer Cyanogen/LineageOS sur votre smartphone. Redevenez le maître de votre smartphone, bloquez les permissions abusives, supprimez la pub des applications, supprimer les applications préinstallées qui bouffent votre batterie et polluent l’interface, gagnez en vitesse, sécurité et autonomie avec toujours la dernière version d’Android sans devoir racheter de nouvel appareil
  • Essayez une distribution Linux sur votre PC personnel. Bénéficiez de tous les logiciels libres installables d’un clic et d’un ordinateur rapide, sans antivirus et sans espions. Le plus simple est d’installer Linux sur un deuxième disque dur pour commencer. Vous retrouverez les mêmes logiciels libres que vous utilisez sous Windows ou Mac et plus encore.

Difficile :

  • Gérer votre serveur personnel (chez vous) avec un Raspberry Pi et Nextcloud, WordPress, Prosody, Mumble, etc… pour une infrastructure efficace et privée.

Related Posts:

2016-12-30

diaspora* en 2016




Une belle année se termine pour le réseau social libre diaspora* et comme je n'ai pas pris le temps de faire des billets d'annonce à chaque sortie de version, voici ce qu'on peut résumer des 12 derniers mois :

Une refonte du core

C'est sans doute la chose qui intéresse le moins les utilisateurs mais qui les concerne directement : le système qui se cache sous la page web de votre compte diaspora* et sur les serveurs de vos podmins adorés s'est vu beaucoup retravaillé.
Souvenez-vous des situations gênantes d'avant 2016 : un post attirant beaucoup de commentaires, rapidement, se transformait en un bordel pas possible. Les commentaires s'empilaient dans un ordre chronologique inconnu de notre planète. C'est maintenant du passé ! La fédération des messages est bien plus au point qu'avant ! De plus, une partie du travail est toujours en cours : ça sera pour 2017 donc.

Un chat en ligne

Alors, celui-là, il n'est pas encore actif sur la totalité des pods mais ça arrive. Je sais que je dis ça à chaque fois mais 2017 devrait terminer son activation sur la totalité des pods en service.
Ce système de communication en direct est utilisable depuis votre navigateur mais aussi depuis n'importe quel client XMPP qui va bien. Les vieux de la vieille dont je fais partie ne s'en servent pas trop : on traîne sur IRC depuis toujours pour parler entre nous, mais les nouveaux, moins geeks, devraient apprécier. Ceci-dit, la belle équipe qui va représenter diaspora* au FOSDEM 2017 devrait s'en servir pour se retrouver. J'en suis et je vous tiendrai au courant !

Un nouveau design

Il n'avait pas bougé depuis des années : le style très old-school est passé par une esthéticienne pour se refaire une beauté. Je sais bien que les goûts et les couleurs se discutent et que chacun y trouvera des éléments qui lui plaisent plus ou moins. Perso, j'aime et j'invite ceux qui n'y trouvent pas leur compte à créer un thème perso !

Des boutons pour commenter

Cette révolution évolution est celle dont je suis particulièrement fier puisqu'elle fût directement testée sur mon pod : diaspote.org.
Faire des jolis messages avec un gros titre, des citations, des liens et tout le tralala n'était pas bien difficile pour les amateurs de Markdown mais pour les autres, c'était franchement frustrant. Maintenant, grâce au travail d'Augier, tout le monde peut designer ses posts en quelques clics ! C'est disponible sur les posts, les commentaires et les messages privés, of course.

Mais aussi...

Des correctifs de sécurité toujours passés à temps, des améliorations discrètes mais bien utiles comme l'ajout du lien vers le post duquel est tirée la photo dans la vue des Photos, une utilisation mobile grandement améliorée, si ce n'est enfin 100% agréable, une application Android libre qui avance, et j'en passe. Je n'ai pas la liste complète en tête mais je parle ici d'un travail de fourmi qui améliore l'expérience utilisateur au jour le jour.

Enfin voilà, quand je dis que 2016 fut une bonne année ! J'avais l'idée de vous sortir une pile de chiffres pour vous montrer l'activité du projet mais je suis vite tombé sur des nombres bien trop gros. Simplement : 16 releases sur 12 mois, c'est suffisamment clair, non ?

Pour finir ce billet, je vous invite à venir vous créer un compte sur diaspote.org ou sur le pod de votre choix (Framasphere de Framasoft est chouette aussi) et de nous rejoindre sur ce beau réseau. Ça serait une belle résolution pour 2017 ! -;)


<noscript></noscript>

2016-12-28

Coucou ProtonMail, ciao Google Mail




C'était quelque chose que je voulais absolument faire depuis des mois, voire des années et c'est maintenant chose faite : je viens de transformer ma vieille adresse personnelle en Gmail (Google Mail) par une adresse en @protonmail.com.

ProtonMail ? C'est un fournisseur de courriel (!) basé en Suisse et créé par des gars du CERN. La page Wikipedia vous donnera toutes les informations connues autour de ce service et je vous invite à la lire : ce billet va se concentrer sur mes retours d'utilisateur.

Mails chiffrés

C'est natif avec ProtonMail et ça ne demande pas la moindre manipulation de la part de l'utilisateur. Ça caresse ma fibre de feignant. Les mails chiffrés ne sont pas lisibles ni par les administrateurs des serveurs ni par les gars ne possédant pas votre clé privée.
Quand vous chiffrez un mail à destination d'un contact qui n'a pas de compte ProtonMail, celui-ci ne recevra qu'une notification et sera invité à en lire le contenu depuis une interface sécurisée. Youpi, non ?
Vous pouvez, en toute connaissance de cause, envoyer des mails en clair sur le réseau pour ne pas perturber vos contacts.

Le support des domaines perso

Ce qui veut dire que si vous avez un nom de domaine, vous pourrez le faire pointer sur votre compte PM en toute transparence et, du coup, profiter de tous ses avantages avec une adresse qui ne se terminera pas en @protonmail.com. C'est pour ça que je me sers de PM maintenant et pas d'un autre service : dadall.info était géré par un serveur mail classique configuré par mes soins. Une plaie à gérer et je suis content d'avoir refilé le bébé à PM !

Les inconvénients

- PM a un gros inconvénient : il ne supporte pas les protocoles IMAP ou POP3. Pour faire simple, il n'est pas possible de s'en servir avec Thunderbird, K9-mail ou le client de votre choix. C'est assez emmerdant pour moi, je suis quand même un accro de l'oiseau bleu. Tant pis, mais c'est avec un gros pincement au cœur que j'écris ces lignes.
- Dans la même veine, sans protocole supporté, PM ne se consulte que via une interface web qui n'est pas disponible en français. Elle n'est qu'en anglais pour le moment. Perso, je m'en fiche mais ça ne va pas permettre à des non anglophones de s'en servir.
- Un dernier truc qui me chagrine, c'est qu'ils proposent, quand même, une application mobile pour mon Fairphone sous Android mais elle n'est pas libre et nécessite ces cochonneries de Google Services. Préparez-vous à lire la notification vous conjurant d'installer Google Play et ces saloperies à chaque lancement de l'application. Ça entraîne aussi des problèmes : pas de relevé automatique des mails et pas de notification lors de leur réception. #Tristitude

Bon, tout n'est pas rose. Je me suis engagé sur un an pour 48€. C'est le prix à payer pour avoir 5Go d'espace disque et le support de mon domaine perso.
J'espère que ce retour sera utile pour ceux qui se posaient des questions autour de ProtonMail. J'y suis depuis le 17 décembre et les quelques soucis que je relate ne me gênent pas vraiment : j'suis pas un accro des mails sur mon téléphone et Thunderbird est toujours mon compagnon au taff, là où il s'empiffre le plus de mails !

Il existe d'autres services fournissant des adresses mails loin de la sphère des GAFAM. ProtonMail est une solution parmi tant d'autres que je vous invite à tester par vous-même :-)


<noscript></noscript>

2016-12-22

Nginx et Let's Encrypt


Ces derniers temps, j'ai changé pas mal de choses sur ce serveur. Ceci étant, je ne me suis pas rendu compte tout de suite que j'avais cassé le flux RSS de ce blog en configurant Nginx en proxy pour le SSL. #Boulette. Pourtant, j'avais bien remarqué que les applications Wallabag et EasyRSS ne fonctionnaient plus. Ça aurait du me mettre la puce à l'oreille.

M'enfin, Cypouz m'a gentiment remonté le bug en m'envoyant un message privé sur diaspora* pour me rappeler que je devais faire quelque chose, l'erreur suivante commençant à se voir :
cURL error 60: SSL certificate problem: unable to get local issuer certificate [https://www.dadall.info/blog/feed.php?rss]
C'est maintenant chose faite et voici l'astuce : Let's Encypt dans Nginx demande un peu plus de lignes pour fonctionner qu'avec un Apache :

        ssl_certificate /chemin/vers/letsencrypt/live/dadall.info/fullchain.pem;
        ssl_certificate_key /chemin/vers/letsencrypt/live/dadall.info/privkey.pem;
 
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /chemin/vers/letsencrypt/live/dadall.info/fullchain.pem;

Voila !

Vous remarquerez que le certificat est délivré par le fullchain.pem et non le cert.pem.

Bon, je n'ai pas incroyablement creusé la question, mais comme j'ai l'habitude de dire : chez moi ça marche ;-)


<noscript></noscript>

2016-12-20

Sonerezh 1.1.3 disponible




En voilà un projet dont l’activité m’angoissait quelque peu ces derniers temps : mon lecteur de musique auto-hébergé était-il en train de mourir ? Eh nan !

Quelle joie d'avoir vu débarquer dans ma boite mail (une nouvelle, qui plus est, je vous en parle dans un prochain billet !) l'annonce de la sortie de la version 1.1.2, puis de la 1.1.3 dans la foulée. Une histoire de correction de bogue a offert une montée de version cadeau.

Bref, le plus important, la liste des nouveautés :
  • La possibilité de télécharger les morceaux
  • L’organisation de la page Albums par groupes ou albums
  • Nouvelle sécurité sur la page de login
  • et le préchargement de la prochaine musique
C'est pas incroyable, diraient les grincheux, mais c'est une grosse partie de ce qu'il manquait à Sonerezh. Surtout le téléchargement et le préchargement du prochain morceau ! Faut dire qu'il carbure dans les autres domaines : beau, rapide, efficace, simple...

Bref, ça me comble : c'est clairement l'outil que j'utilise le plus, et de loin. Avec ses 3578 morceaux regroupés en 260 albums pour 148 artistes différents, c'est aussi ce qui bouffe le plus de place sur mon serveur.
Merci aux développeurs !


<noscript></noscript>

2016-12-19

J'ai lu Surveillance://


Surveillance://, c'est le livre de Tristan Nitot. Il l'a sorti en octobre 2016 après l'avoir longtemps préparé via des billets de blog sur son site personnel. J'avais furieusement envie de me jeter dessus et c'est chose faite. Il m'a fallu moins de 3h pour le dévorer. Vient maintenant l'heure des retours : de quoi il s'agit, comment le prendre, pour qui est-il ?

Comprendre le modèle économique de notre informatique

D'abord, c'est un livre qui permet simplement de comprendre le fonctionnement économique d'Internet. C'est une chose évidente pour les libristes : on sait tous que la grande majorité des revenus des sites web et des services en ligne viennent de la publicité ciblée tirée du profilage agressif des utilisateurs, avec les travers que ça entraîne et les conséquence que ça a. Dans ce livre, le lambda va pouvoir le comprendre simplement et rapidement. Tristan Nitot ne tourne pas autour du pot et passe tout de suite à l'exemple pour illustrer son propos, sans chercher à faire plus compliqué qu'il ne le faut.

Un recueil d'exemples

Comme dit plus haut, les exemples sont légions dans ce livre : il en a pour toutes les situations. C'est un rappel pour nous qui sommes branchés et alertes. Ça nous remet en tête le CelebGate, les luttes d'Apple contre le FBI, les révélations de Snowden, etc. Pour les autres, c'est une avalanche d'événements dont ils ont peut-être entendus parler mais vraisemblablement hors contexte. Pourquoi nous sommes-nous un jour mis à parler de CelebGate : que foutaient ces photos sur Internet ? Nitot recentre le débat et place le contexte.

Un recueil de notions

Les techniciens du numérique sont des êtres tordus au vocabulaire et aux réflexes incompréhensibles pour 80% de la population. Avec Surveillance://, Nitot a pris le parti de blinder son livre de références en plus des exemples contextualisés. On parle de Cloud : c'est quoi ? On parle de virus : c'est quoi ? On parle de logiciels : c'est quoi ? Un marseillais dirait qu'il y a pas loin de 50% des pages qui servent aux annotations de bas de page. C'est bien trop, disons un bon 20%.

Un moyen de contraception

En dernière partie, il liste des moyens simples pour se protéger. C'est ce qu'on rabâche en permanence : "T'as mis à jour ton Windows ? Ton anti-virus, il tourne toujours ? Il est à jour lui aussi ?", sans parler des "Tu sais d'où vient le navigateur que tu utilises ? J'avais configuré Firefox moi !" et j'en passe. En parlant de logiciel libre, des intérêts des entreprises et de Commerce, le livre offre aux non-initiés une réflexion complète qui se tient bien mieux qu'un discours lors d'un repas de famille ou un débat autour d'une bière.

Au final, c'est un bouquin qu'il fait bon lire alors même qu'on traîne dans un milieu éclairé ou, à l'opposé, qu'on n'y a rien à voir. Personnellement, je vais le faire lire à ma famille. Ils ne comprennent pas toujours ce que je raconte : vulgariser et expliquer, c'est un métier. Avec ce bouquin, je vais profiter du travail du C3PO de Cozy Cloud pour améliorer ma situation familiale et ouvrir les yeux d'une poignée de personnes sur le fonctionnement des machins qu'ils utilisent au jour le jour.

Je ne peux que vous conseiller de le lire et de le faire lire. C'est un vrai cadeau que nous fait Tristan Nitot, profitez des fêtes de fin d'année pour discrètement le poser au milieu des autres cadeaux : il en vaut la peine !
Si vous êtes dans lycée ou un collège, professeurs ou autres, laissez-le en bonne place dans le CDI (si c'est toujours le nom de l'endroit où qu'c'est qu'il y a plein de livres) et chopez des morceaux pour les faire étudier en classe !

Merci M'sieur Nitot !


<noscript></noscript>

2016-12-12

Passer son C1 Scaleway sous PHP 7


Je laisse PHP 7 dans le titre mais je précise ici que je parle de PHP 7.0 et pas de PHP 7.1.

Notez que passer outre les dépôts officiels de Debian et qu'utiliser un dépôt maintenu par un tiers engage la stabilité de votre serveur et de votre installation. J'ai pas de souci chez moi, mais ça ne veut rien dire !

Les C1 de Scaleway sont des serveurs tournant sur une architecture ARM et si c'est sympa dans les faits, c'est un problème quand on veut utiliser PHP 7 avec sa Debian 8 Jessie.
Les dépôts bonus classiques que les debianneux doivent tous connaître sont les dotdeb. On y retrouve les dernières versions de PHP packagés avec sérieux par Guillaume Plessis, pour les architectures x86 et x86_64 mais pas d'ARM. Pas de support du C1 donc.

Pour remédier au problème, vous pouvez passer par le travail de mati75.
deb http://repozytorium.mati75.eu/raspbian jessie-backports main contrib non-free 
Pour ajouter la clé GPG :
gpg --keyserver pgpkeys.mit.edu --recv-key CCD91D6111A06851
gpg --armor --export CCD91D6111A06851 | apt-key add -
Ceci-dit, comme ce ne sont pas des dépôts officiels et qu'il n'y a pas que PHP dedans, je n'ai pas ajouté cette clé pour empêcher APT d'aller taper dedans sans une double validation. C'est pas super propre, mais bon.

Notez que la totalité des modules PHP ne sont pas encore disponibles : j'ai en tête memcached puisque je m'en servais. Tant pis.

J'ai passé le serveur de ce blog sous PHP 7.0 ce week-end : RAS jusqu’à maintenant. Le gain de performance est légèrement notable mais je ne m'attendais pas non plus à une révolution compte tenu des caractéristiques faibles du C1.

Voici la liste des services qui tournent sur ce serveur et que je certifie fonctionner avec cette version de PHP :

Par contre, Sticky-Notes est dans les choux. Il va me falloir un autre pastbin-like !


<noscript></noscript>

2016-12-07

Mémo à l’usage de ceux qui veulent avancer

[Le présent article a été en grande partie écrit en avril 2016 et légèrement retouché et actualisé en décembre]

Après quatre ans à fréquenter des élus et fonctionnaires de ma nouvelle campagne d’adoption, et plus généralement toute personne avec qui je me suis entretenu à propos de numérique ou, plus généralement, de politique, la phrase que j’ai dû entendre le plus, c’est « mais de toute façon, qu’est-ce qu’on peut bien y faire ? »

A propos d’un peu tout. De l’absence de connectivité fonctionnelle de façon satisfaisante dans nos campagnes, d’usage de trucs dans le cloud quitte à perdre toute notion de ce qu’est la vie privée voire intime, de dépenses de fonds publics totalement idiotes, etc.

Vous me voyez venir, je vais prendre mon cheval favori : le numérique, et je vais en parler pour ce qui concerne une zone que je commence à connaître un peu : l’Yonne.

« Mais qu’est-ce qu’on peut bien y faire ? »

Dans l’Yonne, il y a en gros deux grosses agglomérations, Sens et Auxerre, représentant quelque 120000 habitants sur 720 kilomètres carrés quand le département dans sa totalité en compte 342000 sur 7420 kilomètres carrés. On a donc, à la grosse, 35% de la population qui habite sur 10% du territoire.

Ces deux agglomérations ont bénéficié d’une « convention AMII ». Ça a l’air plutôt sympathique, « ami ». Même quand on commence à lire ce qu’en dit la presse, ça a l’air cool : « la fibre optique chez l’habitant tout payé par un opérateur sans une once d’argent public ». On fonce donc inévitablement dans le panneau, quand on est un élu, surtout quand on n’a pas lu les petites lignes et l’explication de texte.

Une petite ligne parmi d’autres

Cette convention AMII concerne les particuliers. Exit les entreprises, exit les hôpitaux, exit les choses qui, grosso modo, ont besoin de plus de débit que la moyenne. « Pas grave » va-t-on nous répondre, « ceux-là peuvent souscrire des offres entreprise ». Oui, 4000 euros de frais d’installation (quand on se débrouille TRÈS BIEN) et entre 600 et 3000 euros par mois en fonction du débit et des services voulus.

Oui, on croit rêver. On pose donc légitimement la question « mais pourquoi vais-je aller payer des milliers d’euros pour relier le local de mon entreprise à un débit suffisant alors que dans le quartier d’à côté, chez moi, j’ai la fibre pour 35 euros par mois avec deux ados qui doivent consommer 20 fois plus de données que ma secrétaire ? ». Et là, on s’accroche bien à son fauteuil : « parce que, Monsieur, C’EST PAS LA MÊME FIBRE ». Et vous savez le pire ? Ça passe. Ces empaffés ont réussi à faire croire que ce n’était pas la même fibre.

Eh ben si, en fait, c’est la même. Toute pareil que celle qui va aux domiciles du quartier résidentiel. A quelques détails près : la « fibre entreprise » n’est mutualisée qu’au niveau du NRO au lieu de l’être au PM (la belle affaire… Vous ne savez pas ce que sont un NRO ou un PM ? En gros, de grosses armoires dans lesquelles on branche plusieurs fils ensemble sur un autre fil. Des multiprises réseau, quoi), et elle bénéficie généralement d’une garantie de temps de rétablissement en cas de panne.

« Aaahhh ouiiii, donc c’est quand même vachement mieux que le FTTH chez moi, cette fibre entreprise ». Oui, si vous avez besoin d’une garantie de rétablissement en 4h et d’un tuyau dédié jusqu’au central téléphonique. Mais au fait, vous avez quoi aujourd’hui pour accéder à internet ? Ah, une livebox. Et la dernière fois qu’elle est tombée en panne, ça a pris quoi ? 2 semaines pour retrouver une connexion ? Ah, chiant .. Mais ça vous a empêché de bosser ? Non, ben non, vous vous êtes débrouillés avec le voisin ou des clés 3G. Et vous avez quoi comme débit ? 10 méga ? Et ça va ? Oui, ça met juste un peu de temps pour envoyer un mail avec des pièces jointes mais on s’y fait. Ben oui.

Donc en réalité, vous avez juste besoin d’une connexion plus performante, pas énormément plus performante, juste un peu, allez, soyons fous, 20Mbps symétriques… mais sinon, vous êtes content. Et vous n’allez sûrement pas investir l’équivalent d’un SMIC mensuel pour vous payer une fibre, non, vous êtes un brin plus intelligent, vous allez embaucher quelqu’un si vous avez des sous devant vous.

Explication de texte

Quand un opérateur comme Orange ou SFR signe une convention AMII, il fait donc croire à sa victime qu’il est son sauveur et qu’il va sur ses fonds propres (grand prince, en plus) déployer un réseau tout beau tout neuf que les électeurs ils vont être super contents. Promis, dans 5 ans, on a fini, et on s’arrangera pour avoir fait le plus gros dans les endroits à problèmes, comme ça, aux prochaines élections, vous aurez un bon argument pour être réélu.

Et puis une fois signé, il se passe quoi ? Ben il se passe que des agglomérations comme Sens et Auxerre sont déjà, à quelques exceptions notables près, plutôt pas trop mal servies et que l’investissement sur fonds propres promis par l’opérateur qui aménage le réseau FTTH ne concerne que l’horizontal (les fibres sous le trottoir) mais ni le vertical (dans les immeubles) ni le branchement des pavillons… qui sont à la charge de l’opérateur qui va vouloir relier son client, donc, in finé, du client. Prix de ce petit luxe qui consiste généralement à tirer quelques dizaines de mètres de fibre ? Entre 200 et 800 €.

Évidemment, les opérateurs sont malins, ils n’annoncent pas des frais de mise en service de ce genre là, non. Ils noient ce montant dans l’engagement.

« Bonjour, vous avez déjà de l’ADSL qui pédale pas trop mal, mais c’est hasbeen. Prenez la fibre, c’est QUE 45 € par mois avec un engagement 3 ans, vous pourrez regarder 12 chaînes HD en même temps ! ». Alors, je m’engage 3 ans avec un opérateur, je paie plus cher, mais en fait j’en ai pas besoin parce que j’ai que deux yeux et que j’ai beau essayer, je peux pas regarder deux trucs différents en même temps.

Et du coup, que dit l’opérateur à la collectivité avec qui il a signé la convention AMII ? « Euhh bon en fait on vend beaucoup moins que prévu, et comme on comptait un peu dessus pour financer le reste du déploiement, ben il va durer plus longtemps que prévu, mais vous pouvez rien y faire, c’est marqué dans le contrat, article 156 alinéa 16876″.

Tadaaaa.

Cerise sur le gâteau

L’opérateur qui a réussi à arracher une convention AMII aux grands pôles urbains l’a mis bien profond au département et à la région concernés. Eh oui, on dit qu’il a vitrifié la zone. Interdiction pour toute collectivité de venir investir un centime sur la chasse gardée de l’opérateur en matière d’aménagement numérique pendant la durée de la convention.

Du coup, il se passe quoi ? Il se passe que les zones les plus peuplées (qui sont moins chères à déployer, compte tenu de la densité de logements) sont exclues de la péréquation que pourrait effectuer un département pour créer un réseau d’initiative publique. Reste les zones moins densément peuplées qui coûtent plus cher à couvrir en fibre.

En résumé, la boite privée riche qui fait des bénéfices s’occupe de couvrir là où ça coûte pas cher mais ou personne n’en a besoin, et le secteur public déjà exsangue doit se démerder avec les zones qui coûtent cher mais ne le fait pas et les laisse moisir faute de moyen.

Bien joué, l’AMII.

Bon, du coup, on fait quoi, nous, collectivité petite ou grosse ?

On se demande comment faire pour régler le léger problème des campagnes avoisinant ces centres urbains qu’un gros opérateur a phagocyté, vu qu’on peut pas faire péter les conventions qui ont été signées.

On va se renseigner là où les gens ont l’air de savoir ce qu’ils font, chez les grands opérateurs. Une commune du coin a tenté de se démerder, téléphonant à quelques opérateurs nationaux, disant « coucou, on voudrait créer un réseau fibre sur notre commune, on paie, vous voulez bien venir y vendre vos offres. Ils se sont fait rire au nez sur le thème : « Mais vous êtes ridicules. C’est trop petit. On prendra même pas le train pour venir voir. Ça nous intéresse pas ».

Il s’agissait, pour que les choses soient claires, que la ville finance et construise un réseau pour que ces messieurs les opérateurs n’aient rien à investir et puissent débarquer avec leurs offres pour les vendre aux gens. Plutôt sympa, moi, je dirais.

Bon, du coup, on pose la question : « à partir de combien ça vous semble intéressant ? ». Là, on vérifie qu’on est bien assis, la ville a demandé : trop petit. La communauté de commune a demandé : trop petit. Le département a demandé : trop petit. Oui oui, ces gens là ne veulent discuter qu’avec un truc à l’échelle régionale.

Et comme ils ont embauché des lobbyistes doués, ils ont même réussi à faire gober à l’état qu’il était nécessaire de freiner toute velléité locale de construction de réseaux optiques en ne réservant les subventions état et Europe qu’aux projets d’envergure régionale. Il faut le savoir, aujourd’hui, une collectivité territoriale ne fait RIEN si il n’y a pas au moins un bout de subvention qui vient de plus haut. Alors qu’elles pourraient souvent faire quand même quelques trucs, mais c’est un autre débat.

Bon ben, du coup, on va rien faire hein. Enfin, rien de concret. On va voter un budget. Allez, 55 millions d’euros. Hop. L’Europe va en payer 12, l’état 18, le département 14 et on va aller siphonner les 11 millions restants dans les caisses de nos communautés de communes, elles referont leurs trottoirs ou leurs terrains de foot plus tard.

Bon. Et avec ces 55 millions on fait quoi ?

On a tout bien écouté Orange, ils nous on dit que la fibre c’était au moins 2000 € par foyer compte tenu de notre densité de population mais que eux avait une solution magique géniale qui coûte deux fois moins cher, et qui consiste à rapprocher la fibre de chez l’habitant. Pas l’y amener, hein, la rapprocher. Nom de code « Montée en débit », MeD ou PRM chez les initiés.

Bon, je la fais courte pour ceux qui ne connaissent pas le principe de la montée en débit : ça monte pas bien haut.

Si l’ADSL ne marche pas ou pas bien à certains endroit, c’est parce que les lignes de téléphones sont trop longues. Du coup, le principe de la PRM, c’est de remplacer un bout de ces lignes de téléphones par une fibre optique (qui souffre beaucoup moins de la baisse de qualité avec la distance) et, au bout, de planter un mini central téléphonique sur lequel on viendra raccrocher les lignes. Les lignes sont plus courtes, l’ADSL marche mieux. CQFD.

En plus, ça « prépare l’arrivée de la fibre ». Pensez donc, ils enterrent 6 paires de fibres pour relier un mini central téléphonique perdu dans la pampa sur lequel il y a quelques dizaines de lignes. Et ils veulent nous faire croire que 6 paires sont suffisantes pour proposer, plus tard, une offre FTTH digne de ce nom ? Raté, il faudra changer le câble en question, ne serait-ce que parce que l’ARCEP impose qu’il y ait une fibre par habitant qui arrive au point de mutualisation le plus proche, que celui-ci doit couvrir au moins 300 logements et que bon nombre d’opérations PRM actuellement en route portent sur des PM de moins de 90 lignes. Donc en fait, ça ne prépare rien du tout.

De toute façon, le gros du coût de déploiement de la fibre ne concerne pas cette longue distance effectuée entre le central d’origine et le nouveau petit, bien souvent faite en bordure de route facile à creuser, mais bien la mise en service jusqu’à l’abonné où il faut se torturer l’esprit pour ne pas trop ravager le devant de la maison pour y faire rentrer le nouveau câble.

Mais s’il n’y avait que ça, on s’en contenterait. Là où il y a un hic, c’est que cette fameuse offre PRM est :

  • Affreusement chère : en ce qui concerne l’Yonne, elle va concerner, ces prochaines années, un peu moins de 19000 foyers pour un coût total d’un peu moins de 22 millions d’euros. Quelque chose comme 1150 € par foyer bénéficiant de l’augmentation de débit.
  • Une subvention à Orange : il n’y a qu’eux qui peuvent la mettre en œuvre puisqu’il s’agit de leur réseau. L’excuse typique étant « c’est faux, il y a plusieurs entreprises qui proposent l’offre PRM cuivre, il y a donc libre concurrence ! » oui, et qui, une fois la phase d’étude réalisée, sous-traitent la réalisation du boulot à… Orange.
  • Contre performante au possible : pour cette somme modique offerte à l’opérateur historique, l’ADSL pourri ou inexistant d’aujourd’hui deviendra un ADSL qui marche à peu près dans 2 à 6 ans, on « investit » donc de l’argent pour garder à la traîne ceux qui y sont déjà.

Pendant ce temps, vous continuez à payer directement ou indirectement l’entretien du réseau téléphonique (qui n’est plus assuré qu’en cas d’extrême urgence) sur vos factures mensuelles, et vous allez donc, en plus, payer, via vos impôts, le fait de pouvoir continuer encore longtemps à financer cet entretien inexistant. Heureusement que plus de la moitié sont payés par l’Europe et l’état, hein, on se sent moins seuls.

Bon, ça, c’est fait, un petit cadeau de 22 millions d’argent public à une boite qui caracole en tête des plus gros bénéfices à la bourse de Paris. Admettons. La consolation c’est que c’est encore l’état qui capte 13% de ces dividendes. On n’a pas tout perdu.

Bon, et les 33 millions qui restent, on en fait quoi ?

On va quand même faire un peu de fibre, hein. Bon, on le fait où ? Bon, ce bled là, celui là et celui là y sont de gauche, je les aime pas, donc pas chez eux. Là bas, c’est trop paumé et Orange a dit que ça coûterait trop cher, donc on n’ira pas. Bon, ben on va déployer dans les villes les plus peuplées en dehors des deux zones AMII et uniquement si elles sont du même bord politique que nous. Allez, c’est ficelé, on y va.

Au fait, on fait comment la fibre ? Tu sais, toi, René ? Non. Francis non plus ? Bon… on va attendre que la région se bouge le fion pour nous pondre un truc, tout seuls on n’y arrivera pas.

Attend, on va quand même sortir un appel à projet pour les zones industrielles histoire de faire croire qu’on se préoccupe de nos entreprises. Non, t’inquiète, s’il y en a qui répondent on fera comme d’habitude : les morts. Avec un peu de bol Orange ouvrira des offres fibre entreprise sur ces zones et on pourra valablement retirer l’appel à projet avant que ça râle trop fort en disant « ah ben non, à Bruxelles ils ont dit que quand le privé couvre, nous on n’a plus le droit ».

3 ans plus tard, la région, toute contente de se marier avec la Franche-Comté, parvient à monter une Société Publique Locale pour piloter les déploiements FTTH. Bon, en vrai, elle va aussi édicter les règles d’ingénierie et choisir un délégataire privé qui sera chargé de se mettre dans la poche les 33 millions de l’Yonne (et les millions des autres départements) pour construire un beau réseau FTTH sur lequel ces messieurs « opérateurs d’envergure nationale » viendront vous vendre leurs offres.

« Gérer ça en propre ? Mais vous n’y pensez pas Geneviève, Orange a dit que c’était compliqué, la fibre. Déjà qu’on n’est plus foutus de gérer nous-mêmes les réseaux d’eau potable… »

Petite consolation tout de même, les opérateurs qui vont venir vendre leur service payeront (en principe) une dîme mensuelle pour chaque ligne qui reviendra dans les caisses des départements. C’est donc un investissement, contrairement à la montée en débit PRM qui est une subvention à fonds perdus.

Espérons juste qu’au détour de l’appel à délégation de service public qui sera passé, les deux ou trois candidats « sérieux » qui se présenteront n’imposeront pas de clauses bien tordues (du genre « pour pouvoir jouer sur le réseau il faut le cofinancer à hauteur de 25% ») leur permettant de s’arroger à eux seul le droit d’exploiter le réseau public. L’avenir nous le dira.

Bon, eh, Spyou, t’es sympa avec ton roman fleuve, mais tu nous as toujours pas dit ce qu’on pouvait faire, là.

C’est pas faux. Mais il fallait quand même bien que je vous brosse le tableau avant de le barbouiller avec ma gouache.

Deux ou trois autres détails, que vous ayez bien l’image en tête.

Déployer un réseau fibre, c’est de la plomberie. Tout pareil que de l’eau ou n’importe quel autre réseau déjà existant : il faut enterrer des tuyaux ou planter des poteaux pour ensuite y mettre des câbles dans lesquels il y a de la fibre.

Petit point financier :

  • Un mètre de fibre, c’est entre une poignée de centime et 2 euro en fonction de la quantité achetée et du nombre de fibres dans la gaine.
  • Un mètre de fourreau pour mettre la fibre, c’est du même acabit.
  • Un poteau, c’est quelque chose entre 50 et 100 euros.
  • Un mètre de tranchée pour enterrer un fourreau, c’est entre 10 euros (dans un champ) et 3 ou 400 euros (en ville où il faut faire attention aux autres réseaux, reconstruire le marbre plaqué or du trottoir, etc.)

Bilan de ce point financier : la fibre, ça coûte rien. Ce qui coûte, c’est de faire des trous.

Ça fait déjà un bon moment que toutes les collectivités le savent : quand on fait un trou quelque part, on en profite, on met des fourreaux vides en trop dedans, ça évitera d’avoir à creuser à nouveau, et dans le pire des cas, on aura perdu quelques centimes, c’est pas bien grave.

Alors qu’on m’explique pourquoi, pas plus tard que l’année dernière dans l’Yonne, plus de 80km de tranchées ont été réalisées (pour celles dont j’ai eu connaissance), dont certaines assez longues, sans qu’aucun fourreau vide n’ait jamais été posé.

Florilège :

  • « On savait pas comment faire donc on n’a rien fait »
  • « Ça traversait plusieurs communes et il y en avait dans le tas qui ne voulaient pas payer plus cher que le strict nécessaire donc on n’a rien fait »
  • « C’est une intervention faite par un gestionnaire de réseau privé, si on voulait mettre des fourreaux vides, on aurait dû cofinancer les travaux donc on n’a rien fait »
  • « Quand on pose un type de réseau, on fait appel à une entreprise spécialisée dans ce type de réseau. Si on lui demande de poser un autre type en même temps, elle fait n’importe quoi et c’est la merde intersidérale donc on n’a rien fait »

Et vous demandez encore ce que vous pouvez faire ?

J’ai d’autres idées, si profiter des trous qui sont faits pour préparer l’avenir n’est pas à votre portée.

Vous avez l’immense chance (des communes d’autres départements tueraient pour l’avoir) de bénéficier de l’implantation, sur votre territoire, d’une initiative locale, portée bénévolement par des gens motivés, qui ont les compétences, le temps et l’envie de faire quelque chose. Ils ont, pour arriver à leurs fins, créé une structure éminemment démocratique et totalement transparente, tant financièrement que techniquement. Pourquoi persister à ne pas les considérer, sans même parler de les soutenir, hein ?

Ils sont mal fringués et leurs principes ont l’air vaguement communistes… ok… j’ai d’autres idées, si soutenir les initiatives locales n’est pas de votre goût.

Une idée plus administrative, tiens. Se grouper pour faire pression. Il existe des tas d’organisations regroupant de petites communes rurales. Il serait peut être temps d’envoyer promener le diktat privé imposé par Bruxelles et faire pression sur notre état pour qu’il oblige ceux qui en ont les moyens d’assurer l’investissement nécessaire à la sortie du tiers monde numérique de nos territoires. Pas en suggérant une nouvelle taxe qui retombe systématiquement sur le nez des clients comme l’a proposé un de nos députés locaux, mais en réévaluant par exemple la notion de service universel pour y inclure l’accès à internet avec un débit minimal valable.

Non ? Si faire bosser vos équipes sur un nouveau genre de projet qui a l’air un peu révolutionnaire ça vous colle la frousse, j’ai encore une pochette surprise dans ma besace.

Pourquoi ne pas suivre les buts que vous vous êtes fixés quand vous avez demandé à un cabinet de conseil d’écrire le schéma directeur d’aménagement numérique à votre place ? Ils n’y ont pas mis QUE des âneries hein. Loin de là. Il y a même une idée toute bête et qui, pourtant, n’a toujours pas été mise en œuvre, bien qu’elle soit un des prérequis avant de pouvoir éventuellement penser à faire de la fibre : recenser le génie civil disponible. Mettre des outils de cartographie à disposition de toutes les structures administratives, et pourquoi pas de l’ensemble de la population pour aller plus vite ?

Maintenant, si même faire ce que vous aviez dit que vous feriez n’est pas possible… je ne vois qu’une solution, continuez à chercher des papiers et des chèques à signer en espérant que les choses se feront toutes seules.

En parlant de chèques… Chaque année, les opérateurs paient une Redevance d’Occupation du Domaine Public (RODP) aux collectivités dont ils occupent tout ou partie de l’espace public, en souterrain ou en aérien. Vous êtes-vous un jour demandé d’où sortait le montant en bas de la feuille ? Je serais vous, je creuserais le sujet. Sachez que si vous trouvez une bourde dans le calcul, vous pouvez demander le complément de façon rétroactive sur 5 ans. Allez, je vous aide, c’est Orange qui vous donne le chiffre, et en dehors d’aller recenser le réseau physiquement dans votre commune, vous n’avez aucun moyen de vérifier sa validité. Action.

Moi, je vais continuer chaque semaine à connecter 2 à 10 personnes au réseau de SCANI, ça va être long, on sera toujours une bande de gnioufs bizarres qui font pas du vrai internet, mais à la fin, quand on comptera les points, nous, on saura ce qu’on aura fait pour le département.

Je m’énerve pas, Madeleine, j’explique.

Le truc qu’on fait chez SCANI est assez simple à comprendre. On prend de l’internet où il marche et on l’emmène là où il ne marche pas. On ne pirate pas un opérateur quelconque, nous SOMMES opérateur. N’en déplaise à certains, « être opérateur », ça se résume à cocher quelques cases sur le formulaire du site de l’ARCEP et de cliquer sur « envoyer ».

Comme on a avec nous quelques personnes du métier qui sont tombés dedans quand ils étaient petits, on arrive à obtenir les meilleurs prix pour les services qui sont utiles et on sait faire tomber en marche ces objets bizarres portants des noms qui font peur : « routeur, switch, lns, serveur dns… »

Et ensuite, on y va petit à petit. Pas de grande folie, pas de couverture totale de tel village, pas d’investissements colossaux. Non, on a commencé avec Pclight par un investissement en matériel de 500 € et un coût mensuel récurrent à payer de 60 €. C’était début 2013, moment où les premiers adhérents ont été reliés à des connexions proposant un débit descendant de 12Mbps et un débit montant de 1Mbps. Du simple ADSL, en fait.

Le schéma technique est compréhensible par n’importe qui : une ligne ADSL, un bête câble réseau, une antenne wifi au bout, accrochée à la cheminée, la même en face plus loin, et un ordinateur au bout du câble.

C’est ce qu’on fait depuis 4 ans : mettre des antennes wifi en face les unes des autres pour amener des connexions internet dans la campagne.

Avec un travail 100% bénévole, en dehors des prestations dangereuses réalisées par des antennistes professionnels, on en est rendus à 370 connexions finales actives et un peu plus de 700 antennes installées. Du coup, le budget de 60 € par mois a un peu grossi, le récurrent mensuel qui rentre, une fois la TVA déduite, est d’environ 8000 € qui permettent aujourd’hui de financer :

  • Trois arrivées de « fibre optique entreprise », les mêmes que celles décrites plus haut, qui ont coûté fort cher à l’installation mais qu’on a pu offrir aux adhérents avec leur argent mis en commun dans la coopérative.
  • Un cœur de réseau parisien composé de quatre routeurs servant à accueillir d’une part l’arrivée de ces fibres optiques et des liens ADSL et VDSL que nous utilisons sur certaines portions isolées du réseau, et d’autre part les interconnexions avec 300 autres opérateurs de toutes tailles avec qui nous échangeons le trafic des adhérents.
  • L’achat de matériel et de prestations pour continuer à déployer le réseau et l’améliorer.

Le modèle économique est idéal : plus il y a de personnes reliées, plus le budget mensuel augmente, plus on peut augmenter les débits disponibles en en faisant profiter tout le monde. Certains bénéficient aujourd’hui d’un débit de 60 méga, toujours pour 30 € TTC par mois.

L’objectif à court terme est de commencer à creuser nous mêmes ces fichus trous pour y mettre de la fibre optique. Même si certains douteront toujours, l’union fait la force, et nos agriculteurs ont tout le matériel nécessaire pour faire des trous. Avec ce principe de fonctionnement, une coopérative anglaise arrive à un investissement tout compris (fibre, génie civil, matériel actif, déploiement chez les gens, connectivité vers internet) de 1200 € par habitation connectée avec un débit disponible de 1000Mbps pour chacun.

Concernant le travail déjà réalisé avec le wifi sur notre réseau, il n’est pas condamné, puisque la fibre viendra en remplacement des liens wifi les plus chargés pour les rendre plus fiables et performants et que les antennes pourront être réinstallées pour étendre encore le réseau plus loin, voir, pourquoi pas, les céder à d’autres initiatives ailleurs.

A plus long terme, il s’agit de créer des emplois qualifiés et non délocalisables autour d’un projet économique, social et solidaire.

La totalité des données financières sont accessibles en temps réel aux adhérents, tous les outils et méthodes de travail sont publics et l’ensemble des actions menées sont ouvertes à qui veut bien se donner la peine de venir à notre rencontre.

En bref, soutenir nos actions présente un risque : celui qu’on aille plus vite, plus fort et plus loin. C’est promis, on ne se moquera pas de celles et ceux qui pourraient venir en nous disant « bon, ok, au temps pour moi, c’est un vrai projet que vous avez, comment on avance ensemble maintenant ? ».

Eh, t’es bien mignon avec ton association de Trotskystes là… on peut pas baser la stratégie numérique d’un département là dessus.

C’est assez délirant comme idée, je le reconnais.

D’ailleurs, une petite ligne sur les associations en question. Depuis fin 2012, Pclight sonnait tantôt comme une douce musique (aux oreilles de certains, délaissés des sphères numériques, qui voient là une bonne opportunité de s’en sortir), tantôt comme une rengaine plutôt enquiquinante (pour d’autres, habitués à des fonctionnements plus institutionnels). C’était un brin voulu. En plus de faire du réseau, on est également une belle bande d’agitateurs qui aimons coller de grands coups de pieds dans la fourmilière. Pas super sympa, mais nécessaire.

Certains ont pu se demander ce qui se passait avec cette histoire de Pclight & SCANI. Sans rentrer trop dans les détails, des divergences de point de vue concernant entre autre la gouvernance et la taille des projets a mené à une séparation en deux structures. Ça a probablement été fort mal géré, mais passons, le temps a fait son œuvre et les deux structures envisagent à présent des actions communes.

L’idée n’est pas d’avoir à faire un choix entre blanc ou noir, entre conservateur et 68’tards, entre bien et mal, entre capitaliste et communiste, entre gros ou petits mais bien de saisir les opportunités pertinentes au moment où elles se présentent avec un seul et unique objectif : le bien commun.

C’est ronflant comme objectif, même un poil arrogant, OK. Mais c’est comme ça, faudra vivre avec.

Et si on arrive à bosser en bonne intelligence avec le reste des opérateurs, les élus, les autres associations, les habitants, les coopératives, les entreprises, la région, l’état, etc. qui sait où on ira ?

Super, tu m’as convaincu. Je suis élu, je fais quoi ?

Bon, déjà, tu retournes en haut de la page et tu vas lire une seconde fois.

Ensuite, SCANI est une coopérative. Pour un élu, ça veut donc dire deux choses :

  • tu peux venir à notre rencontre et même, avec un peu de bol, nous demander de venir te voir (par mail, de préférence), pour t’expliquer les points que tu n’as pas compris et discuter de ce que la collectivité que tu représentes peut apporter au projet (délégation de personnel, mise à disposition de points hauts, prêts d’engins…)
  • tu peux aussi soutenir l’activité de la coopérative en investissant au capital. Ça passe par une délibération et il faut, ensemble, veiller à ce que l’investissement public ne dépasse pas l’investissement privé et à la façon dont le capital investi sera utilisé par SCANI, mais c’est un bon moyen de dépenser l’argent de tes électeurs puisque tu ne le dépenseras pas : il reviendra dans les caisses communes lorsque ce à quoi il aura servi aura été rentabilisé (à supposer qu’on ne se plante pas, bien entendu …). Tu trouveras un peu de littérature en cliquant ici.

Au boulot maintenant !

2016-12-06

Wallabag pour tous et des brouettes



Le titre de l'article n'est pas spécialement flatteur quand on sait le courage qu'il faut pour se lancer dans l'aventure auto-entrepreneur pour soutenir un logiciel libre, mais bon voila !

Nicolas Lœuillet, papa du Read-it-Later libre, se lance : il vient de nous sortir Wallabag.it. Qu'est-ce donc ? C'est un accès simple et direct à une instance Wallabag en échange de quelques malheureux euros par an. C'est 9 euros en ce moment et jusqu'au 1 mars 2017, après, la facture sera de 12 balles. Autant dire rien du tout.

C'est une démarche que j'adore, vraiment. C'est ce que j'aimerais avoir le courage de faire !

Si vous voulez profiter d'un espace en ligne simple et fiable pour sauvegarder vos articles chopés pendant la pause dej' et les lire ensuite depuis votre canapé avec votre tablette/smartphone/PC sans avoir envie de vous coltiner la gestion d'un serveur : foncez ! C'est carrément la solution que je proposerai à mes proches et collègues pour l'unique raison suivante : je ne gère rien sur ce coup-là ;-)

Courage et bonne chance ! J'ai toute confiance en son projet et je sais déjà que ça va être une grande aventure !

Vi, je sais, il y a la solution Framabag, mais c'est bien le but de Framasoft que de motiver les gens à proposer ce genre de service libre et éthique alors ne boudez pas mon plaisir ! Et le nombre d’utilisateurs et d'utilisatrices de l'instance de Frama a certainement pesé en faveur de Wallabag.it.



<noscript></noscript>

2016-11-29

La trépidante histoire du droit d'auteur - « Le piratage c'est du vol », et autres phrases chocs


Avec l’arrêt de Zone-Telechargement, que je ne connaissais pas du tout avant ce matin, c'est le bon moment pour faire tourner une vidéo sur les droits d'auteur et les idioties qu'on nous raconte à longueur de journée. Cette vidéo vous fournira des billes pour débattre de ce sujet ô combien trollesque.

Tout y passe : la notion de pirate, l’idée reçue qui dit que les pirates consomment moins, l'Internet mondial à l'origine du déclin de la musique, la fréquentation des salles obscures qui s’écroule, le délire sur les photos des monuments, etc.


>

Bon visionnage et merci à Louis Paternault de l'association Grésille pour son travail.


<noscript></noscript>

2016-11-17

Magic device tool - Installer Ubuntu Touch sur votre téléphone ou tablette




Note : Ubuntu Touch est encore en développement actif. Je veux dire par là qu'il s'améliore avec le temps mais qu'il contient encore des soucis qui pourraient vous décevoir.

Ceci-dit, il est possible de se lancer dans l'installation de cet OS alternatif sur votre smartphone en passant par un script. Il fera l'installation pour vous, en bon feignant que vous êtes. Ce script, c'est magic-device-tool. Il est officiellement disponible pour Ubuntu 16.04.

Les appareils supportés sont les suivants :
  • BQ Aquaris E4.5 (krillin)
  • BQ Aquaris E5 HD (vegetahd)
  • BQ Aquaris M10 HD (cooler)
  • BQ Aquaris M10 FHD (frieza)
  • Meizu MX 4 (arale)
  • Meizu Pro 5 (turbo)
  • LG Nexus 4 (mako)
  • LG Nexus 5 (hammerhead)
  • Asus Nexus 7 2013 WiFi (flo)
  • Asus Nexus 7 2013 LTE (deb)
  • Asus Nexus 7 2012 3G (tilapia)
  • Asus Nexus 7 2012 WiFi (grouper)
  • Samsung Nexus 10 (manta)
  • OnePlus One (bacon)
  • Fairphone 2 (FP2) (Instable !)
Notez que le support du Fairphone est totalement expérimental et qu'il est certain que tout ne se passera pas comme prévu. On sait que l'OS tourne mais qu'il n'est pas possible de faire grand chose d'autre que de le regarder tourner. Je vous tiendrai au courant quand ça marchera : mon Fairphone 2 y aura droit.

Pour celles et ceux qui se demandent si cette procédure d'installation automatisée écrase complètement l'Android que vous traîniez avant : la réponse est oui. Il ne s'agit pas ici d'un utilitaire pour faire du dualboot UT/Android. UT va prendre toute la place qui lui revient et dégager l'OS anciennement installé.

Pour les utilisateurs d'UT, ce script permet aussi de changer de canal : passer de stable à développement.

Pour finir, UT n'est pas le seul OS supporté par ce script, vous pouvez aussi l'utiliser pour installer les OS suivants :
  • CyanogenMod (with or without GApps)
  • Maru OS
  • Sailfish OS
  • Phoenix OS
  • Factory Android Image
Ce genre de script, même s'il s'en occupe, ne dédouane pas son utilisateur de faire des sauvegardes de sa carte SD, de ses contacts, etc. La prudence, toujours la prudence.

Bonne chance aux courageux qui se lanceraient dans l'aventure !


<noscript></noscript>

2016-11-10

Fausser les stats de GoogleAnalytics

Dans un précédent article, je vous montrais qu’on pouvait fausser les stats Piwik assez facilement. Voici maintenant l’exemple avec GoogleAnalytics qui est le compteur de visites le plus répandu sur le web.

En 15 min, j’ai généré plus de 100’000 nouveaux visiteurs avec un script Python :

fake-google-analytics2

J’ai du me limiter à ~100 connexions simultanées. Je recevais des erreurs TCP104 (Connection reset by peer) au delà :

fake-google-analyticsCe qui est intéressant bien sûr, c’est que les requêtes se font auprès du serveur de GoogleAnalytics et non auprès du site web. Donc le site web n’a pas de trace de l’IP voulant tricher puisqu’il n’a reçu aucune communication.

Mieux, contrairement à Piwik, GoogleAnalytics ne communique jamais l’IP du visiteur à son client (celui qui regarde les stats). Aussi il lui est impossible de bannir/filtrer l’IP de la personne qui s’amuserait à fausser les stats.

Conclusion, ne pas prendre les statistiques visiteur pour argent comptant. Elles sont facilement falsifiables. De plus, elles ne prennent pas en compte les utilisateurs qui bloquent les traqueurs, qui sont de plus en plus nombreux (et ils ont raison).

Est ce que des sites web utilisent GoogleAnalytics pour se monétiser? Ça me ferait bien rire.

C’est aussi un moyen de booster artificiellement la popularité de Linux sur le site web de votre choix ;-)

Related Posts:

2016-11-08

Qobuz, ma musique




Je parlais de la consommation de musiques et des films en 2016 en racontant fièrement que j'achetais ma musique sans DRM et sans l'obligation de passer par une plateforme en particulier. Voici le moment de parler du service qui me permet de me sentir en accord avec mes principes : Qobuz.

Hey, ce n'est pas un placement produit, je n'ai pas d'actions chez ces gens-là : je suis juste un client content.

Il faut bien le dire, je ne m'attendais pas à (re)tomber sur une offre qui me permette de profiter de la musique que j'aime, en qualité FLAC (16bits), sans DRM et légalement.

Avec Qobuz, quand on achète un titre ou un album, il vient se placer dans la liste des trucs qu'on peut écouter en streaming depuis le site web, l'application de bureau (hors GNU/Linux) et l'application mobile. Ça, c'est pas trop mal mais j'avoue ne pas m'en servir. J'ai mon Sonerezh dans un coin et c'est pas en place pour faire de la figuration. Bref, c'est classique, on achète, on profite en streaming, mais ça ne m'intéresse pas.

Le truc, c'est la possibilité de télécharger les titres/albums. C'est la killer-feature comme on dit. C'est comme ça et uniquement comme ça que j'accepte de payer pour du culturel. Le site, chose incroyable en 2016, propose un lien tout simple pour rapatrier son achat à la maison. Pas de cochonnerie en Adobe Air ou je ne sais quels autres langages honteux.

Traînant de nouveau un smartphone sous Android, mais sans les Google Apps, j'avais peu d'espoir en m'essayant à l'installation de l'application officielle. Surprise : ça tourne sans ces dépendances tentaculaires ! Et en plus, en plus, il est possible de télécharger les morceaux en deux clics, sans maudits DRM ! Dingue, dingue et re-dingue : ce n'est pas qu'une pauvre application de streaming qui permet de faire de la fausse écoute hors ligne comme les autres.

De la fausse écoute hors ligne ? Oui, vous savez, les Spotify, Deezer et autres qui téléchargent vos playlists dans votre carte SD sans que vous puissiez y retrouver les morceaux tellement c'est hashé et DRMisé. La Qobuz App, elle, elle vous dépose vos morceaux dans votre téléphone. Et c'est tout.

Pour finir, je n'ai pas tout l'historique de ce site, même s'il est possible qu'il soit passé par des périodes difficiles, il a toute ma confiance. Pourquoi ? tout simplement parce que comme je télécharge mes achats sur mes disques durs, j'ai mes morceaux, j'en suis propriétaire. Ils peuvent couler, ça me brisera le cœur, mais ça ne changera pas ma vie. Contrairement aux autres, mais vous l'avez déjà compris.


<noscript></noscript>

2016-11-07

Accéder au flux RSS d’un compte Diaspora

Si il n’y avait qu’une seule raison d’utiliser Diaspora par rapport aux réseaux sociaux tels que Twitter, Facebook et Google+ ce serait la mise à disposition d’un flux RSS pour suivre vos articles publics pour les non-membres.

En clair, ça permet à n’importe qui, même non inscrit sur Diaspora de suivre vos articles (notification à leur parution) dans le logiciel et la plateforme de leur choix. C’est la grosse différence avec les autres plate-formes qui enferment le contenu des utilisateurs derrière un mur opaque pour les non-membres (le dark web c’est ça…)

Donc par exemple, mon utilisateur c’est « tuxicoman » sur le serveur Framasphere. Donc mon flux RSS est https://framasphere.org/public/tuxicoman.atom

Vous pouvez aussi retrouver cette info facilement à travers le menu de Firefox en cliquant sur le bouton s’abonner :

rss-firefox

Simple !

Related Posts:

2016-11-06

Migration owncloud -> nextcloud

J’ai effectué la migration d’Owncloud à Nextcloud il y a quelques semaines. Aucun soucis à signaler.

La migration se fait sans peine puisque Nextcloud s’installe comme une mise à jour classique pour Owncloud. Il suffit de faire une mise à jour manuelle en suivant la documentation.

J’utilise maintenant l’application « News » pour lire mes flux RSS :

Elle est très pratique et se marie bien avec l’application OCReader pour Android afin d’avoir une synchronization des flux lus et favoris.

Astuce pour accéder à l’app store de Nextcloud et à l’application « News », ajoutez ces lignes à votre fichier de config :

'appstore.experimental.enabled' => true,
'appstoreurl' => 'https://apps.nextcloud.com/api/v0',

Par contre, cet appstore n’a pas autant d’application que celui d’owncloud… donc je ne vous le conseille que pour télécharger l’application « News » facilement.

Related Posts:

2016-11-04

Transportr : une application libre pour se déplacer, même dans Paris


En passant mon Fairphone 2 sous Fairphone Open Source OS, j'ai changé quelques habitudes. En fait, j'ai surtout choisi de ne pas utiliser d'applications propriétaires, autant que faire se peut, et c'est là que je suis tombé sur un os, et un gros. Ce n'est pas toujours possible et il faut bien se rabattre sur les applications officielles, pas le choix.
Quand on n'a plus accès aux Google Play Services, on se rend compte de leur intégration un peu partout. Pour ce qui me concerne, je retiens surtout celle dans les applications de la RATP et de la SNCF qui me pose problème. On se retrouve, du coup, soi avec une application qui s'installe mais qui marche à moitié, soi avec une application qui ne s'installe même pas et qui vous laisse sur le carreau. La seule solution ? L'alternative.

En bon jeune trentenaire fraîchement parisien, le métro est encore un truc bizarre que j'ai la chance de ne prendre que pour le loisir. Je commence à gérer mes déplacements, mais sans application pour me filer un coup de main, c'est pas la peine. J'ai essayé les cartes et la méthode l'arrache et je ne peux pas honnêtement dire que le succès fut au rendez-vous, et moi non plus d'ailleurs.

Du coup, je remercie encore Mlehuby pour son aide : elle m'a fait découvrir Transportr ! Plus qu'un long discours, les captures d’écran :



La première capture affiche le résultat d'une recherche pour aller de le Gare de L'Est à la rue de Mazagran. Le chemin est cours, le premier résultat avec le bonhomme jaune, c'est la distance à pied : 13min. Les autres affichent la ligne du métro à prendre pour les feignants parisiens.

Oui, je sais, je devrais faire l'effort de choisir un parcours plus long mais c'est mon cœur qui parle : y'a de la Rochefort au bout de la route !

La deuxième capture affiche un peu plus de détails, avec les changements à faire et la dernière affiche la longue traversée de Paris qu’affronta l'aventurier pour se désaltérer, via OSM.

Cette application marche bien avec la RATP, c'est chouette, mais je suis déçu de voir que quand on s'attaque à la SNCF, ça coince. Ce n'est pas grave et je suis certain que ce n'est pas de leur faute, si vous voyez ce que je veux dire ;-)

Pour finir, la listes des cartes, des villes et de leurs moyens de transport supportés est plutôt vaste, c'est libre et le dépôt Github est par-là si l'envie vous prend de vouloir les aider !


<noscript></noscript>

2016-11-01

Cinéma : Parched / La saison des femmes



L'inde, c'est un pays dans lequel j'ai passé un an et qui, je crois, m'a marqué à vie. Quand on pense à l'Inde, tout le monde imagine son bordel, sa population, le mouvement de tête étonnant de ses habitants et les hippies qui s'enfument à Goa.

La vie là-bas est dépaysante, et c'est le moins qu'on puisse dire. Nous, occidentaux, avons vraiment besoin d'un temps d'adaptation conséquent pour survivre en acceptant leur façon de faire, de croire, d'agir. Ce qui me fera toujours rire et soupirer est leur technique d'attente dans les queues : laissez 2 cm entre vous et la personne de devant et vous verrez 5 gars se faxer entre vous et lui.

On sait aussi que ce pays est une poubelle pour l'électronique des occidentaux et je ne parle pas de ce que j'ai vu et qui semblait absolument normal : genre des rivières jaunes fluo. Ça fait mal au cœur.
On ne parle pas non plus souvent du droit des femmes. On voit de temps en temps passer des articles sur les agressions terrifiantes touchant des occidentales et sur la gestion des jeunes femmes par les conseils de famille dans les petits villages. C'est là que Parched va vous offrir une vision crue de ce qui se passe dans certaines zones de cet immense pays.



Quatre femmes aux situations différentes au seul point commun : la domination écrasante des hommes. Ces femmes vont pourtant lutter contre cette forte tradition en tentant d'accéder à une vie meilleure. C'est poignant, particulièrement pour moi, puisque je me suis retrouvé devant des scènes qu'on regarde de loin dans ce film en ayant aucune idée sur le comment réagir, ou pas.
Petit blanc de bonne famille en face d'un homme qui tire sa femme par les cheveux alors qu'elle crie son malheur : je ne savais pas quoi faire. Les indiens autour de moi, nombreux, ne bronchaient pas. Je n'ai pas bronché. C'est une situation dure à vivre mais que faire ? Passer pour un connard qui ramène les lois et la culture de son pays à ces indiens inhumains, alors même que j'habitais là et que je vivais comme eux, avec eux, ou ne rien faire ? C'est une situation vraiment horrible. Le pire, je crois, c'est qu'on s'habitue à ces scènes d'une violence terrifiante pour le français que je suis. On s'habitue à ne rien faire puisqu'on ne se sent pas légitime pour agir.

Bref, si l'Inde vous titille et que vous n'avez pas envie d'y aller ou encore de passer par un Bollywood pour le découvrir, Parched est pour vous. Y'a quand même de la musique, quelques danses et un peu d'humour. Ce film vaut le détour, carrément. Merci mon frangin pour la découverte !


<noscript></noscript>

2016-10-28

Il était une fois le multimédia


Une discussion avec mon frère m'a fait comprendre que je traînais des réflexes de vieux con. On parlait musique, de films et de notre façon de les consommer.
Mon frère, jumeau, vient de passer à l'offre légale en matière de musique. Il s'est pris un abonnement Deezer. Très satisfait de son choix, il découvre le plaisir d'avoir accès à tout un tas d'artistes all over ze world via le site web et, surtout, l'application mobile. Il se fait ses listes de lecture en fonction du style ou de son humeur. Il semble vraiment adorer ça, le bougre. Moi, non, je ne me sers pas de ces choses là et ça l’étonne. Comme quoi, même des jumeaux peuvent ne pas être d'accord.

J'ai des besoins simples et des convictions. Loin de moi l’idée de dire que se sont les bonnes et que tout le monde devrait faire pareil, mais je refuse de me servir de Deezer, de Spotify ou encore de Netflix. Bon, pour ce dernier, l'encart à droite de la page que vous lisez ne vous aura pas échappé.
Je veux pouvoir écouter ma musique, la mienne, celle que j'aime et que je découvre. Je ne veux pas d'un service qui m'enferme dans son silo. Quand j’achète un album, ce que je fais depuis que j'ai un vrai salaire, je le veux avec les fichier sur mon disque dur. Les fichiers doivent être sans DRM et je dois pouvoir les écouter sur mon Fairphone et mon Aquaris M10 qui sont des appareils absolument pas supportés par ces grands du streaming. Qui plus est quand je n'ai pas les Google Apps dans mon smartphone tournant pourtant sous Android.
Pour moi, c'est inconcevable de ne pas pouvoir télécharger ce que j'ai acheté, de le copier à droite, à gauche et de le partager avec mes amis. M'imaginer devoir me servir d'un site web que je ne maîtrise pas pour ce besoin aussi fondamental pour moi et mes oreilles, c'est un cauchemar. Ça me rappelle l’époque pendant laquelle j'avais un compte Spotify, parce que oui, j'ai fait des erreurs comme tout le monde, et que je traînais mon sac à dos dans la capitale de la Syrie. Je suis entré dans un cybercafé pour filer des nouvelles à ma famille et regarder les dernières nouvelles sur Facebook (des erreurs, avec un S !) après plus de deux semaines de vadrouille. Y'en avait des conneries à lire. Je me suis branché sur Spotify pour m'accompagner dans cette lourde tache et écouter un peu de musique occidentale. J'aime bien la musique du coin, mais ma musique à moi me manquait beaucoup. Et surprise ! Pas moyen de l’écouter : mes playlists grisées par ce qui semblait être un problème de droits. Je payais un abonnement pour ne pouvoir écouter ma musique que dans certains pays. #Tristitude et gros foutage de gueule.

Je n'ai pas sauté le pas vers l'auto-hébergement de mon nectar à noreilles en rentrant en Europe, ça se fera bien plus tard, mais ça m'a choqué. J'ai viré l'offre légale et je suis revenu aux CD et surtout aux torrents. J’étais étudiant, dirons-nous. Je voulais ma musique dans mes disques durs et mon iPod (erreurS !) sous Rockbox.
Depuis, j'ai mon serveur avec une instance de Sonerezh et mon instance de NextCloud qui y synchronise ce que je lui demande. Je suis maître de ma musique et j'aime ça.
On pourrait me rétorquer que je ne découvre pas beaucoup de nouveaux artistes et que je suis déconnecté de ce qui se fait en ce moment. Alors oui, je plaide coupable : ma culture de la musique actuelle est affreusement mauvaise mais, croyez-moi, je le vis très, très bien. Quant à ma capacité de découverte, entre mes amis, mes collègues et diaspora*, je dois avoir une vision du monde musicale un peu plus variée que celui qui se colle au poste de radio. Ils ont la musique qu'ils aiment, j'ai la mienne.

Je devrais aussi parler de l'offre légale en matière de films mais je l'ai déjà fait par ici. J'ai pas noté d’évolution depuis, pas besoin de mise à jour.

Enfin, on se trouve dans un monde dans lequel nous ne sommes plus propriétaires de notre musique, de nos films. Il devient difficile de matérialiser l'achat d'une œuvre (je ne dirai pas produit !) en 2016 pour la simple et unique raison que les gens ne s'offusquent pas d’être enfermés dans des silos. Ils ont oublié l’époque des CD, des DVD, de leurs belles collections et des soirées cinéma "On ramène un film chacun et on verra ensemble !".

Ils l'ont oublié, certes, jusqu'au jour où ils découvriront qu'une entreprise peut fermer, avec leurs collections, et qu'en fait, avoir sa collection, ses choix, ses extravagances et personne pour les faire disparaître pour une question de droit ou d’économie, c’était quand même la belle époque.


<noscript></noscript>

Exploser le compteur de visites de Piwik

Je me demandais si c’était possible de tricher facilement sur les compteurs de visites webs tels que GoogleAnalytics ou Piwik.

Le principe est le suivant : si le compteur est un script en Javascript qui tourne entièrement coté utilisateur et envoie des données au serveur, il me suffit d’envoyer à la volée les bonnes requêtes vers le serveur pour augmenter artificiellement le compteur.

Je commence par Piwik car c’est la solution que j’utilise et le code source est ouvert.

Piwik utilise des heuristiques pour détecter si les visites proviennent du même visiteur ou non. Il se base notamment sur la configuration machine envoyée à travers les entêtes HTTP.

Mais je suis tombée sur une fonctionnalité cadeau. Il suffit de passer l’argument « new_visit=1 » pour désactiver ce mécanisme et faire reconnaître chaque nouvelle requête comme provenant d’un nouveau visiteur.

J’ai trouvé ça en lisant le code source de Piwik. L’info est ici et .

Voici donc comment j’ai pu exploser mon compteur avec un script Python en quelques secondes :

capture-decran-de-2016-10-27-230057Est ce que certains d’entre vous ont déjà essayé de fausser les résultats de GoogleAnalytics ?

Related Posts:

2016-10-14

Bloquer les publicités et traqueurs au niveau du DNS avec Unbound

Hormis les plugins bloqueurs de publicités comme Ublock Origin au niveau du navigateur, il est aussi possible d’agir au niveau DNS. Je pense que les 2 méthodes sont complémentaires. Le blocage au niveau du DNS permet d’agir sur tout les ordinateurs l’utilisant (par exemple tous les ordinateurs de votre réseau local). C’est à dire que le blocage va fonctionner aussi sur les iMachines, iTéléphones et Androphones plutot réticents à ce que vous bloquiez les publicités qui rapportent des brouzoufs à leur éditeurs.

Si vous avez un DNS local tel que Unbound, c’est très simple à mettre en place. L’idée est télécharger une liste de domaines connus pour fournir uniquement de la publicité ou des traqueurs et de mentir sur leur adresse IP. Votre DNS va dire que ces domaines sont inaccessibles.

On commence par télécharger la liste de domaines à bloquer sur le site de StevenBlack et la convertir au format Unbound :
# cd /etc/unbound/unbound.conf.d
# wget -O- https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts | grep '^0\.0\.0\.0' | awk '{print "local-zone: \""$2"\" redirect\nlocal-data: \""$2" A 0.0.0.0\""}' > adslist

On ajoute la prise en charge de cette liste de domaines à bloquer dans notre fichier de configuration d’Unbound :
#Ads blocking
include: "/etc/unbound/unbound.conf.d/adslist"

On redémarre le service:
# systemctl start unbound

Et voila, simple !

J’ai fait pour vous un petit test sur le site web http://www.jeuxvideo.com/

C’est assez parlant ;-)

Sans bloquage au niveau du DNS (temps de chargement 10 secondes):

sans-dns-block

Après bloquage au niveau du DNS (temps de chargement 1 seconde):

avec-dns-block

Je vous invite à suivre mon tutorial pour installer Unbound sur Debian. Ca vous permet également d’accéder à tout le web et échapper à la censure par bloquage DNS.

Related Posts:

2016-10-10

Utiliser Signal impose la présence de l’espion de Google

La semaine dernière, j’ai vu beaucoup de publicité sur Internet à propos du fait que les serveurs de Signal avaient peu de métadonnées à donner au FBI. Même Snowden recommande Signal et tance Google.

Sois je suis aveugle, soit les autres le sont. À mon grand désespoir, Signal repose sur le service Push de Google (Google cloud messaging). Or celui-ci est accessible uniquement aux appareils Android ayant installé les Google Apps et utilisant un compte Google. Pour rappel, les Google Apps ne font pas partie d’AOSP, la partie libre d’Android. Le code source est opaque et seul Google sait ce qu’il peut faire avec vos données. Ce que l’on sait par contre, c’est que les Google Apps ont les droits root (c’est pour cela qu’il n’est pas possible de les installer avec la méthode classique des APK), tournent en permanence, remontent des données en continu au serveurs de Google, permettent d’effacer/remplacer n’importe quelle application silencieusement et même d’effacer toutes les données du téléphone à distance.

La création d’un compte Google implique l’acceptation des conditions générales de Google spécifiant qu’on y laisse moult informations de vie privée, à commencer par son numéro de téléphone. Ensuite, en opt-out (à la manière de Windows 10), les Google Apps envoient par défaut la liste de vos contacts, l’agenda, l’historique de vos appels reçus et émis, votre position au moins une centaine de fois par jour, et même les données de configuration de vos applis pour que vous puissiez aisément transférer vos données sur un autre appareil.

Donc pour moi, la première mesure d’hygiène, c’est de réinstaller un OS comme Cyanogen sans le mouchard de Google. Mais dans ce cas, impossible d’utiliser Signal ???

Est ce que Edward Snowden utilise un téléphone qui remonte toute sa vie privée à Google en plus de lui donner l’accès complet à distance ? Je suis assez interloqué sur ce point.

Pour ma part, pour la messagerie instantanée, j’utilise Conversations avec mon propre serveur Jabber. Ca fonctionne très bien. Mon serveur étant auto-hébergé, je n’ai pas de soucis sur les données qu’il contient (mot de passe et liste de contact).

D’ailleurs, je me demande où la boulimie d’informations de Google et Microsoft va s’arrêter. Google s’attaque à la vie à la maison. Microsoft à la vie au bureau. Que va-t-il rester dans 5 ans de lieux et moments privés ?

Related Posts:

2016-10-08

MySearch 1.10

Je viens de publier la version 1.10 de Mysearch, mon métamoteur de recherche anonymisant, sans tracking, libre et avec la pertinence des résultats de Google.

Il est désormais compatible avec Twisted 16 et donc Ubuntu 16.04

Le paquet d’installation Deb se trouve ici.

Comme toujours vous pouvez le tester sur https://search.jesuislibre.net/

Un journal allemand (Golem.de) l’a récemment testé et comparé avec les autres métamoteurs de recherche (Searx notamment)

Related Posts:

2016-09-22

Modules pratiques pour serveur Prosody(XMPP)

Voici une liste de modules pratiques pour Prosody afin d’améliorer votre expérience de messagerie instantanée XMPP:

  • compression pour XEP-013 : stream compression. Compresse les données avec zlib pour économiser de la bande passante.
  • smacks pour XEP-0198: Stream Management. Permet au client de se reconnecter et récupérer les messages perdus en son absence. Indispensable lorsque l’on a une connexion instable (genre téléphone portable)
  • carbons pour XEP-0280: Message Carbons. Permet que les messages recus et envoyés s’affichent sur tous les clients/appareils connectés en même temps. Pratique pour ne plus s’embêter avec la gestion des priorités et ressources d’XMPP. Vous recevez tout partout et pouvez répondre de n’importe quel appareil.
  • mam pour XEP-0313: Message Archive Management. Permet à l’utilisateur de récupérer les derniers messages reçus (50) lorsqu’il se connecte. Pratique lorsqu’on allume un appareil pour poursuivre une conversation. On récupère les derniers messages envoyés et reçus depuis les autres appareils.

Les modules se rajoutent dans la section « modules enabled » dans le fichier de config de Prosody:

modules_enabled = {
....
"compression";
"carbons";
"mam";
"smacks";
};

Related Posts:

2016-09-11

Ce que je n'hébergerai pas sur mon serveur

Souvent, les auto-hébergés (comme moi) partagent leurs dernières trouvailles et en règle générale tout ce qui peut présenter un intérêt pour d'autres dans ce domaine. J'ai donc trouvé amusant de prendre un peu le contre-pied de cette approche et de parler de ce que je n'hébergerai pas (ou plus) chez moi.

Un webmail

Il n'y a pas si longtemps, j'en utilisais. D'abord Roundcube durant quelques années, puis ensuite Rainloop pendant quelques mois. L'un et l'autre faisaient le boulot. J'ai toutefois repensé un peu mon utilisation du mail et je suis arrivé à la conclusion que je n'avais pas besoin d'accéder à mes mails en dehors de chez moi. J'en reçois finalement assez peu et je n'ai jamais d'urgence à y accéder dans l'heure. Du coup, je n'y accède aujourd'hui qu'avec un client lourd, uniquement depuis un seul poste fixe chez moi. Ça peut sembler être très limité vu comme ça mais c'est très bien.

J'ajoute qu'avant, même si je n'avais pas un besoin vital de lire mes mails, je me connectais quand même à mon webmail depuis un peu partout. On se rend compte après coup que l'on consulte machinalement sa boite et que ça devient presque un TOC. Quelque part, c'est aussi une façon de montrer qu'on est pas l'esclave de ses mails.

Un CMS lourd

J'utilisais Wordpress précédemment mais là, ce dont je parle est plus global.

Ces outils offrent beaucoup de fonctionnalités, trop en tout cas par rapport à ce dont j'ai vraiment besoin. La question de leur pertinence vis à vis de mes usages propres s'est posée. Clairement, mon blog perso tel que je l'envisage, c'est pour y mettre du texte, quelques photos et de temps à autre, un petite vidéo ou deux. Pas besoin d'une usine à gaz pour le faire (ici par exemple, PluXML fait l'affaire sans soucis).

De base, ces outils sont complexes et donc plus sujets aux failles de sécurité (j'en ai fait les frais sur Wordpress). Constater qu'un outil qui se met à jour automatiquement et qui n'utilise que deux ou trois plugins officiels est tout de même piraté, c'est peu rassurant...

Un gros CMS peut devenir vraiment lourd, notamment si on lui ajoute de nombreux plugins ou quelques plugins mal configurés. L'intérêt d'un gros CMS tient pour beaucoup dans les grosses possibilités de configuration et de personnalisation qu'ils offrent. Le revers de la médaille, c'est que ces outils deviennent ainsi potentiellement plus sujets aux bugs, aux failles et plus consommateurs de ressources, ce qui peut dans ce dernier cas entraîner des lenteurs de chargement (dans certains cas extrêmes, ça peut rendre un blog totalement impraticable).

Des services, sur un coup de tête

On peut être tenté d'installer tout et n'importe quoi sur sa machine de prod, le temps d'essayer et de se forger un avis. Aujourd'hui, je peux faire mes tests sur une machine virtuelle dédiée, c'est plus propre et ne risque pas de mettre en péril l'activité des machines de prod.

En fait, si je décide de supprimer quelque chose que j'ai installé sur un coup de tête sur une machine en prod, je ne suis jamais certain que je retrouverai son serveur dans l'état exact d'avant installation. D'une part, je ne me fais pas à moi même une confiance absolue. Je suis un humain câblé à peu près normalement et je fais des erreurs. Je peux donc involontairement mal désinstaller une application ou laisser traîner un reliquat de configuration de l'application en question. D'autre part, si par le jeu des dépendances, l'installation d'un paquet a entraîné l'installation de d'autres paquets, je vais très probablement ne pas penser à les virer eux aussi lorsque j'aurai décidé de désinstaller le premier paquet. Ce n'est pas très propre.

Pour les services qui restent installés, il faut déjà penser à tous les tenir à jour. Plus il y en a, plus ça fait du boulot et plus ça augmente la surface d'attaque sur mon système auto-hébergé. Réduire la voilure n'est pas déconnant en fait..

Une connaissance

L'auto-hébergement, c'est en principe héberger ses propres données chez soit, sur un système qui est accessible depuis n'importe où sur internet. On le fait sur une machine qui est rarement exploitée à fond. Il est donc possible de fournir, à titre gracieux par exemple, un peu d'espace disque et des ressources diverses sur cette machine à d'autres personnes.

C'est ce que j'ai fait une fois il y a un certain temps et que je ne referai plus, tant cela s'est mal passé. En effet, cela demande parfois du temps (dont on ne dispose pas toujours) et de la patience (dont on s'aperçois qu'elle s'amenuise au fur et à mesure des demandes incessantes de la personne).

Dans le cas où ça se passe bien (ce qui doit quand même se passer en temps normal), l'idée même d'héberger quelqu'un d'autre sur mon serveur a fini par me poser un problème de principe. L'auto-hébergé, c'est moi, uniquement moi, pas celui que j'héberge. Conceptuellement, il n'y a presque pas de différence pour une connaissance entre héberger ses données chez moi ou chez un hébergeur ayant pignon sur rue. Enfin si, il y en a une de taille. Je peux le faire ponctuellement mais il est très probable que je connaisse déjà avant celui que j'héberge (IRL ou par un autre biais). Ce n'est pas le cas pour le fournisseur d'hébergement classique qui lui ne verra qu'un client comme un autre, noyé dans la masse. Tout le problème est là. Je peux avoir un intérêt particulier à accéder aux données de celui que j'héberge et même si je ne le fais pas, j'en ai techniquement la possibilité. Une connaissance que j'héberge ne peux pas avoir la certitude que je n'abuse pas de mon pouvoir. Cela donc n'est pas sain.

Conclusion

Ce que j'énumère ici n'est pas exhaustif mais à travers ça, je montre un peu mon approche de l'auto-hébergement. Je cherche à ne pas oublier que même si j'ai commencé à le faire de manière artisanale, cela reste un système en production, sur lequel j'ai les pleins pouvoir et que je dois conserver en état de fonctionnement.

Généré le 2017-09-24 15:28 UTC avec Planet Venus