Auteur/autrice : sima78

L’effroyable tutoriel

plantageCeux qui utilisent le logiciel libre sont ceux qui, à mon avis, lisent le plus les tutoriels.

Faire un billet sur un échec, ça fait tout de suite beaucoup moins « classe« . L’échec fait pourtant souvent partie d’une réalité généralement mis sous silence et c’est pourtant une réelle source d’amélioration.

Que celui qui n’a jamais « planter une application » me jette la première pierre!

Oui, on parle, publie toujours sur qui fonctionne et on se tait sur les échecs, ça permet de se la péter un peu.

Pour ce billet j’ai décider de faire l’inverse, parler d’un échec.

Voyons ma mésaventure…

Le bon usage d’un tutoriel

A la base.
J’avais prévu de faire un tutoriel Tip-Top sur le sujet « Renouveler vos clés Gnupg avec un fichier de conf hyper sécurisé« . Renouveler une paire de clé n’était pas un problème, le nouveau fichier gpg.conf était le centre du tutoriel.

J’ai donc créer un fichier gpg.conf « hypersécurisé » (vous remarquerez les guillemets) et j’ai testé cela à mon bureau pendant l’heure de repas sur le pc de mon boulot. j’y ai une adresse mail pro avec ma paire de clés gpg.

Je procède donc par étape et au fur et à mesure écrit mon tutoriel…
Au final, pas le moindre message d’erreur, tout fonctionne parfaitement, sauvegarde de mon tuto sur ma clé usb et je me dis que ce soir ce sera sur mon blog et peut-être que cela fera des heureux.

Avertissement.

Je suis expert, oui je sais, ça fait prétentieux, mais c’est une réalité. Je suis capable de planter les systèmes « dits » les plus stables. D’ailleurs j’ai quitté Windows avant les années 2000 car il plantait sans même que j’y touche. 🙂
Ha là, j’imagine déjà les doctorants en informatique, les experts en sécurité et autres… moi avec telle ligne de commande je plante aussi le système… Non, non, non, être expert en plantage c’est savoir le faire « à l’insu de son plein gré« , pour reprendre l’expression historique de R.V. 🙂

Test2 de mon tutoriel

Avant de publier, je me dis qu’il faut refaire un test, je le fais sur l’un de mes pc personnels qui a la même distribution, la même version.
J’y ai mon adresse perso, mes clés gpg, les nombreuses clés que j’ai signées avec des valeurs de confiance variées…

Et là, rien ne se passe comme prévu...
Je constate sur ma messagerie que les personnes dont j’avais signé leur clé apparaissent comme:
Signature valide, mais impossible de vérifier l’expéditeur (toto<toto@fai.fr>)

je vérifie en ligne de commande les diverses signatures que j’ai attribuées et là, première horreur:

(...)
uid [ inconnue] PGP Global Directory Verification Key
uid [ inconnue] [jpeg image of size 3400]
uid [ inconnue] TOTO <toto[[@totoserver1.pgp.com]]>
uid [ inconnue] TOTO <toto[[@totoserver2.pgp.com]]>
(...) [ inconnue] Sima78 <Mon_adresse_mail[[@mon_serveur.fr]]>
(...)

Pire… Lorsque je veux chiffrer, impossible, nombreux messages d’erreurs, lorsque j’en résous un, d’autres arrivent…
J’ai beau chercher une solutions à la lecture de mes logs, sur le web… Je ne trouve aucune solution, de l’inédit !… Quand je vous dis que je suis expert, ce n’est pas rien !

Bref! J’ai mis le bazar un merdier indescriptible dans mon .gnupg.

Le bouquet final est comme cela avait bien fonctionné à mon premier essais au boulot, chez-moi je n’ai pas pris la précaution de faire une copie du dossier « .gnupg », ce qui m’aurait permis de revenir en arrière. Car là, je suis obligé de repartir de zéro, recréer un « .gnupg » vide et propre, recréer une nouvelle paire de clés (heureusement, j’ai ma clé de révocation), et recontacter tous mes contacts pour les prévenir…. Un vrai merdier, vous dis-je !

Ce qu’il faut faire avant d’utiliser un tutoriel
(et que je n’ai pas fait puisque c’était le mien… Revoir la confiance en soi)

  • Vérifiez la date du tutoriel, s’il est trop ancien, vérifiez s’il en existe de plus récents, vérifiez s’il n’est pas obsolète (ce n’était pas mon cas je l’avais créé le jour même).
  • Vérifiez qu’il est adapté à votre distribution, à sa version… Sinon réfléchissez comment l’adapter (moi, même distribution, même version).
  • Avant de vous lancer, sauvegardez, renommez tout ce que le tutoriel peut impacter (ce que je n’ai pas fait puisque cela avait fonctionné sur un autre pc, n’ayez pas une confiance aveugle sur ce qui a fonctionné qu’une fois).

Si vous publiez un tutoriel, testez-le au moins deux fois sur deux pc différents (ce que je fais, d’où l’idée de ce billet vis à vis ma mésaventure). Si vous le testez sur plusieurs distributions, c’est encore mieux.
Tous mes tutoriels publiés ont été testé plusieurs fois, les lignes de commande publiées je les teste régulièrement, il se peut qu’un tuto soit ancien dans ce cas faites des vérifications.

Quel que soit le site, blog, forum que vous visitez, n’ayez jamais une confiance aveugle sur les publications, lignes de commande, conseils… ils sont souvent de bonne fois, mais pas toujours d’actualité ou adaptés à vos besoins. Essayez de vous approprier ce qui est publié.

j’ai perdu la crontab que de je viens de créer

fichier crontab perduUn ami qui a créé son premier petit script et souhaitait le voir s’exécuter régulièrement et automatiquement m’envoie le sms suivant.

sms reçu:
Je viens de faire crontad -e, enregistré, et j’ai rien dans mon home.
alors j’ai refait crontad -e, tout effacé et modifier /etc/crontab.
ça marche !

Il ne s’agit pas là de refaire un énième tutoriel sur crontab et cron, mais juste donner quelques précisions.

En effet modifier /etc/crontab pour y ajouter ses scripts user fonctionne, mais!…

 

  1. c’est pas très propre
  2. /etc/crontab est la crontab système
  3. n’est modifiable qu’en root
  4. « crontab -e » permet que chaque user ait sa propre crontab

Quand on lance crontab -e pour la première fois il demande quel éditeur choisir entre nano et vi.

On y apporte les modifications que l’on souhaite, après avoir enregistrer, chaque user (même root) qui a créé une crontab peut la retrouver dans /var/spool/cron/crontabs/[user] sous Debian, mais ce ne doit pas être très différent d’une distribution à une autre, mieux relancer crontab -e.

 

Bilan sur la méthode d’organisation GTD

Getting Things Done - GTD - Sima78La méthode Getting Things Done, le bilan

J’utilise la méthode GTD depuis 2006, 10 ans et trois mois, je pense qu’il est temps d’en faire le bilan. Bien entendu le bilan est d’une objectivité très personnelle puisque chacun s’approprie GTD avec les outils qui lui conviennent. Me concernant, si les outils ont évolué au début, depuis mon denier billet sur le sujet « GTD (Getting Things Done) en pratique« , peu de chose ont changé… Je suis passé de « Evolution » à « Partage » et de « owncloud » à NextCloud ».
J’ai pourtant fait diverses tentatives de modifications, variantes, mais rien à faire, j’en reviens à la base du billet cité plus haut, à part quelques modiques modifications.
L’expérience que j’en tire, les travers dans lesquels il ne faut pas tomber… Voyons la suite…

GTD c’est super! Mais attention au pièges!

A trop vouloir organiser, on risque d’y passer plus de temps qu’à agir!
Je n’utilise pas d’application dédiée à la GTD
Il existe une multitude d’applications (à voir sur Wikipédia, liste non-exhaustive), j’en ai testé quelques-unes. Pour celles qui m’ont paru les mieux adaptées, je me suis retrouvé à les configurer, modifier les tags, ajuster et réajuster les items (contextes), les tâches… J’ai toujours eu le sentiment de passer plus de temps à ajuster au plus près de mes besoins d’organisation qu’à organiser réellement et agir… Bref, j’avais le sentiment de brasser du vent!
J’ai donc rapidement abandonné après avoir testé trois ou quatre applications.

Trop de GTD tue la méthode GTD

Au boulot, je n’utilise pas la méthode GTD du matin au soir, je l’applique généralement de façon partielle.
En effet, si l’on décide d’appliquer la méthode GTD à la lettre, c’est risquer de finir tel un coureur contre la montre, la tête dans le guidon, noyer par les tâches. Car cette méthode traite toutes les informations entrantes avec une priorité égale, les priorités se font ensuite et par contexte. La réalité est autre!
Mais cela ne suffit pas, car elle ne prend pas en compte la créativité, la réflexion, la spontanéité, l’imprévu, l’urgence… Pour y répondre, il faut soit l’intégrer, soit savoir délaisser la méthode GTD, savoir la mettre de côté pour la reprendre plus tard.
Il faut donc savoir poser des priorités! Savoir délaisser un « contexte » en cours pour passer à un autre, voire délaisser la méthode GTD un certain temps.

GTD et le facteur humain

La méthode est strictement organisationnelle, or le facteur humain est primordial. Il est important de prendre le temps de rencontrer les personnes, les collègues. Être à l’écoute, discuter, échanger.
Le facteur humaine c’est aussi s’accorder des pauses.

GTD dans la vie privée

J’ai tenté d’appliquer la méthode GTD dans ma vie privée… Madame Sima s’en tient au calendrier de la poste pour ces RDV, moi mon Nextcloud. GTD dans la vie privée est un échec et s’est tant mieux! Il y a une véritable coupure entre ma vie professionnelle et privée et je n’ai pas envie d’organiser ma vie privée comme celle professionnelle. On s’accommode, moi mon épouse et nos enfants, au mieux, et ça marche très bien comme ça.
GTD pour recentrer, pour ne pas oublier!

Pour conclure.

Si au travail, je ne suis pas la méthode GTD à la lettre, j’y reviens souvent, cela me permet de me recentrer, me recadrer dans les multiples tâches très diversifiées de mon travail. La méthode GTD m’aide aussi à ne pas oublier certaines tâches, même si je leur donne une priorité minime.
Bref!

  • Si vous êtes tête-en-l’air, un peu brouillon (c’est un peu mon cas et je ne souhaite pas changer), c’est une méthode que je vous conseille car vous saurez faire la part des choses en gardant une part de spontanéité.
  • Si vous vous êtes maniaque, pointilleux, vous risquez de vous retrouver submergé de tâches et passer à côté de l’essentiel. Voire même brasser du vent!

Vote électronique et démocratie

non au vote électroniqueLe vote électronique peut-il être démocratique?

Je ne vais pas vous parler sur ce billet de ce que je pense des institutions de la Ve République, ni de la partie technique du système de vote électronique, mais du vote en soit et de ce qui me paraît anti-démocratique dans le vote électronique.

Au-delà des institutions qui encadrent le processus électoral et qui peut aboutir à une pseudo-démocratie, le vote en soit, pour être démocratique, doit pouvoir être contrôlé de bout en bout.

Chaque citoyen doit pouvoir exercer ce contrôle, il doit être à la portée de tout citoyen qui le souhaite, quelles que soient ses convictions, encarté dans un parti ou pas, qu’il ait des connaissances en informatique ou pas.

Bref! Un contrôle accessible à tout le monde!

Le système de scrutin actuel, même s’il subsiste quelques fraudes marginales, le contrôle s’exerce.
Actuellement, chaque citoyen, peut participer à l’organisation des votes, son bon déroulement et au dépouillement, donc au comptage des votes. Chaque parti ayant un candidat peut désigner des assesseurs qui vont vérifier le bon déroulement dans les différents bureaux de vote… Que les bulletins de vote sont bien présents, qu’ils soient d’une épaisseur identique, que les poubelles soient vidées régulièrement, etc.

Soit! Tout cela est d’une certaine lourdeur, mais nécessaire pour une vraie démocratie où chacun, s’il le souhaite, peut participer à ce contrôle.

Dans un système de vote électronique, et allez, soyons fous et imaginons-le totalement sécurisé, inviolable… Soyons encore plus fous, le code est open-source… Qu’on m’explique comment chaque citoyen, chaque assesseur, peut vérifier la véracité du bon déroulement?

Le numérique ne peut pas se substituer au « tout papier »

Et oui, aujourd’hui, le numérique ne peut pas se substituer au « tout papier », au contrôle humain… Demain peut-être, mais pas aujourd’hui!

Si je suis pour les nouvelles technologies, il faut aussi savoir s’en méfier dans certains domaines (le modernisme, l’innovation, le « progrès »). Ils apportent d’excellentes choses, mais pas que… et parfois l’inverse. Il suffit de voir ce que le modernisme, l’innovation, le « progrès » ont apporté dans l’agriculture dans les années 70/80 dont une grande partie est remise en cause aujourd’hui.

Conclusion

Soyons pour le modernisme, l’innovation, le « progrès » pour peu que nous en ayons tous le contrôle. Actuellement, le vote électronique est à mon avis totalement anti-démocratique… Le contrôle sur le vote électronique est impossible au citoyen lambda que nous sommes.

Guillaume Poupard est pour un moratoire sur les machines à voter, c’est déjà une avancée, j’aurai préféré qu’il soit pour l’abrogation. La démocratie c’est quand chaque citoyen qui le souhaite peut excercer son droit de contrôle sans avoir de compétences particulières.

Protéger vos données personnelles en milieu professionnel

Vie privee en milieu profressionel

Votre hygiène numérique et le milieu professionnel.

Un billet tiré d’une anecdote qui remonte à plus de six mois, une amie qui venait de démissionner m’appelle:

Sima mon chef de service m’a demandé le mot de passe de mon ordinateur, je lui ai donné… Le souci, c’est que j’ai un dossier personnel, rien de bien grave ni compromettant, mais tout de même personnel. Et puis sur mon navigateur j’ai des favoris vers lesquels mes logins et mots de passe sont enregistrés…

Cette situation peut également arriver lors d’un congé maladie d’un employé.Voyons la suite…

En effet, en milieu professionnel, pendant que certains font la pause clope, ou café, ou papotage avec les collègues, d’autres profitent de cette plage de détente pour aller sur les réseaux sociaux, forums, cloud, commander sur leur drive commercial, et autres achats, faire des courriers personnels, jouer…
Une situation normale, mais qui nécessite un minimum d’hygiène numérique.

Les règles simples d’hygiène numérique

– Sur votre ordinateur de travail, ce qui est personnel doit être contenu dans un dossier nommé « Privé ». S’en tenir qu’à ça, c’est avoir une confiance aveugle.

– Le mot de passe : il faut avoir un mot passe par application, donc le mot de passe de votre pc de travail devrait être unique. Ce n’est pas le cas, vous utiliser ce même mot passe pour d’autres applications (c’est pas bien), si votre disque dur (D.D.) n’est pas chiffré, vous n’êtes pas obligé de le donner. Un passage de votre ordinateur par le service informatique permettrait de récupérer les données facilement (dont votre dossier privé 🙁 ). Votre D.D. est chiffré, prenez le temps de vous déplacer et accédez à votre ordinateur devant votre employeur ou chef, et effacez votre dossier privé. Il en va de même pour vos mails privés.
Pour information: Cas des mails et dossiers personnels d’un salarié dans le système d’information mis à sa disposition par son employeur

– Les favoris de votre navigateur
En dehors du fait qu’ils attestent vos habitudes de navigation, si les sites nécessitent un login et mot de passe, ne jamais les enregistrer sur votre navigateur. Si c’est le cas, rendez-vous sur les sites en questions et modifiez les mots de passe, s’ils sont utilisés pour d’autres applications, faites de même sur les autres applications.

Quelques solutions

En plus des précautions ci-dessus, pour vos mots de passe utilisez un coffre-fort de mot passe. J’utilise Keepass, il existe sans doute d’autres utilitaires libres… Personnellement, j’ai deux bases de données Keepass, l’une pro l’autre perso.
Pour la navigation, je n’enregistre pas de favori personnel, donc ni login et ni mot de passe. On peut aller plus loin, si cela vous est possible, en installant Tor pour surfer sur le web ou surfer via un VPN, certains FAI en proposent.
Pour votre dossier privé, il existe la possibilité de créer un conteneur chiffré avec VeraCrypt.
Sur internet, vous trouverez de nombreux tutoriels sur Keepass et VeraCrypt.

Conclusion

Faites comme si demain vous ne pourrez pas vous rendre à votre bureau et que votre service doit accéder à vos dossiers professionnels, donc peut-être aussi à votre dossier privé, votre navigateur, etc.

Quelques pistes:
http://www.cil.cnrs.fr/CIL/spip.php?article1646
http://www.mcmillan.ca/Protection-des-donnees-personnelles-en-milieu-de-travail
http://www.cil.cnrs.fr/CIL/spip.php?article1471

Une recette de cuisine est-elle Open Source

recettes libres open sourceJe suis toujours surpris lorsque je tombe sur un blog de recettes de cuisine et que je vois un copyright, ou un message du genre « Tout le contenu de ce blog est la propriété de…« , mais je m’étonne aussi de lire « recette OpenSource« . Question complexe.

Une recette de cuisine ne peut pas être brevetée car elle ne rentre pas dans les critères du Code de la propriété intellectuelle – Article L611-10.
Si elle est publiée, elle est par définition open source, chacun peut se l’approprier, l’améliorer, la modifier.

Il reste à se poser la question autrement.

Une recette de cuisine est-elle une œuvre de l’esprit ?

Pas facile de répondre à cette question. Je vais essayer de vous donner quelques pistes dans ce billet, je ne suis pas juriste donc je reste à l’écoute de la critique de mon interprétation des textes législatifs.

On le sait ! Je suis pour le libre, donc le partage, la copie, l’enrichissement, le retour de l’enrichissement… Le tout dans le respect !

Je parle de respect, car les blogs de recettes se font régulièrement piller de leur contenu sans respect ni retour, quelques fois par d’autres blogueurs qui font des copiés/collés du contenu (parfois image comprise), sans indiquer la source, sans demander l’autorisation, sans se poser de questions… Et parfois encore plus honteusement à titre commercial comme SEB et son Foodle qui a plagié nombreux contenus de recettes avec photos* de blogueurs. Et oui, c’est moche, très moche de se faire de l’argent sur le dos des autres, mais ce n’est pas nouveau. Seb a depuis fait machine arrière suite à la pression des blogueurs et la mauvaise image que cette méthode véhiculait.

Les parfumeurs le savent bien, car un parfum n’est ni plus ni moins qu’une liste d’ingrédients, leurs proportions, le procédé d’intégration et tout cela reste très secret, dans des coffres-forts, et jamais publié.

Je reviens à la question « une recette de cuisine est-elle une œuvre de l’esprit ? »

Tout dépend de la façon dont elle est rédigée. Voyons cela par l’exemple.

Pour la sauce gribiche
- 3 œufs durs
- 45 cl d'huile de tournesol
- 1 cuil à café de moutarde
- 3 cuil à soupe de vinaigre
- 3 cornichons
- 1 cuil à soupe de câpres
- 1 cuil à soupe de persil haché
- 1 cuil à soupe d'estragon haché
- sel, poivre
Préparation :
1 / Faites cuire les œufs durs.
2 / Écrasez les jaunes d’œuf à la fourchette avec la moutarde. Incorporez le vinaigre et l'huile et fouettez comme pour une mayonnaise. Salez, poivrez.
3 / Incorporez les cornichons et câpres hachés, le persil et l'estragon. Hachez les blancs d’œuf et ajoutez-les.
4 / Réservez au frais.

Il s’agit finalement que d’une liste d’ingrédients et un procédé linéaire d’exécution. Il s’agit d’une base que l’on adapte chacun selon ses goûts (plus de sel, moins de poivre, une autre épice plutôt que celle proposée…). Bref, tout comme les tutoriels que nous écrivons, il ne s’agit pas d’une œuvre de l’esprit.

Par contre, la recette de « lasagne al ragu » du site « Mangiareridere » peut-être considérée comme une œuvre de l’esprit par son style littéraire…

Je vous rassure, sur mon blog il n’y a aucune œuvre de l’esprit ni copyright, à la limite on peut y trouver des œuvres de mauvais esprit.

*Photos : Seb aurait pu être attaqué sur la copie de certaines photos sans autorisation de leurs auteurs.

https pour autres ports ou services ex Geneweb – stunnel4

geneweb https stunnel4

Si vous avez une application avec un protocole ne supportant pas SSL, la solution est de l’encapsuler dans un tunnel SSL.
Bien entendu, il s’agit là d’un exemple, qui fonctionne chez-moi, n’hésitez pas à améliorer.

Geneweb en https

Depuis que mon serveur est en https, geneweb restait en http. Geneweb se lance sur mon serveur en service (il est son propre serveur) sur un port dédié. Une des solutions aurait été de l’installer sur /var/www/ avec un script CGI… Ce que je ne souhaitais pas.
Donc mon exemple s’applique à Geneweb, mais en cherchant sur le web, vous trouverez comment encapsuler d’autres protocoles tels que smtp, pop, vpn, imap…
Habituellement, on se connecte sur Geneweb en mode service sur le port 2317 (http://leserveur.net:2317) donc pas en https…

Voyons comment procéder…

sur Ubuntu 16.04 server

Geneweb et Stunnel

Installer Stunnel4

sudo apt-get install stunnel4

On se place dans le répertoire et on se positionne en Root, sinon tapez « sudo » devant chaque ligne.

cd /etc/stunnel
sudo -s

On génère les clés. On peut faire simple avec:

openssl req -new -x509 -nodes -days 365 -out stunnel.pem -keyout stunnel.pem #dans ce cas il faudra en tenir compte lors de la création du fichier « stunnel.conf »

Personnellement, j’ai procédé comme suit:

openssl genrsa -out cle-serveur.key 2048

Signature de la demande de certificat CSR.

openssl req -new -key cle-serveur.key -out demande-certif.csr

Le certificat auto-signé pour un an.

openssl x509 -req -days 365 -in demande-certif.csr -signkey cle-serveur.key -out cert-server.crt

On combine le certificat et la clé dans un même fichier.

cat cleserveur.key > server.pem && cat certserver.crt >> server.pem

On modifie les permissions.

chmod 0600 cert-server.crt cle-serveur.key server.pem

Ensuite je crée le fichier de configuration « stunnel.conf » dans /etc/stunnel/

« ; » signifie que c’est en commentaire, vous pouvez donc « fignoler » la configuration. Je n’ai pas tout traduit par paresse, mais c’est assez transparent.
Utilisez VI, ou nano, ou autre, selon vos habitudes, ici je vais utiliser nano

nano stunnel.conf

Ci-dessous mon fichier stunnel.conf

; **************************************************************************
; * Options générales                                                         *
; **************************************************************************
; Il est recommandé de changer les privilèges utilisateur et groupe
;setuid = stunnel4
;setgid = stunnel4
; un chroot pour un peu plus de sécurité
;chroot = /var/lib/stunnel4/
; Le fichier PID sera créé dans le chroot
;pid = /var/run/stunnel.pid
; Utile de mettre dans les logs pour suivre en cas de bug
foreground = yes
debug = info
output = /var/log/stunnel4/stunnel.log
; Enable FIPS 140-2 mode if needed for compliance
;fips = yes
; **************************************************************************
; * Service defaults may also be specified in individual service sections  *
; **************************************************************************
; Enable support for the insecure SSLv3 protocol
options = -NO_SSLv3
; These options provide additional security at some performance degradation
options = SINGLE_ECDH_USE
options = SINGLE_DH_USE
; **************************************************************************
; * Include all configuration file fragments from the specified folder     *
; **************************************************************************
;include = /etc/stunnel/conf.d
; **************************************************************************
; * Service definitions (remove all services for inetd mode)               *
; **************************************************************************
[geneweb]
accept = 22317
connect = 2317
cert=/etc/stunnel/server.pem
key=/etc/stunnel/cle-serveur.key

On modifie l’utilisateur et le groupe.

cd ..
chown -Rf stunnel4:stunnel4 stunnel/

Maintenant nous allons activer stunnel

nano /etc/default/stunnel4

Modifiez l’option suivante comme ci-dessous :

ENABLED=1

On redémarre Stunnel

/etc/init.d/stunnel4 stop
/etc/init.d/stunnel4 start

ou plus simplement

/etc/init.d/stunnel4 restart

Connexion à Geneweb en https

Sur cette exemple vous pourrez vous connecter sur Geneweb en https avec l’adresse suivante sur votre navigateur:
https://www.votre-verveur.fr:22317

Si vous utilisez iptables ou autre pare-feux, n’oubliez pas de le modifier et/ou si vous êtes auto-hébergé modifiez aussi la redirection de ports sur votre box….

Si vous avez déjà des certificats Let’s Encrypt, je pense que vous pouvez les utiliser en modifiant le fichier stunnel.conf, j’avoue ne pas avoir creusé la question puisque j’informe ceux que j’autorise à se connecter qu’ils doivent accepter le certificat lors du message d’alerte de leur navigateur.

https sous Apache – Même à l’école je n’ai jamais eu un A

https sur serveur unbuntu facile

Depuis fin décembre le blog est enfin en accès https… Je devais le faire aux vacances de Pâques 2016, j’avais repoussé à juillet, puis aux vacances de la Toussaint.

Oui, je suis un fervent adepte de la procrastination, je suis de ceux qui remettent au sur-lendemain dans l’espoir qu’un autre le fera demain. Mais là, je dois me rendre à l’évidence, jamais personne ne le fera à ma place. Je l’ai donc fait entre Noël et le Jour de l’An.

Une fois fini, je fais un petit test sur SSL Server Test… Et là, j’ai un A!
Certains diront, et à raison, Let’s Encrypt c’est pas non plus le top du top… Ok, mais m@rd@ alors! P#tain j’ai un A! Même à l’école j’ai jamais eu un A, alors laissez-moi savourer ce A.
Je vous mets la capture d’écran pour me la péter vous montrer et ensuite on passe à la configuration.

https Lets Encrypt apache.png
Ubuntu server 16.04 sous apache

 

https sous apaches avec Let’s Encrypt

Je commence par installer « git » sur /opt/

 

 

sudo -s
apt-get install git
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt --depth=1

→ « sudo -s » Je ne sais pas combien de sudo je vais devoir taper, sans doute plus de trois, alors « sudo -s »
→ « –depth=1 » Je ne souhaite pas récupérer tout l’historique du site.

 

 

Générer les certificats

 

/opt/letsencrypt/letsencrypt-auto --apache -d domaine.fr -d www.domaine.fr

Si vous avez plusieurs domaines, sinon vous pouvez faire simplement:

/opt/letsencrypt/letsencrypt-auto

Configurer le VirtualHost pour l’accès https

Allez dans /etc/apache2/sites-available et modifier les VirtualHost

cd /etc/apache2/sites-available
nano votredomaineSSL.fr

La configuration que j’ai mise

 

<VirtualHost *:443>
   ...
      SSLProtocol -ALL -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
      SSLHonorCipherOrder On
      SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

      SSLEngine on
      SSLCertificateFile /etc/letsencrypt/live/domaine.fr /fullchain.pem
      SSLCertificateKeyFile /etc/letsencrypt/live/domaine.fr /privkey.pem
   ...
</VirtualHost>

 

Configurer le VirtualHost http pour une redirection https

cd /etc/apache2/sites-available
nano votredomaine.fr

La configuration que j’ai mise

 

<VirtualHost *:80>
...
      RewriteEngine on
      RewriteRule ^ https://www.chispa.fr%{REQUEST_URI} [L,QSA,R=permanent]
...
</VirtualHost>

 

Renouvellement du certificat

ATTENTION, le certificat n’est valable que 90 jours. On peut le renouveler avec la commande:

 

/opt/letsencrypt/letsencrypt-auto --apache --renew-by-default -d domaine.fr -d www.domaine.fr

Le mieux est de rendre automatique le renouvellement, heureusement Erika Heidi a créer un script pour nous, il s’agit de le-renew.sh
Je l’ai récupéré, rendu exécutable et mis dans la crontab

 

 

curl -L -o /usr/local/sbin/le-renew http://do.co/le-renew
chmod +x /usr/local/sbin/le-renew
crontab -e
0 6 * * 1 /usr/local/sbin/le-renew domaine.fr >> /var/log/le-renew.log

Chaque lundi à 6:00, la validité du certificat en question sera vérifié, s’il est toujours valable, au cas contraire il demandera le renouvellement.

Bon, normalement en bon « copiteur » vous aurez un A, et si en plus vous améliorez, je ne vous en parle même pas! Un A+ ou A++.

 

Sima78. Bilan 2016 du Blog, mon smartphone, GAFAM

bilan 2016 blog Sima78Sima78. Bilan 2016 du Blog, mon smartphone, GAFAM

Je vois ça et là des blogueurs faisant leur bilan de l’année écoulée. C’est en effet une bonne chose et par ce billet j’en fais de même.

Faire le bilan de fin d’année c’est faire le point sur ce que l’on a fait, ce que l’on aurait dû faire, ce qu’il reste à faire. Bref, un état des lieux qui permettra d’établir un début liste des résolutions pour l’année à venir.

Le blog Sima78

14 articles en comptant ce billet pour l’année 2016. A peine plus d’un par mois. C’est peu… Déjà en 2015 j’avais pour ambition d’écrire une rubrique par semaine sur les liens m’ayant particulièrement intéressé, et cela, en plus des autres billets. Cette rubrique n’a tenu que quelques mois.

Je dois trouver la solution pour me dégager du temps et écrire au moins une fois par semaine. Comparer à certains qui publient un, voire plus, au quotidien, 1 article par semaine parait peu, mais c’est énorme pour moi.

Paradoxalement, j’ai plusieurs articles inachevés dans un coin de mon ordinateur, il me suffirait de les terminer et les publier… Je dois travailler là-dessus… Est-ce de la paresse ? Manque de temps ? Sans doute, un peu des deux.
Je ne fais pas de promo particulière de mes articles à part de temps à autres sur le Journal du Hacker quand je sens que cela peut intéresser. Je consulte mon piwik que lorsque j’y vais pour faire une mise à jour, J’envisage le désinstaller.

Beaucoup de mes billets me servent de pense-bête.

12 commentaires, c’est presque rien, je ne vais pas à la chasse aux commentaires et moi-même, je commente rarement les autres blogs.

Une touche positive.
Il y a une fois, lors d’une réunion publique, j’ai rencontré une personne qui m’a dit : « c’est toi sima78, je suis ton blog il est dans mes RSS, j’aime bien! » Je lui répondu avec humour: « Ha c’est donc toi qui lit mon blog !?« . Je ne cache pas que cela m’a fait vraiment plaisir, le monde est petit.

Mes PC

Ils sont tous sous linux (Ubuntu, xubuntu, Debian). Au boulot, j’ai la chance de pouvoir travailler sur le système de mon choix, donc sous linux.
J’avoue, j’ai aussi un Windows ! j’entends déjà: HHhoouu la honte !… Oui je sais, mais c’est la seule solution pour synchroniser mon GPS.

Mon smartphone

Il est sous androïd, il n’y a pas de système d’exploitation libre pour ce modèle et tant qu’il fonctionnera, je n’en changerai pas. J’ai installé f-Droïd, et je ne télécharge que des applications libres. Mon smartphone me sert essentiellement à téléphoner, envoyer des sms, synchroniser (contacts et agenda) avec mon owncloud.
Je n’ai aucune notification sur mon smartphone, je n’ai pas de compte twitter non plus.

G.A.F.A.M. et moi

On l’a vu plus haut, mon téléphone est toujours sous androïd, j’utilise windows pour synchroniser mon GPS… Mais à part ça, où en suis-je de mes habitudes et G.A.F.A.M. (Google Apple Facebook Amazon Microsoft) ?
Mon métamoteur de prédilection est seax.me et comme moteur Qwant. Je ne cache pas qu’il m’arrive exceptionnellement de passer par Google.
j’avais écrit un billet sur le sujet : Google et moi, procédure de divorce entamée

Le fait de ne pas utiliser Google ne signifie pas qu’on évite le pistage par ce dernier, en effet, de nombreux sites utilise Google Analytics et que notre ip est pistée et que donc le parcours et mes centres d’intérêt au fil de mes navigations sont suivis. J’utilise donc de plus en plus Tor.

Lors de mes achats en ligne, j’évite tant que possible Amazon, mais il m’arrive de passer par eux.
J’ai deux comptes FB, l’un pour une activité qui n’a rien à voir avec ce blog et un autre pro pour gérer le FB de mon boulot. J’ai décidé de quitter dès janvier 2017 tous les réseaux sociaux (je suis aussi sur framasphère). Pour gérer le FB de mon boulot j’ai demandé à créer un compte sous pseudo qui n’a pas de lien avec mon adresse mail pro.

Pour finir

Si j’ai moins de temps pour suivre les blogueurs qui publient plus d’un billet par jour, je me désole de voir certains blogs de mes fils RSS tomber à l’abandon avec moins d’un billet par semestre voire plus du tout de billet.
Je pense que la promotion du logiciel libre passe, entre autres, par les blogueurs, leurs réflexions, leurs expériences. J’espère que l’appel à publier sur le thème du logiciel libre fait par Genma sera entendu.

Après le bilan, viendra peut-être un billet sur mes résolutions pour l’année à venir ?

Effacer définitivement la mémoire ram et swap – secure-delete

effacer ram et swapsVous perdez votre ordinateur portable, vous êtes cambriolé et on vous vole votre PC… Vous avez chiffré vos disques ou partitions, c’est déjà une bonne protection pour vos données personnelles, contre l’usurpation d’identité et autres malveillances.

Poussez la protection un peu plus loin… Vous êtes paranoïaque, vous avez sans doute raison, quelqu’un d’aussi pointu que votre niveau de parano peut aller fouiller dans la RAM (mémoire vive), le swap, les clusters du/des disque(s)…

Quelques pistes.

« secure-delete » comporte quatre outils (SRM, SMEM, SFIL et SSWAP), ces outils font par défaut 38 passes sur un cluster…

smem (Secure Memory Wiper) supprime les données dans la RAM.

smem

sswap (Secure Free Space Wiper) permet de faire la même chose que smem mais pour le swap, voir plus bas sswap.

srm (Secure remove) permet de supprimer de manière sécurisée des fichiers ou des répertoires de vos disques durs de façon définitive… En effet avec la commande rm les données supprimées sont récupérables.

srm nom_du_fichier
ou
srm -r nom_du_répertoire

sfill (Secure Free Space Wiper) pour effacer toutes les traces conservées dans l’espace libre des disques durs sans formater les disques durs.

sfill /répertoire

Retour sur la commande sswap. Avant de l’utiliser, il faut démonter la partition swap.
Vous ne savez pas où elle se trouve :

sudo fdisk -l
(…)
Périphérique Amorçage     Start       Fin  Secteurs   Size Id Type
/dev/sda1                  2048 207077375 207075328  98,8G  7 HPFS/NTFS/exFAT
/dev/sda2             812548094 976771071 164222978  78,3G  5 Étendue
/dev/sda3    *        226609152 812546651 585937500 279,4G 83 Linux
/dev/sda5             812548096 970024959 157476864  75,1G 83 Linux
/dev/sda6             970027008 976771071   6744064   3,2G 82 partition d'échange Linux / Solaris
(...)

Dans notre exemple il s’agit de (/dev/sda6), à vous d’ajuster le « /dev/sdxx »
Ensuite, il faut la désactiver :

sudo swapoff /dev/sda6

Puis on peut nettoyer avec la commande sswap :

sudo sswap /dev/sda6

Pour finir, il faut réactiver le swap :

sudo swapon /dev/sda6

A vous de créer un script qui s’exécute à la fermeture de votre session… Bien sûr ; lisez les man(s) de chaque commande.
Pour la suppression de fichiers, vous pouvez aussi « creuser » du côté de la commande « shred« … Bref, à vous de vous approprier et de partager ! 😉