Tous les articles par Olivier Hoarau

Shoot’em up Warsow et Unvanquished

Même si je ne suis pas un amateur du genre, j’ai installé la dernière version de Warsow. C’est un lointain descendant du jeu Doom qui a été longtemps une référence dans le domaine des Shoot’em up, c’es le genre de jeu où on tire sur tout ce qui bouge dans une sorte de labyrinthe peuplé de créatures infâmes et de guerriers qui veulent vous faire la peau. Je l’avais installé il y a de cela pas mal d’années, et quel progrès ! C’est vraiment super abouti, avec des beaux graphismes, des belles textures, une grande fluidité et toujours cette possibilité de jouer en réseau en duel ou par équipe.

Bien sûr quand on débute, on a du mal à trouver ses repères et on se fait dézinguer très rapidement, d’autant que cela va très, très vite, on voit vraiment que certains doivent y passer des heures. Malgré cela j’ai réussi à en zigouiller un, il était peut être de ma propre équipe !

Pour aller plus loin, c’est par ici.

Dans le même genre, il existait Tremulous qui est visiblement un projet mort mais il existe maintenant Unvanquished qui en est un fork. C’est le même principe, mais cette fois-ci on est également des aliens, on peut même faire partie de l’équipe des aliens ! Voilà ce que ça donne :

là je suis en très mauvaise posture

pour aller plus loin, c’est par .

Partager une connexion 4G d’un mobile avec un poste linux

Toujours dans l’optique d’une future itinérance que j’évoquais dans un post précédent, je me suis attaqué au partage de la connexion 4G vers un poste linux. En fait c’est très facile à faire, dans les paramètres d’Android, il y a une option partage de connexion avec 3 choix possibles, en créant un hotspot WIFI, par câble USB et même via bluetooth. J’ai laissé tomber bluetooth qui a une bande passante plus faible et est plutôt destiné aux transferts de données « légères ». Sur le poste linux c’est aussi simple, dans le gestionnaire de connexion on voit le hotspot WIFI apparaître et il suffit de saisir ses paramètres qu’on a défini précédemment sur le mobile 4G ou alors on voit une interface physique ethernet supplémentaire si on a défini le partage par câble USB. Dans les deux cas, je choisis l’option DHCP automatique pour l’attribution de l’adresse IP et des serveurs DNS. Il me restait donc à tester le partage via WIFI et câble USB. Je me suis rendu sur ce site pour faire des tests de performance, et voilà ce que ça donne:

en 4G via le wifi
débit descendant (download) 7,18Mbit/s
débit montant (upload) 2,22Kbit/s
ping 65ms

en 4G via le câble USB
débit descendant (download) 4,93Mbit/s
débit montant (upload) 2,12Kbit/s
ping 66ms

Le grand gagnant est donc la connexion WIFI. Ça reste évidemment très inférieur aux performances de ma box numericable avec:

débit descendant (download) 93,94Mbit/s
débit montant (upload)  18,1Mbit/s
ping 16ms

mais ça reste confortable et de toute façon je ne compte pas télécharger des Go de données quand je serai en itinérance.

Continuer la lecture de Partager une connexion 4G d’un mobile avec un poste linux

Passage à XFCE

Depuis que je suis passé à un environnement graphique plasma/KF5 avec ma mageia cauldron 6, j’ai beaucoup de mal à m’y faire malgré mes tentatives de paramétrage. Au final malgré mon i7, c’est lourd et c’est très consommateur en ressources système, j’ai l’impression d’avoir un vulgaire PC bas de gamme qui rame quand je fais du montage vidéo ou du transcodage. Et malheureusement je n’ai pas l’impression que ça va en s’arrangeant, plasma semble prendre le chemin de windows, toujours plus gourmand pour un gain très discutable.  Mon écran sous plasma ci-dessous:

Après être resté fidèle à KDE depuis ses débuts, c’est à dire depuis 20 ans cette année, puisque je me souviens avoir installé et utilisé les premières versions (antérieures à la 1.0 !), j’ai décidé de passer à un environnement plus léger, plus fonctionnel, en somme plus simple.

J’avais testé il y a fort longtemps XFCE avec un environnement qui copiait le Common Desktop Environnement CDE qu’on retrouvait sur les stations de travail comme HP, Sun et IBM avec respectivement HP-UX, Solaris et Aix, je n’étais pas trop dépaysé car c’est ce que j’utilisais au boulot. Par contre j’avais adopté KDE qui offrait plus de fonctionnalités, mes passages très ponctuels sur XFCE ne m’avaient pas convaincu, le look sympa CDE avait disparu et honnêtement le look par défaut était franchement pas terrible et n’incitait vraiment pas à l’adopter.
Finalement, décision prise, j’ai pris le temps qu’il fallait pour configurer mon écran XFCE avec un dock cairo pour retrouver mon look CDE. J’ai rajouté également quelques conky récupérés sur le net et adaptés à ma configuration et à mes envies, ce sont des petits plugins très configurables qui se collent au fond d’écran en présentant des informations diverses et variées sur le système, la météo, etc. Voilà donc mon nouvel espace de travail:

C’est bien plus léger et réactif que plasma, quand je lance un calcul quelconque j’ai un gain d’au moins 30% (testé sur un même fichier avec kdenlive et handbrake) !
Ma fille m’a fait remarquer que ça ressemblait à un univers mac, je lui ai juste rappelé qu’Apple n’avait rien inventé, ils ont juste pompé ce qui se faisait déjà il y a presque 25 ans sur les stations de travail UNIX. C’est à l’image d’Apple, aucune invention en propre mais remarquable vendeur des inventions des autres.

A cette occasion j’ai découvert que le code de CDE avait été libéré en 2012  on le trouve ici et visiblement il continue à évoluer car on voit que la dernière version date de début d’année.

Lutter contre le spam referrer avec awstats

J’exploite les logs de mes domaines hoarau.org et funix.org hébergés avec online (hébergement mutualisé) avec awstats. Toutes les nuits, cron récupère les fichiers log d’Apache sur un serveur ftp et je lance l’analyse avec webalizer et awstats comme expliqué par .

La page des referrers est polluée par des SPAM qui la rend inexploitable et c’est assez pénible. En fait c’est une technique des spammeurs qui font des requêtes pour que le site à promouvoir apparaisse dans la liste et ainsi cela améliore son positionnement sur les moteurs de recherche en multipliant les liens. Encore faudrait-il que cette page soit visible sur internet, ils peuvent également espérer qu’un administrateur clique sur un lien.

Il y a plusieurs techniques pour lutter contre ça, l’une d’entre elles est de leur bloquer l’accès au site avec un bon vieux .htaccess à la racine. Ce n’est pas forcément l’idéal car ça engendre un temps de traitement et ça peut ralentir l’accès au site. J’opte plutôt pour la technique en temps différé pour faire le ménage avec awstats. Pour cela il faut activer la variable suivante

SkipReferrersBlackList= »/etc/awstats/blacklist.txt »

avec un fichier blacklist.txt qu’on trouvera dans l’arborescence d’awstats mais qui date un peu. Alors  par ici on trouvera une blacklist nettement plus récente. Dans ce fichier, d’après mes tests il semblerait que la première partie qui commence par des RewriteCond ne serve à rien pour awstats, elle n’est utile que si vous filtrez le SPAM referrer avec un .htaccess. Ce n’est que la seconde partie qui est réellement utile et qui fonctionne avec awstats,

Continuer la lecture de Lutter contre le spam referrer avec awstats

Connexion chiffrée avec un serveur de mail sur internet

Dans le post précédent on a vu comment chiffrer la liaison entre le serveur de mail local et les postes clients du réseau local, avec dovecot pour la récupération des mails et sendmail pour l’envoi de mail. Mais qu’en est-il de l’envoi ensuite vers internet en émission avec SMTP et en réception avec POP ?

Commençons par la réception, il faut d’abord bien sûr que votre fournisseur de service mail dispose d’un serveur POP avec option de chiffrement TLS/SSL. Jusqu’à présent j’utilisais fetchmail qui tourne sur le serveur de mail local, récupère les mails de tous les utilisateurs du réseau local sur internet et en assure la distribution dans les boîtes mail sous /var/spool/mail avec sendmail. Sauf qu’il semblerait que fetchmail ne sache pas gérer le chiffrement TLS/SSL avec comme MDA (mail delivery agent) sendmail. Du coup j’ai remplacé sendmail comme MDA par procmail et au final la commande fetchmail devient:

/usr/bin/fetchmail --sslcertck -a -f /root/.fetchmailrc -L /var/log/fetchmail.log

avec un fichier .fetchmailrc qui ressemble à ça (pour ne pas faire de pub, je suis chez online)

poll pop.online.net protocol pop3
 user olivier.hoarau@funix.org there with password password-fai is olivier here
 option ssl;
 mda "mda "/usr/bin/procmail -d %T"

Passons maintenant à l’émission avec SMTP, là encore il faut que le fournisseur d’accès dispose d’un serveur SMTP sécurisé avec TLS/SSL. J’ai passé des heures à jouer avec la configuration de sendmail pour mettre en place le chiffrement de la connexion jusqu’à  que je me rende compte que la connexion était déjà chiffrée par défaut ! Et pour s’en convaincre il a suffit de lancer sendmail en mode verbeux pour voir les échanges entre mon serveur et le serveur de mon fournisseur d’accès:

sendmail -q -v

voilà le résultat

Continuer la lecture de Connexion chiffrée avec un serveur de mail sur internet

Client mail léger pour connexion sécurisée à distance

Toujours dans l’optique d’une connexion itinérante que j’évoquais dans ce post,  je configure actuellement mon serveur (nommé mana sur mon réseau) et mon portable Thinkpad x220 à cette fin. L’idée est que je puisse recevoir et envoyer mon mail en passant par mon serveur de mail sendmail qui est gréé pour pouvoir gérer les spams et autres virus via SpamAssassin et ClamAV. En attendant de réfléchir  à la mise en place d’un tunnel sécurisé entre le serveur et mon portable via le net, je suis passé à une connexion sécurisée sur la base de SSL/TLS entre les machines clientes de mon réseau et mon serveur pour l’envoi de mail. Jusqu’à présent les échanges de connexion et les mails transitaient en clair sur mon réseau perso sur le port classique 587 du serveur SMTP sendmail. Je suis passé à SMTP avec SSL/TLS et le port 465. A voir par ici cela passe par la création d’un certificat pour le serveur de mail. Alors bien sûr ce certificat n’est strictement valable que sur mon réseau perso et n’est pas valide sur internet, mais ça n’a pas d’importance pour mon usage.

Comme client de messagerie léger, j’ai pensé évidemment à mutt. Mutt est fait pour les geeks, il n’y a pas d’interface graphique et tout se passe en ligne de commande dans un shell, il n’est même pas nécessaire d’avoir un environnement graphique !

Continuer la lecture de Client mail léger pour connexion sécurisée à distance

Smartphone Lenovo B

Pendant longtemps je faisais partie des dinosaures qui se contentaient d’utiliser un téléphone mobile pour téléphoner et faire du SMS à mille lieues des usages actuels, ne voyant pas trop l’intérêt d’être connecté en permanence et d’être suivi à la trace. Il y a quelques temps j’avais néanmoins opté pour un smartphone Acer Liquid Z3 pour ne pas paraître trop dépassé aux yeux de mes enfants avec lequel j’avais découvert les joies du toucher tactile. A vrai dire comme mon forfait comportait quelques dizaines de Mo de données j’espérais pouvoir me connecter de temps à autre en vacances quand l’usage s’en faisait sentir, je me suis vite rendu compte qu’avec un abonnement 2G, il fallait vite oublier. A cette occasion j’ai également découvert Android dans sa version Jelly Bean 4.2.2. Bien qu’étant un système libre, je suis quand même déçu, le monde des applications android est loin de l’esprit de partage désintéressé du monde linux, la vocation mercantile prime avant toute chose, le fait que google soit également incontournable me hérisse le poil également.

Tout ça pour dire que je serai certainement appelé à être davantage mobile dans le futur et le besoin d’une connexion itinérante se fait maintenant ressentir. Je me suis donc décidé à passer à la 4G pour mon smartphone. Encore fallait-il que je dispose d’un smartphone compatible. Mes critères: pas cher, je vois pas l’intérêt de claquer 500€ dans un téléphone, double carte SIM, une dalle de 4,5 » max pour qu’il tienne dans la poche (et accessoirement pour qu’il consomme moins), une batterie d’au moins 2000 mAh et tant qu’à faire une version récente d’Android, donc au moins la 6 Marshmallow. Il existe de flopée de modèle et ces critères ont permis d’en réduire le nombre, au final il reste des modèles avec des marques inconnues et les marques françaises Wiko et Archos qui ont visiblement une très mauvaise presse à en juger les avis sur le net. J’ai finalement jeté mon dévolu sur le Lenovo B qui répondait à tous mes critères.

Après tout, j’ai déjà 3 portables Lenovo (Thinkpad X200, X220 et un IdeaPad U350) et une tablette Lenovo Pad Tab 2 A7-10F dont je suis plutôt satisfait, ça a donc joué clairement sur mon choix.

Au final plutôt content de mon achat, même s’il est rangé dans la catégorie portable « bas de gamme », pour l’utilisateur moyen que je suis il répond à toutes mes attentes. Je l’ai testé avec les logiciels de cartographie comme OpenCPN ou navfree, de vidéo avec vlc et honnêtement il marche du tonnerre, ça reste très fluide.  Pour les photos c’est le jour et la nuit par rapport à mon précédent smartphone, en plus il dispose bien de deux objectifs (face et arrière) pour les photos et skype. Seul bémol, il n’est pas compatible 4G+ pour cela je n’ai pas trouvé de modèle compatible de cette gamme de prix.

Prochaine étape le configurer pour qu’il serve de relais 4G pour mon portable thinkpad en itinérance et mettre en place un tunnel sécurisé VPN jusqu’à mon serveur perso.

Sécuriser un poste linux et monitorer un réseau

J’ai passé du temps ces derniers jours à mettre à jour mes pages sur la sécurité informatique autour de linux sur mon site Funix, il était temps, certaines n’avaient pas évolué depuis 8 ans !

La sécurité sous linux et plus généralement sur un réseau peut être vue sous différents angles:

  • tout d’abord la protection du poste en lui même en laissant tourner que le strict nécessaire, en privilégiant les services sécurisés et en installant un firewall, Tout cela est décrit dans cette page.
  • ensuite on peut installer un gestionnaire d’évènements de sécurité comme Prelude, qui va agréger tous les signaux et évènements du système et déclencher des alertes de sécurité, libre ensuite à l’administrateur de déclencher les actions qui vont bien. Ce système connu sous le terme de SIEM (Security Event Information Management) repose sur plusieurs sondes qui peuvent être implantées sur l’ensemble des postes du réseau et éléments actifs compatibles. A découvrir sur cette page. Concernant les sondes, certaines vont analyser les fichiers de logs, d’autres vont « écouter » le réseau en temps réel et détecter les tentatives intrusions, on parle également de NIDS (network Intrusion Detection System) comme snort ou suricata qu’on peut découvrir sur cette autre page.
  • pour sécuriser son réseau/poste encore faudrait-il connaître ses vulnérabilités, rien de plus simple ! Il existe des scanners de vulnérabilités, ils se basent sur des bases de données de vulnérabilités régulièrement mises à jour pour scruter les postes et faire leur reporting. A voir par avec des outils comme OpenVAS et nmap. Ces outils ont un but défensif et il est malheureux qu’ils puissent être également utilisés à des fins malveillantes et offensives.
  • la protection des données est un pan important de la sécurité, notamment lors des échanges sur internet. On peut donc chiffrer ses données et mail avec GnuPG et faire des connexions sécurisées via OpenSSH qui offre également un service de transfert de fichier sécurisé sFTP qui remplace avantageusement FTP.
  • même si sous linux on est beaucoup moins vigilant pour les virus qui envahissent le monde windows, il en reste pas moins qu’il en existe ! La séparation des privilèges de base sur un système linux avec les précautions évoquées ici pourront contenir le risque, néanmoins il n’est pas inutile d’installer un antivirus comme ClamAV.

Et pour terminer une copie d’écran du scanner de vulnérabilités OpenVAS qui est un fork libre de nessus.

Skype et autres bafouilles sous linux

Depuis quelque temps j’avais perdu le son sous Skype bien que disposant de la dernière version pour linux, la 4.0.37 qu’on peut récupérer par ici. En fait curieusement le binaire est toujours en version 32 bits, comme le confirme la commande file skype qui donne:

/usr/local/linux/systeme/skype-4.3.0.37/skype: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.18, BuildID[sha1]=6eef9a3f7c9719980b6e317a00ea971d3717ac89, stripped

pour que le son revienne sur une configuration 64 bits il faudra simplement installer la version 32 bits du serveur de son pulseaudio (libpulseaudio0 pour une distribution Mageia). Et là magique Skype est pleinement fonctionnel (au problème de réseau près indépendant de linux).

Tant qu’à faire, je profite d’un peu de temps pour régler des problèmes qui perduraient depuis des mois sur mon serveur perso Dell PowerEdge T310. Premier problème, le serveur d’authentification de mon réseau perso basé sur un annuaire LDAP tournant avec OpenLDAP était extrêmement bavard et me générait continuellement dans les logs ce type d’erreur :

déc. 23 19:25:06 mana.kervao.fr slapd[12893]: <= bdb_equality_candidates: (uidNumber) not indexed
déc. 23 19:25:07 mana.kervao.fr slapd[12893]: <= bdb_equality_candidates: (uidNumber) not indexed
déc. 23 19:25:07 mana.kervao.fr slapd[12893]: <= bdb_equality_candidates: (uidNumber) not indexed

j’ai vu que c’était un problème connu et largement commenté sur le net, pourtant la solution proposée ne collait pas à ma configuration.  Pour le problème de mode verbeux, il faut reprendre le fichier de configuration du daemon slapd slapd.conf et rajouter simplement

loglevel none

pour l’autre problème, toujours dans le même fichier à la suite de

# Indices to maintain
index   objectClass     eq

on va déclarer d’autres index pour la base de données LDAP

index  uid              pres,sub,eq
index member            eq
index  uidNumber        eq
index  gidNumber        eq
index  memberUid        eqhttp://www.funix.org/fr/linux/index.php?ref=ldap2

on relance le serveur et le tour est joué !

Autre problème, cette fois-ci avec le serveur de mail sendmail ou plutôt avec le plugin qui gère l’interface avec SpamAssassin qui filtre les spams comme son nom l’indique. Toujours dans les logs, SpamAssassin Milter (mail filter) plugin me génère cette erreur :

spamass-milter[2246]: Could not retrieve sendmail macro « i »!.  Please add it to confMILTER_MACROS_ENVFROM for better spamassassin results

Dans le fichier config.mc de sendmail j’ai rajouté un petit i sur cette ligne

define(`confMILTER_MACROS_ENVFROM’,`i, {auth_authen}, {auth_type}’)dnl

on génère un nouveau fichier de configuration de sendmail et dans ce fichier on rajoute

O Milter.macros.envfrom=i
O Milter.macros.envfrom=i, {auth_authen}, {auth_type}

on relance sendmail et c’est terminé ! Ouf, je vais pouvoir dormir plus sereinement…

Pour plus d’infos, voir ma page sur l’authentification utilisateur basé sur un serveur LDAP et celle sur le filtrage de mail.

 

Imprimante CANON PIXMA iP7250 et linux

Après 6 ans de bons et loyaux services mon imprimante Canon PIXMA iP3600 a lâché ou plutôt le bac absorbeur d’encre était plein. J’ai commencé à la démonter pour voir si je pouvais réparer, mais devant la galère que c’était et considérant qu’elle avait été largement amortie, je me suis décidé à la changer. Finalement je reste fidèle à Canon qui fournit des pilotes pour linux et dont les consommables restent abordables d’autant qu’on trouve des génériques de qualité, et j’ai choisi la PIXMA iP7250 qui fait donc suite à mon ip3600 qui elle même a remplacé une iP1500 qui avait duré 5 ans !

Pour l’installer rien de plus simple, on va récupérer les pilotes sur le site de canon. Il y a 2 fichiers cnijfilter-ip7200series-3.80-1-rpm.tar.gz et cnijfilter-source-3.80-1.tar.gz. C’est surtout le premier qui est utile qui contient 2 rpm à installer cnijfilter-common-3.80-1.x86_64.rpm et
cnijfilter-ip7200series-3.80-1.x86_64.rpm. Je choisis de l’installer qu’en USB et non en réseau pour cela on passe par l’outil de configuration de cups accessible par le centre de contrôle sur ma Mageia (CCM) et voilà le résultat

on dispose d’un outil de maintenance qui s’appelle maintenanceip7200 qui ressemble à cela