Archives de catégorie : Logiciels libres

Passage à MAGEIA 8 terminé

Je viens de terminer avec mon serveur Dell Poweredge T310 le passage à Mageia 8 de tous les postes de mon réseau local. Contrairement à ce que l’image ci-dessous peut indiquer, j’ai procédé une mise à jour en partant de la 7.1 sans passer par une réinstallation complète.

Dell PowerEdge T310

Ça m’aura pris un peu plus de six mois, ayant commencé en février dernier peu après la sortie de la Mageia 8 en échelonnant petit à petit dans le temps.

Continuer la lecture de Passage à MAGEIA 8 terminé

Filtrer les adresses IP menaçantes

Dans le but de sécuriser encore plus mon serveur j’ai mis en place un filtrage d’adresses IP potentiellement menaçantes. En fait certains sites comme abuseipbd ou spamhaus collectent et maintiennent de telles listes, il suffit de les récupérer et de les faire prendre en compte par son firewall favori. Pour ma part j’utilise shorewall comme firewall et je me suis basé sur cette page du wiki de Mageia (en anglais).

Il faudra utiliser l’outil IPset qui permet de gérer des listes d’adresse IP (entre autres). Tout le reste et le détail de cette installation se retrouve sur cette page de funix.org.

Dans le même genre il existe également fail2ban qui marche de manière un peu différente. Il va analyser les logs des services lancés sur votre serveur comme SSH, Apache ou bien encore OpenVPN, identifier les tentatives de connexion infructueuse et procéder au bannissement de l’adresse IP de l’indélicat via le firewall. En revanche je rencontre quelques soucis de configuration et ça n’a pas l’air de fonctionner pleinement, je continue à chercher.

Installer un réseau vpn avec openVPN

Je dispose d’un réseau local centré autour d’un serveur Dell PowerEdge T310 qui fait office de serveurs d’authentification avec OpenLDAP, de mail et de fichiers (entre autres) comme je l’ai déjà signalé à multiples reprises sur ce blog. Je suis régulièrement en déplacement et j’avais mis en place un service de webmail sur le serveur me permettant de consulter mes mails d’un mobile ou d’un portable connecté à mon mobile où que je sois. J’avais fait un post il y a quelques temps à ce sujet qu’on trouvera ici.
En revanche pour consulter les fichiers sur mon serveur, j’utilise OpenSSH en ligne de commande, ce n’est pas franchement convivial et intuitif, mais je m’en contentais jusqu’à présent.

Il se trouve que ma petite dernière entame des études à l’étranger et j’aimerais lui faciliter les choses pour qu’elle puisse accéder aux ressources du réseau local en toute transparence et simplicité. J’ai donc pensé à créer un tunnel VPN entre son Thinkpad sous Linux/Mageia et le réseau local familial.

On trouve beaucoup de tutoriels sur internet sur le sujet, mais quasiment tous présentent une configuration où tout le flux internet du client VPN se trouve redirigé vers le serveur via le tunnel VPN. L’accès internet se fait donc via le serveur avec la technique de l’IP Masquerade. C’est sûrement intéressant dans beaucoup de cas, notamment pour une utilisation professionnelle où on souhaite filtrer l’accès à internet (voire l’interdire), ou bien encore pour surfer plus ou moins masqué, mais dans mon cas ça n’apporte rien du tout, car ça ralentit considérablement l’accès à internet sur le client. Je souhaite juste que le client accède aux ressources du réseau local privé et continue à accéder à internet via sa connexion habituelle.

Du coup j’ai travaillé sur cette configuration particulière que j’expose dans cette page où sont présentées les principales étapes pour configurer le serveur et le client VPN basé sur OpenVPN. De mon poste client je peux maintenant simplement lancer la connexion VPN où que je sois connecté et accéder du terminal ou d’un gestionnaire de fichiers aux fichiers du serveur.

Accessoirement j’ai vu également que je pouvais maintenant accéder à mon VPN via mon mobile Android. Je n’en ai pas franchement l’utilité aujourd’hui, mais pourquoi pas, pour le fun je pourrais essayer, ça fera certainement l’objet d’un nouveau post.

Visualiser ses traces gps avec viking

Jusqu’à présent j’utilisais Turtle Sport pour visualiser et archiver mes traces GPS, mais depuis mon passage à Mageia 8 j’ai une erreur java et il ne lance plus. Vu que la dernière version a maintenant 4 ans, je crains qu’il ne soit plus maintenu.

Turtle Sport

Alors certes il existe des applications en ligne, donc GPS Visualizer dont je me sers beaucoup, mais l’analyse est assez sommaire et je n’ai pas trop envie que mes traces se retrouvent sur je ne sais quel serveur.

Du coup j’ai trouvé un autre logiciel qui pouvait me convenir, il s’agit de Viking qui continue, lui, à être maintenu. Alors certes, on n’a pas l’image en fond d’écran, il ne prend en natif les fichiers .FIT de mon garmin, mais l’analyse est complète et il possède de nombreuses extensions qui me restent à découvrir.

Viking GPS data editor and analyzer

A propos de la trace GPS qui est affichée sur la copie d’écran ci-dessus, il s’agit d’une sortie avec un groupe de 4 voiliers J/80 au départ de Brest vers Camaret, au près en remontant le vent de Brest à Camaret puis descente sous spi avec des pointes à 13 nœuds au retour.

J/80 devant la tourelle du Mengant dans le goulet de Brest

Passage à Mageia 8

Je me suis lancé dans le passage à Mageia 8 en optant pour une mise à jour à partir du CD ROM d’installation vu que je ne suis qu’en ADSL. Ça fait maintenant un bout de temps que je procède par mise à jour pour passer à la nouvelle version, car cela marche plutôt bien et c’est ce qui a de plus rapide pour passer d’une version à une autre sans avoir à tout reconfigurer et réinstaller.

Je dispose de plusieurs postes sous Mageia 7.1, j’ai commencé par mon thinkpad x230 et à ma grande déception le résultat est assez catastrophique. Je ne liste pas tous les problèmes tellement il y en a, ça commence par des conflits avec les packages existants de la 7.1 qui fait que dans la pratique la mise à jour via l’interface d’installation échoue et il est nécessaire de passer par un shell pour faire une mise à jour manuelle et régler les conflits au fil de la mise à jour. Ça m’a malheureusement rappeler les mises à jour catastrophiques du temps de la Mandrake, j’imaginais que ce temps là était révolu.
Une fois l’installation terminée, les soucis ne sont pas terminés, Plasma se lance pas, je me retrouve avec un écran noir et juste le curseur de la souris, XFCE est complètement cassé, avec l’enregistrement de session qui ne marche pas, le gestionnaire de fenêtre qui ne se lance pas, les conkys qui s’affichent de temps à autre, et j’arrête là la liste. J’ai essayé avec un utilisateur vierge c’est pareil que ce soit avec XFCE ou plasma.

J’ai stoppé net mon passage à la Mageia 8 et j’ai pris un peu de recul. J’ai terminé la restauration de mon thinkpad x230 après coup après quelques heures à le reconfigurer, finalement cette mise à jour m’aura pris plus de temps qu’une installation classique avec reconfiguration.

Mon écran principal de mon Thinkpad X230 sous XFCE avec xplanetFX en fond d’écran

Cette épisode m’a bien refroidi pour mes autres postes sous Mageia 7.1, néanmoins ce week end j’ai lancé la mise à jour de mon thinkpad x200 branché à la TV qui me sert de PC mediacenter avec kodi. J’ai lancé une mise à jour à partir du shell et là aussi j’ai rencontré des problèmes de conflits avec la mise à jour classique via l’interface du CD-ROM d’installation. Et là je dois dire qu’après avoir réglé les conflits et supprimer le stock de packages orphelins de la Mageia 7.1, j’ai retrouvé un système rapidement utilisable sans les déboires que j’ai rencontrées avec le x230.

Bien sûr tout cela n’est pas très engageant, mais Mageia 8 reste une excellente distribution avec une communauté active, bien maintenue et remarquablement bien finie. Les outils serveur notamment comme OpenSSH ou LAMP sont par défaut très bien configurés et les modification sont mineures, contrairement à d’autres distributions (je pense notamment à Ubuntu que j’ai pu tester et que j’ai trouvé bien moins finie pour les outils serveurs). Alors mes petites déboires de mise à jour ne doivent pas effrayer outre mesure, elles sont très probablement dues à l’installation d’outils tiers et de configuration atypique. La plupart des utilisateurs qui ne passent que par le gestionnaire de packages de la distribution avec des configurations classiques ne rencontrent pas ces problèmes.

Sauvegarde le retour

J’ai connu en début d’année des déboires suite à un crash disque inopiné comme je l’évoque dans ce post. En fait un problème disque bas bruit, non détecté, a conduit à la corruption de données, données qui ont été sauvegardées en écrasant la sauvegarde saine. J’ai été surpris par le crash disk qui est arrivé sans crier gare, et c’est seulement en remontant ma sauvegarde que je me suis rendu compte de sa corruption. Malgré des heures passées à tenter de récupérer les données manquantes avec photorec entre autres, j’ai perdu dans l’affaire pas mal de données essentiellement des fichiers multimédia patiemment emmagasinés depuis des années.

Suite à cet incident, j’avais revu de fond en comble ma stratégie de sauvegarde qu’on peut retrouver dans cet autre post. J’avais évoqué mes déboires et présenté fièrement cette nouvelle stratégie dans ce journal sur linuxfr. Bien m’en a pris, les commentaires qui m’ont été faits m’ont ouvert les yeux et j’ai revue de fond en comble ma stratégie de sauvegarde qui ressemble maintenant à quelque chose comme cela :

Continuer la lecture de Sauvegarde le retour

Signal et linux

La messagerie sécurisée Signal étant devenue subitement à la mode, une partie de mon entourage a décidé de migrer de WhatApp à Signal pour ma plus grande joie. En effet Signal est un logiciel open source et pendant longtemps j’ai eu l’impression de me battre contre des moulins à vent pour leur faire comprendre l’intérêt de basculer sur Signal. Mais j’ai baissé les bras et je me suis résolu à installer WhatsApp pour ne pas être exclu de la communauté familiale. Il a fallu tout ce battage médiatique suite aux changements des termes d’utilisation de WhatsApp pour finir de les convaincre même si la presse généraliste a eu tendance à exagérer considérablement l’impact des évolutions sur l’utilisateur européen.

Il en reste pas moins que je jongle maintenant avec les deux messageries en attendant peut être de me passer WhatsApp totalement. J’avais pris l’habitude d’utiliser la version linux de WhatsApp, il se trouve que Signal également propose une version linux que j’ai installé simplement avec flatpak.

flatpak install flathub org.signal.Signal
flatpak run org.signal.Signal

Comme avec WhatsApp, vous devez avoir Signal installé sur votre mobile et être connecté sur le mobile pour que Signal puisse fonctionner sur le poste linux. Au lancement de Signal, un QR code s’affiche et il faudra avec le mobile pointer dessus pour associer le mobile avec le PC linux.

Signal ressemble à cela, on ne retrouve pas tous les contacts mais uniquement ceux qui ont Signal.

Signal présente le gros avantage par rapport à WhatsApp de permettre de faire des visioconférences sous linux ce que ne permet pas WhatsApp.

L’exception de copie privée

Ce post a d’abord été publié sur linuxfr, cette version a été complétée et enrichie.

Le contexte

J’ai un post sur ce blog qui explique comment enregistrer un film d’une box internet sur son PC car pour beaucoup de box ce n’est pas natif et il n’est pas prévu que ça soit possible. Il se trouve qu’on me fait régulièrement la remarque comme quoi ce n’est pas légal. Au travers de ce post je souhaite donc faire un point sur la copie privée et ce post traduit ma compréhension du sujet.

Que dit la loi ?

Ce qu’on appelle l’exception de copie privée est apparue dans la loi n°57-298 du 11 mars 1957. L’article 41 nous dit que l’auteur ne peut interdire “Les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective”. Depuis cette loi a été abrogée mais cette disposition a été codifiée dans le Code de la Propriété Intellectuelle à l’article L122-5-2, l’auteur ne peut interdire “Les copies ou reproductions réalisées à partir d’une source licite et strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective”. On la retrouve également dans l’article L211-3-2 pour les droits voisins du même code.

C’est à ce titre qu’on pouvait copier des films sur magnétoscope et de la musique sur K7 audio pour les plus anciens qui ont connu cette époque. A vrai dire les choses n’ont pas évoluer même si les moyens techniques de diffusion et d’enregistrement ont beaucoup évolué depuis. D’ailleurs c’est bien au titre de l’exception de copie privée qu’une redevance est prélevée pour les disques durs, mémoire, CD, vidéo K7, mais également smartphone, ordinateurs, box internet, etc. Redevance qui sert ensuite à rémunérer les ayants droits (75%) et financer des actions culturelles (25%) comme l’explique ce site consacré à la copie privée. La rémunération pour copie privée fait l’objet des articles L311-1 à L311-8 du Code de la Propriété Intellectuelle qui précisent bien que la copie privée conduit à la mise en place d’une redevance forfaitaire à l’achat qui dépend du support, de la durée et de sa capacité d’enregistrement.

Par ailleurs la directive européenne 2001/29/CE du 22 mai 2001 (modifiée par la directive 2019/790) via l’alinéa 7 de la directive 2019/790 confirme la possibilité de mettre en place des protections pour garantir l’exercice effectif des droits d’auteur mais “tout en veillant à ce que l’utilisation de mesures techniques n’empêche pas les bénéficiaires de jouir des exceptions et limitations prévues par la présente directive”. En clair, cette directive oblige les États membres à prendre les mesures appropriées pour garantir le bénéfice de certaines exceptions dont la copie privée.

Concrètement la transposition dans le droit français de cette directive dans le Code de la Propriété Intellectuelle (article L331-31) a donné comme mission (entre autres) à la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI) de veiller “à ce que la mise en œuvre des mesures techniques de protection n’ait pas pour effet de priver les bénéficiaires des exceptions”. Cela comprend bien évidemment l’exception pour copie privée et on peut en conclure que sur la base de cet article l’HADOPI pourrait interdire les éditeurs et distributeurs de services à recourir à des moyens techniques limitant la copie.

Que dit la jurisprudence ?

Mais les choses ne sont malheureusement pas si simples, il existe une subtilité d’ordre juridique qui a son importance. La copie privée reste une exception légale et n’est pas un droit. En d’autres termes vous ne pouvez pas être poursuivi pour avoir copié un film pour un usage privé en restant dans le cadre de la loi, mais vous ne pouvez pas invoquer cette exception pour poursuivre un distributeur ou un producteur si vous ne parvenez pas à copier un film.

A ce sujet la jurisprudence a parfaitement complété la loi au travers de l’affaire “Mulholland drive”. C’est l’histoire d’un mec qui avec l’appui de l’association de défense des consommateurs UFC Que choisir, s’est plaint auprès de la justice qu’il ne pouvait pas copier le DVD du film “Mulholland drive” en invoquant l’exception de copie privé. L’affaire a connu de multiples rebondissements avec un premier arrêt du 30 avril 2004 par le tribunal de première instance de Paris qui a donné d’abord tort au plaignant qui a interjeté appel de ce jugement. La cour d’appel de Paris dans son arrêt du 22 avril 2005 a cette fois-ci donné raison au plaignant. La cour de cassation a ensuite été saisie et a cassé le jugement dans son arrêt du 28 février 2006. Retour à la cour d’appel de Paris qui dans son arrêt du 4 avril 2007 a débouté cette fois-ci le plaignant qui pourvoit en cassation. La cour de cassation rend un jugement définitif avec son arrêt du 19 juin 2008 et déclare la requête irrecevable et confirme ainsi que la copie privée n’est qu’une exception et ne peut être considérée comme un droit.

Pour résumer

Moralité cette jurisprudence réduit drastiquement le champ d’application de la copie privée. Alors certes les gendarmes ne viendront pas fracasser votre porte à 6h du mat’ parce que vous avez copié “les bronzés” de votre box ou d’un DVD mais il n’existe pas de recours juridique si vous n’y parvenez pas.

Continuer la lecture de L’exception de copie privée

Prise en compte de la Whitelist et blacklist avec spamassassin pour filtrer les mails

J’ai galéré à mettre en place les whitelist et blacklist avec SpamAssassin, en deux mots les expéditeurs qui sont dans la blacklist sont considérés comme des spammeurs et leurs mails classés comme spams, et a contrario les expéditeurs dans la whitelist ne sont pas considérés comme des spammeurs. Il m’a fallu des mois de mise au point à force de tâtonnement avant de trouver le bon réglage, maintenant que ça marche je tiens à partager ma configuration. Dans le fichier /etc/mail/spamassassin/local.cf j’ai ces lignes là :

score USER_IN_WHITELIST -100.0
score USER_IN_BLACKLIST 100.0

shortcircuit USER_IN_WHITELIST       on
shortcircuit USER_IN_BLACKLIST       on

La variable USER_IN_WHITELIST attribue un score de -100 si le mail est dans la whitelist et a contrario à +100 s’il est dans la blacklist. En parallèle j’ai créé un fichier /etc/mail/spamassassin/white-black-list.cf qui contient la whitelist et la blacklist sous ce format (extrait)

whitelist_from *@amazon.fr
whitelist_from *@cdiscount.com
whitelist_from *@jamendo.com
whitelist_from *@dgfip.finances.gouv.fr
blacklist_from *@captainpromos.com
blacklist_from *@captain-promos.com
blacklist_from *@captainpromos.fr
blacklist_from *@captain-promos.fr
blacklist_from *@sender.motherbabychild.com
blacklist_from *@mecacom.fr
blacklist_from *@british-abaf.com
blacklist_from *@b.professionnel-pres-de-chez-toi.fr
blacklist_from *@ecatalog.fr

Dans la pratique, la directive shortcircuit (court circuit) permet de ne pas dérouler tous les tests et de les stopper dès lors que l’expéditeur se trouve dans la whitelist ou la blacklist. Pour un spam dont l’expéditeur est dans la blacklist, dans le corps du mail on retrouvera :

Détails de l'analyse du message:   (100.0 points, 5.0 requis)
 0.0 SHORTCIRCUIT           Not all rules were run, due to a shortcircuited
                            rule
 100 USER_IN_BLACKLIST      From: address is in the user's black-list

Je me permets maintenant une digression, “Black lives matter” est passé par là et le code va évoluer pour que whitelist devienne welcomelist et blacklist devient blocklist car certains auraient relevé une connotation raciale dans le terme de whitelist et blacklist. Le changement sera effectif dans les prochaines versions, on peut voir ici l’annonce sur la mailing list officielle SpamAssassin. C’est un courant de fond qui touche tous les logiciels libres, par extension la notion même de maître esclave disparait également, Github a renommé ainsi la branche master par main.

La novlangue devient une réalité et on fait table rase de ce qui fait notre histoire et notre culture pour gommer toutes les aspérités pour faire plaisir à une minorité d’intégristes prônant la dictature du politiquement correct. Ce mouvement est dangereux car il refuse le débat, la contradiction et la réflexion historique et cherche à imposer un point de vue unique. Il prospère et se diffuse entre autres via les réseaux sociaux qui forment aujourd’hui une formidable caisse de résonance pour le moindre crétin, discréditant et diffamant toute voix sensée et raisonnable. Pour sûr quand ce travail d’appauvrissement culturel aurait fait son œuvre, on s’exposera à un violent retour de bâton pour avoir sciemment gommé notre passé.

Coffre fort à mots de passe

Il y a quelque temps j’avais présenté dans un post le coffre fort à mots de passe que j’utilisais basé sur KeePassX. Le principe est que la base de donnée est sur un partage réseau de mon serveur, elle est partagée pour une utilisation familiale et tout le monde l’enrichit. Une seule instance de KeePassX peut ouvrir en écriture la base et les autres en lecture. La base de donnée est copiée à droite et à gauche au cas où.

Il se trouve que KeePassX n’est plus développé depuis 4 ans, il est donc fortement recommandé de l’abandonner et de passer à autre chose. Il se trouve qu’il existe un fork de KeePassX qui s’appelle KeePassXC qu’il est préférable d’utiliser d’autant qu’il dispose d’une intégration au navigateur Firefox. Pour cela il faudra installer la dernière version 2.6.2, la version 2.4.1 qu’on trouve sur une Mageia 7.1 ne permet pas l’intégration avec Firefox. Pour cela j’ai récupéré les sources et j’ai recompilé pour être sûr d’avoir toutes les options qui m’intéressent.

Tout d’abord j’ai dû installer les packages lib64argon2-devel, lib64sodium-devel, lib64qrencode-devel, lib64yubikey-devel, ykpers-devel et asciidoctor. Les options de compilation sont :

cmake .. -DWITH_XC_NETWORKING=ON -DWITH_XC_SSHAGENT=ON -DWITH_XC_BROWSER=ON -DWITH_XC_ALL=ON

Cela donne quelque chose comme cela :

-- Found Git HEAD Revision: e9b9582

-- Setting up build for KeePassXC v2.6.2

-- Including translations...

-- Using asciidoctor: /bin/asciidoctor
-- Enabled features:
 * Auto-Type, Automatic password typing
 * Networking, Compile KeePassXC with network access code (e.g. for downloading website icons)
 * KeePassXC-Browser, Browser integration with KeePassXC-Browser
 * SSHAgent, SSH agent integration compatible with KeeAgent
 * KeeShare, Sharing integration with KeeShare (requires quazip5 for secure containers)
 * YubiKey, YubiKey HMAC-SHA1 challenge-response
 * UpdateCheck, Automatic update checking
 * FdoSecrets, Implement freedesktop.org Secret Storage Spec server side API.

-- Disabled features:

-- Configuring done
-- Generating done
-- Build files have been written to: /usr/local/linux/systeme/keepassxc-2.6.2/build

Une fois compilé et lancé, il charge sans opération particulière la base issue de KeePassX. On a un look qui ressemble à celui là :

Continuer la lecture de Coffre fort à mots de passe