Planet Libre

elementary OS : Juno est maintenant disponible

La cinquième itération d’elementary est maintenant disponible !

 

Soit 2 ans, 1 mois et 7 jours après la release de Loki, c’est maintenant au tour de Juno de faire son arrivée parmi les différentes releases d’elementary OS, à l’occasion d’un compte à rebours qui a pris plus de temps que prévu (le serveur a du absorber bon nombre de connexions et à, par moment, montré quelque signe de fatigue), cette version est maintenant disponible en version finale.

 

Ce sera aussi l’occasion pour moi aussi de passer à cette version et de vous faire quelques articles sur cette nouvelle version.

 

Si vous souhaitez vous lancer sur cette nouvelle version, je vous invite à vous rendre sur cette page pour télécharger l’ISO : https://elementary.io/ et à prendre connaissance du guide d’installation disponible à cette adresse : https://elementary.io/docs/installation#installation

 

Note : pour ceux qui souhaitent faire un don, vous pouvez, avant de télécharger l’ISO, indiquer le montant de votre don. Si vous ne le souhaitez pas, vous pouvez indiquer le chiffre 0, vous serez en mesure de télécharger l’ISO.

Toutes mes félicitations à l’équipe pour la réalisation de ce travail énorme ! Je vous donne rendez-vous sur le forum francophone pour échanger sur cette nouvelle version : https://forum.elementaryos-fr.org

 

Le billet Juno est maintenant disponible a été publié sur le site de la elementary OS -

Gravatar de elementary OS
Original post of elementary OS.Votez pour ce billet sur Planet Libre.

Framablog : Changer le monde, un octet à la fois

Cette année, comme les précédentes, Framasoft fait appel à votre générosité afin de poursuivre ses actions.

Depuis 14 ans : promouvoir le logiciel libre et la culture libre

L’association Framasoft a 14 ans. Durant nos 10 premières années d’existence, nous avons créé l’annuaire francophone de référence des logiciels libres, ouvert une maison d’édition ne publiant que des ouvrages sous licences libres, répondu à d’innombrables questions autour du libre, participé à plusieurs centaines d’événements en France ou à l’étranger, promu le logiciel libre sur DVD puis clé USB, accompagné la compréhension de la culture libre, ou plutôt des cultures libres, au travers de ce blog, traduit plus de 1 000 articles ainsi que plusieurs ouvrages, des conférences, et bien d’autres choses encore !

Depuis 4 ans, décentraliser Internet

En 2014, l’association prenait un virage en tentant de sensibiliser non seulement à la question du libre, mais aussi à celle de la problématique de la centralisation d’Internet. En déconstruisant les types de dominations exercées par les GAFAM (dominations technique, économique, mais aussi politique et culturelle), nous avons pendant plusieurs années donné à voir en quoi l’hyperpuissance de ces acteurs mettait en place une forme de féodalité.

Et comme montrer du doigt n’a jamais mené très loin, il a bien fallu initier un chemin en prouvant que le logiciel libre était une réponse crédible pour s’émanciper des chaînes de Google, Facebook & co. En 3 ans, nous avons donc agencé plus de 30 services alternatifs, libres, éthiques, décentralisables et solidaires. Aujourd’hui, ces services accueillent 400 000 personnes chaque mois. Sans vous espionner. Sans revendre vos données. Sans publicité. Sans business plan de croissance perpétuelle.

Parfois, Framasoft se met au vert. Parce qu’il y a un monde par-delà les ordinateurs…

 

 

Mais Framasoft, c’est une bande de potes, pas la #startupnation. Et nous ne souhaitions pas devenir le « Google du libre ». Nous avons donc en 2016 impulsé le collectif CHATONS, afin d’assurer la résilience de notre démarche, mais aussi afin de « laisser de l’espace » aux expérimentations, aux bricolages, à l’inventivité, à l’enthousiasme, aux avis divergents du nôtre. Aujourd’hui, une soixantaine de chatons vivent leurs vies, à leurs rythmes, en totale indépendance.

Il y a un an : penser au-delà du code libre

Il y a un an, nous poursuivions notre virage en faisant 3 constats :

  1. L’open source se porte fort bien. Mais le logiciel libre (c-à-d. opensource + valeurs éthiques) lui, souffre d’un manque de contributions exogènes.
  2. Dégoogliser ne suffit pas ! Le logiciel libre n’est pas une fin en soi, mais un moyen (nécessaire, mais pas suffisant) de transformation de la société.
  3. Il existe un ensemble de structures et de personnes partageant nos valeurs, susceptibles d’avoir besoin d’outils pour faire advenir le type de monde dont nous rêvons. C’est avec elles qu’il nous faut travailler en priorité.

Est-ce une victoire pour les valeurs du Libre que d’équiper un appareil tel que le drone militaire MQ-8C Fire Scout ?
Nous ne le pensons pas.
Cliché
Domaine public – Wikimedia

 

Face à ces constats, notre feuille de route Contributopia vise à proposer des solutions. Sur 3 ans (on aime bien les plans triennaux), Framasoft porte l’ambition de participer à infléchir la situation.

D’une part en mettant la lumière sur la faiblesse des contributions, et en tentant d’y apporter différentes réponses. Par exemple en abaissant la barrière à la contribution. Ou, autre exemple, en généralisant les pratiques d’ouvertures à des communautés non-dev.

D’autre part, en mettant en place des projets qui ne soient pas uniquement des alternatives à des services de GAFAM (aux moyens disproportionnés), mais bien des projets engagés, militants, qui seront des outils au service de celles et ceux qui veulent changer le monde. Nous sommes en effet convaincu·es qu’un monde où le logiciel libre serait omniprésent, mais où le réchauffement climatique, la casse sociale, l’effondrement, la précarité continueraient à nous entraîner dans leur spirale mortifère n’aurait aucun sens pour nous. Nous aimons le logiciel libre, mais nous aimons encore plus les êtres humains. Et nous voulons agir dans un monde où notre lutte pour le libre et les communs est en cohérence avec nos aspirations pour un monde plus juste et durable.

Aujourd’hui : publier Peertube et nouer des alliances

Aujourd’hui, l’association Framasoft n’est pas peu fière d’annoncer la publication de la version 1.0 de PeerTube, notre alternative libre et fédérée à YouTube. Si vous souhaitez en savoir plus sur PeerTube, ça tombe bien : nous venons de publier un article complet à ce sujet !

Ce n’est pas la première fois que Framasoft se retrouve en position d’éditeur de logiciel libre, mais c’est la première fois que nous publions un logiciel d’une telle ambition (et d’une telle complexité). Pour cela, nous avons fait le pari l’an passé d’embaucher à temps plein son développeur, afin d’accompagner PeerTube de sa version alpha (octobre 2017) à sa version bêta (mars 2018), puis à sa version 1.0 (octobre 2018).

Le crowdfunding effectué cet été comportait un palier qui nous engageait à poursuivre le contrat de Chocobozzz, le développeur de PeerTube, afin de vous assurer que le développement ne s’arrêterait pas à une version 1.0 forcément perfectible. Ce palier n’a malheureusement pas été atteint, ce qui projetait un flou sur l’avenir de PeerTube à la fin du contrat de Chocobozzz.

Garder sa singularité tout en étant relié aux autres, c’est ça la force de la fédération PeerTube.
Notre article complet sur PeerTube

 

Nous avons cependant une excellente nouvelle à vous annoncer ! Bien que le palier du crowdfunding n’ait pas été atteint, l’association Framasoft a fait le choix d’embaucher définitivement Chocobozzz (en CDI) afin de pérenniser PeerTube et de lui donner le temps et les moyens de construire une communauté solide et autonome. Cela représente un investissement non négligeable pour notre association, mais nous croyons fermement non seulement dans le logiciel PeerTube, mais aussi et surtout dans les valeurs qu’il porte (liberté, décentralisation, fédération, émancipation, indépendance). Sans parler des compétences de Chocobozzz lui-même qui apporte son savoir-faire à l’équipe technique dans d’autres domaines.

Nous espérons que vos dons viendront confirmer que vous approuvez notre choix.

D’ici la fin de l’année, annoncer de nouveaux projets… et une campagne de don

Comme vous l’aurez noté (ou pas encore !), nous avons complètement modifié notre page d’accueil « framasoft.org ». D’une page portail plutôt institutionnelle, décrivant assez exhaustivement « Qu’est-ce que Framasoft ? », nous l’avons recentrée sur « Que fait Framasoft ? » mettant en lumière quelques éléments clefs. En effet, l’association porte plus d’une cinquantaine de projets en parallèle et présenter d’emblée la Framagalaxie nous semblait moins pertinent que de « donner à voir » des actions choisies, tout en laissant la possibilité de tirer le fil pour découvrir l’intégralité de nos actions.

Nous y rappelons brièvement que Framasoft n’est pas une multinationale, mais une micro-association de 35 membres et 8 salarié⋅es (bientôt 9 : il reste quelques jours pour candidater !). Que nous sommes à l’origine de la campagne « Dégooglisons Internet » (plus de 30 services en ligne)… Mais pas seulement ! Certain⋅es découvriront peut-être l’existence de notre maison d’édition Framabook, ou de notre projet historique Framalibre. Nous y mettons en avant LE projet phare de cette année 2018 : PeerTube. D’autres projets à court terme sont annoncés sur cette page (en mode teasing), s’intégrant dans notre feuille de route Contributopia.

Framasoft n’est pas une multinationale, mais une micro-association

Enfin, nous vous invitons à faire un don pour soutenir ces actions. Car c’est aussi l’occasion de rappeler que l’association ne vit quasiment que de vos dons ! Ce choix fort, volontaire et assumé, nous insuffle notre plus grande force : notre indépendance. Que cela soit dans le choix des projets, dans le calendrier de nos actions, dans la sélection de nos partenaires, dans nos prises de paroles et avis publics, nous sommes indépendant⋅es, libres, et non-soumis⋅es à certaines conventions que nous imposerait le système de subventions ou de copinage avec les ministères ou toute autre institution.

Ce sont des milliers de donatrices et donateurs qui valident nos actions par leur soutien financier. Ce qu’on a fait vous a plu ? Vous pensez que nous allons dans le bon sens ? Alors, si vous en avez l’envie et les moyens, nous vous invitons à faire un don. C’est par ce geste que nous serons en mesure de verser les salaires des salarié⋅es de l’association, de payer les serveurs qui hébergent vos services préférés ou de continuer à intervenir dans des lieux ou devant des publics qui ont peu de moyens financiers (nous intervenons plus volontiers en MJC que devant l’Assemblée Nationale, et c’est un choix assumé). Rappelons que nos comptes sont publics et validés par un commissaire aux comptes indépendant.

En 2019, proposer des outils pour la société de contribution

Fin 2018, nous vous parlerons du projet phare que nous souhaitons développer pendant l’année 2019, dont le nom de code est Mobilizon. Au départ pensé comme une simple alternative à Meetup.com (ou aux événements Facebook, si vous préférez), nous avons aujourd’hui la volonté d’emmener ce logiciel bien plus loin afin d’en faire un véritable outil de mobilisation destiné à celles et ceux qui voudraient se bouger pour changer le monde, et s’organiser à 2 ou à 100 000, sans passer par des systèmes certes efficaces, mais aussi lourds, centralisés, et peu respectueux de la vie privée (oui, on parle de Facebook, là).

Évidemment, ce logiciel sera libre, mais aussi fédéré (comme Mastodon ou PeerTube), afin d’éviter de faire d’une structure (Framasoft ou autre), un point d’accès central, et donc de faiblesse potentielle du système. Nous vous donnerons plus de nouvelles dans quelques semaines, restez à l’écoute !

Éviter de faire d’une structure (Framasoft ou autre), un point d’accès central

D’autres projets sont prévus pour 2019 :

  • la sortie du (apparemment très attendu) Framapétitions ;
  • la publication progressive du MOOC CHATONS (cours en ligne gratuit et ouvert à toutes et tous), en partenariat avec la Ligue de l’Enseignement et bien d’autres. Ce MOOC, nous l’espérons, permettra à celles et ceux qui le souhaitent, de comprendre les problématiques de la concentration des acteurs sur Internet, et donc les enjeux de la décentralisation. Mais il donnera aussi de précieuses informations en termes d’organisation (création d’une association, modèle économique, gestion des usager⋅es, gestion communautaire, …) ainsi qu’en termes techniques (quelle infrastructure technique ? Comment la sécuriser ? Comment gérer les sauvegardes, etc.) ;
  • évidemment, bien d’autres projets en ligne (on ne va pas tout vous révéler maintenant, mais notre feuille de route donne déjà de bons indices)

Bref, on ne va pas chômer !

Dans les années à venir : se dédier à toujours plus d’éducation populaire, et des alliances

Nous avions coutume de présenter Framasoft comme « un réseau à géométrie variable ». Il est certain en tout cas que l’association est en perpétuelle mutation. Nous aimons le statut associatif (la loi de 1901 nous paraît l’une des plus belles au monde, rien que ça !), et nous avons fait le choix de rester en mode « association de potes » et de refuser — en tout cas jusqu’à nouvel ordre — une transformation en entreprise/SCOP/SCIC ou autre. Mais même si nous avons choisi de ne pas être des super-héro⋅ïnes et de garder l’association à une taille raisonnable (moins de 10 salarié⋅es), cela ne signifie pas pour autant que nous ne pouvons pas faire plus !

La seconde année de Contributopia
Illustration de David Revoy – Licence : CC-By 4.0

 

 

Pour cela, de la même façon que nous proposons de mettre nos outils « au service de celles et ceux qui veulent changer le monde », nous sommes en train de créer des ponts avec de nombreuses structures qui n’ont pas de rapport direct avec le libre, mais avec lesquelles nous partageons un certain nombre de valeurs et d’objectifs.

Ainsi, même si leurs objets de militantisme ou leurs moyens d’actions ne sont pas les mêmes, nous aspirons à mettre les projets, ressources et compétences de Framasoft au service d’associations œuvrant dans des milieux aussi divers que ceux de : l’éducation à l’environnement, l’économie sociale et solidaire et écologique, la transition citoyenne, les discriminations et oppressions, la précarité, le journalisme citoyen, la défense des libertés fondamentales, etc. Bref, mettre nos compétences au service de celles et ceux qui luttent pour un monde plus juste et plus durable, afin qu’ils et elles puissent le faire avec des outils cohérents avec leurs valeurs et modulables selon leurs besoins.

Seul on va plus vite, ensemble on va plus loin. Nous pensons que le temps est venu de faire ensemble.

Framasoft est une association d’éducation populaire (qui a soufflé « d’éducation politique » ?), et nous n’envisageons plus de promouvoir ou de faire du libre « dans le vide ». Il y a quelques années, nous évoquions l’impossibilité chronique et structurelle d’échanger de façon équilibrée avec les institutions publiques nationales. Cependant, en nous rapprochant de réseaux d’éducation populaire existants (certains ont plus de cent ans), nos positions libristes et commonistes ont été fort bien accueillies. À tel point qu’aujourd’hui nous avons de nombreux projets en cours avec ces réseaux, qui démultiplieront l’impact de nos actions, et qui permettront — nous l’espérons — que le milieu du logiciel libre ne reste pas réservé à une élite de personnes maîtrisant le code et sachant s’y retrouver dans la jungle des licences.

Seul on va plus vite, ensemble on va plus loin. Nous pensons que le temps est venu de faire ensemble.

Nous avons besoin de vous !

Un des paris que nous faisons pour cette campagne est « d’informer sans sur-solliciter ». Et l’équilibre n’est pas forcément simple à trouver. Nous sommes en effet bien conscient⋅es qu’en ce moment, toutes les associations tendent la main et sollicitent votre générosité.

Nous ne souhaitons pas mettre en place de « dark patterns » que nous dénonçons par ailleurs. Nous pouvions jouer la carte de l’humour (si vous êtes détendu⋅es, vous êtes plus en capacité de faire des dons), celle de la gamification (si on met une jauge avec un objectif de dons, vous êtes plus enclin⋅es à participer), celle du chantage affectif (« Donnez, sinon… »), etc.

Le pari que nous prenons, que vous connaissiez Framasoft ou non, c’est qu’en prenant le temps de vous expliquer qui nous sommes, ce que nous avons fait, ce que nous sommes en train de faire, et là où nous voulons vous emmener, nous parlerons à votre entendement et non à vos pulsions. Vous pourrez ainsi choisir de façon éclairée si nos actions méritent d’être soutenues.

« Si tu veux construire un bateau, ne rassemble pas tes hommes et femmes pour leur donner des ordres, pour expliquer chaque détail, pour leur dire où trouver chaque chose. Si tu veux construire un bateau, fais naître dans le cœur de tes hommes et femmes le désir de la mer. » — Antoine de Saint-Exupéry

Nous espérons, à la lecture de cet article, vous avoir donné le désir de co-construire avec nous le Framasoft de demain, et que vous embarquerez avec nous.

 

Faire un don pour soutenir les actions de Framasoft

 

 

Gravatar de Framablog
Original post of Framablog.Votez pour ce billet sur Planet Libre.

Articles similaires

Cyprien Pouzenc : Reverse SSH, pour se connecter à un ordinateur distant protégé par un pare-feu

Miniature reverse SSH

Cet article est le troisième d'une série de quatre :

  1. SSH, pour se connecter en ligne de commande à un ordinateur distant
  2. SSH, se connecter sans mot de passe à l'aide de la cryptographie
  3. Reverse SSH, pour se connecter à un ordinateur distant protégé par un pare-feu
  4. SSH, des tunnels pour tous les services (à venir)

Dans un article précédent, nous avons vu comment se connecter directement à un ordinateur distant présent sur le même réseau local, comment se connecter directement à un ordinateur distant situé derrière un pare-feu convenablement configuré, et comment se connecter à un ordinateur distant accessible par rebond via un ordinateur intermédiaire. Ne reste plus qu'à traiter, donc, le cas de l'ordinateur distant... injoignable. Ce cas est en fait le plus courant. Il s'agit d'un ordinateur distant installé derrière un routeur, lui-même inaccessible par SSH et empêchant toute connexion directe au serveur. Bref, le cas typique de l'ordinateur domestique installé derrière sa box Internet. Avec une adresse IP publique dynamique. Et des utilisateurs qui ont d'autres centres d'intérêts que l'administration réseau (et qui le vivent, semble-t-il, plutôt bien).

Connexion bloquée par un pare-feu Connexion bloquée par un pare-feu

Autant il est impossible de se connecter au serveur distant, autant on peut faire en sorte que le serveur puisse se connecter au client. Car le client, c'est nous ; et là-dessus, on peut agir. Si on ouvre un tunnel SSH depuis le serveur vers le client, il est possible au client de remonter le tunnel pour accéder au serveur. C'est ce qu'on appelle le reverse SSH — ou SSH inversé. Ça peut sembler tordu, mais ça marche. Et encore, la situation est simple ; et présente d'ailleurs certains défauts. Par exemple, si le client est mobile et change de connexion Internet, le tunnel mis en place ne fonctionne plus. On pourrait imaginer un tunnel opérant via un serveur VPN, auquel le client est connecté en permanence. Néanmoins, l'accès serait alors uniquement possible depuis le poste client connecté au VPN. Une solution plus universelle est envisageable. Plus complexe, certes, mais qui présente de nombreux avantages.

Connexion par SSH inversé Connexion par SSH inversé

Imaginons que SERVEUR_B, auquel on souhaite se connecter, est installé derrière un pare-feu qui empêche toute connexion entrante. Il n'est pas possible de se connecter au serveur, mais celui-ci a bel et bien accès au réseau. Ainsi, SERVEUR_B peut ouvrir un tunnel SSH vers SERVEUR_A, qui nous appartient et qui est convenablement configuré pour cela ; ce qui implique d'éventuelles règles de routage particulières, ou un potentiel accès direct. Si CLIENT peut également se connecter à SERVEUR_A, il peut alors aussi se connecter à SERVEUR_B, comme nous l'avons déjà vu. L'astuce réside donc dans l'usage d'un serveur intermédiaire, SERVEUR_A. Si SERVEUR_B peut se connecter à SERVEUR_A et que CLIENT peut aussi se connecter à SERVEUR_A, alors CLIENT peut se connecter à SERVEUR_B.

Connexion par SSH inversé, avec rebond Connexion par SSH inversé, avec rebond

Toute l'intelligence du système repose sur SERVEUR_A. Mais attention ! SERVEUR_B, ainsi que la multitude d'ordinateurs qui ont accès à SERVEUR_A afin de pouvoir s'y connecter à distance par SSH inversé, n'entrent pas dans votre sphère de contrôle. Et tous ces ordinateurs, que l'on peut raisonnablement considérer comme hostiles, disposent d'un accès direct à SERVEUR_A ! Autant dire qu'il va falloir réduire un minimum leur pouvoir d'action... Pour cela, on pourrait créer un utilisateur système aux droits réduits. Mieux, on peut enfermer cet utilisateur dans un chroot minimaliste, grâce à Jailkit.

Situation initiale

Faisons le point.

SERVEUR_B, auquel on souhaite se connecter, n'est pas accessible directement. Il est néanmoins nécessaire d'y opérer une configuration initiale afin d'automatiser l'ouverture et le maintient d'un tunnel SSH vers SERVEUR_A.

SERVEUR_A, qui sert de relais, nécessite une configuration spéciale afin de limiter les droits des serveurs distants qui s'y connectent, considérés comme hostiles — tel que SERVEUR_B, notamment. SERVEUR_A doit être accessible par SSH, en permanence. L'objet de cet article n'est pas d'expliquer comment déployer des règles de routages particulières ni toute autre configuration système ou réseau pour y parvenir.

CLIENT, qui souhaite accéder à SERVEUR_B, a juste besoin de pouvoir se connecter à SERVEUR_A.

Configuration de SERVEUR_A

SERVEUR_A nécessite l'installation d'un serveur SSH, comme expliqué dans l'article précédemment cité. Afin de permettre l'utilisation directe du tunnel par CLIENT, il est nécessaire d'activer deux options de configuration du serveur SSH. Pour cela, il faut tout d'abord se connecter à SERVEUR_A en tant que super-utilisateur :

su -

Modifier la configuration du serveur SSH :

sed -i "s/#AllowTcpForwarding yes/AllowTcpForwarding yes/" /etc/ssh/sshd_config sed -i "s/#GatewayPorts no/GatewayPorts yes/" /etc/ssh/sshd_config

Puis la recharger :

systemctl reload ssh.service

SERVEUR_A nécessite également l'installation et la configuration de Jailkit afin de pouvoir isoler un utilisateur système, comme expliqué dans cet autre article.

La seule différence consiste en une initialisation minimaliste de l'environnement isolé :

jk_init -v -j /home/jail limitedshell

Il n'est ici pas utile de définir Bash comme shell interactif pour l'utilisateur JAIL_USER, puisque personne n'aura à se connecter en ligne de commande à SERVEUR_A ; ce dernier ne servant que de serveur relais pour la connexion à SERVEUR_B. D'ailleurs, Bash n'est même pas installé dans cet environnement isolé.

Configuration de SERVEUR_B

SERVEUR_B a uniquement besoin d'un client SSH. Les distributions GNU/Linux les plus répandues en étant dotées par défaut, nous devrions d'ores-et-déjà pouvoir nous connecter manuellement à SERVEUR_A depuis SERVEUR_B :

ssh USER_A@IP_SERVEUR_A

Puis nous déconnecter :

exit

Le but du jeu étant d'automatiser l'ouverture et le maintient d'un tunnel SSH vers SERVEUR_A, l'authentification par mot de passe n'est pas envisageable. Il faut configurer une authentification cryptographique, comme expliqué dans cet article. La seule différence — contrainte par ce même soucis d'automatisation — étant que la clef privée elle-même ne doit pas être protégée par un mot de passe.

Copier la clef publique sur SERVEUR_A

Comme expliqué dans l'article indiqué, la clef publique doit être copiée sur SERVEUR_A, pour le compte utilisateur JAIL_USER. Malheureusement, l'environnement isolé installé est trop restrictif pour permettre l'usage de ssh-copy-id. Il est évidemment possible d'y remédier, mais cela augmente notablement la surface d'attaque. S'agissant d'une opération peu fréquente, il est préférable de la réaliser manuellement. Pour cela, il faut tout d'abord, copier la clef publique dans le dossier personnel d'un utilisateur standard de SERVEUR_A :

scp .ssh/id_ed25519.pub USER_A@IP_SERVEUR_A:/home/USER_A/

Puis se connecter à ce compte utilisateur :

ssh USER_A@IP_SERVEUR_A

Se connecter en tant que super-utilisateur :

su -

Importer la clef dans le compte utilisateur JAIL_USER :

cd /home/jail/home/JAIL_USER umask 077 mkdir -p .ssh cat /home/USER_A/id_ed25519.pub >> .ssh/authorized_keys chown -R JAIL_USER: .ssh rm /home/USER_A/id_ed25519.pub

Se déconnecter (deux fois) :

exit Création d'un tunnel SSH

Afin d'automatiser l'ouverture et le maintient d'un tunnel SSH vers SERVEUR_A, il nous faut installer le paquet autossh. Pour cela, il faut tout d'abord se connecter à SERVEUR_B en tant que super-utilisateur :

su -

Installer le paquet autossh :

apt install autossh

Créer un service systemd correspondant :

vim /etc/systemd/system/autossh.service

Et y coller ceci :

[Unit] Description=Keep a tunnel open on port 22 After=network.target [Service] User=USER_B ExecStart=/usr/bin/autossh -o ServerAliveInterval=60 -NR 22222:localhost:22 JAIL_USER@IP_SERVEUR_A Restart=on-failure [Install] WantedBy=multi-user.target

Le port 22222 correspond à l'entrée du tunnel sur SERVEUR_A, qui débouche sur le port 22 de SERVEUR_B. Autant le port d'entrée du tunnel peut être choisi — presque — librement, autant le port de sortie doit correspondre au port d'écoute du serveur SSH sur SERVEUR_B.

Activer le service au démarrage du système, et le démarrer :

systemctl --now enable autossh.service

Se déconnecter :

exit Se connecter à SERVEUR_B depuis CLIENT

Depuis SERVEUR_A, on peut désormais se connecter à SERVEUR_B ainsi :

ssh -p 22222 USER_B@localhost

Où le port 22222 sur localhost est bien l'entrée du tunnel relié au port 22 de SERVEUR_B.

Puisque le but du jeu n'est pas de se connecter directement depuis SERVEUR_A, connectons-nous donc depuis CLIENT, via SERVEUR_A :

ssh -J JAIL_USER@IP_SERVEUR_A -p 22222 USER_B@localhost

Nous y voilà ! Nous pouvons enfin nous connecter à cette satanée machine installée derrière un pare-feu empêchant toute connexion externe... ou presque, donc Wink Évidemment, si l'on souhaite créer d'autres tunnels SSH pour d'autres serveurs distants, il suffit d'utiliser des ports d'entrées différents que celui choisi pour SERVEUR_B.

Dans ce dernier exemple, nous nous sommes connectés à SERVEUR_B via SERVEUR_A, par rebond. Si, par des règles de routage particulières ou un accès direct à SERVEUR_A, il est possible de se connecter directement au port 22222 de SERVEUR_A, la connexion par rebond n'est pas indispensable.

Connexion par SSH inversé via SERVEUR_A, sans rebond Connexion par SSH inversé via SERVEUR_A, sans rebond

Dans ce cas, la commande suivante suffit :

ssh -p 22222 USER_B@IP_SERVEUR_A

À noter l'utilisation a priori étrange de l'utilisateur USER_B sur IP_SERVEUR_A.

Dans cet article, nous avons vu comment créer un tunnel SSH pour se connecter en ligne de commande à un ordinateur distant ; comment relier le port d'une machine externe au port SSH de la machine à contacter, et ainsi contourner la protection d'un pare-feu empêchant, a priori, une telle connexion. Comme nous le verrons dans un prochain article, cette méthode peut être généralisée à l'usage de biens d'autres services que la seule connexion en ligne de commande.

Article sous licence Creative Commons BY-SA 3.0 France.

Gravatar de Cyprien Pouzenc
Original post of Cyprien Pouzenc.Votez pour ce billet sur Planet Libre.

Framablog : PeerTube 1.0 : la plateforme de vidéos libre et fédérée

Ce qui nous fait du bien, chez Framasoft, c’est quand nous arrivons à tenir nos engagements. On a beau faire les marioles, se dire qu’on est dans l’associatif, que la pression n’est pas la même, tu parles !

Après le financement participatif réussi du mois de juin 2018, nous avions fait la promesse de sortir la version 1 de Peertube en octobre 2018. Et alors, où en sommes-nous ? Le suspense est insoutenable.

Nous étions confiants. Le salaire du développeur principal, Chocobozzz, était assuré jusqu’à la fin de l’année, nous avions déjà recensé des contributions de qualité, nous avions fait un peu de bruit dans la presse… Cependant, nous avions aussi pris un engagement ferme vis-à-vis de nos donateur·ices, ainsi qu’auprès d’un large public international qui ne nous connaissait pas aussi bien que nos soutiens francophones habituels.

Ne vous faisons pas languir plus longtemps, cette version 1.0, elle est là, elle sort à l’heure dite et elle tient ses promesses, elle aussi. C’est l’occasion de dérouler pour vous un récapitulatif des épisodes précédents, ce qui vous évitera de farfouiller dans le blog pour retrouver vos petits. On sait que c’est pénible, on l’a fait. :)

C’est quoi, PeerTube ? Une révolte ? Non, Sire, une révolution [Vidéo de présentation de PeerTube, en anglais, avec les sous-titres français, sur Framatube. Pour la vidéo avec les sous-titres en anglais, cliquez ici. Réalisation : Association LILA (CC by-sa)]

 

« Dégooglisons Internet ! » avons-nous crié partout pendant trois ans, sur l’air de « Delenda Carthago ! »

Ça, c’était une révolte. Un cri du cœur. Déjà un défi fou : proposer une alternative aux services des géants du web, les GAFAM et leurs petits copains (Twitter, par exemple). Un par un, les services étaient sortis, à un rythme insensé. Ils sont toujours là. Il faut les maintenir. Heureusement, les (désormais 60) CHATONS permettent de répartir un peu la charge. L’offre de mail mise de côté, il restait un gros morceau : proposer une alternative crédible au géant Youtube, rien que ça ! Pas facile de briser l’hégémonie des plateformes de diffusion vidéo !

Les fichiers vidéo sont lourds, c’est le principal inconvénient. Donc il faut de gros serveurs, beaucoup de bande passante, ce qui représente un coût astronomique, sans parler de l’administration technique de tout ça.
Non seulement impensable au regard de nos moyens, mais surtout complètement à l’opposé des principes du Libre : indépendance, décentralisation, partage. Pour répondre au défi financier, Youtube et ses clones utilisent toutes les ressources du capitalisme de surveillance : en captant l’attention des internautes dans des boucles sans fin, en profilant leurs goûts, en les assaillant de publicité, en leur proposant des recommandations parfois toxiques

C’est là que nous avons pris connaissance du logiciel (libre !) d’un jeune homme sympathique caché derrière le pseudo Chocobozzz, qui travaillait dans son coin à proposer une manière innovante de diffuser et visionner de la vidéo sur Internet.

Quand vous visionnez une vidéo, votre ordinateur participe à sa diffusion

PeerTube utilise les ressources du Web (WebRTC et BitTorrent, des technologies permettant le partage de diffusion, qui est un concept fondamental d’Internet) pour alléger la charge des sites qui hébergent du contenu. Avec un principe on ne peut plus simple : quand vous visionnez une vidéo, votre ordinateur participe à sa diffusion. Si beaucoup de personnes regardent la même vidéo, au lieu de tirer sur les ressources du serveur, on demande un petit effort à chaque machine et à chaque connexion. Les flux se répartissent, le réseau est optimisé. L’Internet comme il doit être. Comme il aurait dû le rester !

Pas besoin d’héberger tous les contenus que vous souhaitez diffuser : il suffit de se fédérer avec des instances amies qui proposent ces contenus pour les référencer sur sa propre instance. Sans dupliquer les fichiers. Et ça marche ! Quand les copains de Datagueule ont mis en ligne leur documentaire Démocratie, le logiciel a encaissé les milliers de visionnages sans broncher. Nous vous avons alors soumis l’idée d’embaucher Chocobozzz pour lui permettre de travailler sereinement à son projet, avec pour objectif de produire une version bêta du logiciel en mars 2018. Grâce à vos dons et à votre confiance, nous avons franchi cette première étape.

Nous avons entre-temps peaufiné notre nouvelle feuille de route Contributopia, dans laquelle PeerTube s’inscrivait parfaitement. Avec la recommandation du protocole ActivityPub par le W3C, qui renforçait le principe de fédération déjà initié par des logiciels sociaux (comme Mastodon), PeerTube est même devenu une brique majeure de Contributopia. Heureusement, la fédération, c’est facile à expliquer, parce que tout le monde l’utilise déjà : on a tou⋅tes des adresses mails, fournies par des tas de serveurs différents, et pourtant on arrive à s’écrire ! Avec PeerTube, lorsque plusieurs instances sont fédérées, il est possible de faire des recherches sur toutes ces instances, sans quitter celle sur laquelle vous êtes, où de commenter des vidéos d’une instance distante sans avoir besoin de vous créer un compte dessus.

L’étape suivante allait de soi : continuer. La communication autour de PeerTube, via nos réseaux habituels, nous avait déjà permis d’attirer les contributions, des vidéastes avaient manifesté leur intérêt, les forums bruissaient de questions.

C’est pourquoi, rompant avec nos usages habituels, bousculant notre tempo, nous avons décidé de pousser les feux en prenant définitivement le rôle d’éditeur du logiciel de Chocobozzz, avec son accord, évidemment. Et surtout en soumettant une demande de financement participatif à l’international, en anglais, pour pérenniser son embauche, sans forcément vous solliciter à nouveau directement (mais on sait qu’une partie d’entre vous a tenu à participer quand même, et ça fait chaud au cœur, vraiment).

Cette fois encore, ce fut un joli succès, alors que franchement on n’en menait pas large, et voilà ce qui nous amène à cette version 1.0.

Mais alors, elle embarque quoi, cette version 1.0 ?

Avant tout, et pour éviter les mécompréhensions, rappelons que PeerTube n’est pas une seule plateforme centralisée (comme peuvent l’être YouTube, Dailymotion ou Viméo), mais un logiciel permettant de rassembler de nombreuses instances PeerTube (c’est-à-dire différentes installations du logiciel PeerTube, thématiques ou communautaires) au sein de ce que l’on appelle une fédération. Il vous faut donc chercher l’instance PeerTube qui vous convient pour visionner ou mettre en ligne vos vidéos ou, à défaut, mettre en place votre propre instance PeerTube, sur lequel vous aurez tous les droits.

PeerTube n’est pas une seule plateforme centralisée, mais un logiciel

Fonctionnalités de base
  • Peertube permet de regarder des vidéos avec WebTorrent, pour ne pas saturer les serveurs de diffusion. Si plusieurs personnes regardent la même vidéo, elles téléchargent de petits morceaux de la vidéo depuis votre serveur, mais aussi depuis les machines des autres personnes qui regardent la même vidéo !
  • Fédération entre instances PeerTube. Si l’instance PeerTube A s’abonne aux instances PeerTube B et C, depuis une recherche sur A, on peut trouver et visionner les vidéos de B et C, sans quitter A.
  • Le logiciel dispose de réglages assez fins qui permettent d’ajuster la gouvernance : chaque instance s’organise comme elle le souhaite. Ainsi, l’administrateur·ice de l’instance peut définir :
    • un quota d’espace disque pour chaque vidéaste ;
    • le nombre de comptes acceptés ;
    • le rôle des utilisateur·ices (administration, modération, utilisation, upload de vidéos).
  • PeerTube peut fonctionner sur un petit serveur. Vous pouvez par exemple l’installer sur un matériel type VPS ayant deux cœurs et 2Go de RAM. L’espace de stockage requis dépend évidemment du nombre de vidéos que vous souhaitez héberger personnellement.
  • PeerTube dispose d’un code stable et robuste, testé et éprouvé sur de nombreux systèmes, ce qui le rend performant. Ainsi, une page PeerTube se charge souvent bien plus vite qu’une page YouTube.
  • Vos vidéos peuvent être automatiquement converties dans différentes définitions (par exemple 240p, 720p ou 1080p. voire le 4K) pour s’adapter au débit et matériel des visiteur·euses. Cette étape s’appelle le transcodage.
  • Un mode « Théâtre » ainsi qu’un mode « nuit » sont disponibles pour un meilleur confort de visionnage.
  • PeerTube ne vous espionne pas et ne vous enferme pas : en effet, l’application ne collecte pas d’informations personnelles à des fins d’exploitation commerciale, et surtout PeerTube ne vous enferme pas dans une « bulle de filtre  ». Par ailleurs, il n’utilise pas d’algorithme de recommandation biaisé pour vous faire rester indéfiniment en ligne. C’est peut-être un détail (ou une faiblesse) pour vous, mais pour nous c’est une force qui veut dire beaucoup !
  • Il n’existe pas – encore – d’application smartphone dédiée. Cependant, la version web de PeerTube fonctionne rapidement sur smartphone et s’adapte parfaitement à votre appareil.
  • Les visiteur⋅euses peuvent commenter les vidéos. Cette fonctionnalité peut être désactivée soit par l’administrateur·ice de l’instance sur n’importe quelle vidéo, soit localement par la personne qui met en ligne les vidéos.
  • PeerTube utilisant le protocole d’échanges ActivityPub, il est possible d’interagir avec d’autres logiciels utilisant ce même protocole. Par exemple, la plateforme de vidéo PeerTube peut interagir avec le réseau social Mastodon, alternative à Twitter. Ainsi, il est possible de « suivre » un utilisateur PeerTube depuis Mastodon, ou même de commenter une vidéo directement depuis votre compte Mastodon.
  • Un bouton permet d’apporter votre soutien à l’auteur d’une vidéo. Ainsi, les vidéastes peuvent mettre en place le mode de financement qui leur convient.
  • Nous n’avons peut-être pas insisté sur ce point, mais PeerTube est bien évidemment un logiciel libre :) Cela signifie que son code source (sa recette de cuisine) est disponible et ouverte à tou⋅tes. Ainsi, vous pouvez contribuer au code ou, si vous pensez que le logiciel ne va pas dans la bonne direction, le copier et y apporter les modifications qui correspondent à vos besoins.

Image du crowdfunding réussi ayant financé une large partie des fonctionnalités les plus attendues.

Fonctionnalités financées par le crowdfunding
  • Le sous-titrage : possibilité d’ajouter de multiples fichiers de langue (au format .srt) pour proposer les sous-titrages des vidéos.
  • La redondance d’instance : il est possible « d’aider » une instance désignée en activant la redondance de tout ou partie de ses vidéos (qui seront alors dupliquées sur votre instance). Ainsi, si l’instance liée est surchargée parce que trop de monde regarde les vidéos qu’elle héberge, votre instance pourra la soutenir en mettant sa bande passante à disposition.
  • L’import depuis d’autres plateformes vidéo par simple copier-coller : YouTube, Viméo, Dailymotion, etc. Depuis certaines plateformes, la récupération du titre, de la description ou des mots clés est même automatique. Il est bien entendu possible d’importer aussi des vidéos par lien direct ou depuis une autre instance PeerTube. Enfin, PeerTube permet aussi l’import depuis les fichiers .torrent.
  • Plusieurs flux RSS s’offrent à vous selon vos besoins : un pour les vidéos de manière globale, un autre pour celles d’une chaîne et un dernier pour les commentaires d’une vidéo.
  • Peertube s’est internationalisé et parle maintenant 13 langues dont le chinois. Des traductions vers d’autres langues sont en cours.
  • La recherche est plus pertinente. Elle prend en compte certaines fautes de frappe et propose l’utilisation de filtres.
Fonctionnalités à venir

Nous avons une excellente nouvelle : bien que le troisième palier du crowdfunding n’ait pas été atteint, Framasoft a décidé d’embaucher Chocobozzz en CDI afin de pérenniser le développement de Peertube. D’autres fonctionnalités sont donc prévues au cours de l’année 2019.

  • Un système de plugins pour personnaliser Peertube. Il s’agit là d’un développement essentiel, car il permettra à chacun⋅e de développer ses propres plugins pour adapter PeerTube à ses besoins. Par exemple il deviendra possible de proposer des plugins de recommandations avec des algorithmes spécifiques ou des thèmes graphiques complètement différents.
  • Nous développerons éventuellement une application mobile (ou bien des contributeur⋅ices motivé⋅e⋅s le feront)
  • Il sera rapidement possible d’améliorer l’outil d’importation de vidéos, de façon à pouvoir « synchroniser » votre chaîne YouTube avec votre chaîne PeerTube (PeerTube sera en capacité de vérifier si de nouvelles vidéos ont été ajoutées et pourra automatiquement les ajouter à votre compte PeerTube, titre et descriptions compris). Dans les faits, cette fonctionnalité fonctionne déjà pour celles et ceux qui hébergent leur instance PeerTube et maîtrisent la ligne de commande.
  • Des statistiques par instance ou par compte pourront être mises à disposition.
[Exemple de la fonction d’import de vidéo]

 

PeerTube répare Internet

La campagne « Dégooglisons Internet » était un cri, une réaction, un rejet. Rejet des GAFAM et de leur vision centralisatrice, fermée, toute tournée vers le fric et le contrôle. Lutter contre les GAFAM, c’est mener un combat disproportionné. Mais la prise de conscience est faite. Nous n’avons plus besoin de rabâcher notre couplet sur leur façon de nier nos libertés, de s’approprier nos données personnelles, de prendre le pouvoir dans nos vies. Et puis il faut dire qu’à force de scandales, ils nous ont bien aidés à accélérer dans l’opinion publique cette prise de conscience. Nous revendiquons fièrement notre participation à cette évolution des esprits, au milieu d’autres acteurs tout aussi importants (LQDN, la CNIL, l’APRIL, etc.). Il est temps maintenant de passer à autre chose.

 

https://framalab.org/gknd-creator/

 

Chez Framasoft, incorrigibles bavards que nous sommes, nous avons produit beaucoup d’écrits, et nous avons finalement, proportionnellement, assez peu de contenus vidéos à proposer, alors que c’est un média qui est devenu à la fois plus facile à élaborer et plus demandé par le public. Ce virage vers la vidéo nous a été confisqué par les plateformes centralisatrices, Youtube en tête. Elles ont installé un standard, une norme, avec des pratiques révoltantes comme la censure aveugle et l’appropriation des contenus.

Le principe de fédération impulsé par le protocole ActivityPub et les logiciels qui l’utilisent (Peertube, Mastodon, Funkwhale, PixelFed, Plume… la liste s’allonge chaque mois) est en train, ni plus ni moins, de corriger le tir, de (re)construire le futur d’Internet. Celui que nous appelons de nos vœux.

sketchnote d'un réseau fédéré avec ActivityPub

La fédération, avec ActivityPub, c’est s’allier aux autres sans perdre son identité

 

Oui, cette fois, c’est une révolution. Avec Contributopia, nous annonçons une étape de construction, basée sur le partage, les communs, l’éducation populaire.

Nous avons aussi pris conscience, en avançant, que nous ne pouvions plus nier la dimension politique de cette vision. Alors quand on dit « politique », on convoque l’étymologie du mot, hein. C’est pas demain qu’on verra Pyg, notre délégué général, à l’Assemblée Nationale. Il n’empêche ! La culture du libre, ça va bien au-delà de l’hébergement d’agendas ou de l’ouverture d’un pad pour rédiger le présent article à plusieurs.

Nous travaillons, dans le cadre qui est le nôtre, à fournir des outils numériques aux utopistes qui, comme nous, pensent qu’il y a encore moyen de sauver les meubles. On se disait que ce n’était pas super vendeur, mais nous avons pu voir, lors de nos fréquentes interventions à droite et à gauche, que la démarche rencontrait de l’écho. Nous avons encore quelques jolies cartes à jouer pour la suite (même si pour certaines on ne sait pas encore comment ça se passera ^^), comme toujours dans la bonne humeur et le houblon doré.

Nous espérons que vous nous suivrez, encore, dans cette voie.

Longue vie à PeerTube.

L’équipe de Framasoft.

Pour aller plus loin

À vous de jouer ! PeerTube vous appartient, emparez-vous de ses possibilités. Déposez des vidéos de qualité (de préférence sous licence libre, ou pour laquelle vous avez les droits de diffusion ou un accord explicite) sur l’une des instances déjà existantes. Faites connaître PeerTube à vos contacts et aux YouTubeur⋅euses auxquels vous êtes abonné⋅e. Et si vous le pouvez, installez votre propre instance pour agrandir encore le réseau fédéré !

Gravatar de Framablog
Original post of Framablog.Votez pour ce billet sur Planet Libre.

Articles similaires

Journal du hacker : Liens intéressants Journal du hacker semaine #41

Pour la 41ème semaine de l'année 2018, voici 12 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

Pour ne plus rater aucun article de la communauté francophone, voici :

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Gravatar de Journal du hacker
Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Articles similaires

Yannic Arnoux : Installation d'un serveur de containers

Plus des notes techniques pour ma mémoire défaillante qu’un véritable article, je vais compiler les étapes d’installation d’un serveur de containers. Quel système d’exploitation ? j’ai envie de dire on s’en cogne mais il est préférable de choisir une distribution poussée par Docker pour se simplifier la vie ; ce sera donc Debian 9 Stretch supportée sur Dedibox.

J’installe donc via l’interface d’administration Online. Je choisis le mot de passe root, le compte utilisateur et son mot de passe. Online me communique ma configuration réseau :

  • Adresse IP : xxx.yyy.zzz.xxx
  • Masque réseau : 255.255.255.0
  • Passerelle : xxx.yyy.zzz.1
  • DNS primaire : 62.210.16.6
  • DNS secondaires : 62.210.16.7
SSH

Je vérifie qu’on peut se connecter au serveur :

ssh yax@xxx.yyy.zzz.xxx

Je me déconnecte et génère une clef avec ssh-keygen, en choisissant une clef RSA. On peut fournir une passphrase si on pense qu’elle peut tomber entre de mauvaises mains. Je nomme ma clef fr_mondomaine ; cela génère une clef publique fr_mondomaine_rsa.pub et une clef privée fr_mondomaine_rsa.

Je copie la clef publique sur le serveur :

ssh-copy-id -i fr_mondomaine_rsa.pub yax@xxx.yyy.zzz.xxx

On peut simplifier la connexion au serveur en modifiant la configuration du client SSH ~/.ssh/config de sa machine pour que l’utilisateur et la clef soient choisis sans le spécifier sur la ligne de commande :

Host fr.mondomaine User yax Hostname xxx.yyy.zzz.xxx IdentityFile ~/.ssh/fr_mondomaine_rsa

Je vérifie qu’on se connecte sans saisir de mot de passe :

ssh fr.mondomaine

J’interdis complètement la connexion SSH au compte root. Pour cela, je me connecte au serveur, je passe en root avec su et j’édite le fichier de configuration du service SSH /etc/ssh/sshd_config pour fixer les paramètres suivants :

PermitRootLogin no PasswordAuthentication no

Je redémarre le service SSH :

systemctl restart sshd

Et si on s’est raté ou si on perd la clef RSA sur notre PC à la maison ? Et bien on est bon pour redémarrer le serveur en mode secours avec la console Dedibox, monter les partitions et se chrooter pour arranger la configuration de SSH. C’est encore faisable facilement car systemd n’a pas encore binarisé tout le système (troll inside).

Je ne configure pas sudo, je veux pouvoir tout faire avec un utilisateur standard, les connexions à root par su doivent rares, principalement pour effectuer les mises à jours du système Debian.

Docker

Installation de Docker CE sur Debian Stretch avec la procédure officielle qui ajoute des dépôts APT Docker pour récupérer une version de Docker plus récente que celle fournie avec Debian Stretch : https://docs.docker.com/engine/installation/linux/docker-ce/debian/

Installation d’une version récente de Docker Compose en suivant aussi la procédure officielle : https://docs.docker.com/compose/install/

Ajout de l’utilisateur yax dans le groupe docker

usermod -aG docker yax

Démarrage automatique de Docker:

systemctl enable docker Pare-feu

J’installe shorewall pour IPv4, un pare-feu puissant qui ne rajoute pas de service supplémentaire au système puisqu’il traduit ses règles assez complexes en règles iptables.

apt-get install shorewall

Par sécurité, le temps de mettre au point les règles, je désactive le démarrage automatique :

systemctl disable shorewall

Si ça foire, je pourrai toujours forcer un redémarrage électrique du serveur :-)

Docker a la particularité de gérer ses propres règles iptables pour l’accès aux containers ce qui rend sa cohabitation délicate avec tout pare-feu basé sur iptables Depuis quelques versions, Shorewall supporte Docker, ce qui revient à dire qu’il le laisse faire sa sauce et gère les règles iptables qui lui sont propres.

Donc j’édite /etc/shorewall/shorewall.conf et déclare que je vais utiliser Docker :

STARTUP_ENABLED=Yes DOCKER=Yes

Puis j’édite /etc/shorewall/zones pour définir mes zones :

#ZONE TYPE OPTIONS fw firewall net ipv4 dock ipv4 # 'dock' is just an example

Et les règles de passage d’une zone à l’autre en éditant /etc/shorewall/policy :

#SOURCE DEST POLICY LEVEL $FW net ACCEPT net all DROP info dock $FW REJECT dock all ACCEPT # last rule all all REJECT info

Enfin, j’associe les zones aux interfaces physiques (attention enp1s0 est le nom de l’interface Ethernet de mon serveur), en éditant /etc/shorewall/interfaces :

?FORMAT 2 #ZONE INTERFACE OPTIONS net enp1s0 dhcp,tcpflags,logmartians,nosmurfs,sourceroute=0 dock docker0 bridge,routeback=0 #Disallow ICC

Là on a un pare-feu opérationnel qui refuse toute connexion entrante ; on ajoute quelques règles pour autoriser le PING ICMP et les connexions SSH avec une limite de 3 connexions par minute (pour calmer les facheux).

Ca se passe dans le fichier /etc/shorewall/rules :

#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK CONNLIMIT TIME HEADERS SWITCH HELPER # PORT PORT(S) DEST LIMIT GROUP ?SECTION ALL ?SECTION ESTABLISHED ?SECTION RELATED ?SECTION INVALID ?SECTION UNTRACKED ?SECTION NEW # Drop packets in the INVALID state Invalid(DROP) net $FW tcp # Drop Ping from the "bad" net zone.. and prevent your log from being flooded.. Ping(ACCEPT) net $FW # Permit all ICMP traffic FROM the firewall TO the net zone ACCEPT $FW net icmp SSH(ACCEPT) net all - - - - s:1/min:3 Tester la sécurité

Là ça devient plus amusant ! Je reboote et je démarre manuellement shorewall puis je jette un oeil à la bonne cohabitation des règles iptables entre Shorewall et Docker :

iptables -L -n -v

D’abord je teste les accès distants :

  • on peut scanner les ports avec NMAP depuis sa machine : on voit le port 22 ouvert
  • on vérifie facilement que SSH est limité à 3 connexions par minute

Enfin je teste la sécurité intra-docker en déployant 3 containers Docker avec l’image tcpping :

version: "3" services: web1: image: tcpping expose: - 80 networks: - frontend web2: image: tcpping networks: - frontend - backend web3: image: tcpping ports: - 8000:80 networks: - backend networks: frontend: backend:

Les containers web1 et web2 sont sur le réseau frontend Les containers web2 et web3 sont sur le réseau backend

Je vérifie les points suivants :

  • chaque container peut accèder à Internet
  • aucun container ne peut accéder au serveur : ni ping, ni SSH
  • web1 et web2 se voient en ICMP et en TCP 80
  • web2 et web3 se voient en ICMP et en TCP 80

Je refais un scan de port plus poussé avec NMAP et je vois que le port 22 et 8000 (celui de web3) sont accessibles depuis Internet.

Si je liste les règles iptables, je remarque que l’isolation des réseaux entre les containers donne lieu à des règles iptables supplémentaires.

Gravatar de Yannic Arnoux
Original post of Yannic Arnoux.Votez pour ce billet sur Planet Libre.

Articles similaires

elementary OS : Mais quel est ce compteur présent sur le site officiel

A quoi peut bien correspondre le compteur présent sur le site web officiel d’elementary ?

Cela annoncerait-il la sortie imminente de Juno, la prochaine version de l’OS elementary ? Il semblerait que le code source de la page nous en apprend un peu plus :

Rendez-vous donc le 16 Octobre à partir de 21h00 (CEST) pour en savoir plus sur Juno. Cette version sera la 5e itération d’elementary (les précédentes versions avaient les noms de release suivants : 0.1 aka Jupiter, 0.2 Luno, 0.3 Freya et la version actuelle, 0.4, Loki)

Le billet Mais quel est ce compteur présent sur le site officiel a été publié sur le site de la elementary OS -

Gravatar de elementary OS
Original post of elementary OS.Votez pour ce billet sur Planet Libre.

toitoinebzh : Mise en place d'une seedbox automatisée

Une seedbox est un serveur dédié au partage de fichiers. Je présente ici différents outils que j'ai mis en place afin de transformer un vieux pc en une seedbox automatisée. L'objectif est de partager des iso de distributions gnu/linux par le protocole bittorrent et d'automatiser le tout (ajout automatique des dernières versions de distributions publiées).

Le matériel choisi est une simple tour trouvée sur leboncoin avec les caractéristiques suivantes :

  • Intel Core 2 Duo processor E8400 (2C/2T, 3.0 GHz, 6 MB, 1333 MHz)
  • 2 x 2 GB DDR2, 800 MHz, PC2-6400, DIMM
  • SATA II, 7200 rpm, 500 GB, 3.5-inch, S.M.A.R.T.
  • NVIDIA GeForce 9300GE, 256 MB
  • Carte mère μATX D2841

Cette mise en place se réalise en plusieurs étapes listées ci-dessous.

Installation d'une distribution Gnu/Linux

Tout d'abord, il est nécessaire d'installer une distribution gnu/linux sur le pc. Je ne détaille pas cette étape, les seules recommandations que je donne ici sont d'installer une version serveur (sans interface graphique type KDE, Gnome, ...) et de choisir une distribution avec un support sur le long terme (pour éviter les réinstallations tous les 6 mois).

La distribution utilisée ici est ubuntu 18.04 LTS, peut-être pas le meilleur choix mais largement suffisant pour se faire la main et comprendre comment fonctionne un serveur.

Dans le cadre de cet exemple,

  • Ninja représente le serveur
  • Frankenstein est un client
  • le client et le serveur sont sur le même réseau local
  • antoine est le nom de l'utilisateur du serveur et du client.

Le disque dur du serveur a été partitionné de manière à séparer / de /home et une partition /document a également été crée.

antoine@Ninja:~$ lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda 8:0 0 465,8G 0 disk ├─sda1 8:1 0 19,5G 0 part / ├─sda2 8:2 0 19,5G 0 part /home ├─sda3 8:3 0 2G 0 part [SWAP] └─sda4 8:4 0 424,8G 0 part /document sr0 11:0 1 1024M 0 rom antoine@Ninja:~$

Une fois l'installation terminée, il est nécessaire de s'assurer de la mise en place de l'accès ssh en installant le paquet openssh-server sur le serveur.

sudo apt install openssh-server

A noter que les dépendances de ce paquet installeront tous ce qui est nécessaire à la mise en place d'un accès sftp.

Le serveur peut maintenant être débranché de tous ces périphériques (écran, clavier, souris) seul l'alimentation et le cable éthernet sont nécessaires.

Pour accéder maintenant au serveur depuis n'importe quel client, il suffit de taper

antoine@Frankenstein:~$ ssh antoine@Ninja

On a alors accès au terminal du serveur. On peut par exemple éteindre le pc à distance avec un

antoine@Ninja:~$ sudo shutdown -h now

A noter également que, par défaut, l'utilisateur antoine, n'aura pas les droits d'écriture/lecture sur /document, cela se règle simplement avec un

sudo chown -v $USER:$USER /document

Mise à jour automatique (optionnel)

Afin de réduire les étapes d'administration, il est possible de configurer le serveur de manière à se mettre à jour de manière automatique.

Pour plus d'infos, il est possible d'en savoir plus sur kanjian.fr et sur ubuntu-fr.org.

Tout d'abord, il faut installer le paquet unattended-upgrades

sudo apt install unattended-upgrades

Puis éventuellement, le configurer en éditant les fichiers 50unattended-upgrades et 20auto-upgrades.

Pour éditer le premier fichier,

antoine@Ninja:~$ sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Ce fichier permet de choisir (lignes à commenter/décommenter) quels catégories de paquets seront mis à jour d'une part

Unattended-Upgrade::Allowed-Origins { "${distro_id}:${distro_codename}"; "${distro_id}:${distro_codename}-security"; "${distro_id}:${distro_codename}-updates"; // "${distro_id}:${distro_codename}-proposed"; // "${distro_id}:${distro_codename}-backports"; };

D'autre part, on peut également noter la présence de la ligne suivante dans le fichier qui permet de planifier la mise à jour au moment de l'extinction du pc (option intéressante sur un pc de bureau).

Unattended-Upgrade::InstallOnShutdown "true";

Le second fichier permet, quant à lui, de configurer la fréquence à laquelle les opérations de mise à jour seront réalisées (unité en jour).

antoine@Ninja:~$ sudo nano /etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Download-Upgradeable-Packages "1"; APT::Periodic::AutocleanInterval "7"; APT::Periodic::Unattended-Upgrade "1"; Quelques outils pour contrôler l'état du pc (optionnel)

Uns fois que le pc tourne en continu, il peut être bon de s'y connecter de temps en temps pour voir comment les choses vont. Voilà quelques outils intéressants.

Processus

Pour connaitre les processus en cours et voir si il y a emballement par exemple, rien de tel que htop

htop

Sensors

Sensors est un outil qui permet de suivre la température et la vitesse des ventilateurs.

Pour l'installer,

sudo apt install lm-sensors sudo sensors-detect sudo service kmod restart # ou redémarrer

pour le lancer,

sensors

Disque dur

Tout d'abord, il peut être intéressant de savoir si les disques sont pleins avec par exemple,

df -h

Pour l'état de santé des disques, smartmontools est le bon point d'entrée. Il s'installe avec un

sudo apt install smartmontools

et s'utilise avec

sudo smartctl -s on -a /dev/sda

Il y a également iotop qui est un outil qui permet de connaitre quelle application sollicite le plus votre disque dur

sudo iotop

sans oublier ncdu qui est pas mal pour connaitre l'occupation du disque également

ncdu

Trafic réseau

Dans le but de suivre le trafic réseau, je conseille également l'usage de speedometer

speedometer -r enp3s0 -t enp3s0 -k 256

speedometer.png



Vue globale

En dehors de ces outils dédiés à des tâches particulières, il y a également deux outils intéressants pour avoir une vue globale sur l'état du serveur.

Le premier est glances qui fonctionne est ligne de commande,

glances.png

le second est phpsysinfo. Celui-ci s'installe via les commandes suivantes

sudo apt install phpsysinfo cd /var/www/html sudo ln -s /usr/share/phpsysinfo phpsysinfo

L'interface est ensuite accessible dans le navigateur via l'adresse ninja/phpsysinfo

phpsysinfo.png



Mise en place de la seedbox Installation et configuration de transmission

L'objectif ici est d'installer le logiciel bittoreent afin de transformer le serveur en une seedbox.

Cette partie s'inspire de plusieurs sources : ici, et là aussi.

L'installation se réalise simplement par un

antoine@Ninja:~$ sudo apt install transmission-daemon

La configuration demande plus d'efforts, il nécessite la modification du fichier settings.json.

sudo nano /etc/transmission-daemon/settings.json

On note principalement la présence des lignes suivantes (à modifier si nécessaire).

  • download-dir pour définir où seront stockés les téléchargements.
  • incomplete-dir pour ceux en cours (mettre incomplete-dir-enabled à true pour mettre les fichiers incomplets dans incomplete-dir.
  • watch-dir est un dossier surveillé par transmission, tous .torrent ajoutés dans ce dossier est automatiquement ajouté dans le logiciel (on reparlera de cette fonctionnalité un peu plus loin).
"download-dir": "/document/torrent/complete", "incomplete-dir": "/document/torrent/incomplete", "incomplete-dir-enabled": true, "watch-dir": "/document/torrent/watch", "watch-dir-enabled": true
  • les options rpc-* permettent de mettre en place une interface web qui permettra de suivre à distance l'avancement des téléchargements. Il est possible définir les ip qui peuvent avoir accès à cette interface avec les options whitelist, username et password pour le login d'accès à l'interface
"rpc-authentication-required": true, "rpc-bind-address": "0.0.0.0", "rpc-enabled": true, "rpc-host-whitelist": "", "rpc-host-whitelist-enabled": true, "rpc-password": "motdepasse", "rpc-port": 9091, "rpc-url": "/transmission/", "rpc-username": "antoine", "rpc-whitelist": "127.0.0.1,192.168.1.*", "rpc-whitelist-enabled": true,

L'interface web est alors accessible en tapant ninja:9091 dans la barre d'adresse du navigateur.

transmission_web.png

Au final, le fichier settings.json ressemble à ceci

antoine@Ninja:/document/torrent$ sudo cat /etc/transmission-daemon/settings.json { "alt-speed-down": 50, "alt-speed-enabled": false, "alt-speed-time-begin": 540, "alt-speed-time-day": 127, "alt-speed-time-enabled": false, "alt-speed-time-end": 1020, "alt-speed-up": 50, "bind-address-ipv4": "0.0.0.0", "bind-address-ipv6": "::", "blocklist-enabled": false, "blocklist-url": "http://www.example.com/blocklist", "cache-size-mb": 4, "dht-enabled": true, "download-dir": "/document/torrent/complete", "download-limit": 100, "download-limit-enabled": 0, "download-queue-enabled": true, "download-queue-size": 5, "encryption": 1, "idle-seeding-limit": 30, "idle-seeding-limit-enabled": false, "incomplete-dir": "/document/torrent/incomplete", "incomplete-dir-enabled": true, "lpd-enabled": false, "max-peers-global": 200, "message-level": 1, "peer-congestion-algorithm": "", "peer-id-ttl-hours": 6, "peer-limit-global": 200, "peer-limit-per-torrent": 50, "peer-port": 51413, "peer-port-random-high": 65535, "peer-port-random-low": 49152, "peer-port-random-on-start": false, "peer-socket-tos": "default", "pex-enabled": true, "port-forwarding-enabled": true, "preallocation": 1, "prefetch-enabled": true, "queue-stalled-enabled": true, "queue-stalled-minutes": 30, "ratio-limit": 2, "ratio-limit-enabled": false, "rename-partial-files": true, "rpc-authentication-required": true, "rpc-bind-address": "0.0.0.0", "rpc-enabled": true, "rpc-host-whitelist": "", "rpc-host-whitelist-enabled": true, "rpc-password": "motdepasse", "rpc-port": 9091, "rpc-url": "/transmission/", "rpc-username": "antoine", "rpc-whitelist": "127.0.0.1,192.168.1.*", "rpc-whitelist-enabled": true, "scrape-paused-torrents-enabled": true, "script-torrent-done-enabled": false, "script-torrent-done-filename": "", "seed-queue-enabled": false, "seed-queue-size": 10, "speed-limit-down": 100, "speed-limit-down-enabled": false, "speed-limit-up": 100, "speed-limit-up-enabled": false, "start-added-torrents": true, "trash-original-torrent-files": false, "umask": 18, "upload-limit": 100, "upload-limit-enabled": 0, "upload-slots-per-torrent": 14, "utp-enabled": true, "watch-dir": "/document/torrent/watch", "watch-dir-enabled": true }

Une fois le fichier modifié et enregistré, il faut relancer transmission pour prendre en compte les modifications

service transmission-daemon reload

Comme on peut le remarquer un peu plus haut, des chemins vers "download-dir", "incomplete-dir" et "watch-dir" ont été définis. Ces dossiers n'existent pas, il faut donc les créer à l'aide de la fonction mkdir.

La structure suivante a été mise en place dans le dossier /document

torrent/ ├── complete ├── incomplete └── watch

Cependant, il faut faire attention, ces dossiers ont été créés en tant que antoine(Ninja) alors que transmission-daemon est par défaut lancé avec un "utilisateur" appelé debian-transmission. Il risque donc d'avoir des conflits sur les permissions sur ces dossiers.

Il faut donc modifier les droits sur les dossiers

antoine@Ninja:~$ sudo chown antoine:debian-transmission torrent/* antoine@Ninja:~$ ls -la /document/torrent/ total 36 drwxrwxr-x 5 antoine antoine 4096 sept. 27 18:57 . drwxr-xr-x 4 antoine antoine 4096 sept. 23 19:15 .. drwxrwxr-x 5 antoine debian-transmission 12288 sept. 27 18:53 complete drwxrwxr-x 3 antoine debian-transmission 4096 sept. 27 19:19 incomplete drwxrwxr-x 2 antoine debian-transmission 12288 sept. 27 19:20 watch

à partir de maintenant, la seedbox est complétement fonctionnelle, pour lancer des torrents, plusieurs méthodes existent

  • lancement de l'interface web via ninja:9091 sur le pc client, il est possible d'ajouter un torrent via cette interface
  • ajout d'un torrent dans le "watch-dir" via par exemple un wget ou en utilisant par exemple filezilla (explication plus loin)
  • ajout via transmission-remote-gtk ou transmission-remote-cli, ces programmes permettent d'accéder à la seedbox depuis le pc client
Outils transmission-remote-* (optionnel)

transmission-remote-gtk et transmission-remote-cli sont deux programmes qui permettent de suivre l'état de la seedbox depuis un pc client. Le premier est en interface graphique alors que le second est en ligne de commande.

Pour les installer

sudo apt install transmission-remote-gtk transmission-remote-cli

Pour utiliser transmission-remote-cli

transmission-remote-cli -c antoine:motdepasse@Ninja:9091

transmission_cli.png

transmission-remote-gtk est assez simple d'utilisation et demandera le nom du serveur, du port et de l'utilisateur pour la configuration.

transmission_remote.png

Accès via Filezilla (optionnel)

Pour pouvoir récupérer les fichiers téléchargés, il est plus agréable de passer par l'interface graphique que par la ligne de commande. Sur le pc client, il est par exemple possible d'utiliser un outil tel que Filezilla pour accéder aux fichiers du serveur.

config_filezilla.png



Seedbox automatisée (optionnel)

L'idée d'une seedbox automatisée consiste à faire en sorte

  • de surveiller l'apparition de nouveaux .torrent sur des sites internet/flux rss
  • les télécharger et les partager automatiquement pour favoriser leurs diffusions

L'idée m'est venue un peu par hasard en consultant Peterp's Blog. Il est à noter que certains logiciels bittorrent permettent de suivre des flux rss pour ajouter automatiquement des fichiers torrent, ce n'est pas le cas par défaut de transmission, voilà comment je m'y suis pris.

Distrowatch

dwbanner.png

Tout d'abord, j'ai voulu mettre en place cette méthodologie en utilisant le flux rss de distrowatch qui diffusent régulièrement les .torrent des nouvelles distributions Gnu/Linux.

J'ai donc créé un script python qui lit ce flux rss, récupère les .torrent et les place dans le "watch-dir". Les torrents sont alors automatiquement ajoutés par transmission. Pour les personnes intéressées, ce script est disponible sur framagit.

Sur le serveur, on télécharge donc tout d'abord le script et on installe les paquets pour le faire tourner

sudo apt install python3-feedparser git git clone https://framagit.org/toitoinebzh/distrowatchscraper.git

on modifie le fichier afin de définir le chemin vers "watch-dir" (variable TORRENT_LOCATION = "/document/torrent/watch/")

nano distrowatchscraper/distrowatch_torrent_rss.py # modif de TORRENT_LOCATION

Il suffit alors de lancer le script pour récupérer les derniers .torrent.

antoine@Ninja:~$ python3 distrowatchscraper/distrowatch_torrent_rss.py This program download every torrent on distrowatch.com rss feed Downloading : pfSense-CE-2.4.4-RELEASE-amd64.iso.gz.torrent Downloading : smartos-20180927T004151Z.iso.torrent Already in the directory : quirky-beaver64-8.7.1.iso.torrent Already in the directory : thinstation-5.6.0-Installer-0919.iso.torrent Already in the directory : osgeo-live-12.0-amd64.iso.torrent Already in the directory : linuxfx-ctos-lts-9.4-x64.iso.torrent Already in the directory : omarine-4.1-dvd.iso.torrent Already in the directory : systemrescuecd-x86-5.3.0.iso.torrent Already in the directory : nitrux_release_1.0.15-1.iso.torrent Already in the directory : tails-amd64-3.9.torrent Already in the directory : KaOS-2018.08-x86_64.iso.torrent Already in the directory : archman-deepin-1809_x86_64.iso.torrent Already in the directory : swagarch-1809_x86_64.iso.torrent Already in the directory : manjaro-kde-17.1.12-stable-x86_64.torrent Already in the directory : neon-useredition-20180830-1023-amd64.iso.torrent Already in the directory : smartos-20180830T001556Z.iso.torrent Already in the directory : mint-3-lmde-201808-cinnamon-64bit.iso.torrent Already in the directory : NetBSD-7.2-amd64.iso.torrent Already in the directory : backbox-5.2-amd64.iso.torrent Already in the directory : bluestar-linux-4.18.4-2018.08.24-x86_64.iso.torrent Already in the directory : Voyager-GS-18.04.1-amd64.iso.torrent Already in the directory : nst-28-10439.x86_64.iso.torrent Already in the directory : omarine-4.0-dvd.iso.torrent Already in the directory : gparted-live-0.32.0-1-amd64.iso.torrent Already in the directory : bodhi-5.0.0-64.iso.torrent antoine@Ninja:~$

Evidemment, il est rébarbatif de lancer cette commande à chaque nouvelle sortie d'une distribution, on met donc en place une tache cron pour lancer ce script de manière régulière. (Source d'inspiration)

Tout d'abord on lance crontab

antoine@Ninja:~$ crontab -e # execution sans sudo pour execution du script par antoine

puis on ajoute la ligne suivante dans le fichier

@daily python3 /home/antoine/distrowatchscraper/distrowatch_torrent_rss.py

Cela va lancer le script quotidiennement. On a donc une seedbox complétement autonome.

Autres scripts

à noter que j'ai créé d'autres scripts similaires pour récupérer les .torrent de freetorrent.fr et FDN.fr. Les scripts sont ici.



Ouverture des ports TCP/UDP (si nécessaire)

Dans le cas de difficultés de téléchargement, un moyen d'améliorer les choses peut être de configurer sa box de manière à ouvrir les ports udp/tcp utilisés par transmission (ici le port 51413).

livebox.png

Gravatar de toitoinebzh
Original post of toitoinebzh.Votez pour ce billet sur Planet Libre.

Articles similaires

Renault : [F29] Participez à la journée de test consacrée à la modularité

Aujourd'hui, ce vendredi 12 octobre est une journée dédiée à un test précis : sur la modularité. En effet, durant le cycle de développement, l'équipe d'assurance qualité dédie quelques journées autours de certains composants ou nouveautés afin de remonter un maximum de problèmes sur le sujet.

Elle fournit en plus une liste de tests précis à effectuer. Il vous suffit de les suivre, comparer votre résultat au résultat attendu et le notifier.

En quoi consiste ce test ?

La modularité est le résultat de la réflexion de Fedora.next, amorcé en 2014. L'objectif est de découpler le cycle de vie des applications avec celui de Fedora afin qu'un utilisateur de Fedora bénéficie de plus de flexibilité. Il serait par exemple possible de choisir une version native de Python plus récente ou plus ancienne que celle disponible par défaut. Auparavant cela n'était possible qu'en choisissant une autre version de Fedora ce qui pouvait être contraignant.

Les modules se comportent comme des dépôts supplémentaires proposant un ensemble de paquets destinés à remplacer ceux des dépôts officiels. Mais bien entendu, tout cela est géré par le projet Fedora avec la même qualité et les mêmes mainteneurs.

Le changement majeur pour Fedora 29 est la mise à disposition de cette fonctionnalité nativement pour les autres éditions de Fedora, jusque là uniquement Server en bénéficiait.

Pour le moment Fedora propose quelques modules comme Docker, Django, NodeJS et le langage Go.

Les tests du jour couvrent :

  • Lister les modules disponibles et installés ;
  • Installer un nouveau module ;
  • Activer un nouveau module ;
  • Mettre à jour un module.

Comme vous pouvez le constater, ces tests sont assez simples et ne devraient prendre que quelques minutes seulement. Il vous faudra bien évidemment installer le dépôt modular avant (paquet fedora-repos-modular).

Comment y participer ?

Vous pouvez vous rendre sur la page des tests pour lister les tests disponibles et rapporter vos résultats. La page wiki récapitule les modalités de la journée.

Si vous avez besoin d'aide lors du déroulement des tests, n'hésitez pas de faire un tour sur IRC pour recevoir un coup de main sur les canaux #fedora-test-days et #fedora-fr (respectivement en anglais et en français) sur le serveur Freenode.

En cas de bogue, il est nécessaire de le rapporter sur le BugZilla. Si vous ne savez pas faire, n'hésitez pas à consulter la documentation correspondante.

De plus, si une journée est dédiée à ces tests, il reste possible de les effectuer quelques jours plus tard sans problème ! Les résultats seront globalement d'actualité.

Gravatar de Renault
Original post of Renault.Votez pour ce billet sur Planet Libre.

Articles similaires

Carl Chenet : L’adblocker, votre capote numérique

Votre adblocker sur le web, c’est comme une capote pendant un rapport sexuel. Et mieux vaut se méfier quand un inconnu vous demande de l’enlever.

Une tendance actuelle des sites web, souvent des médias en mal de business-model, est de vous criminaliser et vous demander de désactiver votre adblocker.

Cela va de l’incitation (snif snif on va mourir de faim si tu désactives pas ton adblocker) à la pénalisation (non tu n’entreras pas si tu ne désactives pas ton adblocker).

En gros et pour être clair, on vous demande de désactiver votre adblocker pour :

  1. vous afficher de la publicité non-sollicitée
  2. vous identifier
  3. vous traquer
  4. retirer de vos actions des données personnelles avec lesquelles faire de l’argent

Le premier cas est particulièrement amusant quand, outrepassant l’avertissement, on visite quand même le site avec l’adblocker activé et qu’on regarde la (en général longue) liste des mouchards présents.

Le second cas est plus net. Pas d’adbocker, pas d’accès. Ça peut paraître plus franc au premier abord, mais au final c’est encore plus pervers. Étudions les deux cas.

Premier cas : la supplique

Arrêtons nous un instant au premier cas, assez fréquent pour l’instant, où le site vous ouvre un énorme popup pour tenter de vous attendrir et vous faire… désactiver votre adblocker. Réfléchissons-y deux secondes.

Quand vous rencontrez quelqu’un sur un site ou une appli de rencontre, les buts du rendez-vous peuvent être explicites. On sait ce qu’on vient chercher, les deux partis sont au courant. Ça n’empêche pas des personnes de tenter de commencer le rapport sexuel, puis de tenter un  « ouais j’aime pas trop la capote, je peux l’enlever ? ».

Si le partenaire est un tant soit peu intelligent et a entendu parler des maladies sexuellement transmissibles, une grosse alarme va immédiatement résonner dans sa tête et le « non » va être ferme et immédiat.

On est dans le premier cas de l’adblocker, où les créateurs du sites web tentent de vous émouvoir pour se faire de l’argent sur votre dos et récupérer vos données personnelles, qu’en général d’autres qu’eux vont exploiter. Ce qui est encore pire en fait car ni vous ni lui ne sachez exactement ce que deviennent vos données.

La réponse doit être aussi ferme : non. On se connaît pas, mon adblocker m’affiche des dizaines de mouchards, je n’ai aucune idée des conséquences si je désactive mon adblocker en visitant ce site, donc je ne le fais pas.

Second cas : l’interdiction

L’interdiction d’accès paraît un modèle davantage franc. Service contre service, tu veux accéder au site, tu désactives ton adblocker. Simple et direct. Mais en fait, c’est encore pire que le premier.

Portail anti-adblocker du Business Insider version US

Pour reprendre l’analogie de la rencontre orientée sexe, on peut comparer ça au partenaire qui dit : ah non, moi je le fais pas avec une capote ! Qu’est-ce que ça cache ? Peut-être rien en effet, la personne n’aime peut-être pas le contact du caoutchouc. Mais peut-être aussi qu’il a aussi une maladie sexuellement transmissible ! Donc le risque n’est pas acceptable.

Et dans le cas de ces sites bourrés de mouchards, on SAIT qu’ils ont non pas une mais plusieurs MST ! Qu’ils vont vous afficher des publicités dont le contenu leur échappe totalement car ils délèguent cette partie à une régie publicitaire.

44 actions de Ublock Origin sur le site du Figaro, ça commence à faire beaucoup

J’ai pour ma part déjà été plusieurs fois choqué du contenu de certaines publicités affichées sur des sites institutionnels. Et en remontant le problème au responsable du site, il s’est bien sûr déchargé de sa responsabilité sur la régie publicitaire. La bonne blague.

Donc pour résumer, on te demande d’enlever ta capote, pardon, ton adblocker pour jouir du contenu qu’on échange contre tes données personnelles et du tracage qui va s’en suivre et en particulier son utilisation dans le cadre du reciblage publicitaire.

Qu’est-ce que le reciblage publicataire (ou retargeting en anglais) ? Deux exemples :

  • l’utilisateur vient de lire un article à propos d’un cambriolage sur le Figaro en ligne, il doit être de droite et flippé, présentons-lui des publicités pour des portes blindées sur le prochain site où il se connecte
  • autre exemple, un utilisateur vient de lire un article sur les nouvelles pratiques sexuelles sur Libé, ça doit être un pervers, présentons-lui une pub pour un abonnement à [service en ligne pour tromper sa femme] sur le prochain site où il ira.

Le reciblage et le traçage en général indiquent qu’une société à but lucratif amasse des données sur vous en secret qui vont constituer un « double » numérique de vous basé sur toutes vos informations amassées. Ce profil entraînera des actions, comme de la présentation de publicité – mais on peut imaginer bien d’autres applications commerciales – qui seront prises à votre égard sur la base de ce double numérique dont la véracité et la cohérence reposent sur des algorithmes qui nous échappent totalement.

Pour revenir à notre sujet et dans le second cas, donc, les propriétaires du site savent que leur site est rempli de mouchards et d’outils de monétisation de contenu de la vie privée des utilisateurs. Et nous sommes censés y aller sans protection ? Horrible. Et bien sûr, dans ce cas de monétisation, plus le trafic est grand, plus les gains sont importants. D’où une course au buzz et donc à la massification du trafic avec les effets que l’on peut imaginer sur le contenu.

La troisième voie

Après avoir étudié les deux points précédents, la question qui arrive immédiatement est : quelle est la troisième voie ?

On observe depuis quelques années un retour-arrière vers un modèle payant des la plupart des sites d’informations. Oui, contrairement à ce qu’on a cru lors de la massification de l’accès aux sites d’informations en ligne, produire de l’information et un contenu de qualité coûtent cher et vous payez quelque soit la manière à laquelle vous accédez à l’information.

Actuellement, c’est avec vos données personnelles, le reciblage publicitaire, l’affichage de publicité, également par le placement de produits qui pose d’énormes problèmes de conflits d’intérêt, et enfin par les abonnements payants qui se développent. Et c’est normal, il faut bien que les journalistes mangent.

La troisième voie qui se développe et qui semble la plus pérenne est celle de l’abonnement payant. Ce modèle passe donc par réduire le nombre de « visionneurs » potentiels du contenu proposé, certes, mais permettrait d’obtenir un revenu récurrent stable et qui permettrait d’améliorer et de fiabiliser la qualité de l’information produite.

Mediapart, accessible uniquement sur abonnement

Par contre, on peut observer au niveau technique que le traçage ne disparaît pas lorsque l’on est abonné, l’affichage de publicité non plus (si vous connaissez des exemples, laissez-moi un commentaire, je ne peux pas être abonné à tous les médias). Dans ce cas de figure et sans un adblocker, on paierait en quelque sorte double en tant qu’abonné, ce qui est évidemment choquant.

Imaginez-vous cette scène chez votre boulanger ? La double peine !

Il reste donc aux sites d’information à comprendre cet enjeu majeur et à adapter leurs infrastructures pour apprendre à choyer davantage leurs abonnés et à fermer davantage la porte au tout venant qui, de toute façon, sera de plus en plus équipé d’adblockers, le surf étant devenu insupportable sur certains sites (vidéos avec le son démarrant, pub situé aux pires endroits sur le chemin de lecture,…). On en vient parfois à se demander si les gens qui réalisent ces pages lisent leur propre site. Le doute est souvent permis.

Payer l’accès à l’information est pour moi indispensable à fournir aux médias l’argent nécessaire pour bien travailler. L’accès gratuit de masse aux grands sites de presse a été un échec qu’il est indispensable de constater. Au siècle dernier, on payait systématiquement pour acheter le journal ou on s’abonnait. Si par contre le modèle d’abonnement redevient la norme ou continue de grandir, ce qu’on peut supposer vu le virage à 180° pris par la plupart des grands médias devant la perte colossale de revenus qu’ils ont subi ces dernières annés, ils devront néanmoins jouer le jeu et changer radicalement leur comportement vis-à-vis de leurs abonnés, désormais protégés derrière des adblockers qu’il n’est pas question de désactiver, vu les dangers encourus pour les libertés individuelles et la vie privée que leurs prestataires de monétisation font courir aux utilisateurs.

L’auteur

Carl Chenet est le fondateur du Courrier du hacker, la newsletter hebdomadaire résumant l’actualité francophone du Logiciel Libre et Open Source, avec aujourd’hui 56 numéros publiés et plus de 2000 abonnés.

E-mail Submit

Me suivre sur les réseaux sociaux

N’hésitez pas à me suivre directement sur les différents sociaux pour suivre au jour le jour mes différentes projets dans le Logiciel Libre :

Gravatar de Carl Chenet
Original post of Carl Chenet.Votez pour ce billet sur Planet Libre.

Articles similaires

Dimitri Robert : Mémo GIMP : configuration et découverte de l’interface

Un nouveau support pour les formations GIMP, un mémo dans la même veine que celui que j’avais produit pour Shotcut il y a quelques mois.

Celui-ci concerne GIMP et pose quelques bases de configuration. Il liste aussi l’ensemble des outils avec un petit descriptif pour chacun. Enfin, une page sur les calques parce que c’est vraiment indispensable.

Le tout mis en page avec Scribus et publié sous licence Creative Commons By-SA 4.0 FR.

Le mémo au format PDF

Les sources pour Scribus 1.5.4

L’article Mémo GIMP : configuration et découverte de l’interface est apparu en premier sur Formation logiciel libre.

Gravatar de Dimitri Robert
Original post of Dimitri Robert.Votez pour ce billet sur Planet Libre.

Articles similaires

Renault : Compte rendu des Embedded et Kernel recipes 2018

J'avais déjà rapporté le fait que j'assistais aux Embedded et Kernel recipes 2018.

Kernel-recipes-entry.jpg

C'était une expérience enrichissante même si assez chargée. Les conférences se sont enchaînées et les pauses ont donné lieu à de nombreuses et instructives conversations. J'ai beaucoup apprécié le format, on n'avait pas non plus à courir de partout ou de choisir entre deux conférences car tout est conçu pour se concentrer sur une salle et un sujet. Et discuter ensuite des confs qu'on a vu, avec le conférencier également. Le fait qu'on soit relativement peu nombreux (une centaine) facilite les échanges et le bon déroulement de l'organisation.

Les locaux de Mozilla étaient en effet superbes même s'il faisait un peu frais dans l'ensemble. Dommage qu'ils quittent ce lieu prochainement. L'installation pour la conf était vraiment de bonne qualité. Je comprends mieux pourquoi cette salle ait été utilisée pour de nombreuses manifestations.

C'était l'occasion de croiser pas mal de monde, dont quelques personnes que je connaissais déjà comme un ex-collègue de ma période marseillaise et Benjamin Tissoire, co-mainteneur des entrées du noyau. Quelques personnalités du noyau étaient présents bien entendu. Et étant sur Paris, on a pu manger un morceau avec des contributeurs de Fedora. Là encore, c'était agréable.

Draw-Embedded-Recipes-Couret.jpg

J'ai pu effectuer ma conférence sur la mise à jour des systèmes embarquées dans de bonnes conditions. Et un dessinateur présent pendant l'évènement a pu faire un beau portrait. Très amusant et original. La vidéo de ce résultat, une première pour moi en anglais, est disponible par ici.

On a reçu également une carte de Libre computer (Le potatoe), ce qui est toujours apprécié. N'en ayant pas l'utilité personnellement (j'ai un RPi 1 qui traîne dans les tiroirs), c'est mon boulot qui l'a récupéré pour des workshops et autres tests.

Vraiment c'était une très bonne semaine. Merci aux organisateurs pour ce travail, une qualité impeccable. L'ambiance, le confort, mais aussi la qualité des sujets abordés, c'était très bien. Merci à mon employeur aussi de m'avoir offert cette opportunité. Cela donne envie d'y retourner, dommage que ce soit aussi difficile d'y participer, fautes de places libres, mais c'est aussi ce qui rend cet évènement si particulier.

Couret-Swupdate-Conf.jpeg

J'espère à une prochaine fois.

Gravatar de Renault
Original post of Renault.Votez pour ce billet sur Planet Libre.

Articles similaires

Miamondo : Le navigateur Vivaldi et la lecture des vidéos sur Youtube et sur Twitter

Bonjour, j'aime bien le navigateur Vivaldi. D'abord, je trouve le nom plus joli que faillerfosque ou kromiam. J'utilise ce navigateur depuis pas mal de temps déjà et il me donne presque entière satisfaction. Pourquoi presque? Parce que si le design est agréable et les fonctionnalités bien pensées, j'étais confronté jusqu'à hier soir à un problème... Lire la Suite →

Gravatar de Miamondo
Original post of Miamondo.Votez pour ce billet sur Planet Libre.

Articles similaires

G3L : Causerie informatique « vie privée, données personnelles »

Vie privée, données personnelles : on vous explique !

Que valent vos données personnelles ? Découvrez, avec des membres de l’association G3L, comment les préserver individuellement à l'aide de solutions libres

Participez à cette causerie à Valence (26) au Cause Toujours, 8 rue Gaston Rey, jeudi 11 octobre 2018 à partir de 19h

Gravatar de G3L
Original post of G3L.Votez pour ce billet sur Planet Libre.

Articles similaires

Simon Vieille : Migration de Gogs vers Gitea

Gogs est une plateforme pour gérer des dépôts GIT à la manière de Github. C'est un projet sous licence MIT qui fonctionne bien mais son développeur ne propose par une collaboration des plus simple.

Il y a pas mal de temps déjà, la communauté a forké le projet pour créer Gitea. Au départ, nous avions une version très proche de Gogs mais Gitea évolue maintenant de façon indépendante. Gitea offre plus de fonctionnalités et j'ai décidé de migrer Gitnet vers cet outil.

La migration n'a pas été évidente mais voici une TODO list si vous souhaitez le faire de votre coté !

  1. Faire une sauvegarde de la base de données de Gogs
  2. Faire une sauvegarde des dépots de Gogs
  3. Suivre la procédure décrite dans la documentation

Après ça, mon répertoire gitea a cette forme :

/custom /custom/conf/ /custom/conf/app.ini /data /data/avatars /data/sessions /log

Au départ, j'ai fait le bourrin et j'ai lancé la version 1.5 de gitea pour au final tout casser. Du coup, pour passer de Gogs à Gitea 1.5, j'ai décidé de récupérer les binaires des versions 1.0, 1.2, 1.3 et 1.4 de Gitea et je les ai lancé successivement. Je me suis donc assuré de ne manquer aucne migrations de base de données.

Dans /path/to/gitea :

for v in 1.0.2 1.1.0 1.2.0 1.3.0 1.4.0 1.5.0; do wget https://github.com/go-gitea/gitea/releases/download/v${v}/gitea-${v}-linux-amd64 chmod +x gitea-${v}-linux-amd64 done

…Et on migre la base de données en démarrant chacune de ces versions :

git@host: /path/to/gitea $ ./gitea-1.0.2-linux-amd64 web git@host: /path/to/gitea $ ./gitea-1.2.1-linux-amd64 web git@host: /path/to/gitea $ ./gitea-1.3.0-linux-amd64 web git@host: /path/to/gitea $ ./gitea-1.4.0-linux-amd64 web git@host: /path/to/gitea $ ./gitea-1.5.0-linux-amd64 web

À l'heure où j'écris cet article, la version 1.5.1 est dispo mais elle ne fonctionne pas chez moi. Je vais donc attendre un peu pour upgrader Gitea.

J'ai fais le tour de Gitnet et je n'ai pas rencontré de bug. J'espère ne pas être passé à coté d'un gros soucis ! En tout cas, je suis très content d'avoir pu réaliser cette migration en même pas une heure !

Gravatar de Simon Vieille
Original post of Simon Vieille.Votez pour ce billet sur Planet Libre.

Articles similaires

Cyprien Pouzenc : SSH, se connecter sans mot de passe à l'aide de la cryptographie

Cryptographie asymétrique

Cet article est le deuxième d'une série de quatre :

  1. SSH, pour se connecter en ligne de commande à un ordinateur distant
  2. SSH, se connecter sans mot de passe à l'aide de la cryptographie
  3. Reverse SSH, pour se connecter à un ordinateur distant protégé par un pare-feu (à venir)
  4. SSH, des tunnels pour tous les services (à venir)

Dans le précédent épisode, nous avons montré comment se connecter en ligne de commande à un serveur distant, parfois par l'intermédiaire d'un — ou potentiellement plusieurs — serveur relais. Pour chaque serveur et à chaque connexion, un mot de passe différent est requis. Outre la nécessité rébarbative d'avoir à taper des mots de passe, il ne s'agit peut-être pas de la méthode la plus sécurisée. Une seule compromission suffit ; toute personne ayant connaissance du mot de passe peut se connecter.

L'authentification par clefs cryptographiques limite la possibilité de se connecter au seul propriétaire d'une clef. Souvent, cette clef est utilisée par un unique poste client. Ainsi, seule la connexion depuis ce poste client est possible. Néanmoins, le vol du poste client ou une copie malintentionnée de la clef cryptographique sont de l'ordre du possible. Si la clef est protégée par un mot de passe, le serveur distant ne peut être compromis — ou plus difficilement, tout du moins.

Grâce à l'authentification cryptographique, il n'est ainsi plus nécessaire de connaître ni d'avoir à taper les mots de passe des différents serveurs distants ; seul celui qui protège la clef importe. Pour ne pas avoir à taper systématiquement ce dernier, plusieurs mécanismes sont envisageables ; comme celui permettant de ne le taper qu'une seule fois par session, par exemple.

Cryptographie asymétrique Cryptographie asymétrique

Le principe de la cryptographie asymétrique à clef publique a été énoncé dans un précédent article. Dans le cas qui nous concerne, la clef protégée par mot de passe est la clef privée de l'utilisateur. Cette clef est la seule à même de déchiffrer les messages envoyés par les serveurs distants, sur lesquels la clef publique correspondante a préalablement été enregistrée. C'est par ce mécanisme que les serveurs s'assurent de l'authenticité de leur correspondant.

Générer les clefs de chiffrement

Afin de pouvoir utiliser cette authentification cryptographique, il est d'abord nécessaire de générer une clef privée sur l'ordinateur CLIENT, puis d'enregistrer la clef publique correspondante sur les serveurs distants auxquels ont souhaite se connecter — ici, SERVEUR_B. On pourra alors potentiellement désactiver l'authentification par mot de passe, pour plus de sécurité. Cette dernière étape n'est pas forcément indispensable. En effet, si le mot de passe n'est que très rarement tapé sur un clavier — car remplacé par une authentification cryptographique — le risque de compromission est moindre.

On commence par générer un couple de clefs sur le poste client :

ssh-keygen -b 4096

Puis on copie la clef publique sur le serveur distant :

ssh-copy-id -i .ssh/id_rsa.pub USER_B@IP_SERVEUR_B

On peut alors se connecter au serveur, comme nous l'avons déjà vu :

ssh USER_B@IP_SERVEUR_B

Si un mot de passe a été donné lors de la création de la clef privé — ce qui n'est pas une obligation — il est ici demandé afin de pouvoir la déverrouiller. Sinon, nous voilà d'ores-et-déjà connectés, sans besoin de taper le mot de passe de USER_B.

Désactiver l'authentification par mot de passe

Une fois sur le serveur distant, il est possible de désactiver l'authentification par mot de passe. Pour cela, il faut d'abord se connecter en tant que super-utilisateur :

su -

Puis changer l'option de configuration correspondante :

sed -i "s/#PasswordAuthentication yes/PasswordAuthentication no/" /etc/ssh/sshd_config

Enfin, recharger la configuration du serveur SSH :

systemctl reload ssh

Sans oublier de se déconnecter :

exit

Article sous licence Creative Commons BY-SA 3.0 France.

Gravatar de Cyprien Pouzenc
Original post of Cyprien Pouzenc.Votez pour ce billet sur Planet Libre.

Full Circle Magazine FR : Le numéro 136 est prêt

Bonjour !

Avec un peu de retard, l'équipe française du FCM est heureuse de vous présenter le numéro 136 en français. Vous pouvez le lire ou le télécharger sur notre page Numéros, ou bien le récupérer directement en cliquant sur la photo ci-dessous.

issue136.png

Ce mois-ci, vous y trouverez, notamment :

  • les tutoriels habituels : Python, Freeplane, Great Cow Basic et Inkscape ;
  • le point sur les mises à jour estivales de programmes dont Lucas a déjà parlé dans sa rubrique Command&Conquer ;
  • la fin de la présentation d'Unity dans Ubuntu au quotidien par Richard ;
  • une critique de Cudatext qui semble pouvoir tout faire, sauf la cuisine et la vaisselle ; et
  • la finale de sa création d'un programme de tri en interface graphique pour Rhythmbox, de Paolo Pelloni.

Tout en vous rappelant que, sans articles, il n'y aura pas de revue......, nous vous en souhaitons bonne lecture.

Bab, scribeur et relecteur, et les traducteurs-relecteurs AE, christo.2so, d52fr

Gravatar de Full Circle Magazine FR
Original post of Full Circle Magazine FR.Votez pour ce billet sur Planet Libre.

Articles similaires

Renault : [F29] Participez à la journée de test consacrée à la mise à niveau

Aujourd'hui, ce lundi 8 octobre, est une journée dédiée à un test précis : sur la mise à niveau de Fedora. En effet, durant le cycle de développement, l'équipe d'assurance qualité dédie quelques journées autours de certains composants ou nouveautés afin de remonter un maximum de problèmes sur le sujet.

Elle fournit en plus une liste de tests précis à effectuer. Il vous suffit de les suivre, comparer votre résultat au résultat attendu et le notifier.

En quoi consiste ce test ?

Nous sommes proches de la diffusion de Fedora 29 édition finale. Et pour que ce lancement soit un succès, il est nécessaire de s'assurer que le mécanisme de mise à niveau fonctionne correctement. C'est-à-dire que votre Fedora 27 ou 28 devienne une Fedora 29 sans réinstallation, en conservant vos documents, vos paramètres et vos programmes. Une très grosse mise à jour en somme.

Les tests du jour couvrent :

  • Mise à niveau depuis Fedora 27 ou 28, avec un système chiffré ou non ;
  • Même que précédemment mais avec KDE comme environnement ou une version Spin quelconque ;
  • De même avec la version Server au lieu de Workstation ;
  • En utilisant GNOME Logiciels plutôt que dnf.

En effet, Fedora propose depuis quelques temps déjà la possibilité de faire la mise à niveau graphiquement avec GNOME Logiciels et en ligne de commande avec dnf. Dans les deux cas le téléchargement se fait en utilisation normale de votre ordinateur, une fois que ce sera prêt l'installation se déroulera lors du redémarrage.

Pour ceux qui veulent bénéficier de F29 avant sa sortie officielle, profitez-en pour réaliser ce test, que cette expérience bénéficie à tout le monde. :-)

Comment y participer ?

Vous pouvez vous rendre sur la page des tests pour lister les tests disponibles et rapporter vos résultats. La page wiki récapitule les modalités de la journée.

Si vous avez besoin d'aide lors du déroulement des tests, n'hésitez pas de faire un tour sur IRC pour recevoir un coup de main sur les canaux #fedora-test-days et #fedora-fr (respectivement en anglais et en français) sur le serveur Freenode.

En cas de bogue, il est nécessaire de le rapporter sur le BugZilla. Si vous ne savez pas faire, n'hésitez pas à consulter la documentation correspondante.

De plus, si une journée est dédiée à ces tests, il reste possible de les effectuer quelques jours plus tard sans problème ! Les résultats seront globalement d'actualité.

Gravatar de Renault
Original post of Renault.Votez pour ce billet sur Planet Libre.

Articles similaires

Journal du hacker : Liens intéressants Journal du hacker semaine #40

Pour la 40ème semaine de l'année 2018, voici 12 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

Pour ne plus rater aucun article de la communauté francophone, voici :

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Gravatar de Journal du hacker
Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Articles similaires

Thuban : ARN - FAI : Un VPS - VM sous OpenBSD

Un hébergement VPS d'une VM sous OpenBSD, en France, ça vous tente ?!

C'est-ce que l'association FAI - Fournisseur d'Accès à Internet - nommée ARN nous propose !

Logo Alsace Réseau Neutre

Les services

Dans une VM, basée sur un CPU virtuel avec 1 Go de RAM, et un espace disque minimal de 50 Go, en SSD, voilà ce que propose l'association. Au détail près que pour utiliser OpenBSD, il vous faudra en faire la demande express, rien ne sera pris en charge pour l'installation, seulement vos compétences pourra mener à bien votre (futur ?) hébergement, ce qui vous permettra de chiffrer votre disque dur !

Vous aurez une adresse IPv4 fixe, et un accès réseau IPv6 avec un préfixe /56.

Cet hébergement peut servir pour un service web (httpd, nginx, ...), de serveurs mails, ou tout autre service que vous vous sentez capable de gérer, voire tout simplement de lieu de stockage ou de sauvegarde de données.

Le coût

Il vous faudra, dans un premier temps, adhérer à l'association pour 15 € / an. Ensuite, vous devrez vous acquitter d'une somme de 10 € / mois d'exploitation, que vous pouvez reconduire à votre bon plaisir. 

Avant cela, il vous faudra prendre connaissance du contrat, le remplir et le retourner complet à l'association par tout moyen précisé sur la page VPS

 

PS : Voilà une bonne occasion de supporter une initiative "Libre" !

 

 

 

Gravatar de Thuban
Original post of Thuban.Votez pour ce billet sur Planet Libre.

Pages