Planet Libre

Journal du hacker : Liens intéressants Journal du hacker semaine #38

Pour la 38ème semaine de l'année 2018, voici 12 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

Pour ne plus rater aucun article de la communauté francophone, voici :

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Gravatar de Journal du hacker
Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Articles similaires

Carl Chenet : Le binaire de Visual Studio Code n’est pas du Logiciel Libre. Voilà pourquoi.

Avez-vous téléchargé le binaire de Visual Studio Code directement depuis le site officiel ? Si c’est le cas, vous n’utilisez pas un Logiciel Libre et seul Microsoft sait ce qu’il y a dedans. Et vous devriez envisager le pire.

L’astuce de Microsoft

Je ne suis pas un juriste et je peux me tromper ou n’être pas assez précis (j’espère que vous me pardonnerez) mais je vais néanmoins vous présenter ma compréhension de la situation car le statut actuel de l’accord de licence de Visual Studio Code semble être fait de façon à tromper la plupart des utilisateurs.

Microsoft utilise une astuce simple mais efficace, autorisée par la licence du code source de Visual Studio Code: la licence MIT, l’une des licences très permissives du logiciel libre.

En effet la licence MIT est très simple. Elle dit en substance : Faite ce que vous voulez avec ce soft, conservez le copyright original et je ne suis pas responsable de ce qui peut arriver en utilisant ce soft. Ok. Sauf que, pour Visual Studio Code, cette licence ne couvre que le code source, pas le binaire !

À la différence de la plupart des licences GNU GPL, pour lesquelles le source code et le binaire construit à partir du code source sont couverts par les termes de la licence, utiliser la licence MIT autorise Microsoft à rendre disponible de façon libre le source code de leur soft, mais de pouvoir faire ce qu’ils veulent avec le binaire. Et ils ne vont pas s’en priver.

Une licence non-libre à la sauce Microsoft, qu’est-ce que c’est ?

Évidemment Microsoft n’utilise pas la licence MIT pour le binaire de Visual Studio Code à dessein. En fait ils utilisent une licence non-libre restreignant vos droits d’utilisateurs : la licence de logiciel Microsoft.

Jetons un oeil à cette licence. Vous pouvez lire la licence complète ici : https://code.visualstudio.com/license

This license applies to the Visual Studio Code product. The source code is available under the MIT license agreement.

Il s’agit de la première phrase de la licence en question. La différence entre la licence du code source et le « produit », c’est-à-dire le binaire que vous utilisez vraiment, est clairement définie.

Data Collection. The software may collect information about you and your use of the software, and send that to Microsoft.

Collecte d’informations personnelles, évidemment, difficile d’attendre autre chose de la part de Microsoft.

UPDATES. The software may periodically check for updates, and download and install them for you. You may obtain updates only from Microsoft or authorized sources. Microsoft may need to update your system to provide you with updates. You agree to receive these automatic updates without any additional notice. Updates may not include or support all existing software features, services, or peripheral devices.

En acceptant cette licence, vous me donnez le droit (que Microsoft n’utilisera peut-être pas… pour l’instant) de casser votre installation sans vous prévenir et de se ficher des conditions dans lesquelles vous l’utilisez parce que, bon, c’est Microsoft.

SCOPE OF LICENSE (…) you may not:

  • work around any technical limitations in the software;

Aussi connu comme « hacker » depuis… des dizaines d’années.

  • reverse engineer, decompile or disassemble the software, or otherwise attempt to derive the source code for the software, except and to the extent required by third party licensing terms governing use of certain open source components that may be included in the software;

On vous interdit explicitement d’étudier le binaire en question par n’importe quel moyen, parce qu’il est hors de questions que qui que ce soit sache ce que Microsoft fait avec ce binaire… qui tourne quand même sur votre ordinateur.

  • share, publish, rent or lease the software, or provide the software as a stand-alone offering for others to use.

Je peux me tromper (de nouveau je ne suis pas juriste), mais il semble ici que cette licence vous interdise de redistribuer le binaire téléchargé chez Microsoft, sauf dans le cadre des conditions mentionnées dans les sections INSTALLATION et USE RIGHTS, principalement dans le cadre des besoins de votre entreprise et/ou pour donner des démos de vos produits à l’aide de VSC. Ainsi Microsoft force l’utilisateur lambda à passer par le site officiel, ce qui assure une bonne distribution de son propre binaire.

Les sections suivantes EXPORT RESTRICTIONS et CONSUMER RIGHTS; REGIONAL VARIATIONS incluent encore davantage de restrictions à l’usage et à la redistribution du binaire.

DISCLAIMER OF WARRANTY. The software is licensed “as-is.”

Enfin une condition qui se rapproche de celle de la licence MIT. Mais dans ce cas c’est évidemment pour limiter les obligations qu’a Microsoft envers vous. Pas fou.

Donc la licence Microsoft utilisée pour le binaire de VSC n’est absolument pas une licence de logiciel libre permissive, si jamais vous n’étiez pas convaincu par le fait que Microsoft utilise déjà une astuce en employant une licence différence pour le code source et le binaire.

Ce que vous pourriez faire

Ce problème a déjà été perçu par beaucoup et il existe des solutions. Après tout, le code source utilise quand même une licence du logiciel libre. Par exemple, pourquoi ne pas construire le binaire vous-même ? Certaines initiatives apparaissent également, comme un dépôt de binaire géré par la communauté. Ce serait un bon début pour s’affranchir du binaire officiel de Microsoft.

Au niveau des distributions GNU/Linux, empaqueter Visual Studio Code dans les distributions (voir ici la discussion de VSC dans  Debian) serait un bon moyen d’éviter que les utilisateurs soient abusés par l’astuce de Microsoft afin que la majorité des gens utilisent leur « produit » en croyant utiliser un binaire libre, mais étant en fait sous une licence made in Microsoft qui casse à peu près toutes les conditions qui font un Logiciel Libre.

Me suivre sur les réseaux sociaux

N’hésitez pas à me suivre directement sur les différents sociaux pour suivre au jour le jour mes différentes projets dans le Logiciel Libre :

Gravatar de Carl Chenet
Original post of Carl Chenet.Votez pour ce billet sur Planet Libre.

Articles similaires

toitoinebzh : Futjitsu ESPRIMO P3520 E85+

Voilà un pc que je viens d'acheter un peu par hasard, ce pc était en vente sous leboncoin à coté de chez moi et vu le prix (40€), j'ai sauté sur l'occasion.

Le pc est un Futjitsu ESPRIMO P3520 E85+, je viens d'y installer xubuntu 18.04.1 sans soucis particulier. J'ai uniquement remplacé le disque dur de 160 Go par un de 500 Go.

esprimo_im_mini

C'est un pc sorti il y a quelques années maintenant, ce n'est donc pas une foudre de guerre mais un pc tout a fait utilisable pour de la bureautique, internet même si je réfléchis à en faire un serveur.

Les principales caractéristiques matérielles sont :

  • Intel Core 2 Duo processor E8400 (2C/2T, 3.0 GHz, 6 MB, 1333 MHz)
  • 2 x 2 GB DDR2, 800 MHz, PC2-6400, DIMM
  • SATA II, 7200 rpm, 500 GB, 3.5-inch, S.M.A.R.T.
  • NVIDIA GeForce 9300GE, 256 MB
  • Carte mère μATX D2841

Pour plus d'infos, la doc technique est disponible ici. Le retour de commande usuelle pour lister le matériel en place est dispo ici

Gravatar de toitoinebzh
Original post of toitoinebzh.Votez pour ce billet sur Planet Libre.

Articles similaires

blog-libre : Trucs et astuces, volume 2

Salut les filles, une petite louche de trucs et astuces ?

A Link to the Past

J’ai fait une erreur stratégique lorsque je suis arrivé dans mon nouveau job il y a un an, j’ai choisi comme nom d’utilisateur bar alors que d’habitude c’est foo. Malheureusement certains fichiers de configuration contiennent le nom d’utilisateur en dur, très pénible si on veut synchroniser les fichiers de conf entre pc. Une astuce à avoir en tête : sudo ln -s /home/bar /home/foo.

Firefox

Dans le about:config de Firefox je suis à la cool, je mets media.autoplay.enabled false parce que j’en ai marre des vidéos qui se lancent sans mon avis et mousewheel.with_control.action 1 parce que j’en ai marre de zoomer/dézoomer par erreur avec la touche Ctrl appuyée. Il y en a d’autres qui font ça plus sérieusement.

Dans Mieux utiliser la barre d’adresse de Firefox je vous expliquais mon workflow hautement basé sur les favoris/bookmarks. Il faut savoir que les bookmarklets javascript ne sont pas affichés par défaut dans la barre d’adresse, il faut browser.urlbar.filter.javascript false.

Stopper rsyslog

On peut souhaiter ne rien vouloir loguer pour éviter des écritures genre sur la carte SD d’une Raspberry Pi : systemctl stop syslog.socket rsyslog.service. La difficulté est de ne pas oublier d’arrêter le socket. Sur un serveur parfois les logs remplissent /var, ça permet au brave sysadmin de corriger le tir.

syncthing

L’outil de synchronisation syncthing peut tourner en tant que service. Pour l’activer systemctl enable syncthing@monjolinomdutilisateur.service, pour le démarrer systemctl start syncthing@monjolinomdutilisateur.service.

Si comme moi vous utilisez un nœud (node) syncthing sur un serveur headless (sans interface graphique), on peut toujours se servir de SSH pour le configurer graphiquement ssh -N -L 9090:127.0.0.1:8384 -i ~/.ssh/id_ed25519_pi -p 2222 pi@192.168.1.30 après quoi vous ouvrez votre navigateur sur 127.0.0.1:9090. Une fois que c’est fini vous fermez la connexion SSH avec Ctrl+c.

Pour trouver les fichiers qui ont des conflits de synchronisation find ~/Sync -name *sync-conflict-* et pour tous les supprimer find ~/Sync -name *sync-conflict-* -exec rm '{}' +;.

Retrouver son petit dans un réseau local

J’ai la flemme de me connecter sur la box pour savoir quelle adresse IP un périphérique chope en DHCP du coup nmap -sP 192.168.1.0/24. Si on ne connait pas la plage à scanner, on la retrouve avec ip a. L’avantage étant que ces commandes sont simples à retenir.

Cron au démarrage

La syntaxe cron pour lancer une tâche au boot est peu connue : @reboot. Je m’en sers pour faire une sauvegarde du pc portable 20 mn après le démarrage.
@reboot monjolinomdutilisateur sleep 1200 && /bin/bash ~/scripts/borg_backup.sh > ~/logs/borg_backup.log 2>&1

Lister les disques avec classe

for device in /dev/sd?; do echo $device; smartctl -i $device | grep 'Model\\|Serial\\|Firmware\\|Capacity'; done; et paf, ça fait des Chocapic !

Vous devrez peut-être rajouter sudo devant smartctl (et évidemment apt install smartmontools).

for device in /dev/sd?; do echo $device; sudo smartctl -i $device | grep 'Model\\|Serial\\|Firmware\\|Capacity'; done;/dev/sdaModel Family: Indilinx Barefoot_2/Everest/Martini based SSDsDevice Model: OCZ-VERTEX4Serial Number: OCZ-07613G13Z3ZGF8CDFirmware Version: 1.5User Capacity: 128 035 676 160 bytes [128 GB]/dev/sdbModel Family: Seagate Barracuda 7200.14 (AF)Device Model: ST1000DM003-1ER162Serial Number: S4Y34AQ3Firmware Version: CC45User Capacity: 1 000 204 886 016 bytes [1,00 TB]/dev/sdcModel Family: Samsung based SSDsDevice Model: Samsung SSD 850 PRO 256GBSerial Number: S251NSAG412256SFirmware Version: EXM02B6QUser Capacity: 256 060 514 304 bytes [256 GB]

Mais si vous voulez plus simple :
ls /dev/sd*[a-z] # Montre juste les disques, ignore les partitions. Exemple : /dev/sda
ls /dev/sd* # Montre les partitions. Exemple : /dev/sda /dev/sda1

ncdu

ncdu est vraiment un outil sensationnel, un indispensable pour moi. Il recèle quelques pépites à connaître.

On a souvent plusieurs partitions sur Linux /, /var, /home… comment ne parcourir que le système de fichiers actuel ? ncdu -x / (-x, Do not cross filesystem boundaries, i.e. only count files and directories on the same filesystem as the directory being scanned). À ce sujet je vous rappelle l’option -l (limit listing to local file systems) de df, df -lh évite de lister les montages NFS par exemple.

Quelques commandes extrêmement utiles pour transmettre le résultat d’un ncdu à un collègue et/ou lui permettre de naviguer dans l’arborescence comme si il était sur le serveur.

ncdu -o ncdu.file / # Exporter le résultat d’un ncdu dans un fichier
ncdu -f ncdu.file # Lire le résultat à partir d’un fichier
ncdu --exclude onsenfoutdecedossier -o- | gzip > ncdu.file.gz # Exporter le résultat d’un ncdu en le compressant à la volée dans un fichier
zcat ncdu.file.gz | ncdu -f- # Lire le résultat à partir d’un fichier compressé

La Bible

Rappelons à tous la Bible Bash : The Bash Hackers Wiki. J’aime relire le soir au coin du feu les quelques lignes qui m’ont montré la voie, il ne faut plus utiliser les backticks ` mais $(COMMANDS) ni &>LOGFILE mais >LOGFILE 2>&1.

Que la paix soit avec vous mes frères et sœurs !

Gravatar de blog-libre
Original post of blog-libre.Votez pour ce billet sur Planet Libre.

Articles similaires

genma : Devenir SysAdmin d'une PME - Les sauvegardes- Billet n°5 - Comment connaître la criticité d'un service ?

Ce billet fait partie de la série :
-Devenir SysAdmin d'une PME, retour d'expérience - Billet n°0
-Devenir SysAdmin d'une PME - Gestion du legacy- Billet n°1
-Devenir SysAdmin d'une PME - Mineur de bitcoin- Billet n°2
-Devenir SysAdmin d'une PME - Accepter de ne pas avoir le contrôle sur tout- Billet n°3
-Devenir SysAdmin d'une PME - Les sauvegardes- Billet n°4

Comment connaître la criticité d'un service ?

Pour répondre à cette question, la technique que je conseille est de couper - virtuellement - le service ou la machine (en vue d'esprit donc) et de juger, d'estimer l'impact que cela a. Il y a une autre façon de faire, plus brutal, est celle de débrancher le câble réseau si on a un accès physique à la machine.

L'objectif est d'éviter que l'on apprenne l'importance d'un service et les conséquences / impacts de son interruption au moment de la perte de celui-ci.

Relativité de la criticité

Nombre d'utilisateurs impactés, temps de remise en oeuvre, délai de coupure acceptable.... Cela reste très subjectif car le fait que le service d'impression ne marche pas pendant une matinée voir une journée ne me gênera pas et sera bloquant pour quelqu'un qui imprime toutes les fiches de paie en fin de mois... La criticité est aussi relative à la période du mois ou de l'année.

Quand on ne sait pas, une solution un peu extrême peut être alors de débrancher le câble réseau et de voir en ce qui ne marche plus (la supervision est pratique pour ça, encore faut il que la machine qui rende un service inconnu et qui tourne dans un coin soit supervisée...) en envisageant toutefois le "comment on remet en marche", avant.

Les services critiques évidents

Toutefois comme pour les O.I.V. (Organismes d'Importance Vital) il y a des choses vitales dans l entreprise. Sans connexion Internet, plus de possibilité d accéder aux serveurs dans le Cloud... Si la connexion fibre ne marche plus, il faut donc une ligne secondaire ADSL ou SDSL ou envisager une connexion en 4G, dans tous les cas ce sera une connexion secondaire qui doit rester temporaire, avoir été testé pour voir la viabilité... Comme tout plan B.

Si ça marche, on ne touche pas

Autre règle importante : une machine qui tourne surtout si elle est vieille on ne l'éteint pas. J ai eu l'expérience dans une autre vie d'un vieux serveur qui tournait depuis des années. Coupure de courant sur plusieurs jours suite à un coup de pelleteuse, groupe électrogène sous dimensionné et on éteint donc les serveurs les moins critiques pour alléger le groupe. Au retour à la normale, le serveur ne démarre pas. Soucis de pile du Bios HS, puis un ventilateur usé avec les années qui ne tourne plus... Le début des ennuis. Mais c'est une autre histoire.

Gravatar de genma
Original post of genma.Votez pour ce billet sur Planet Libre.

Thuban : Syspatch : correctif LDTR - CPU AMD - pour OpenBSD

L'équipe OpenBSD vient de nous livrer un correctif à destination des processeurs AMD, sur les architectures amd64, pour OpenBSD 6.3 et 6.2.

- LDTR doit être géré de manière croisé entre les machines virtuelles (VM).
6.3 : patch n°19 ; 6.2 : patch n°24

Ce correctif touchant au noyau, il est nécessaire de redémarrer ensuite votre machine !

 

 

 

Gravatar de Thuban
Original post of Thuban.Votez pour ce billet sur Planet Libre.

Renault : [F29] Participez à la journée de test consacrée à Silverblue

Aujourd'hui, ce jeudi 20 septembre, est une journée dédiée à un test précis : sur Silverblue. En effet, durant le cycle de développement, l'équipe d'assurance qualité dédie quelques journées autours de certains composants ou nouveautés afin de remonter un maximum de problèmes sur le sujet.

Elle fournit en plus une liste de tests précis à effectuer. Il vous suffit de les suivre, comparer votre résultat au résultat attendu et le notifier.

En quoi consiste ce test ?

Silverblue est le nom de code pour Fedora Workstation à la sauce Atomic. Jusque là seulement la variante Cloud en bénificiait.

L'objectif de cette version est de proposer en somme une Fedora Workstation ayant des bases différentes de la version traditionnelle. En effet, l'objectif est que les applications soient dans des conteneurs via Kubertenes, Flatpak ou gérées via rpm-os-tree. Ce dernier permet de versionniser le système lors des installations et mises à jour de paquets. En cas de problème, il est facile de demander un retour en arrière au système pour retrouver un système stable. Le système devient majoritairement en lecture seule également pour améliorer sa fiabilité et sa sécurité. Sécurité qui comme poun une Fedora traditionnelle est supervisée par SELinux.

Les tests à effecuer sont :

  • Démarrer et se connecter sans erreurs ;
  • Démarrer et arrêter des services comme le serveur SSH ;
  • Vérifier que SELinux est bien activé ;
  • Vérifier si GNOME Logiciels envoit des notifications de mises à jour ;
  • Vérifier si GNOME Logiciels tourne correctement : installer ou supprimer des paquets ;
  • Installer un logiciels sosu forme de Flatpak.

Des tests qui sont pour le coup assez faciles et rapides à mettre en œuvre.

Comment y participer ?

Vous pouvez vous rendre sur la page des tests pour lister les tests disponibles et rapporter vos résultats. La page wiki récapitule les modalités de la journée.

Si vous avez besoin d'aide lors du déroulement des tests, n'hésitez pas de faire un tour sur IRC pour recevoir un coup de main sur les canaux #fedora-test-days et #fedora-fr (respectivement en anglais et en français) sur le serveur Freenode.

En cas de bogue, il est nécessaire de le rapporter sur le BugZilla. Si vous ne savez pas faire, n'hésitez pas à consulter la documentation correspondante.

De plus, si une journée est dédiée à ces tests, il reste possible de les effectuer quelques jours plus tard sans problème ! Les résultats seront globalement d'actualité.

Gravatar de Renault
Original post of Renault.Votez pour ce billet sur Planet Libre.

Articles similaires

genma : Comment réinstaller Ubuntu sur un disque entièrement chiffré (avec un /home séparé)

A l'installation d'un PC, nous avons fait une Installation d'un disque entièrement chiffré (à l'exception de la parition uefi et /boot). Il y a donc un espace LUKS chiffré qui occupe la majorité du disque et dessus, différentes partitions reposant sur LVM ont été faîtes afin d'avoir une partition / (racine) et une partition /home séparée.

Que ce passe-t-il si on souhaite / doit réinstaller le système d'exploitation ?

Le but de cette procédure est donc de pouvoir réinstaller une partition racine au sein d'un disque dur chiffré tout en conservant la partition home.

Les étapes préalables à la réinstallation sont de booter le PC sur une clef contenant Ubuntu dans la version d'Ubuntu appropriée (un live-usb) et de choisir le mode "Try Ubuntu". Une fois le système démarré, on doit faire une ouverture de la parition chiffrée. Pour ce faire

Ouvrir un terminal et passer en root via la commande suivante :

$ sudo -i

Ouvrir la parition chiffrée via la commande suivante :

# cryptsetup luksOpen /dev/[nom partition chiffrée] hdcrypt
et taper la passphrase / phrase de passe.

Et ensuite, on peut alors passer au lancement de la réinstallation en cliquant sur l'icone "Install Ubuntu" et on suit le processus de "résintallation" classique, en prenant soin de définir un partitionnement manuel
- bien sélectionner les partitions et de bien les réaffecter aux bons points de montage (/, swap, /home et autres si besoin)
-NE PAS FORMATER LA PARTITION /dev/mapper/vgcrypt-lvhome

Gravatar de genma
Original post of genma.Votez pour ce billet sur Planet Libre.

Journal du hacker : Liens intéressants Journal du hacker semaine #37

Pour la 37ème semaine de l'année 2018, voici 10 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

Pour ne plus rater aucun article de la communauté francophone, voici :

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Gravatar de Journal du hacker
Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Articles similaires

Dimitri Robert : À quoi sert Inkscape ?

Inkscape est le logiciel libre de dessin vectoriel le plus connu, le plus utilisé. Mais il souffre de quelques défauts d’ordre, disons, psychologique que je vais tenter d’endiguer ici.

À commencer par son nom. Dans le monde du logiciel libre, nous ne sommes pas toujours doués pour trouver des noms qui aient une réelle puissance marketing. N’y voyez pas un reproche, la puissance marketing ne fait pas la qualité du logiciel et Inkscape est un logiciel de grande qualité ! Son nom donc, est difficile à prononcer et difficile à écrire sans se tromper. Il est la contraction de ink qui veut dire encre et de scape qui peut se traduire par paysage ou hampe (en horticulture, la hampe désigne la tige d’une fleur, en écriture, la hampe désigne le trait vertical formant certaines consonnes).

Ensuite, son usage. Le dessin vectoriel n’est pas quelque chose de très intuitif et peut même faire peur en ravivant de douloureux souvenirs de cours de mathématique. Oui, une image vectorielle est constituée de coordonnées, de courbes, d’équations de toutes sortes. Si vous voulez vous faire peur, vous pouvez ouvrir une image vectorielle dans Inkscape et ouvrir l’éditeur XML qui vous montre les coulisses (Édition > Éditeur XML). Mais heureusement, Inkscape ne nous montre que le rendu d’images vectorielles, c’est nettement plus sympathique et suffit à la plupart des usages.

À cette inquiétude de savoir s’il est utile ou non de suivre une journée de formation sur Inkscape, j’ai répondu par une petite vidéo, intitulée « À quoi sert Inkscape ? » et qui montre quelques exemples assez basiques de ce que l’on peut faire avec. Cette vidéo pourrait être le premier épisode d’une série de vidéos sur le même format, avec d’autres exemples, d’autres logiciels, voire des interactions entre logiciels.

L’article À quoi sert Inkscape ? est apparu en premier sur Formation logiciel libre.

Gravatar de Dimitri Robert
Original post of Dimitri Robert.Votez pour ce billet sur Planet Libre.

genma : Yunohost comme serveur de mails - Billet N°3

Ce billet fait suite au billet Yunohost comme serveur de mails - Billet N°1 et Yunohost comme serveur de mails - Billet N°2

Le serveur MX secondaire

J'ai eu de nombreux retours via des messages sur les réseaux sociaux et je voudrais en faire une petite synthèse. J'aborde dans l'un des mes billets le cas (non encore réglé) d'avoir un serveur MX secondaire. Comprendre : si le serveur de Mail principal (définit via le champ MX de l'entrée DNS associée au nom de domaine) ne marche pas, alors le serveur de mail envoyant le mail tente l'envoi du mail sur le second serveur indiqué en champ MX, qui s'occupe alors de faire la réception (et éventuellement une redirection) du mail. Cette seconde doit être associé à un chiffre (le poids) plus faible pour indiquer que c'est un serveur de secours. ("Quand le serveur principal ets HS ça part sur le secondaire qui est réglé pour renvoyer sur le principal et il garde le mail en mailqueue (cas d'un serveur postfix) tant qu'il n'y arrive pas.") Une recommandation me dit que c'est inutile "Les mails restent en attente pendant quelques temps (par défaut 5 jours ; 4 à 5 jours recommandés sur https://tools.ietf.org/html/rfc5321#section-4.5.4" à celle d'au contraire "d'avoir un MX de secours sur un serveur de mails dans un datacenter différent". De même, on me dit que "l'hébergement d'un service de mails est un métier à part entière", sur ce point je suis assez bien placé pour le savoir de part l'une des mes nombreuses responsabilités professionnelles actuelles.

Je n'ai pas encore traité ce sujet, mais mon ressenti et mon avis est le suivant : si la panne se prolonge, que l'on a pas accès à la machine pendant un certain temps (cas des vacances) ou que l'on est la seule personne à savoir remettre le service en ligne, le mail finira par se perdre. Donc ce n'est pas un sujet anodin à prendre à la légère et il faut probablement avoir un MX secondaire. On peut "le prendre" chez une personne de confiance (un ami par exemple de qui on sera soi-même le MX secondaire ; FDN propose par exemple d'utiliser les serveurs FDN en MX secondaire, ou Rézine propose un serveur de mail secondaire (« MX secondaire ») à ses membres.), ce qui permet de s'afranchir de la maintenance de ce second serveur (sinon cela alourdit la charge en administration système que d'avoir un second serveur à maintenir à jour, et en coût).

Stéphane Bortzemeyer a écrit il y a un peu plus de 10 ans un billet de blog Un MX secondaire est-il vraiment utile ?, je vous laisse découvrir son avis fort bien argumenté (Spoiler : non). Autre avis à lire De l'intérêt d'un MX de secours dans le cadre de la gestion de mon service mail personnel par Quentin Demouliere.

Pour la configuration technique d'un serveur MX secondaire, voir wiki.auto-hebergement - Serveur de courrier secondaire.

La question n'est donc pas trancher, est à chacun de se faire son propre avis du coup, les arguments en faveur du pour et du contre ne me permettant à l'heure actuelle de pencher en faveur d'un seul ou de deux serveurs MX pour le mail.

Gravatar de genma
Original post of genma.Votez pour ce billet sur Planet Libre.

Articles similaires

genma : Yunohost comme serveur de mails - Billet N°2

Ce billet fait suite au billet Yunohost comme serveur de mails - Billet N°1 Dans la todo, il y avait l'envoi à un mail de GAFAM et l'ajout de DKIM, DMarc, SPF...

DKIM, DMarc, SPF

Pour ça, je citerai le billet Délivrabilité : SPF, DKIM, DMARC, … ce qu'il faut savoir sur l'authentification de vos emails !

DKIM = DomainKeys Identified Mail DKIM tente d'associer un nom de domaine à un message en y aposant une signature numérique. La vérification de la signature se fait via une clef cryptée située dans un enregistrement DNS. Ce faisant, DKIM permet de vérifier si un message a été altéré durant son transport entre les différents serveurs SMTP et de garantir que le contenu arrivera intact jusqu'au destinataire.

SPF = Sender Policy FrameworkEnregistrement SPF sur son serveur DNS. Permet de vérifier / valider que les IP associées des serveurs ont le droit d'envoyer des mails pour ce nom de domaine

DMARC = Domain-based Message Authentication, Reporting and ConformanceDMARC joue sur la synthèse entre SPF et DKIM, pas en les remplaçant, mais en les unissant et en les rendant plus intelligents.

Dans Yunohost

Yunohost dispose donc d'un serveur de mail (cf Yunohost comme serveur de mails - Billet N°1) et DKIM et SPF sont déjà préconfigurés, disponibles, il n'y a quasiment rien à faire. Il faut récupérer les informations de configuration. Pour ce faire, il faut :

- aller dans la partie interface d'administration de Yunohost https://mondomaine.tld/yunohost/admin/
- Dans le menu DOMAIN > mondomaine.tld > Voir la Configuration DNS

Là il y a les informations pour le DKIM, DMarc, SPF

@ 3600 IN TXT "v=spf1 a mx ip4:12.345.678.123 -all"
mail._domainkey 3600 IN TXT "v=DKIM1; k=rsa; p= 50917a15d4930834a9dd3b43a43ee131190e12674eab791a354dea0afb4475b1"
_dmarc 3600 IN TXT "v=DMARC1; p=none"

Ces informations sont à saisir dans la configuration de l'entrée DNS chez son prestataire (Gandi par exemple) sous la forme :

Nom du champ, Type du champ, Valeur
@ TXT "v=spf1 a mx i … .159.188 -all"
mail._domainkey TXT "v=DKIM1; k=rsa; p= 50917a15d4930834"
_dmarc TXT "v=DMARC1; p=none"

Et on attend de nouveau la propagation du DNS.

Pour vérifier tout ça

Différentes façons de faire et de valider que la configuration est correcte.

Test en ligne

On va sur le site


DKIM check

DNS record for mail._domainkey.mondomaine.tld:
"v=DKIM1; k=rsa; p=50917a15d4930834a9dd3b43a43ee131190e12674eab791a354dea0afb4475b1"
Key length : 1024

On a donc bien la bonne configuration

Thunderbird : on peut ajouter une extension comme DKIM verifier

qui permet d'ajouter un champ dans l'entête d'un mail reçu et de vérifier le DKIM.

Envoi du mail sur un compte Gmail

Et on regarde alors dans le détail du mail (option Afficher l'original), on a alors

SPF : NEUTRAL avec IP 12.345.678.123 En savoir plus
DKIM : 'PASS' avec le domaine mondomaine.tld En savoir plus
DMARC : 'PASS' En savoir plus

Et quand on clique sur bouton le copier-coller, on a le détail :

Received-SPF: neutral (google.com: 12.345.678.123 is neither permitted nor denied by best guess record for domain of genma@mondomaine.tld) client-ip=12.345.678.123;
Authentication-Results: mx.google.com;
dkim=pass header.i=@mondomaine.tld header.s=mail header.b=mbt7mELs;
spf=neutral (google.com: 12.345.678.123 is neither permitted nor denied by best guess record for domain of genma@mondomaine.tld) smtp.mailfrom=genma@mondomaine.tld;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=mondomaine.tld
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mondomaine.tld; s=mail; t=1535027249; h=from:from:sender:reply-to:subject:subject:date:date:

Soit une autre façon de valider que la configuration est correcte.
Les mails reçus ne doivent normalement pas être reconnus / tombés dans le SPAM par défaut.

Gravatar de genma
Original post of genma.Votez pour ce billet sur Planet Libre.

Articles similaires

Simon Vieille : Sharepoint Office365 sur Linux : automatiser l'authentification

Suite de l'aventure avec Sharepoint !

On a pu passer 2 étapes cruciales pour jouer avec Sharepoint Online :

Après quelques jours d'utilisation, il s'avère que les cookies d'authentification ne sont plus valables. C'est un gros problème car c'est pénible de les récupérer manuellement pour ensuite les injecter dans le fichier de configuration Davfs.

J'ai planché quelques heures sur une solution : réaliser le parcours de connexion d'un utilisateur qui passerait par un navigateur web.

Le projet est libre et voici comment l'installer et l'utiliser.

Note : il faut avoir NodeJS sur sa machine. J'ai développé le code en version 6.13.0.

Il faudra déclarer 3 variables d'environnement contenant le site Sharepoint, l'identifiant de connexion et le mot de passe :

Il ne reste plus qu'à lancer le script qui devrait vous retourner du JSON avec les 2 cookies dedans :

À vous de choisir la méthode pour alimenter la configuration de Davfs avec ces données !

Gravatar de Simon Vieille
Original post of Simon Vieille.Votez pour ce billet sur Planet Libre.

Articles similaires

genma : Yunohost comme serveur de mails - Billet N°1

Dans ce billet, je parlerai d'une expérimentation en cours que j'ai qui est d'utiliser YunoHost comme serveur de mails.

Mon instance YunoHost est un petit serveur autohebergé : comprendre un PC physiquement branché derrière ma Freebox (qui me sert de routeur et de connexion à Internet, en ADSL).

Introduction

YunoHost intègre les services Dovecot pour la gestion de l'IMAP et Postfix pour la gestion de la réception / envoi des mails. Ces services sont automatiquement configurés en fonction des domaines et des utilisateurs de ces domaines créés sur YunoHost, au niveau du serveur. Par défaut, avec les noms de domaines qui sont associés à l'instance YunoHost, pour chaque utilisateur, YunoHost crée un compte mail.

Dans le mail, il faut distinguer la réception de mail et l'envoi.
- Réception de mail : j'écris à utilisateur@mondomaine.com, il faut que les serveurs de mails qui envoient les mails sachent où trouver la boite mail de réception. Pour ce faire, ils interrogent le champ MX des entrées DNS du domaine mondomaine.fr, ce qui donnent l'adresse IP du serveur à qui adresser les mails.
- Envoi de mail : j'écris un mail depuis un client (Thunderbird) ou un webmail, le logiciel se connecte au serveur d'envoi (ici le service Postfix sur l'instance YunoHost) et envoie le mail au destinataire, en se basant sur le domaine indiqué dans le mail.
Dans les deux cas, c'est

Mise en place

Comme indiqué en introduction, la majorité de la configuration est déjà faite J'ai suivi les 3 pages de documentation suivantes de la documentation de YunoHost,à savoir :
-Messagerie électronique
-Configuration de la zone DNS
-Configurer la redirection des ports

Modification et validation des DNS

J'ai modifié le champ MX de mon nom de domaine, loué chez Gandi, pour que l'adresse ne soit plus chez Gandi mais sur mon domaine.

Remarque : Gandi n'autorise pas l'usage de ses serveur de mail en tant que MX secondaire, il n'est pas possible d'avoir un autre serveur de secours le mail de Gandi lié au domaine.

Avant modification, si on fait la commande

dig MX mondomaine.fr

On a en résultat

(...)
;; ANSWER SECTION:
mondomaine.fr. 10800 IN MX 10 spool.mail.gandi.net.
mondomaine.fr. 10800 IN MX 50 fb.mail.gandi.net.

Ce sont les serveurs mails de Gandi qui gèrent la réception des mails envoyés depuis l'extérieur

Après modification du DNS et propagation (1h à 3h ou plus, tout dépend de la configuration initiale)

;; ANSWER SECTION:
mondomaine.fr. 3600 IN MX 10 mondomaine.fr.

La machine derrière mondomaine.fr est devenue la machine de réception des mails.

Ouverture des ports

Dans la configuration de la Freebox, j'ai du ajouter la redirection des ports suivants vers le serveur YunoHost :
- 25 - SMTP : nécessaire pour que les serveurs Postfix parlent entre eux (cf un peu plus bas dans
- 587 - SMTP authentifié : nécessaire pour la connexion et l'envoi de mail depuis Thunderbird par exemple, via une connexion "depuis Internet"
- 993 - IMAP

Remarque : dans la configuration de ma Freebox, dans mon espace abonné Free, j'ai bien le blocage du SMTP sortant d'actif (blocage du port 25)

Pas de soucis car lors de l'envoi d'un mail, on peut voir que le port sortant est le port 587.

# nethogs

21223 postfix smtp eth0 0.000 0.000 KB/sec ? root 192.168.0.1:587-192.168.0.254:42898

Avec 192.168.0.1 l'IP locale de mon serveur YunoHost, 587 le port utilisé en sortie sur ce serveur et 192.168.0.254 l'IP locale de la Freebox qui est le point de sortie.

Pour la réception des mails, envoi d'un mail depuis free.fr sur compte@mondomaine.fr

# nethogs
21362 postfix smtp eth0 0.000 0.000 KB/sec
? root 192.168.0.1:25-212.27.42.2:51185

Avec
- 192.168.0.1:25 : requête sur le port 25 (postfix) du serveur de mail YunoHost
- 212.27.42.2:51185 : la machine smtp2-g21.free.fr (le test a été fait depuis un mail free.fr)

On a donc bien le serveur SMTP de Free qui a parlé à mon serveur de mails.

Autre test de réception, envoi d'un mail depuis mon adresse framasoft.org vers mon compte@domaine.fr

# nethogs
21552 postfix smtp eth0 0.000 0.000 KB/sec
? root 192.168.0.1:25-138.201.XXX.XXX:37907

Avec
- 192.168.0.1:25 : le serveur de mail YunoHost
- 138.201.XXX.XXX:37907 : l'IP du serveur SMTP de Framasoft

On a donc bien le serveur mail de Framasoft qui parle là aussi sur le port 25.

Testé et fonctionnel

- Envoi et réception à une adresse correct : monutilisateur@mondomaine.fr reçoit bien des mails envoyés depuis une autre adresse mail
- Envoi et réception à une adresse incorrect : si on écrit à exitepas@mondomaine.fr, l'expéditeur reçoit par mail un message d'erreur lui indiquant que l'adresse n'existe pas
- Réception en double dans une boite mail de secours : dans la partie gestion des comptes YunoHost, il est possible de définir un mail de secours. Les mails reçus sur le compte sont retransmis en copie sur ce compte de secours. Remarque : cela nécessite que le serveur soit fonctionnel vu que c'est lui qui fait le renvoi.

Webmail

L'application Roundcube s'installe comme n'importe quelle application et permet l'envoi, la consultation, le classement des mails, comme n'importe quel webmail.

Configuration d'un client mail comme Thunderbird

Depuis la version 3.1 (version stable mineure), YunoHost apporte Autoconfiguration des clients mails (e.g. Thunderbird) (#495 7)

Pour la configuration dans Thunderbird, il suffit donc d'indiquer son adresse mail utilisateur@mondomaine.com, son mot de passe YunoHost, et Thunderbird interroge le serveur et sait faire automatiquement sa configuration pour l'IMAP et le SMTP en utilisant les bons ports et les bons noms de serveurs. Pratique.

Non testé, à faire et en projet

Ce seront des sujets de billets de blog à venir je pense.
- Regarder les entêtes des mails reçus (envoyés via le serveur YunoHost) pour voir les métadonnées du mail
- Configuration DKIM, DMarc, SPF... : n'autoriser / ne certifier les mails envoyés via une adresse mondomaine.fr que les mails étant envoyés depuis le serveur YunoHost.
- Envoi d'un mail sur des mails de GAFAM (Gmail, Hotmail - Microsoft, Yahoo) : normalement les mails sont reconnus à défaut comme SPAM.
- Avoir un serveur mail de secours : si mon serveur ne marche plus pendant plusieurs jours, il faut qu'un serveur de mail autre soit un serveur temporaire qui puisse accueillir les mails.
- Vérifier la bonne configuration du serveur postfix : valider qu'il ne peut pas être utilisé comme relais smtp
- Surveillance et supervision des logs

Gravatar de genma
Original post of genma.Votez pour ce billet sur Planet Libre.

Articles similaires

Journal du hacker : Liens intéressants Journal du hacker semaine #36

Pour la 36ème semaine de l'année 2018, voici 10 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

Pour ne plus rater aucun article de la communauté francophone, voici :

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Gravatar de Journal du hacker
Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Articles similaires

Carl Chenet : De 0 à 52 numéros du Courrier du hacker : un an d’actualité FOSS francophone

Il y a un peu plus d’un an, en lisant la Hacker Newsletter, j’eus un déclic : il nous fallait la même chose en français.

E-mail Submit

1 an, 52 numéros, en approche des 2000 utilisateurs, la suite de l’article récapitulera, le pourquoi, le comment et l’avenir du Courrier du hacker.

1. Une newsletter, pourquoi ?

Pour information la Hacker Newsletter résume l’actualité de la semaine sur l’agrégateur de liens américains Hacker News. La qualité des articles présent dans cette newsletter m’a toujours épaté.

Ça tombait bien, j’étais l’un des mieux placés pour créer cette newsletter, étant le fondateur du Journal du hacker, un super agrégateur participatif de liens de la communauté FOSS francophone qui est aujourd’hui ce qui se rapproche le plus de Hacker News en français.

Les données dont j’avais besoin se trouvait dans le Journal du hacker, donc les données sont librement accessibles et donc partagées.

Quelques obstacles se dressaient néanmoins en travers de ma route. J’en ai parlé dans d’autres articles mais :

  • les newsletters en France n’ont pas spécialement bonne presse, souvent assimilée à du spam.
  • pour une raison qui m’a toujours échappé, une partie du public technophile francophone regarde un peu de haut ce qui est publié dans sa propre langue au niveau technique. J’ai régulièrement des sourires en coin quand je parle de créer des médias francophones.

Un média technique en français, sérieux ?

  • J’ignorais le temps nécessaire pour réaliser la newsletter chaque semaine, étant déjà très pris je ne voulais pas y passer un temps déraisonnable.
2. Automatiser pour aller à l’essentiel

En manque de temps, j’allais donc tout faire pour en gagner. Je suis passé par quelqu’un pour réaliser la page d’accueil, je passe par un prestataire pour la gestion et l’envoi de la newsletter elle-même. Cela évoluera sûrement dans le futur.

J’ai aussi automatisé au maximum l’extraction des données, leur formatage et la présentation finale. Je n’avais plus à faire que la seule chose qui intéresse réellement un humain : évaluer la qualité des articles (qui ont déjà subi le tri par le choix du public du Journal du hacker) et les organiser en sections claires dans la newsletter.

Au final j’y passe à peu près deux heures par semaine, quasi exclusivement sur le choix et la classification des articles.

3. Élargissement du public

Après plusieurs remarques de personnes intéressées par le contenu mais pas du tout fan du format e-mail, j’ai décidé de rendre disponible les archives du Courrier du hacker directement depuis le site web et également de relayer le contenu via les réseaux sociaux, en créant un compte Mastodon et un compte Twitter.

Cela m’a également permis de récupérer le contenu stocké de chez le prestataire, sait-on jamais.

4. Le futur du Courrier du hacker

Le but est de continuer à faire connaître le Courrier du hacker afin de promouvoir les articles de qualités écrits en français chaque semaine dans les communautés FOSS.

Les relais par LinuxFR et Toolinux (merci à eux !) ont été suivis par de très nombreux abonnements, indiquant un fort intérêt pour l’initiative lorsqu’elle arrive aux oreilles du public. Si vous pouvez relayer de quelque façon que ce soit, n’hésitez pas à me contacter si vous souhaitez que je vous communique une présentation.

Enfin un grand merci aux lecteurs, le Courrier du hacker existe grâce à vous et à votre intérêt pour les contenus qu’il propose.

Liens du Courrier du hacker Me suivre sur les réseaux sociaux

N’hésitez pas à me suivre directement sur les différents sociaux pour suivre au jour le jour mes différentes projets dans le Logiciel Libre :

 

Gravatar de Carl Chenet
Original post of Carl Chenet.Votez pour ce billet sur Planet Libre.

Articles similaires

Bartounet : Sécuriser les équipements IOT en Wifi

DNS-MENTEURS

pfsensenetgearnetgear

Cela fait quelques années que je fais de la domotique.
J'utilise Jeedom comme solution domotique, j'ai plus de 50 objets connectés.

Les équipements IOT sont en général moins bien sécurisés que les autres équipements connectés.
La sécurité par design n'est pas encore dans l'esprit des constructeurs ( pas tous )

Il n'est pas rare de voir des équipements dialoger au niveau réseau avec des serveurs américains ou chinois.
Les informations qu'ils envois ne sont pas controllées.

Il n'est pas rare non plus que les équipements connectés soient utilisés dans des attaques de Botnet

J'ai donc cherché un moyen d'isoler mes équipements Wifi à risque du reste de mon réseau.

Il n'y a guère d'autre solution que de créer des DMZ afin de les isoler.


Les équipements à ma dispositon:

  • 1 routeur PFSENSE ( Carte APU 2C4)
  • 1 Switch NetGear GS108
  • 1 Switch Unifi S8
  • 1 AP WIFI Unifi AC PRO
fs108s8  
acpro
Voiçi le réseau cible : ( simplifié, car j'ai beaucoup d'autre équipements)

res

La cible à atteindre est de créer 2 réseaux WIFI

Pour cela pas de secret ,  il va falloir creer des VLANs et des DMZ

  • WIFI-MAISON ( Réseau LAN DATA - Full Access)  
  • WIFI-IOT ( Réseau DMZ-INTERNER - Accès filtré)

Pour cela j'ai dut revoir tout mon réseau, car de base en général un réseau domestique n'utilise pas la notion de VLAN.
Un suel VLAN  ( le 1 en général est utilisé de facon transparente)

Pour mon usage, j'ai décidé de ne plus utiliser le VLAN 1
Le VLAN 10 sera mon réseau LAN DATA
Le VLAN 200 ma DMZ- Interne

Je ne parlerai pas ici de la DMZ Publique que j'ai créer sur une interface dédiée de mon pfsense.

Le plan d'action est donc le suivant:
  1. Création de 2 VLAN ( et des interfaces associées) 
  2. Création des IP des interface  ( 10.0.0.254/24 pour le LAN  / 172.20.0./24 pour la dmz)
  3. Création d'étendue DHCP
  4. Tagg de ces 2 VLAN Depuis PFsense --> Switch Netgear --> Switch Unifi --> AP Unifi
  5. Paramétrage du Wifi Unifi pour diffuser des SSID sur des VLAN diffrérents


Coté PFSense Création de 2 VLAN ( et des interfaces associées)

Je ne vais pas détailler toutes les actions mais les principales.

vlan

vlanpf

La ce qui est important à savoir
C'est que l'interface associée a vos VLAN ne doit porter aucune autre interface logique.

Sinon vous serez obliger de transmporter sur cette interface du vlan untag et du tagged, de qui n'est pas une bonne chose.
La bonne pratique est qu'un port d'interconnexion ne doit transporter que du VLAN Tagged

Par défaut pfsense associe l'interface logique WAN à votre interface physique sur le VLAN1 en untag.

Autrement dit  coté pfsense il faut supprimer votre interface logique LAN et la remplacer par un VLAN ( ici le 10)
Vous ne devez avoir que des VLAN sur votre interfaces

Rien ne vou sempeche de la rappeler LAN comme moi

En ayant que des VLAN sur votre interfaces Pfsense, impicitement Pfsense va tagger les 2 VLANs
en sortie de l'interface.

Mettre une IP Statique sur l'interface qui correspondra a votre plan d'adressage

Pour le LAN
ipinterlan

Pour la DMZ Interne

ipdmz
Pensez bien à mettre un /24 car sinon la partie DHCP ne sera pas accessible sous Pfsense.

Création des étendues DHCP.
dhcplan
dhcplan

Création d'une règle de Firewall temporaire.

Pour les tests créer une regle de firewall autorisant tout sur la DMZ.
Cela permettra de tester.
Vous fermerez tout plus tard.


rule dmz


Attention à partir de là quand vous validez : Vous perdez l'accès à votre pfsense depuis votre réseau local;
Normal les vlan arrive taggé vers le netgear, mais le netgear n'est pas encore a meme de les recevoir.

Je vous conseille de garder un accès WAN à votre pfsense (  a travers une partage 4g par exemple)
Cela vous permettre de toujours pouvoir agir sur le pfsense même si vous n'y avez plus accès à partir du LAN
Coté Switch Netgear GS108
Le port d'interco relié entre mon PFSENSE et mon netgear sera le 1
Sur le Switch Netgear --> Le port d'interco relié entre mon Sw netgear et mon Switch Unifi sera le 3

Création des VLAN sur le netgear
On voit bien le 10 et le 200

ngvlan

On Tag les ports qui nous interesse
On voit ici que j'ai taggé le VLAN 10 sur les ports 1 et 3
On voit ici que j'ai untag le VLAN 10 sur les autres ports (  port ou seront branché des equipements dans le VLAN 10 - LAN classique)

ngt10

On voit ici que j'ai taggé le VLAN 200 sur les ports 1 et 3
Rien sur les autres concernant le 200
ngt10

Il faut aussi mettre les PVID sur les ports
Le Pvid n'a pas d'importance sur les port taggé 1 et 3
Les autres ont le PVID 10
pvid

Comme je vous l'ai  dit j'ai décidé de remplacer le VLAN 1 historique
Par le VLAN 10
je vais donc mettre ce VLAN 10 comme VLAN de management du switchs

ngmgm


Voila le Netgear est paramétré
Attention vous risquez aussi de vous couper la patte sur le switch

Garder provisoirement un port dans le VLAN1 avant de changer le Management VLAN ID



Coté SwitchUnifi S8 La j'ai pas mal galéré , car autant l'interface Netgear me paraissait logique et old scholl.
Très proche des switchs que je manipule souvent ( avaya, cisco)

Autant le paramétrage  du switch unifi par le controleur est nouveau.

Il vous faut donc un controlleur Unifi installé ( a minima pour le paramétrage)
Je ne  décrit pas la découverte du switch et son provisionning qui est autimatique dans  Unifi.

 Même si le switch fonctionne en DHCP
Je vous conseille de le mettre en IP Fixe.
Cela évite de se couper la patte quand on taggera.

netuni

La partie VLAN se trouve dans Settings / Networks

unifivlan

unvl10

unvl200


Quand les Vlan sont crées, il faut les associer à des profiles:

unifiprofile

Un profile VLAN-DATA ( Associé au VLAN10)
Cela signifie en langage Switch UNTAG le VLAN 10
pr10

Un Profile VLAN-DMZ-INTERNE ( Associé au VLAN 200)
Cela signifie en langage Switch UNTAG le VLAN 200

pr200


Et un Profile Interco ( Regroupant les 2 VLAN 10 et 200) Mais cette fois en TAGGED
Cela signifie en langage Switch TAGGED VLAN 10 et 200

interco


Sur le Switch Unifi --> Le port d'interco relié entre mon Sw netgear et mon Switch Unifi sera le 1
Je vous rappelle que le port 3 du Netgear est relié au port 1 de UNIFI
Donc le port 1 de Unifi doit etre taggé des VLAN 10 et 200


Cela se passe sur le port 1 du switch:

taginterco

Et voilà votre port 1 utilise le profil Interco en taggant les VLAN 10 et 200

Comme le netgear j'ai décidé de mettre le VLAN Management du switch Unifi en VLAN10 ( Profile VLAN-DATA)

unifimgm


Voilà coté Tagging et réseau on est bon.
Attention j'ai du réinitialiser plusieurs fois le switch avant de trouver tout ces paramètres.
Je me suis coupé la patte plus d'une fois.

Soyez vigilant et poser votre schéma sur papier et mesurer les impacts de chaque manipulations.


Coté WIFI Unifi AC PRO

Si vou savez eut le courage de suivre, nous avons réussi à tagged les VLAN 10 et 200
Depuis le pfsense , en passant par le Switch Netgear, jusqu'au Switch Unifi

Tout est prêt pour pouvoir diffuser des Réseaux Wifi portant différent VLAN.


Création du WIFI-MAISON
Tout se passe dans Settings / Wireless Networks

Création d'un SSID nommé WIFI-MAISON
Utilisant le VLAN10
Je vous conseille une bonne clé WPA2 chiffrement AES

wifimaison


réation d'un SSID nommé WIFI-IOT
Utilisant le VLAN200
Je vous conseille une bonne clé WPA2 chiffrement AES

wifiiot


Et voilà.
Si tout va bien, vos 2 SSID sont diffusés:

analy

Si on se connecte sur WIFI-MAISON
On tombe bien dans le VLAN 10
Pfsense nous a donné une IP en  10.0.0.0/24

wifi10


Si on se connecte sur WIFI-IOT
On tombe bien dans le VLAN 200
Pfsense nous a donné une IP en  172.20.0.0/24

wifi200



Voilà  a partir de là vous pouvez affiner vos règle de filtrage Firewall sur Pfsense sur la DMZ.
Exmple n'accepter que la DMZ n'accede qu'au LAN et pas Internet

block
Et commencer à voir des flux bloqués :)



C'est là ou le plus dur commence.
Arriver à identifier les flux minimum d'un équipement IOT

Gravatar de Bartounet
Original post of Bartounet.Votez pour ce billet sur Planet Libre.

Articles similaires

Marien Fressinaud : Nouvelle version de Lessy : Ara

Quelques jours seulement après l’annonce de la version précédente, voici déjà une nouvelle version. Les deux derniers weekends ont été particulièrement productifs bien que n'abordant pas le cœur de métier de l’application.

Pour rappel, Lessy est un gestionnaire de temps destiné à vous aider à mieux vous organiser en associant à vos tâches des indicateurs clairs sur ce que vous avez de plus urgent à réaliser (ou abandonner) dans l’immédiat. Un service est mis à disposition gratuitement sur lessy.io et le code est hébergé sur GitHub, le tout sous licence libre.

Cette fois-ci, les améliorations ont autant porté sur l’interface que sur l’architecture technique. Les principales nouveautés d’un point de vue utilisateur sont :

  • la possibilité de réinitialiser son mot de passe en cas d’oubli ;
  • la possibilité de renvoyer le mail pour activer son compte ;
  • l’ajout d'une page de profil permettant de mettre à jour son identifiant, son adresse email et son mot de passe ;
  • il est également possible de choisir la langue de l’interface (anglais ou français pour le moment) ;
  • et la possibilité de supprimer son compte.

Autant vous dire que cela fait un petit paquet de changements.

Écran pour modifier son profil dans Lessy

Au niveau de l’architecture technique, j’ai revu l’organisation des composants de l’interface qui gèrent l’affichage des pages. Ce fut là aussi un gros morceau, mais nécessaire pour garder l’application maintenable sur le long terme. J’envisage d’écrire un article technique pour détailler ma façon de faire.

Cette version marque aussi la fin des travaux portant sur les « à-côtés » de l’application. Je les aurai donc répartis sur deux versions de Lessy, mais en réalité sur neuf mois à cause de la pause que j’ai prise dans le développement. Je vais donc désormais pouvoir me reconcentrer sur le cœur de Lessy en repensant le tableau de bord ainsi que l’accueil des nouveaux utilisateur·trices. Encore une fois, l’avancement est visible sur GitHub.

N’hésitez pas à me faire des retours sur les nouvelles fonctionnalités, comme elles sont toutes neuves, j’ai peut-être oublié de gérer certains cas particuliers !

Gravatar de Marien Fressinaud
Original post of Marien Fressinaud.Votez pour ce billet sur Planet Libre.

blog-libre : Architecte

Linux et le Libre marchent extrêmement bien pour moi jusqu’à maintenant, aussi bien d’un point de vue personnel que professionnel. Tous les serveurs du boulot sont sur Debian, nous utilisons rsync, ssh, bash, python, rsyslog, dnsdist, chrony, haproxy, apache2, php, postgresql, mariadb, systemd…

Chaque projet a apporté sa pierre à l’édifice pour former un tout. Mais il manque la cohérence, le fil conducteur qui lie toutes les briques entre elles. Nous n’avons pas ça sur Linux et dans le Libre. Microsoft et Apple peuvent fournir une expérience utilisateur cohérente, continue parce que tout le système est pensé comme un tout.

Ce “détail” condamne Linux et le Libre à ne jamais rivaliser avec des systèmes d’exploitation “grand public”. Mettre une brique à côté d’une autre n’a jamais permis de construire une maison, c’est la vision de l’architecte qui permet de la construire. Il faudrait une gouvernance qui donne une direction à tous les projets de logiciels libres. Impossible même s’il existe des fils conducteurs : Le principe KISS, les licences, le noyau, les distributions, des communautés…

Linux et le Libre possèdent en eux-mêmes leurs propres limites, comment concilier liberté et unité pour former un tout cohérent ?

L’utilisateur est le liant, l’architecte qui forme un tout cohérent avec les briques à sa disposition. Cette construction est peut-être le travail d’une vie et ce n’est certainement pas une bonne chose mais celui qui construit de ses mains pourra connaître l’immense félicité de bâtir son propre foyer.

Gravatar de blog-libre
Original post of blog-libre.Votez pour ce billet sur Planet Libre.

Articles similaires

Julien L : Numérisation de documents sous Linux : résoudre le problème du fond grisé

Depuis quelques années, je peaufine un script shell qui me permet de faire des numérisations de documents administratifs (formulaires à renvoyer, documents reçus par la poste…) au format A4. Ce script utilise scanimage, un outil en ligne de commande du projet SANE.

Le script permet de lancer une numérisation en noir et blanc par lot, avec contrôle de la numérisation de chacune des pages avec les boutons du scanner, puis de convertir et fusionner tous les documents numérisés dans un fichier PDF.

J’en suis assez content. Seulement voilà, avec le scanner que j’utilise (Canon Pixma MP450, une imprimante-scanner), le résultat de la numérisation est décevant.

Voici un exemple avec la commande suivante :
scanimage –device pixma –resolution 150 –mode Gray -l 0 -t 0 -x 210 -y 297 >image.pnm

J’ai alors ce résultat (après conversion en PNG) :
 résoudre le problème du fond grisé dans Planet Libre page_scanimage_options_defaut-723x1024

Comme on peut le voir, le fond est grisé (alors que le document papier a bien un fond blanc). Selon la qualité du papier, il arrive même que le verso du document soit visible.

J’avais déjà essayé de changer certains réglages mais sans succès.

Je me suis donc décidé à prendre le problème au sérieux et de lui trouver une solution.

Après quelques recherches, je comprends qu’il me faudrait régler la luminosité utilisée lors de la numérisation. Cela se fait généralement avec l’option –brightness dans scanimage. Le problème est que cette option n’est pas disponible pour le scanner Canon Pixma MP450, comme le montre le résultat de la commande scanimage -d pixma -h :

Options specific to device `pixma’:
Scan mode:
–resolution auto||75|150|300|600|1200dpi [75]
Sets the resolution of the scanned image.
–mode auto|Color|Gray|Lineart [Color]
Selects the scan mode (e.g., lineart, monochrome, or color).
–source Flatbed [Flatbed]
Selects the scan source (such as a document-feeder). Set source before
mode and resolution. Resets mode and resolution to auto values.
–button-controlled[=(yes|no)] [no]
When enabled, scan process will not start immediately. To proceed,
press « SCAN » button (for MP150) or « COLOR » button (for other models).
To cancel, press « GRAY » button.
Gamma:
–custom-gamma[=(auto|yes|no)] [yes]
Determines whether a builtin or a custom gamma-table should be used.
–gamma-table auto|0..255,…
Gamma-correction table.  In color mode this option equally affects the
red, green, and blue channels simultaneously (i.e., it is an intensity
gamma table).
–gamma auto|0.299988..5 [2.2]
Changes intensity of midtones
Geometry:
-l auto|0..216.069mm [0]
Top-left x position of scan area.
-t auto|0..297.011mm [0]
Top-left y position of scan area.
-x auto|0..216.069mm [216.069]
Width of scan-area.
-y auto|0..297.011mm [297.011]
Height of scan-area.
Buttons:
–button-update
Update button state
Extras:
–threshold auto|0..100% (in steps of 1) [inactive]
Select minimum-brightness to get a white point
–threshold-curve auto|0..127 (in steps of 1) [inactive]
Dynamic threshold curve, from light to dark, normally 50-65

Après plusieurs tâtonnements et investigations, je comprends que je dois jouer avec le gamma. Le gros problème, c’est que je ne sais pas ce qu’est un gamma et encore moins une table de gamma. Je crois comprendre qu’il permet d’indiquer comment l’intensité d’un point numérisé doit être traduit en niveau de gris (ou en couleur) mais cela reste assez obscur pour moi. Je remercie par avance celui ou celle qui pourra m’éclairer sur le sujet en commentaires.

J’essaie les différents modes auto mais cela ne donne pas ou peu de changements. Puis j’essaie les différentes valeurs de l’option –gamma. Cela a bien une influence mais le résultat n’est toujours pas satisfaisant.

Mon dernier recours est alors de spécifier une table de gamma personnalisée (avec l’option –gamma-table). L’outil scanimage attend, pour cela, une suite de nombres. C’est plutôt abscons pour moi.

Heureusement, le projet SANE fournit un outil permettant de générer cette suite de nombres : gamma4scanimage.

L’outil attend cinq paramètres : gamma, shadow, highlight, maxin et maxout. Voilà ce que j’ai compris :

  • gamma prend les mêmes valeurs que l’option –gamma de scanimage; plus la valeur est grande, plus il y a de la luminosité ;
  • maxin doit être spécifiée avec une valeur fixe dépendant du nombre de bits supportés par le scanner ; dans mon cas, il s’agit de 12 bits; je renseigne donc la valeur 4095 (cf. man).
  • maxout doit être spécifiée avec la valeur la plus grande acceptée par l’option –gamma-table de scanimage (255 dans mon cas) ;
  • shadow peut garder la valeur 0 ;
  • enfin, highlight peut garder la même valeur que maxin mais c’est en abaissant cette valeur de 15% que j’ai finalement résolu mon problème.

Une fois les valeurs déterminées, je combine l’outil gamma4scanimage avec scanimage de la manière suivante :
scanimage –device pixma –mode Gray -l 0 -t 0 -x 210 -y 297 –custom-gamma=yes –gamma-table `gamma4scanimage 1.8 0 3500 4095 255` >image.pnm

J’ai alors ce résultat (après conversion en PNG) :
page_scanimage_option_gamma-table-723x1024 gamma dans Planet Libre
Le fond est bien blanc. Le verso n’apparaît pas.

Autre avantage : le fichier qui en résulte est plus petit (presque deux fois plus petit dans mon exemple). Ceci est particulièrement pratique lorsque les documents sont destinés à être envoyés par courriel.

Ce résultat me permet maintenant d’envisager d’appliquer une phase de reconnaissance de caractères (OCR) afin de faciliter des recherches éventuelles dans mes documents numérisés.

Avis et éclairage sont les bienvenus en commentaires.

Gravatar de Julien L
Original post of Julien L.Votez pour ce billet sur Planet Libre.

Articles similaires

Pages