Planet Libre

Cyprien Pouzenc : SSH, se connecter sans mot de passe à l'aide de la cryptographie

Cryptographie asymétrique

Cet article est le deuxième d'une série de quatre :

  1. SSH, pour se connecter en ligne de commande à un ordinateur distant
  2. SSH, se connecter sans mot de passe à l'aide de la cryptographie
  3. Reverse SSH, pour se connecter à un ordinateur distant protégé par un pare-feu (à venir)
  4. SSH, des tunnels pour tous les services (à venir)

Dans le précédent épisode, nous avons montré comment se connecter en ligne de commande à un serveur distant, parfois par l'intermédiaire d'un — ou potentiellement plusieurs — serveur relais. Pour chaque serveur et à chaque connexion, un mot de passe différent est requis. Outre la nécessité rébarbative d'avoir à taper des mots de passe, il ne s'agit peut-être pas de la méthode la plus sécurisée. Une seule compromission suffit ; toute personne ayant connaissance du mot de passe peut se connecter.

L'authentification par clefs cryptographiques limite la possibilité de se connecter au seul propriétaire d'une clef. Souvent, cette clef est utilisée par un unique poste client. Ainsi, seule la connexion depuis ce poste client est possible. Néanmoins, le vol du poste client ou une copie malintentionnée de la clef cryptographique sont de l'ordre du possible. Si la clef est protégée par un mot de passe, le serveur distant ne peut être compromis — ou plus difficilement, tout du moins.

Grâce à l'authentification cryptographique, il n'est ainsi plus nécessaire de connaître ni d'avoir à taper les mots de passe des différents serveurs distants ; seul celui qui protège la clef importe. Pour ne pas avoir à taper systématiquement ce dernier, plusieurs mécanismes sont envisageables ; comme celui permettant de ne le taper qu'une seule fois par session, par exemple.

Cryptographie asymétrique Cryptographie asymétrique

Le principe de la cryptographie asymétrique à clef publique a été énoncé dans un précédent article. Dans le cas qui nous concerne, la clef protégée par mot de passe est la clef privée de l'utilisateur. Cette clef est la seule à même de déchiffrer les messages envoyés par les serveurs distants, sur lesquels la clef publique correspondante a préalablement été enregistrée. C'est par ce mécanisme que les serveurs s'assurent de l'authenticité de leur correspondant.

Générer les clefs de chiffrement

Afin de pouvoir utiliser cette authentification cryptographique, il est d'abord nécessaire de générer une clef privée sur l'ordinateur CLIENT, puis d'enregistrer la clef publique correspondante sur les serveurs distants auxquels ont souhaite se connecter — ici, SERVEUR_B. On pourra alors potentiellement désactiver l'authentification par mot de passe, pour plus de sécurité. Cette dernière étape n'est pas forcément indispensable. En effet, si le mot de passe n'est que très rarement tapé sur un clavier — car remplacé par une authentification cryptographique — le risque de compromission est moindre.

On commence par générer un couple de clefs sur le poste client :

ssh-keygen -b 4096

Puis on copie la clef publique sur le serveur distant :

ssh-copy-id -i .ssh/id_rsa.pub USER_B@IP_SERVEUR_B

On peut alors se connecter au serveur, comme nous l'avons déjà vu :

ssh USER_B@IP_SERVEUR_B

Si un mot de passe a été donné lors de la création de la clef privé — ce qui n'est pas une obligation — il est ici demandé afin de pouvoir la déverrouiller. Sinon, nous voilà d'ores-et-déjà connectés, sans besoin de taper le mot de passe de USER_B.

Désactiver l'authentification par mot de passe

Une fois sur le serveur distant, il est possible de désactiver l'authentification par mot de passe. Pour cela, il faut d'abord se connecter en tant que super-utilisateur :

su -

Puis changer l'option de configuration correspondante :

sed -i "s/#PasswordAuthentication yes/PasswordAuthentication no/" /etc/ssh/sshd_config

Enfin, recharger la configuration du serveur SSH :

systemctl reload ssh

Sans oublier de se déconnecter :

exit

Article sous licence Creative Commons BY-SA 3.0 France.

Gravatar de Cyprien Pouzenc
Original post of Cyprien Pouzenc.Votez pour ce billet sur Planet Libre.

Full Circle Magazine FR : Le numéro 136 est prêt

Bonjour !

Avec un peu de retard, l'équipe française du FCM est heureuse de vous présenter le numéro 136 en français. Vous pouvez le lire ou le télécharger sur notre page Numéros, ou bien le récupérer directement en cliquant sur la photo ci-dessous.

issue136.png

Ce mois-ci, vous y trouverez, notamment :

  • les tutoriels habituels : Python, Freeplane, Great Cow Basic et Inkscape ;
  • le point sur les mises à jour estivales de programmes dont Lucas a déjà parlé dans sa rubrique Command&Conquer ;
  • la fin de la présentation d'Unity dans Ubuntu au quotidien par Richard ;
  • une critique de Cudatext qui semble pouvoir tout faire, sauf la cuisine et la vaisselle ; et
  • la finale de sa création d'un programme de tri en interface graphique pour Rhythmbox, de Paolo Pelloni.

Tout en vous rappelant que, sans articles, il n'y aura pas de revue......, nous vous en souhaitons bonne lecture.

Bab, scribeur et relecteur, et les traducteurs-relecteurs AE, christo.2so, d52fr

Gravatar de Full Circle Magazine FR
Original post of Full Circle Magazine FR.Votez pour ce billet sur Planet Libre.

Articles similaires

Renault : [F29] Participez à la journée de test consacrée à la mise à niveau

Aujourd'hui, ce lundi 8 octobre, est une journée dédiée à un test précis : sur la mise à niveau de Fedora. En effet, durant le cycle de développement, l'équipe d'assurance qualité dédie quelques journées autours de certains composants ou nouveautés afin de remonter un maximum de problèmes sur le sujet.

Elle fournit en plus une liste de tests précis à effectuer. Il vous suffit de les suivre, comparer votre résultat au résultat attendu et le notifier.

En quoi consiste ce test ?

Nous sommes proches de la diffusion de Fedora 29 édition finale. Et pour que ce lancement soit un succès, il est nécessaire de s'assurer que le mécanisme de mise à niveau fonctionne correctement. C'est-à-dire que votre Fedora 27 ou 28 devienne une Fedora 29 sans réinstallation, en conservant vos documents, vos paramètres et vos programmes. Une très grosse mise à jour en somme.

Les tests du jour couvrent :

  • Mise à niveau depuis Fedora 27 ou 28, avec un système chiffré ou non ;
  • Même que précédemment mais avec KDE comme environnement ou une version Spin quelconque ;
  • De même avec la version Server au lieu de Workstation ;
  • En utilisant GNOME Logiciels plutôt que dnf.

En effet, Fedora propose depuis quelques temps déjà la possibilité de faire la mise à niveau graphiquement avec GNOME Logiciels et en ligne de commande avec dnf. Dans les deux cas le téléchargement se fait en utilisation normale de votre ordinateur, une fois que ce sera prêt l'installation se déroulera lors du redémarrage.

Pour ceux qui veulent bénéficier de F29 avant sa sortie officielle, profitez-en pour réaliser ce test, que cette expérience bénéficie à tout le monde. :-)

Comment y participer ?

Vous pouvez vous rendre sur la page des tests pour lister les tests disponibles et rapporter vos résultats. La page wiki récapitule les modalités de la journée.

Si vous avez besoin d'aide lors du déroulement des tests, n'hésitez pas de faire un tour sur IRC pour recevoir un coup de main sur les canaux #fedora-test-days et #fedora-fr (respectivement en anglais et en français) sur le serveur Freenode.

En cas de bogue, il est nécessaire de le rapporter sur le BugZilla. Si vous ne savez pas faire, n'hésitez pas à consulter la documentation correspondante.

De plus, si une journée est dédiée à ces tests, il reste possible de les effectuer quelques jours plus tard sans problème ! Les résultats seront globalement d'actualité.

Gravatar de Renault
Original post of Renault.Votez pour ce billet sur Planet Libre.

Articles similaires

Journal du hacker : Liens intéressants Journal du hacker semaine #40

Pour la 40ème semaine de l'année 2018, voici 12 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

Pour ne plus rater aucun article de la communauté francophone, voici :

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Gravatar de Journal du hacker
Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Articles similaires

Thuban : ARN - FAI : Un VPS - VM sous OpenBSD

Un hébergement VPS d'une VM sous OpenBSD, en France, ça vous tente ?!

C'est-ce que l'association FAI - Fournisseur d'Accès à Internet - nommée ARN nous propose !

Logo Alsace Réseau Neutre

Les services

Dans une VM, basée sur un CPU virtuel avec 1 Go de RAM, et un espace disque minimal de 50 Go, en SSD, voilà ce que propose l'association. Au détail près que pour utiliser OpenBSD, il vous faudra en faire la demande express, rien ne sera pris en charge pour l'installation, seulement vos compétences pourra mener à bien votre (futur ?) hébergement, ce qui vous permettra de chiffrer votre disque dur !

Vous aurez une adresse IPv4 fixe, et un accès réseau IPv6 avec un préfixe /56.

Cet hébergement peut servir pour un service web (httpd, nginx, ...), de serveurs mails, ou tout autre service que vous vous sentez capable de gérer, voire tout simplement de lieu de stockage ou de sauvegarde de données.

Le coût

Il vous faudra, dans un premier temps, adhérer à l'association pour 15 € / an. Ensuite, vous devrez vous acquitter d'une somme de 10 € / mois d'exploitation, que vous pouvez reconduire à votre bon plaisir. 

Avant cela, il vous faudra prendre connaissance du contrat, le remplir et le retourner complet à l'association par tout moyen précisé sur la page VPS

 

PS : Voilà une bonne occasion de supporter une initiative "Libre" !

 

 

 

Gravatar de Thuban
Original post of Thuban.Votez pour ce billet sur Planet Libre.

Yannic Arnoux : Gadget Bridge et autres connectés

Je porte un bracelet Xiaomi Mi-Band connecté depuis Noël dernier. Ce n’est pas un cadeau tentateur pour libriste en perdition mais un achat assumé. L’angoisse de l’approche de la cinquantaine probablement, je voulais moi aussi mesurer la qualité de mon sommeil et mon manque d’activité physique, bref vérifier si moi aussi je ne serais pas l’homme du 21ème siècle. Je pensais que ça m’amuserait quelques semaines mais c’est devenu une habitude et ça a aidé à une reprise d’activité sportive plus régulière.

Le bracelet est autonome ; il a des capteurs, il enregistre et à l’occasion on synchronise les données vers une application mobile. Dans ce mode, il a une autonomie de 4 à 6 semaines, c’est impressionnant. On peut aussi l’utiliser en mode connecté au téléphone pour envoyer des notifications en temps réel : appels, messages. Ce mode est beaucoup plus consommateur en batterie (du bracelet et du téléphone).

J’ai utilisé l’objet en mode autonome pendant plusieurs mois. Le premier jour, j’ai installé l’application officielle Xiaomi qui s’occupe aussi des mises à jour du firmware. Il faut créer un compte chez Xiaomi (sic!) et le lendemain matin on apprend qu’on a mieux dormi que 43% des autres membres du troupeau utilisateurs. Et oui, le ticket d’entrée du 21ème siècle coûte le leg de ses données personnelles… que deviennent les données ensuite ? combien d’années avant qu’elles soient revendues à mon groupement mutualiste qui me fera un tarif santé fonction de mon rythme de vie ? Bref, on sait où ça mène !

Donc déconnexion de l’appli officielle et recherche d’une meilleure solution ; je n’ai pas cherché longtemps, je traîne suffisamment sur la boutique F-Droid pour avoir remarqué l’application Gadgetbridge qui :

  • gère la plupart des bracelets / montres Xiaomi et les Pebble,
  • conserve les données sur l’appareil et propose même un import / export de la base de données
  • propose des fonctionnalités communes à tous les équipements supportés : activité (compteur de pas), qualification du sommeil, réveil,
  • des fonctionnalités spécifiques en fonction du type de bracelet ou de montre joliment détaillées dans cette matrice

Je n’ai pas parlé de la fonction réveil. Ca peut sembler anecdotique mais quand on est traumatisé par les sonneries à l’aube, on échange volontiers contre la douce vibration du bracelet.

gadget bridge

Récemment je suis passé dans le mode d’utilisation connecté au téléphone alors que je refusais, au début, ce fil à la patte. Mais avec ces téléphones Android un peu récents, tous identiques, rectangulaires, sans saveur où les constructeur ont le droit de choisir la taille et la qualité de l’appareil photo mais surtout aucune personnalisation matérielle non validée par le dieu Google, on n’a même plus la LED de notification qu’on trouvait sur les premiers modèles et on se retrouve finalement à les allumer régulièrement juste pour vérifier si on n’a pas raté un appel ou un SMS important. J’ai donc commencé à utiliser le mode notification du bracelet en environnement professionnel.

La notification sur le bracelet Mi Band 2 est minimale : on sait que le téléphone (en vibreur dans un coin) sonne ou qu’on a reçu un message. C’est déjà pas mal et ça m’a donné envie de passer au niveau supérieur avec la montre Xiaomi Amazfit Bip qui reçoit les messages SMS, affiche le nom des correspondants des appels et peut même afficher les prévisions météorologiques. Pour le reste on retrouve les fonctionnalités du bracelet Mi Band (someil, activité) et la même technologie d’écran qui fournit une autonomie de plusieurs semaines. C’est ce qui a entériné mon choix d’ailleurs, je fuis les montres qu’il faut recharger chaque soir.

C’est donc mon cadeau d’anniversaire (merci M. de mon coeur), étrenné depuis 2 semaines, toujours de concert avec Gadgetbridge qui est la meilleure solution pour ce matériel car il sait résoudre le problème des accents. En effet, la montre propos un firmware chinois et un firmware anglais pour l’international. Soit on teste des firmware non officiels pour le français, soit on reste en international ce qui est mon choix. Et dans ce cas-ci, les SMS sont épurés de leurs caractères accentués ce qui complique un peu la lecture. Gadgetbridge fournit un paramètre transcription qui remplace les accents par leur équivalent ASCII : “é” devient “e”, ce qui est bien mieux qu’un abscons symbole ¤

La fonction météo semblait mal engagée mais on trouve l’application Weather Notification sur F-DROID qui fournit les prévisions de OpenWeather Map à GadgetBridge et cela fonctionne très bien.

Enfin que serait une montre connectée sans la possibilité de changer de cadran au gré de ses humeurs. Le site Amazfitwatchfaces recense les contributions des graphistes et permet de télécharger des nouveaux cadrans. On peut créer un compte et voter pour les meilleurs artistes pour les encourager, c’est bon enfant.

watch face

Bon voilà je suis revenu sur Android et je suis connecté. A ce propose je remercie le talentueux Bunnyy pour le portage de la ROM Resurection Remix sur Samsung A5 2016 : je compte sur toi pour faire fonctionner les appels Bluetooth sous peu.

Est-ce que je suis entré dans le 21ème siècle ? un peu mais tout est loin de me plaire et j’essaie de ne choisir que les meilleurs côtés :-)

Gravatar de Yannic Arnoux
Original post of Yannic Arnoux.Votez pour ce billet sur Planet Libre.

Yannic Arnoux : Gadget Bridge et autres connectés

Je porte un bracelet Xiaomi Mi-Band connecté depuis Noël dernier. Ce n’est pas un cadeau tentateur pour libriste en perdition mais un achat assumé. L’angoisse de l’approche de la cinquantaine probablement, je voulais moi aussi mesurer la qualité de mon sommeil et mon manque d’activité physique, bref vérifier si moi aussi je ne serais pas l’homme du 21ème siècle. Je pensais que ça m’amuserait quelques semaines mais c’est devenu une habitude et ça a aidé à une reprise d’activité sportive plus régulière.

Le bracelet est autonome ; il a des capteurs, il enregistre et à l’occasion on synchronise les données vers une application mobile. Dans ce mode, il a une autonomie de 4 à 6 semaines, c’est impressionnant. On peut aussi l’utiliser en mode connecté au téléphone pour envoyer des notifications en temps réel : appels, messages. Ce mode est beaucoup plus consommateur en batterie (du bracelet et du téléphone).

J’ai utilisé l’objet en mode autonome pendant plusieurs mois. Le premier jour, j’ai installé l’application officielle Xiaomi qui s’occupe aussi des mises à jour du firmware. Il faut créer un compte chez Xiaomi (sic!) et le lendemain matin on apprend qu’on a mieux dormi que 43% des autres membres du troupeau utilisateurs. Et oui, le ticket d’entrée du 21ème siècle coûte le leg de ses données personnelles… que deviennent les données ensuite ? combien d’années avant qu’elles soient revendues à mon groupement mutualiste qui me fera un tarif santé fonction de mon rythme de vie ? Bref, on sait où ça mène !

Donc déconnexion de l’appli officielle et recherche d’une meilleure solution ; je n’ai pas cherché longtemps, je traîne suffisamment sur la boutique F-Droid pour avoir remarqué l’application Gadgetbridge qui :

  • gère la plupart des bracelets / montres Xiaomi et les Pebble,
  • conserve les données sur l’appareil et propose même un import / export de la base de données
  • propose des fonctionnalités communes à tous les équipements supportés : activité (compteur de pas), qualification du sommeil, réveil,
  • des fonctionnalités spécifiques en fonction du type de bracelet ou de montre joliment détaillées dans cette matrice

Je n’ai pas parlé de la fonction réveil. Ca peut sembler anecdotique mais quand on est traumatisé par les sonneries à l’aube, on échange volontiers contre la douce vibration du bracelet.

gadget bridge

Récemment je suis passé dans le mode d’utilisation connecté au téléphone alors que je refusais, au début, ce fil à la patte. Mais avec ces téléphones Android un peu récents, tous identiques, rectangulaires, sans saveur où les constructeur ont le droit de choisir la taille et la qualité de l’appareil photo mais surtout aucune personnalisation matérielle non validée par le dieu Google, on n’a même plus la LED de notification qu’on trouvait sur les premiers modèles et on se retrouve finalement à les allumer régulièrement juste pour vérifier si on n’a pas raté un appel ou un SMS important. J’ai donc commencé à utiliser le mode notification du bracelet en environnement professionnel.

La notification sur le bracelet Mi Band 2 est minimale : on sait que le téléphone (en vibreur dans un coin) sonne ou qu’on a reçu un message. C’est déjà pas mal et ça m’a donné envie de passer au niveau supérieur avec la montre Xiaomi Amazfit Bip qui reçoit les messages SMS, affiche le nom des correspondants des appels et peut même afficher les prévisions météorologiques. Pour le reste on retrouve les fonctionnalités du bracelet Mi Band (someil, activité) et la même technologie d’écran qui fournit une autonomie de plusieurs semaines. C’est ce qui a entériné mon choix d’ailleurs, je fuis les montres qu’il faut recharger chaque soir.

C’est donc mon cadeau d’anniversaire (merci M. de mon coeur), étrenné depuis 2 semaines, toujours de concert avec Gadgetbridge qui est la meilleure solution pour ce matériel car il sait résoudre le problème des accents. En effet, la montre propos un firmware chinois et un firmware anglais pour l’international. Soit on teste des firmware non officiels pour le français, soit on reste en international ce qui est mon choix. Et dans ce cas-ci, les SMS sont épurés de leurs caractères accentués ce qui complique un peu la lecture. Gadgetbridge fournit un paramètre transcription qui remplace les accents par leur équivalent ASCII : “é” devient “e”, ce qui est bien mieux qu’un abscons symbole ¤

La fonction météo semblait mal engagée mais on trouve l’application Weather Notification sur F-DROID qui fournit les prévisions de OpenWeather Map à GadgetBridge et cela fonctionne très bien.

Enfin que serait une montre connectée sans la possibilité de changer de cadran au gré de ses humeurs. Le site Amazfitwatchfaces recense les contributions des graphistes et permet de télécharger des nouveaux cadrans. On peut créer un compte et voter pour les meilleurs artistes pour les encourager, c’est bon enfant.

watch face

Bon voilà je suis revenu sur Android et je suis connecté. A ce propose je remercie le talentueux Bunnyy pour le portage de la ROM Resurection Remix sur Samsung A5 2016 : je compte sur toi pour faire fonctionner les appels Bluetooth sous peu.

Est-ce que je suis entré dans le 21ème siècle ? un peu mais tout est loin de me plaire et j’essaie de ne choisir que les meilleurs côtés :-)

Gravatar de Yannic Arnoux
Original post of Yannic Arnoux.Votez pour ce billet sur Planet Libre.

Renault : [F29] Participez à la journée de test consacrée à GNOME 3.30

Aujourd'hui, ce vendredi 5 octobre, est une journée dédiée à un test précis : sur l'environnement de bureau GNOME. En effet, durant le cycle de développement, l'équipe d'assurance qualité dédie quelques journées autours de certains composants ou nouveautés afin de remonter un maximum de problèmes sur le sujet.

Elle fournit en plus une liste de tests précis à effectuer. Il vous suffit de les suivre, comparer votre résultat au résultat attendu et le notifier.

En quoi consiste ce test ?

Nous juste après la diffusion de la Fedora 29 beta. L'environnement de bureau GNOME est celui par défaut depuis les débuts de Fedora il y a 13 ans.

L'objectif est de s'assurer que l'ensemble de l'environnement et que ses applications sont fonctionnels.

Les tests du jour couvrent :

  • La détection de la mise à niveau de Fedora par GNOME Logiciels ;
  • Le bon fonctionnement du navigateur Web ;
  • La connexion / déconnexion et changement d'utilisateurs ;
  • Le fonctionnement du son, notamment détection de la connexion ou déconnexion d'écouteurs ou casques audios ;
  • Possibilité de lancer les applications graphiques depuis le menu.

Comme vous pouvez le constater, ces tests sont assez simples et peuvent même se dérouler sans se forcer en utilisant simplement GNOME comme d'habitude. Donc n'hésitez pas de prendre quelques minutes pour vérifier les comportements et rapporter ce qui fonctionne ou non comme attendu.

Comment y participer ?

Vous pouvez vous rendre sur la page des tests pour lister les tests disponibles et rapporter vos résultats. La page wiki récapitule les modalités de la journée.

Si vous avez besoin d'aide lors du déroulement des tests, n'hésitez pas de faire un tour sur IRC pour recevoir un coup de main sur les canaux #fedora-test-days et #fedora-fr (respectivement en anglais et en français) sur le serveur Freenode.

En cas de bogue, il est nécessaire de le rapporter sur le BugZilla. Si vous ne savez pas faire, n'hésitez pas à consulter la documentation correspondante.

De plus, si une journée est dédiée à ces tests, il reste possible de les effectuer quelques jours plus tard sans problème ! Les résultats seront globalement d'actualité.

Gravatar de Renault
Original post of Renault.Votez pour ce billet sur Planet Libre.

Articles similaires

Goffi : Salut à Toi à la Pycon à Lille dès demain

Pour les libristes habitant près de Lille, je serai à la Pycon cette semaine avec 2 jours de sprint autour de « Salut à Toi », puis une conférence le samedi à 16:30.

Si vous n'allez pas à la Pycon (et même si vous y allez ;) ), on peut aussi se voir pour une petite bière dans le vieux Lille en soirée. Bref n'hésitez pas à me contacter si vous voulez parler décentralisation, réseaux « sociaux », XMPP et/ou politique !

Gravatar de Goffi
Original post of Goffi.Votez pour ce billet sur Planet Libre.

Articles similaires

Renault : [F29] Participez à la journée de test consacrée à DNF

Aujourd'hui, ce mercredi 3 octobre, est une journée dédiée à un test précis : sur le gestionnaire de paquets DNF. En effet, durant le cycle de développement, l'équipe d'assurance qualité dédie quelques journées autours de certains composants ou nouveautés afin de remonter un maximum de problèmes sur le sujet.

Elle fournit en plus une liste de tests précis à effectuer. Il vous suffit de les suivre, comparer votre résultat au résultat attendu et le notifier.

En quoi consiste ce test ?

DNF est le gestionnaire de paquets principal et par défaut de Fedora. Cet outil est donc un composant central de la distribution, il est responsable de l'installation et de la mise à jour des logiciels sur votre système. C'est pourquoi la fiabilité doit être fondamentale.

DNF 3 débarque sur Fedora 29 avec pas mal de changements à la clé. Il est nécessaire de s'assurer de sa fiabilité avant la version finale.

Les tests du jour couvrent :

  • La mise à jour, installation, suppression de paquets standards. Test des options et de la compatibilité avec YUM également.
  • La gestion des paquets de langues, installation et suppression.

Comme vous pouvez le constater, ces tests sont assez simples et peuvent même se dérouler sans se forcer en utilisant simplement DNF comme d'habitude. Donc n'hésitez pas de prendre quelques minutes pour vérifier les comportements et rapporter ce qui fonctionne ou non comme attendu.

Comment y participer ?

Vous pouvez vous rendre sur la page des tests pour lister les tests disponibles et rapporter vos résultats. La page wiki récapitule les modalités de la journée.

Si vous avez besoin d'aide lors du déroulement des tests, n'hésitez pas de faire un tour sur IRC pour recevoir un coup de main sur les canaux #fedora-test-days et #fedora-fr (respectivement en anglais et en français) sur le serveur Freenode.

En cas de bogue, il est nécessaire de le rapporter sur le BugZilla. Si vous ne savez pas faire, n'hésitez pas à consulter la documentation correspondante.

De plus, si une journée est dédiée à ces tests, il reste possible de les effectuer quelques jours plus tard sans problème ! Les résultats seront globalement d'actualité.

Gravatar de Renault
Original post of Renault.Votez pour ce billet sur Planet Libre.

Articles similaires

System Linux : MongoDB la base...

mongodb.png

Installation et administration.

Documentation officielle :

https://docs.mongodb.com/manual/tutorial/install-mongodb-on-ubuntu/

A savoir : Mongodb préfère le XFS au EXT4.

apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 9DA31620334BD75D9DCB49F368818C72E52529D4 echo "deb [ arch=amd64 ] https://repo.mongodb.org/apt/ubuntu trusty/mongodb-org/4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list ls /etc/apt/sources.list.d/ apt-get update apt-get install libcurl3 openssl apt-get install -y mongodb-org

Repertoire Data :

data : /var/lib/mongodb

Fichiers journaux :

/var/log/mongodbpar

A savoir, les tables sont appelées Collections dans MongoDB.

Modifier le fichier de conf :

vi /etc/mongod.conf bindIp: 172.23.3.101,127.0.0.1

Démarrer le service :

systemctl start mongod

Ce connecter au shell :

mongo

Sauvegarde et Restauration :

mongodump mongodump --port 27017 -u "admin" -p "password" --authenticationDatabase "admin" 2018-10-01T12:23:59.618+0200 writing admin.system.users to 2018-10-01T12:23:59.637+0200 done dumping admin.system.users (2 documents) 2018-10-01T12:23:59.638+0200 writing admin.system.version to 2018-10-01T12:23:59.657+0200 done dumping admin.system.version (2 documents) monrestore mongorestore --port 27017 -u "admin" -p "password" --authenticationDatabase "admin" 2018-10-01T12:43:44.100+0200 using default 'dump' directory 2018-10-01T12:43:44.100+0200 preparing collections to restore from 2018-10-01T12:43:44.120+0200 restoring users from dump/admin/system.users.bson 2018-10-01T12:43:44.266+0200 done

Gestion mémoire modif kernel :

vi /etc/systemd/system/mongodb-hugepage-fix.service (*) systemctl daemon-reload systemctl enable mongodb-hugepage-fix systemctl start mongodb-hugepage-fix systemctl restart mongod cat /sys/kernel/mm/transparent_hugepage/defrag always madvise [never]

(*) Unit Description=“Disable Transparent Hugepage before MongoDB boots” #WARN: check service name on your system # If you are using MongoDB Cloud, service name is “mongodb-mms-automation-agent.service” Before=mongodb.service

Service Type=oneshot ExecStart=/bin/bash -c 'echo never > /sys/kernel/mm/transparent_hugepage/enabled' ExecStart=/bin/bash -c 'echo never > /sys/kernel/mm/transparent_hugepage/defrag'

Install #WARN: check service name on your system # If you are using MongoDB Cloud, service name is “mongodb-mms-automation-agent.service” RequiredBy=mongodb.service

Afficher la Version de mongodb :

db.version()

Monitoring live :

mongostat et mongotop

Lister les comptes :

db.getUsers() ou show users

Création du compte superadmin :

db.createUser( { user: "admin", pwd: "password", roles:["root"] })

Ajout rôle/droits :

db.grantRolesToUser( "admin", [ "userAdminAnyDatabase" ] )

Changer de mot de passe :

db.changeUserPassword("username", "newPass")

Supprimer un utilisateur :

db.dropUser("username")

Connexion Shell authentifié :

mongo --port 27017 -u "admin" -p "password" --authenticationDatabase "admin"

Visu basic :

show dbs show collections

Petit ;) à Toyotarō

Dropage base :

db.dropDatabase()

Dropage table :

db.mycollection.drop()

Pour aller un peu plus loin :

https://buzut.fr/commandes-de-base-de-mongodb/

Gravatar de System Linux
Original post of System Linux.Votez pour ce billet sur Planet Libre.

Articles similaires

Cyprien Pouzenc : SSH, pour se connecter en ligne de commande à un ordinateur distant

Logo de OpenSSH

Cet article est le premier d'une série de quatre :

  1. SSH, pour se connecter en ligne de commande à un ordinateur distant
  2. SSH, se connecter sans mot de passe à l'aide de la cryptographie (à venir)
  3. Reverse SSH, pour se connecter à un ordinateur distant protégé par un pare-feu (à venir)
  4. SSH, des tunnels pour tous les services (à venir)

En administration système, il est très courant de devoir prendre le contrôle à distance d'un autre ordinateur — souvent, il s'agit d'un serveur. Pour cela, on utilise SSH qui permet de se connecter en ligne de commande de manière sécurisée. Un client SSH doit être installé sur la machine qui souhaite se connecter à l'ordinateur distant, sur lequel doit être installé un serveur SSH. Bien souvent, il n'est pas nécessaire d'installer de client SSH ; les distributions GNU/Linux les plus répandues en sont dotées par défaut.

OpenSSH est l'implémentation SSH la plus répandue. Cet article décrit l'installation de openssh-server sur une distribution Debian GNU/Linux, ainsi que quelques cas d'usages simples.

Logo de OpenSSHLogo de OpenSSH Informations techniques

Nom du programme : OpenSSH
Version utilisée : 7.4
Licence : BSD
Auteur : OpenBSD
Site web du projet : https://www.openbsd.org
Site web du programme : https://www.openssh.com

Distribution utilisée : Debian GNU/Linux 9.5 « Stretch »

SSH (article Wikipédia) : https://fr.wikipedia.org/wiki/Secure_Shell
OpenSSH (article Wikipédia) : https://fr.wikipedia.org/wiki/OpenSSH

Dans un premier temps, nous allons considérer que l'ordinateur client et l'ordinateur distant auquel on souhaite se connecter sont sur le même réseau local. L'ordinateur client depuis lequel on souhaite se connecter à distance se nomme CLIENT. USER_B est l'utilisateur standard de l'ordinateur auquel on souhaite se connecter à distance, nommé SERVEUR_B. Tous les ordinateurs utilisés sont propulsés par une distribution Debian GNU/Linux.

Connexion directe Connexion directe

La première étape consiste à installer un serveur SSH sur l'ordinateur SERVEUR_B.

Installation du serveur OpenSSH sur SERVEUR_B

Se connecter en tant que super-utilisateur :

su -

Installer le serveur OpenSSH :

apt install openssh-server

Se déconnecter :

exit Se connecter à SERVEUR_B depuis CLIENT

Depuis l'ordinateur client, on peut désormais se connecter au serveur :

ssh USER_B@IP_SERVEUR_B

Où IP_SERVEUR_B est ici le nom de domaine de l'ordinateur SERVEUR_B, ou bien son adresse IP locale. Après avoir tapé le mot de passe de l'utilisateur USER_B qui est demandé, on est bien connecté au serveur.

Se connecter à un serveur véritablement distant

Si le serveur est situé en dehors du réseau local, cela peut se compliquer. Si, par des règles de routage ou quelque autre raison, le serveur est directement accessible par un nom de domaine ou une adresse IP publique, la commande pour s'y connecter est identique.

Connexion via un pare-feu convenablement configuré Connexion via un pare-feu convenablement configuré

Par défaut, le port de connexion SSH est le 22. Si, par des règles de routage ou un changement de configuration du serveur, le port de connexion s'avère différent, il faut l'indiquer dans la ligne de commande :

ssh -p PORT USER_B@IP_SERVEUR_B

Où PORT est le numéro du port à utiliser.

Sauter d'un serveur à l'autre

Il est parfois difficile de traverser certains pare-feux qui n'ont pas été configurés pour permettre l'accès à tous les serveurs souhaités. Il est néanmoins possible de se connecter de proche en proche. Imaginons que CLIENT souhaite se connecter à SERVEUR_B, mais que ce dernier ne lui est pas directement accessible. En revanche, SERVEUR_A peut parfaitement se connecter à SERVEUR_B. Si CLIENT peut se connecter à SERVEUR_A, il peut ensuite se connecter à SERVEUR_B depuis SERVEUR_A.

Connexion par rebond Connexion par rebond

Depuis CLIENT :

ssh USER_A@IP_SERVEUR_A

Une fois connecté à SERVEUR_A :

ssh USER_B@IP_SERVEUR_B

Cette méthode est applicable quel que soit le nombre de serveurs intermédiaires. Néanmoins, plutôt que de répéter une même commande à chaque fois, il est possible de se connecter à SERVEUR_B depuis CLIENT — en passant par SERVEUR_A — en une seule fois :

ssh -J USER_A@IP_SERVEUR_A USER_B@IP_SERVEUR_B

Ces premiers cas d'usages sont très simples et ne devraient pas poser de problème. Nous verrons plus tard comment traiter des cas plus complexes, et comment remplacer l'authentification par mot de passe par une authentification cryptographique.

Article sous licence Creative Commons BY-SA 3.0 France.

Gravatar de Cyprien Pouzenc
Original post of Cyprien Pouzenc.Votez pour ce billet sur Planet Libre.

Renault : [F29] Participez à la journée de test consacrée à la version Atomic / Cloud

Aujourd'hui, ce lundi 1er octobre, est une journée dédiée à un test précis : sur l'image Atomic / Cloud de Fedora. En effet, durant le cycle de développement, l'équipe d'assurance qualité dédie quelques journées autours de certains composants ou nouveautés afin de remonter un maximum de problèmes sur le sujet.

Elle fournit en plus une liste de tests précis à effectuer. Il vous suffit de les suivre, comparer votre résultat au résultat attendu et le notifier.

En quoi consiste ce test ?

La version Cloud de Fedora est un des trois produits officiels du projet avec Workstation et Server. Son but est d'être une image très minimale pour être instanciée de nombreuses fois dans le cadre d'un infrastructure Cloud afin de remplir le rôle d'un service. Cependant, contrairement aux deux autres produits, la version Cloud est mise à jour très régulièrement (de nouvelles images sont disponibles toutes les quelques semaines seulement, contre 6-7 mois en moyenne pour les autres).

Une nouveauté qui commence à s'installer est la mise à disposition de Fedora Workstation Atomic. Jusque là, seule l'image Cloud bénéficiait de ce système. Ce travail provient du projet Atomic qui repose lui même sur rpm-ostree dont l'un des buts est de versionner le système pour améliorer la fiabilité du système en cas d'installation ou de mise à jour d'un programme en autorisant un retour en arrière très simplement et avec des opérations qui sont atomiques (d'où le nom). Il est également aisé de voir ce qui a changé dans le système, notamment si l'utilisateur a changé des fichiers de configuration importants et ce qu'il a appliqué. Le système est également plus orienté utilisation d'applications dans un conteneur (comme les Flatpak) et les répertoires systèmes sont mieux isolés, par exemple /usr est par défaut en lecture seule.

Les tests du jour couvrent :

  • Est-ce que l'image démarre correctement, permet de se connecter et si les services se base se lancent bien et que SELinux remplit son rôle ;
  • Vérifier si la gestion de Docker ou Atomic (installation, mise à jour, retour en arrière) fonctionne correctement ;
  • Lancement des applications ;
  • Vérifier la compatibilité avec le cloud Amazon et OpenStack ;
  • S'assurer que l'image Atomic Workstation fonctionne avec ses spécificités : installation du système, Flatpak et GNOME Logiciels pour les notifications et installer des programmes.

Si vous êtes intéressés par l'aspect Cloud de cette image ou par l'ajout d'Atomic dans Fedora Workstation, je vous invite à les tester, elles bénéficient en effet de relativement peu de retours pour le moment. La moindre aide est appréciée, merci.

Comment y participer ?

Vous pouvez vous rendre sur la page des tests pour lister les tests disponibles et rapporter vos résultats. La page wiki récapitule les modalités de la journée.

Si vous avez besoin d'aide lors du déroulement des tests, n'hésitez pas de faire un tour sur IRC pour recevoir un coup de main sur les canaux #fedora-test-days et #fedora-fr (respectivement en anglais et en français) sur le serveur Freenode.

En cas de bogue, il est nécessaire de le rapporter sur le BugZilla. Si vous ne savez pas faire, n'hésitez pas à consulter la documentation correspondante.

De plus, si une journée est dédiée à ces tests, il reste possible de les effectuer quelques jours plus tard sans problème ! Les résultats seront globalement d'actualité.

Gravatar de Renault
Original post of Renault.Votez pour ce billet sur Planet Libre.

Articles similaires

Journal du hacker : Liens intéressants Journal du hacker semaine #39

Pour la 39ème semaine de l'année 2018, voici 10 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

Pour ne plus rater aucun article de la communauté francophone, voici :

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Gravatar de Journal du hacker
Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Articles similaires

Simon Vieille : Nouvelle interface pour le blog

Cette semaine a été mise en ligne cette nouvelle interface de blog. Cette refonte graphique m'a permis de réécrire une partie du code de l'administration et de revoir complétement celui moteur qui présente les articles.

Beaucoup de choses ont été supprimées afin d'alléger le chargement des pages. Quasiment pas de javascript et le peu de code présent est réalisé sans framework. Adios Jquery !

J'en ai également profiter pour changer le framework CSS Bootstrap. Aujourd'hui c'est avec WireCSS que l'interface est gérée. C'est simple, minimaliste et c'est ce dont j'avais besoin.

Depuis quelques mois maintenant, le blog est vraiment orienté développement/adminsys et beaucoup de code est affiché dans les articles. C'est aussi l'une des raisons qui m'a amené à refrondre le site. Tout est fait pour mettre en avant ce contenu technique. D'ailleurs, qui dit technique dans les articles, dit également technique dans les commentaires, c'est pourquoi il est maintenant possible de les éditer en markdown. J'en ai profité pour réaliser une page d'aide afin d'accompagner les lecteurs dans leur rédaction.

Pour celles et ceux qui consultent le blog autrement que par RSS, j'espère que cette interface vous plait !

Gravatar de Simon Vieille
Original post of Simon Vieille.Votez pour ce billet sur Planet Libre.

Dimitri Robert : À quoi sert Inkscape ? Épisode 2

Deuxième épisode de « À quoi sert Inkscape » (qui dit deuxième, dit troisième…). Vous pouvez voir ou revoir le premier épisode.

Cette fois-ci encore, quelques exemples simples (faire un engrenage, une bulle de BD, déformer un dessin). Un rapide exemple de comment utiliser l’extension « Numéroter les nœuds » pour faire un dessin à tracer pour vos enfants.

Puis quelques dessins un peu plus évolués :

  • jouer avec le texte en créant des clones

Jouer avec le texte et les clones avec Inkscape

  • dessiner un chapiteau

Dessiner un chapiteau avec Inkscape

  • dessiner et propager de l’herbe grâce à l’outil Spray

Dessiner de l'herbe avec Inkscape

La vidéo :

L’article À quoi sert Inkscape ? Épisode 2 est apparu en premier sur Formation logiciel libre.

Gravatar de Dimitri Robert
Original post of Dimitri Robert.Votez pour ce billet sur Planet Libre.

Articles similaires

genma : Devenir SysAdmin d'une PME - La gestion des mots de passe

Nouveau billet de ma série "Devenir SysAdmin d'une PME" avec cette fois ci, la gestion des mots de passe.

Dans ce billet, les annuaires ldap et les mots de passe unique pour différentes applications sont exclus de ce billet, je ne parlerai que des mots de passe classique dont a besoin le sysadmin, à savoir les mots de passe compte admin pour les machines et les comptes liés aux services.

Gestion des mots de passe...

Quand j'ai repris le service, la tranmission des mots de passe s'est fait de façon assez simple : export des mots de passe stockés dans Firefox pour tous les mots de passe webs, communication des deux / trois mots de passe (utilisateur et root) utilisés un peu partout, les autres mots de passe étant stockés dans le wiki...

Mais ça c'était avant.

Mise en place d'une gestion des mots de passe

L'ayant fait pour moi-même, il y a quelques années, avec un passage sous Keepaas et la réinitialisation et individualisation de TOUS mes mots de passe, j'ai décidé de faire la même chose. A savoir :

- Mettre en place un conteneur Keepass
- Réinitialiser un à un tous les mots de passe pour chaque outil

Pourquoi Keepass ? Mon objectif était simple : avoir une gestion des mots de passe simple et efficace. Et je connaissais Keepass, quelques-uns des membres de mon équipe le connaissais aussi et l'utilise à titre personnel, nous sommes donc partie sur cet outil.

J'ai donc créer un conteneur, et ajouter un à un les comptes en réinitialisant et regénérant les mots de passe de la taille maximum et aléatoire dans Keepas. Long et fastieux, mais nécessaire. Pour le stockage de façon centralisé, le conteneur Keepas de référence est déposé dans un espace dédidé sur notre instance Gitlab (qui est également utilisée pour ses différents outils en dehors de la gestion du code, voir mon billet Lifehacking - Gitlab, outil idéal ?. Mais il aurait pu tout à fait être envisagé le dépôt du conteneur sur un serveur Nextcloud et avoir une synchronisation avec le client sur les différents PC des collaborateurs ayant besoin de ces mots de passe.

Si c'est à refaire et ce qu'il reste à améliorer...

Le problème n'est pas dans le partage : les personnes qui doivent connaître la phrase de passe ont également accès au dépôt Gitlab. Pour gérer des besoins plus fins, nous avons créer différents conteneurs Keepass, un par service, pour gérer des niveaux et cloisonner les mots de passe. Le problème est dans la gestion des conflits : il faut se coordonner quand on doit mettre à jour le contenu d'une base Keepaas. On ne peut pas être deux à ajouter un compte ou modifier un mot de passe, il faut le faire à tour de rôle...

Sur ce point, je commence donc à regarder du côté des autres outils, avec un mode web / en ligne et j'ai identifié deux outils :
-HashiCorp Vault (Billet annonçant cet outil) par la société qui est derrière Vagrant, Terraform...
-Bitwarden une alternative à LastPass, en mode web
-Nextcloud - Passman

Et il y a également les bonnes pratiques pour les mots de passes root des machines. Les connexions aux serveurs du parc se font via SSH avec une connexion par clef et des droits "sudo", mais il y a des comptes root sur des machines pour lesquelles je n'ai pas encore définie de politique de gestion des mots de passe (il faut que je me renseigne sur l'état de l'art à ce sujet).

Les mots de passes des comptes et applications webs eux sont plus faciles à gérer / changer, mais il faut trouver un bon équilibre dans la rotation des mots de passe (Keepass proposant de définir des dates d'expiration, cela aide bien) et c'est une tâche longue et fastidieuse à planifier régulièrement...

Gravatar de genma
Original post of genma.Votez pour ce billet sur Planet Libre.

Littlewing : Installer docker ce sur Debian 9

Bon, ça fait quelques temps que je n’ai rien posté…
Voici un rapide tuto pour installer docker-ce sur une debian9. Oui, je sais, docker est déjà présent sur les dépôts, mais si vous souhaitez avoir une version un peu plus récente, vous pouvez passer par l’installation de la version ce fournie par docker.

Pré-requis

Supprimer les éventuelles installations de docker et docker-compose

#apt-get remove docker docker-compose Installation

Lancer les commandes suivantes:

# apt-get install apt-transport-https ca-certificates # curl -fsSL https://download.docker.com/linux/debian/gpg | apt-key add - # add-apt-repository \\ "deb [arch=amd64] https://download.docker.com/linux/debian \\ $(lsb_release -cs) \\ stable"

Puis lancer

# apt update # apt install docker-ce Installation de docker-compose

Lancer les commandes suivantes:

# curl -L "https://github.com/docker/compose/releases/download/1.22.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose # chmod a+x /usr/local/bin/docker-compose Configuration des droits

Pour lancer docker depuis un utiliser non root, il faut lancer les commandes suivantes:

# groupadd docker # adduser monutilisateur docker # usermod -aG docker monutilisateur

Après ceci, vaut mieux redémarrer le pc …

Configuration du démon

Voici quelques config à appliquer pour que le démon soit accessible par des outils tels que le plugin maven ou encore configurer l’accès à un proxy

Configuration du port

Exécuter la commande:

# systemctl edit docker.service

Entrer le code suivant:

[Service] ExecStart= ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

Et l’enregistrer sous /etc/systemd/system/docker.service.d/docker.conf

Configuration du proxy

Avec la même commande

# systemctl edit docker.service

Entrer la configuration suivante:

[Service] Environment="HTTP_PROXY=http://mon_proxy:mon_port/" Environment="NO_PROXY=127.0.0.1" Activation des configurations

Lancer les commandes suivantes:

# systemctl daemon-reload # systemctl restart docker Validation

Maintenant, vous pouvez valider votre configuration avec la commande:

$ docker run hello-world

Gravatar de Littlewing
Original post of Littlewing.Votez pour ce billet sur Planet Libre.

Articles similaires

Thuban : LibreSSL 2.8.1

La version 2.8.1 de LibreSSL est sortie ce matin. C'est la seconde version de la série 2.8.x - qui fera éventuellement partie d'OpenBSD 6.4.

Les changements sont les suivants - et ils sont nombreux :

  • Ajout des vecteurs de test Wycheproof pour ECDH, RSASSA-PSS, AES-GCM, AES-CMAC, AES-CCM, AES-CBC-PKCS5, DSA, ChaCha20-Poly1305, ECDSA, X25519 et application des correctifs appropriés pour les erreurs découvertes par le test.
  • Génération et vérification simplifiées de la signature d'échange de clé.
  • Fixe le dépassement de tampon d'un octet dans les appels de EVP_read_pw_string
  • Conversion de plusieurs chemins de code pour utiliser CBB / CBS. Tous les messages de poignée de main sont maintenant créés par CBB.
  • Corrige de nombreuses failles mémoire trouvées par Coverity.
  • Analyse et gestion simplifiées des tickets de session, inspirées par BoringSSL.
  • Signature modifiée de CRYPTO_mem_leaks_* vers return -1. Cette fonction est une no-op dans LibreSSL, donc elle renvoie une erreur pour ne pas indiquer la (non) existence des fuites de mémoire. 
  • SSL_copy_session_id, PEM_Sign, EVP_EncodeUpdate, BIO_set_cipher, X509_OBJECT_up_ref_count maintenant retourne un entier (int) pour la gestion des erreurs correspondantes à OpenSSL.
  • Correction d'un certain nombres de #define en fonctions correctes, correspondant à ABI d'OpenSSL.
  • Ajout X509_get0_serialNumber d'OpenSSL.
  • Suppression de EVP_PKEY2PKCS8_broken et de PKCS8_set_broken, et ajout de PKCS8_pkey_add1_attr_by_NID et de PKCS8_pkey_get0_attrs, correspondant à OpenSSL. 
  • Suppression des formats pkcs8 cassés d'OpenSSL(1).
  • Conversion de plusieurs fonctions dans l'API publique pour utiliser les arguments const.
  • Arrêt de la gestion de AES-GCM dans ssl_cipher_get_evp depuis l'usage d'EVP_AEAD.
  • Arrête l'utilisation du composite EVP_CIPHER AEAD. 
  • Ajout de la comparaison des time-safes pour vérifier les résultats des vérifications de signature. Aucune attaque connue, c'est juste une prudence à peu de frais.
  • Corrige proprement l'état du chiffrement actuel, quand l'état du chiffrement change. Cela corrige un problème là où la renégociation des suites de chiffrement échouerait lors de la bascule de AEAD vers des non AEAD, et vice-versa. Issue rapportée par Bernard Spil.
  • Ajout de tests supplémentaires de chiffrement vers appstest.sh, incluant tous les chiffrements TLS v1.2
  • Ajoute les fonctions RSA_meth_get_finish() et RSA_meth_set1_name() d'OpenSSL.
  • Ajoute la nouvelle API EVP_CIPHER_CTX_(get|set)_iv() pour permettre au vecteur d'initialisation IV d'être récupéré et de paramétrer la validation appropriée.

Le projet LibreSSL continue d'améliorer la base du code en tenant compte des pratiques modernes pour créer du code sécurisé. Chacun est invité à faire part de commentaires et autres améliorations à la communauté. Merci à tous les contributeurs qui aident à rendre possible cette version du projet.

Gravatar de Thuban
Original post of Thuban.Votez pour ce billet sur Planet Libre.

Framablog : Des métacartes « Dégooglisons Internet », Framasoft double vos dons ce jeudi 27 septembre

Cet été, à l’occasion de notre venue au Forum des Usages Coopératifs de Brest, Framasoft s’est vue remettre un prototype de jeu « Métacartes ». Prototype que nous avons pu immédiatement tester quelques jours plus tard lors des Rencontres Mondiales du Logiciel Libre, à Strasbourg, pour deux sessions d’animation : la première sur la situation et l’avenir des Groupes d’Utilisateurs de Logiciels Libres, et la seconde avec les membres du collectif CHATONS.

L’outil nous a paru intéressant et à soutenir. C’est pourquoi lorsque les concepteurs du projet nous ont contactés avec l’idée de produire des « Métacartes Dégooglisons Internet », nous n’avons pas hésité à répondre présents ! Nous pensons en effet qu’il pourrait être très utile (et efficace !) d’avoir un jeu de cartes – virtuelles, mais aussi physiques – permettant de présenter les nombreux services Dégooglisons Internet. Que le public puisse les « prendre en main » (littéralement !), les évaluer, les classer, en comparer les principales fonctionnalités, etc.

Nous leur avons proposé le soutien suivant : les dons effectués pendant toute la journée du jeudi 27 septembre seront doublés par Framasoft (dans la limite d’un don total de 800€ par Framasoft). Autrement dit, si le projet cumule — par exemple — 442€ de dons le 27 septembre, Framasoft fera un don de 442€ au projet.

Reste donc à vous présenter le projet Métacartes en détail, c’est pourquoi nous avons contacté Mélanie et Lilian, à l’origine de ce projet.

Prototype du jeu de Métacarte « Faire ensemble »

Prototype du jeu de Métacarte « Faire ensemble »

Bonjour Mélanie et Lilian, pouvez-vous vous présenter ?

Bonjour !

Mélanie Lacayrouze, je viens de l’enseignement après un passage par des labos de physique… Je suis facilitatrice graphique. En gros : je dessine sur les murs, et j’aide les gens à clarifier leur vision par le dessin ! Je suis aussi facilitatrice de projets collaboratifs.

Lilian Ricaud, j’ai moi aussi un parcours non linéaire ! Je suis facilitateur et formateur. J’accompagne les collectifs dans la mise en œuvre de stratégies de co-construction.

Vous avez lancé un financement participatif autour d’un projet : les Métacartes. Mais… c’est quoi des métacartes ?

Les métacartes, on peut les définir de plusieurs façons.

Physiquement, ce sont des cartes, en papier, reliées à une ressource en ligne via un QR code.

Chaque carte présente un outil ou un concept-clé, et elle est rédigée de manière à faire ressortir l’essentiel du sujet.

On peut donc les utiliser pour manipuler des concepts et des savoirs avec ses mains, tout en ayant la possibilité d’aller facilement chercher la ressource numérique pour aller approfondir.

Après la définition physique des métacartes, on peut donner une définition globale du projet : il s’agit d’un ensemble de cartes qui reliées entre elles forment des combinaisons. Et tout va se jouer dans la puissance de ces combinaisons.

Enfin, au-delà du format lui-même on peut aussi les voir comme un média avec une ligne éditoriale particulière.

Notre société actuelle est dominée par des pratiques mortifères et prédatrices (compétition, manipulation, espionnage…). Par opposition à ces pratiques mortifères, nous choisissons de mettre en valeur spécifiquement des outils ou connaissances « vivifiants », c’est à dire qui favorisent un changement positif et nourricier/nourrissant, respectueux des humains et des écosystèmes qui les portent.

Le tout premier jeu de cartes de Métacartes que nous lançons se nomme « Faire Ensemble » et propose des méthodes créatives et collaboratives pour améliorer les réunions et les rencontres.

Métacartes en situation

Pouvez-vous nous présenter un exemple pratique d’usage de ces cartes, une mise en situation ?

Prenons un⋅e facilitateur⋅rice qui veut construire la séquence d’un évènement avec le client.

Il faut définir d’abord les objectifs : se rencontrer, faire émerger des idées, produire une trace, prioriser les actions à venir, faire un bilan, …

Ensuite, pour chaque objectif, on parcourt le jeu de cartes, et on choisit un/plusieurs formats qui peuvent convenir.

Exemple de préparation d'une journée d'animation à l'aide de métacartes

Exemple de préparation d’une journée d’animation à l’aide de métacartes

 

Au besoin, on peut aller vers la ressource en ligne pour avoir plus de précisions ou bien faire son choix autrement (originalité, déjà pratiqué avec succès…).

Mais les métacartes ne s’adressent pas qu’aux pros de l’animation ! Prenons un groupe qui se retrouve pour un atelier ou une réunion. Ses membres peuvent parcourir ensemble le jeu et cela va les aider à réfléchir à leur objectif, et au format le plus adapté pour y arriver.

D’où vous est venue l’idée de ce projet ?

Lilian : j’avais commencé à faire une collection de méthodes collaboratives d’abord sur support numérique puis sur papier sous forme de cartes faites maison et je les ai utilisées dans ma pratique professionnelle plusieurs années. Puis début 2018, j’ai commencé à travailler avec Mélanie Lacayrouze sur un format plus complet : les métacartes. Nous avons fait plusieurs itérations, des interviews d’utilisateurs, des ateliers tests pour obtenir des retours et aboutir à la version que nous allons imprimer.

Il y a actuellement un « bonus » en cours : si le financement atteint 200 %, vous produirez — en plus — des métacartes relatives au projet « Dégooglisons Internet ». En quoi cela consiste-il ?

On est tous les deux très sensibles aux enjeux du libre, et donc on suit depuis longtemps à la démarche de Framasoft. Nos contenus de formations sont tous sous licence Creative Commons BY-SA !
L’idée de dégoogliser Internet, on tente de l’appliquer dans nos cercles proches depuis plusieurs années.

En tant que formateurs dans le coopératif, nous voyons aussi des réticences à l’usage du numérique chez certains de nos publics. On pense qu’avoir un « jeu » de cartes papiers ça peut aider à vulgariser, à favoriser l’usage d’outils numériques collaboratifs libres.

Sur le contenu de ce jeu : ce n’est pas finalisé, pour l’instant, mais nous envisageons des cartes outils présentant les différents services avec un condensé compréhensible par le grand public.

On pourrait aussi ajouter quelques cartes concepts pour expliciter des incontournables libristes.

Sur la ressource en ligne nous pensons compléter avec des contenus de formation, tutos, eux mêmes sous licences libres, ainsi que des liens vers les différents CHATONS qui proposent le service. L’idée est de commencer simple, avec une ressource évolutive qui sera enrichie par la suite.

Dans tous les cas, le jeu sera conçu en collaboration avec Framasoft. Comme nos contenus respectifs sont libres, pas besoin de repartir de zéro, c’est la force du libre !

Ce jeu de cartes sera accessible et téléchargeable gratuitement et librement, à la fois les contenus et les modèles.

Sur les délais, pour l’instant nous sommes en train de finir le jeu métacartes du faire-ensemble pour une sortie en décembre ; on travaillera sur le jeu « Dégooglisons Internet » début 2019 pour une sortie au début du printemps !

Les différents éléments d'une métacarte

Les différents éléments d’une métacarte

Merci ! Il est d’usage de laisser la possibilité aux personnes interviewées de se poser « La question qu’on ne leur a pas posée » (et d’y répondre, évidemment !). Alors, une dernière question ?

« Est ce que vous pensez que les cartes sont le nouveau livre ? »

Oui. Nous pensons que les livres ont été et resteront utiles. Cet assemblage de pages permet de mettre à plat par écrit un raisonnement sur un sujet pour pouvoir transmettre des idées à plein de gens même loin dans l’espace et le temps. Augmenté par le numérique le format livre permet de partager instantanément des connaissances à grande échelle.

Mais lorsqu’il s’agit de travailler sur un sujet complexe avec un outil linéaire comme un livre ou un pad, forcément, on est limité ! Pouvoir manipuler les cartes (comme des post-its…) permet de faire des combinaisons, des enchaînements, et de visualiser tout ça. C’est alors un moyen puissant.

Et puis rien n’empêche de saisir le tout en co-écrivant ensemble sur un pad pour le partager. Nous séquençons les outils et les usages pour en tirer le meilleur.

 

Pour soutenir le projet : https://fr.ulule.com/metacartes-faire-ensemble/

Rappel : les dons effectués pendant toute la journée du jeudi 27 septembre seront doublés par Framasoft (dans la limite d’un don total de 800€)

Gravatar de Framablog
Original post of Framablog.Votez pour ce billet sur Planet Libre.

Articles similaires

Pages