Planet Libre

Thuban : Syspatch : patch server X - multi-arch - 6.3+6.4

L'équipe OpenBSD vient de nous livrer un correctif à destination du serveur X.

Le serveur X Xorg valide de manière incorrecte certaines options, permettant l'écriture arbitraire de fichiers.
Le binaire Xorg peut être (temporairement) désactivé par l'usage de la commande suivante :

chmod u-s /usr/X11R6/bin/Xorg

Celui-ci est le premier patch pour la 6.4 et le 20ème pour la 6.3 !

Il n'est pas nécessaire de redémarrer votre machine, mais seulement le serveur X. ;-)

Architectures concernées : amd64, i386, arm64

Gravatar de Thuban
Original post of Thuban.Votez pour ce billet sur Planet Libre.

Thuban : LibreSSL 2.8.2

Nous avons le plaisir d'annoncer la sortie de la version 2.8.2 de LibreSSL, qui est disponible dans le répertoire du même nom dans un des miroirs d'OpenBSD. Cette annonce arrive quelques jours après la première version disponible dans OpenBSD 6.4, le 18 Octobre 2018. C'est la première version stable de la série 2.8 !

Elle inclut les modifications suivantes à celles de la v2.8.1 :

  • Ajout du support de Wycheproof pour les vecteurs de test Web Crypto ECDH et ECDSA avec les correctifs suite aux tests.
  • Corrige une faille mémoire dans nc(1)

Le projet LibreSSL continue d'améliorer la base du code en tenant compte des pratiques modernes pour créer du code sécurisé. Chacun est invité à faire part de commentaires et autres améliorations à la communauté. Merci à tous les contributeurs qui aident à rendre possible cette version du projet.

 

Gravatar de Thuban
Original post of Thuban.Votez pour ce billet sur Planet Libre.

Thuban : LibreSSL 2.8.2

Nous avons le plaisir d'annoncer la sortie de la version 2.8.2 de LibreSSL, qui est disponible dans le répertoire du même nom dans un des miroirs d'OpenBSD. Cette annonce arrive quelques jours après la première version disponible dans OpenBSD 6.4, le 18 Octobre 2018. C'est la première version stable de la série 2.8 !

Elle inclut les modifications suivantes à celles de la v2.8.1 :

  • Ajout du support de Wycheproof pour les vecteurs de test Web Crypto ECDH et ECDSA avec les correctifs suite aux tests.
  • Corrige une faille mémoire dans nc(1)

Le projet LibreSSL continue d'améliorer la base du code en tenant compte des pratiques modernes pour créer du code sécurisé. Chacun est invité à faire part de commentaires et autres améliorations à la communauté. Merci à tous les contributeurs qui aident à rendre possible cette version du projet.

 

Gravatar de Thuban
Original post of Thuban.Votez pour ce billet sur Planet Libre.

System Linux : Sysdig

sysdig.jpg

Un super outil qui peut remplacer htop, iftop, strace, tcpdump, lsof etc...

Sysdig pour de la visibilité système approfondie compatible avec les conteneurs.

Les projets open source de Sysdig constituent un moyen puissant d’observer le comportement du système, de résoudre les problèmes de performances des applications et de sécuriser des plates-formes de conteneur.

# apt install sysdig

Quelques petits exemples d'utilisation :

sysdig -c topcontainers_cpu

Lister les appels système liés aux fichiers dans /data :

sysdig "fd.name contains /data"

Liste des filtres possible :

sysdig -l

Autres sorte de filtres :

sysdig -cl

Les processus utilisant le plus le cpu :

sysdig -pc -c topprocs_cpu

Utilisation réseau par conteneur :

sysdig -pc -c topcontainers_net

Utilisations réseau par processus :

sydig -pc -c topprocs_net

Les flux réseau :

sysdig -pc -c topconns

Entrée/Sortie par processus :

sysdig -pc -c topprocs_file

Requetes http sur le conteneur monitor_grafana :

sysdig -s 2048 -A -c echo_fds "fd.port=3000 and container.name=monitor_grafana"

Fichiers lus et écrits par nginx :

sysdig -c topfiles_bytes "fd.type=file and container.name=monitor_nginx and proc.name=nginx"

Liste les clients connectés à Couchbase, par connexions établies :

sysdig -c fdcount_by fd.cip "evt.type=accept and container.name=monitor_couchbase and proc.name=couchbase"

Réseau entre deux conteneurs :

sysdig -pc -A s 2048 -c echo_fds "fd.ip=10.0.0.2 and fd.ip=10.0.0.3"

Activité entre deux processus :

sysdig -v "proc.name=nginx and proc.name=couchbase and evt.type!=gettimeofday and evt.type!=switch and evt.type!=io_getevents and evt.type!=futex and evt.type!=clock_gettime and evt.type!=epoll_wait and evt.type!=getsockopt and evt.type!=wait4 and evt.type!=select and evt.type!=semop"

Il existe un interface de type htop : Csysdig

Gravatar de System Linux
Original post of System Linux.Votez pour ce billet sur Planet Libre.

Articles similaires

genma : Yunohost - Soucis à la suppression d'une webapp

Pour faire des tests, sur mon instance Yunohost, j'avais installé une "webapp" (l'application multi_webapp). Je l'ai ensuite supprimer.
Quelques jours plus tard, pour la prise en compte d'une mise à jour du noyau, j'ai redémarré le serveur. Et je constate que les applications ne marchent pas dans Yunohost.

J'analyse. Je vois le service php7.0-fpm n'ai pas démarré.

Je tente de le lancer

# service php7.0-fpm start

Mais le service est en erreur

# journactl -xe
août 08 09:27:20 serveurYunohost php-fpm7.0[6634]: [08-Aug-2018 09:27:20] ERROR: [pool webapp_mondomaine.fr_test] the chdir path '/var/www/webapp_genma/mondomaine.fr
août 08 09:27:20 serveurYunohost php-fpm7.0[6634]: [08-Aug-2018 09:27:20] ERROR: failed to post process the configuration
août 08 09:27:20 serveurYunohost php-fpm7.0[6634]: [08-Aug-2018 09:27:20] ERROR: FPM initialization failed
août 08 09:27:20 serveurYunohost systemd[1]: php7.0-fpm.service: Main process exited, code=exited, status=78/n/a
août 08 09:27:20 serveurYunohost systemd[1]: Failed to start The PHP 7.0 FastCGI Process Manager.
-- Subject: L'unité (unit) php7.0-fpm.service a échoué

Je creuse un peu et je vois qu'il reste un fichier

/etc/php/7.0/fpm/pool.d/webapp_mondomaine.fr_test.conf

dans la configuration de PHP, qui est donc utilisé au lancement de celui-ci.

Après suppression de ce fichier à base de

# rm /etc/php/7.0/fpm/pool.d/webapp_mondomaine.fr_test.conf

Relance du service

# service php7.0-fpm start

Et c'est ok. Le service a bien redémarré. Les applications marchent.

A noter que l'interface d'administration de Yunohost est indépendante du service PHP, ce qui permet de voir que le domaine a bien été supprimé ainsi que l'application, et donc, que seul le fichier de configuration lié à php était resté.

TODO : reproduire le cas en refaisant les mêmes manipulations, pour voir s'il s'agit ou non d'un bug.

Gravatar de genma
Original post of genma.Votez pour ce billet sur Planet Libre.

Renault : [F29] Participez à la journée de test consacrée au noyau Linux 4.19

Aujourd'hui, ce jeudi 25 octobre, est une journée dédiée à un test précis : sur le noyau Linux 4.19. En effet, durant le cycle de développement, l'équipe d'assurance qualité dédie quelques journées autours de certains composants ou nouveautés afin de remonter un maximum de problèmes sur le sujet.

Elle fournit en plus une liste de tests précis à effectuer. Il vous suffit de les suivre, comparer votre résultat au résultat attendu et le notifier.

En quoi consiste ce test ?

Le noyau Linux est le cœur du système Fedora (et des autres distributions GNU/Linux). C'est le composant qui fait le lien entre les logiciels et le matériel. C'est lui qui permet aux processus de travailler ensemble sur un même ordinateur et de pouvoir utiliser les périphériques (à travers des pilotes) disponibles sur chaque machine.

C'est donc un composant critique et il est nécessaire de s'assurer qu'il fonctionne. Notons par ailleurs que l'équipe des mainteneurs du noyau chez Fedora ont décidé de faire une journée de tests systématique après la sortie d'un nouveau noyau !

Les tests du jour couvrent :

  • L'exécution des tests automatisés par défaut et ceux de performances ;
  • Vérifier que la machine démarre correctement ;
  • Vérifier que le matériel est bien exploité (affichage, claviers, souris, imprimantes, scanners, USB, carte graphique, carte son, webcam, réseau filaire et wifi, etc.)
Comment y participer ?

Vous pouvez vous rendre sur la page des tests pour lister les tests disponibles et rapporter vos résultats. La page wiki récapitule les modalités de la journée.

Si vous avez besoin d'aide lors du déroulement des tests, n'hésitez pas de faire un tour sur IRC pour recevoir un coup de main sur les canaux #fedora-test-day et #fedora-fr (respectivement en anglais et en français) sur le serveur Freenode.

En cas de bogue, il est nécessaire de le rapporter sur le BugZilla. Si vous ne savez pas faire, n'hésitez pas à consulter la documentation correspondante.

De plus, si une journée est dédiée à ces tests, il reste possible de les effectuer quelques jours plus tard sans problème ! Les résultats seront globalement d'actualité.

Gravatar de Renault
Original post of Renault.Votez pour ce billet sur Planet Libre.

Articles similaires

Miamondo : Automatiser une post-installation sur une base Debian minimale

Bonjour, Ça fait plusieurs jours que je travaille sur un projet parfaitement inutile mais qui me procure tout de même une certaine satisfaction. Je m'explique... J'ai pris l'habitude de toujours installer des images iso minimales, c'est-à dire dénuées de couche graphique et ne proposant que le strict nécessaire. C'est le cas par exemple de debian-9.5.0-i386-netinst.iso qui installe... Lire la Suite →

Gravatar de Miamondo
Original post of Miamondo.Votez pour ce billet sur Planet Libre.

Articles similaires

Cyprien Pouzenc : SSH, des tunnels pour tous les services

Miniature reverse SSH pour HTTP

Cet article est le dernier d'une série de quatre :

  1. SSH, pour se connecter en ligne de commande à un ordinateur distant
  2. SSH, se connecter sans mot de passe à l'aide de la cryptographie
  3. Reverse SSH, pour se connecter à un ordinateur distant protégé par un pare-feu
  4. SSH, des tunnels pour tous les services

Dans le précédent article, nous avons vu comment créer un tunnel SSH pour se connecter en ligne de commande à un ordinateur distant ; comment relier le port d'une machine externe au port SSH de la machine à contacter, et ainsi contourner la protection d'un pare-feu empêchant, a priori, une telle connexion. L'objet de cet article est de montrer que cette méthode peut être généralisée à l'usage de biens d'autres services que la seule connexion en ligne de commande.

Nous allons considérer ici le cas d'un serveur web installé derrière un pare-feu empêchant toute connexion directe. Nous allons ouvrir un tunnel entre le port 22280 de SERVEUR_A et le port 80 de SERVEUR_B — port par défaut d'un serveur web — grâce au SSH inversé.

Connexion au serveur web par SSH inversé, via SERVEUR_A Connexion au serveur web par SSH inversé, via SERVEUR_A

La procédure à suivre est la même que dans l'article précédent. Seule la configuration du service autossh diffère.

Configuration de SERVEUR_B

Se connecter à SERVEUR_B en tant que super-utilisateur :

su -

Créer un service systemd pour le tunnel SSH dédié au service HTTP :

vim /etc/systemd/system/autossh_http.service

Et y coller ceci :

[Unit] Description=Keep a tunnel open on port 80 After=network.target [Service] User=USER_B ExecStart=/usr/bin/autossh -o ServerAliveInterval=60 -NR 22280:localhost:80 JAIL_USER@IP_SERVEUR_A Restart=on-failure [Install] WantedBy=multi-user.target

Activer le service au démarrage du système, et le démarrer :

systemctl --now enable autossh_http.service

Se déconnecter :

exit Se connecter au serveur web

Si un site web est effectivement disponible sur SERVEUR_B, alors il peut désormais être consulté via tout navigateur web, à l'adresse suivante : http://IP_SERVEUR_A:22280.

De la même manière, il est possible d'opérer ainsi pour tout autre service hébergé par le serveur !

Article sous licence Creative Commons BY-SA 3.0 France.

Gravatar de Cyprien Pouzenc
Original post of Cyprien Pouzenc.Votez pour ce billet sur Planet Libre.

genma : Devenir SysAdmin d'une PME - La documentation

Dans ce billet, je parlerai de documentation d'administrateur système, une documentation reposant sur du texte : les commandes shell (par exemple) restent du texte ; il n'y pas de schéma réseau ou autre (ou alors sous forme d'image intégrée). L'idée ici est de résumé un peu toute l'importance de la documentation, sujet souvent négligé par manque de temps, parce que l'on pense que c'est inutile etc.

Objectif premier de la document : Prévenir la perte d'information

Pour moi, l'objectif premier est de prévenir la perte d'information. J'évoquais dans mon billet Devenir SysAdmin d'une PME - Gestion du legacy- Billet n°1, l'héritage d'une infrastructure existante vieillissante, sur laquelle des générations d'administrateurs systèmes se sont succédés, et avec eux, la perte d'information.

En effet, la plupart du temps, la transmission de connaissances se fait (ou ne se fait pas) de façon orale au sein des membres de l'équipe Lorsque ces derniers partent vers d'autres horizons, même s'il y a eu une phase de passation de connaissances, il y aura toujours une perte d'information...

Toute modification et évolution doit donc être tracée dans la foulée et non "plus tard quand on aura le temps". Sinon, ce ne sera jamais fait et c'est le début d'un cercle vicieux et infernal, et le début de la fin de la documentation…

Et ce n'est pas le jour où l'on aura besoin d'une information qu'il faut se rendre compte qu'on ne la possède plus...

Documentation : définir un standard, une charte

Pour avoir une documentation de qualité uniforme, il faut définir des standards, une sorte de charte d'écriture de la documentation, des conventions. Un exemple valant mieux qu'un long discours, je vous renvoie vers la page Conventions pour le wiki Evolix que je trouve très bien. Ont été définies les règles de nommages, les conventions pour les commandes shell, les adresses réseaux etc.
Il faut également penser à avoir un sommaire, un chapitrage (chapitre et sous-chapitre), pour organiser la documentation de façon structurée.

Documentation, documentation, documentation

Il faut trouver un équilibre en ne rien documenter et trop documenter. Mais la documentation est à faire. Vaut mieux peu de documentation que pas de documentation du tout, mais vaut également mieux de la documentation utile que trop riche et inexploitable. Pour éviter d'aller trop dans le détail, on peut par exemple indiquer des prérequis, renvoyer vers des pages existantes pour avoir plus d'informations.
Il faut que la documentation se suffise à elle-même. Mais il ne faut pas réinventer la roue à chaque fois, et il ne faut pas hésiter à faire des renvois vers d'autres pages qui expliquent en détails, vers les documentations officielles. Les liens vers des sites extérieurs peuvent être mis en complément d'information mais le contenu doit rester disponible, car si le site est temporairement indisponible ou ferme de façon définitive, on perd l'information. Je conseillerai alors de recopier des bouts de tutoriaux existants, pour se les approprier, et avoir une uniformité dans la documentation.

Documenter pour les autres

Quand on écrit une documentation, il faut penser avant tout à l'écrire pour les autres. Ce qui nous semble évident ne l'est pas forcément pour quelqu'un d'autre, il ne faut pas faire de sous-entendu. Le choix des mots est important : ne pas hésiter à mettre plusieurs mots différents dans le titre, d'autant plus s'il y a un système de recherche par mot clefs.

Il faut que la personne qui lise la documentation ait un minimum de bagage technique et l'indication de prérequis : on ne va pas réexpliquer chaque commande Shell, donner un cours de Linux ou autre.

Il faut généraliser les explications, les commandes, sauf cas particulier : idéalement, une documentation sur un sujet donné doit être applicable à l'ensemble des serveurs de l'entreprise. On essaiera autant que possible de mettre des utilisateurs génériques, des IP par défaut etc. cf la charte de l'écriture de la documentation.

Les conseils :
- faire relire la documentation écrite par quelqu'un d'autre ;
- lui faire rejouer les commandes pour valider que tout marche bien.

Documenter, c'est bien. Maintenir à jour la documentation, c'est mieux

Documenter c'est bien mais sans maintenir la documentation à jour ça ne sert à rien. Là encore, il faut trouver un équilibre. Je conseille d'indiquer une date de dernière mise à jour des informations par exemple, pour pouvoir juger au premier coup d'œil de l'obsolescence potentielle de l'information.

On peut envisager une revue de documentation régulière, un passage en revue en se basant sur la date de dernière mise à jour pour vérifier si les informations sont toujours correctes, utiles. Normalement si la documentation est bien maintenue à jour au fil de l'eau, oui, il n'y a pas de pas obsolètes ou incorrectes. Mais comme on est parfois amené à travailler dans l'urgence, que tout le monde n'a pas la même rigueur etc. cette revue de documentation n'est pas inutile.

Documenter, mais avec quel outil ?

Sur ce point, je vous renvoie vers le billet que j'avais écrit Je vous renvoie vers mon billet Lifehacking - Gitlab, outil idéal ? et plus particulièrement sur la partie concernant le wiki. En quelques mots, je conseille de trouver un outil facile, pérenne dans le temps, qui sera facilement adopté par tous.

Les critères à prendre en compte sont :
-multi-utilisateurs et possibilité d'éditer la documentation à plusieurs : le wiki Gitlab repose sur les utilisateurs Gitlab. On a un wiki par projet. On peut éditer à plusieurs, mais à tour de rôle.
-accessible hors ligne : avoir un wiki en ligne (en mode web), c'est pratique car c'est centralisé. Mais le jour où on perd la connexion réseau et que les informations pour rétablir le réseau sont sur le wiki en ligne, on est bien embêté (c'est du vécu). L'avantage d'un wiki dans Gitlab est que l'on peut cloner le wiki en local et donc avoir la documentation en mode hors-ligne.
-historisation : le wiki de Gitlab repose sur Git, on a donc bien l'historisation des pages et un suivi des modifications possibles.
- liens entres les pages : des liens hypertextes pouvant être faits pour renvoyer vers les différentes pages du wiki en lui-même, vers des liens externes (dès lors que l'on a une url).
- possibilité d'ajouter des images, des documents : il est possible d'intégrer des images directement dans le corps du texte dans le mode édition depuis le navigateur. Il est possible de faire un lien hypertexte vers un document ou un fichier qui est stocké dans un des dépôts d'un projet dans l'instance Gitlab.
- un système de recherche : il faut pouvoir recherche à base de mots clefs pour retrouver les différentes pages abordant un sujet particulier.

Sauvegarde de la documentation

Comme toutes données, la documentation doit être intégrée à la politique de sauvegarde, il faut valider que l'on sait restaurer cette documentation etc...

Conclusion

Rien ne remplacera l'expérience acquise, mais on ne peut pas tout savoir et tout retenir. De ce fait, la documentation est importante. Dans ce billet je n'abordais que l'aspect documentation du point de vue de l'administrateur système, mais beaucoup des conseils et recommandations sont aussi valables pour d'autres métiers de l'informatique (développeur par exemple), et sont sûrement adaptables et généralisables à d'autres corps de métiers.

Gravatar de genma
Original post of genma.Votez pour ce billet sur Planet Libre.

Journal du hacker : Liens intéressants Journal du hacker semaine #42

Pour la 42ème semaine de l'année 2018, voici 10 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

Pour ne plus rater aucun article de la communauté francophone, voici :

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Gravatar de Journal du hacker
Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Articles similaires

vhaguer : Conteneurs chiffrés pour documents envoyés à des clouds douteux

Contexte

Le titre parle de cloud douteux, mais il peut s'agir de son propre cloud auto-hébergé sur lequel on aurait des doutes quant à la sécurité : temps ou compétences limités, faille potentielles (probables?) dans le logiciel utilisé,...

Le caractère pratique de disposer de ses données dans un cloud partout, tout le temps, peut conduire à y stocker des données sensibles: historique bancaire, copie de pièces d'identité, bulletins de salaires, factures,... Des données que l'on ne souhaite pas voir exposées aux yeux d'un tiers inconnu. Si le logiciel utilisé en auto-hébergement ne permet pas le chiffrement de bout en bout (ou si on utilise un cloud propriétaire), il semble ainsi pertinent de conserver ces données dans un conteneur chiffré, de sorte qu'un attaquant ayant pénétré le serveur (ou le tiers propriétaire du cloud) ne trouve pas ces données en open bar. En outre, si les clients (ordinateur, téléphone) ne sont pas chiffrés, cela permet également de gagner en sécurité vis-à-vis de ces appareils: quelqu'un qui les trouverait n'aurait pas plus accès à ces données.

La première idée était de chiffrer avec un conteneur LUKS (crédit au guide d'autodéfense numérique: voir qu'ils recommandent LUKS permet de savoir assez vite vers qui se tourner). Néanmoins le débroussaillage me laissait entrevoir quelque chose d'assez peu pratique, j'ai donc commencer par explorer une autre voie basée sur GPG.

Précision en terme de contexte : ordinateur sous Debian stable (Stretch à date), utilisant Thunar comme gestionnaire de fichier et XFCE comme environnement de bureau, et smartphone sous Android 6. L'optique est d'avoir une utilisation quotidienne facile, ce qui se traduit sur l'ordinateur par une semi-automatisation (actions personnalisées Thunar, appariement du conteneur à l'ouverture de session).

À la mode GPG Principe

Encapsuler le dossier dans un fichier (.zip par exemple) puis chiffrer ce fichier avec une clé GPG, avec pour destinataire la même clé GPG.

Principal inconvénient

Si on perd la clé alors le contenu est perdu.

Mise en oeuvre
  1. créer une clé GPG avec son ordinateur: gen-key

  2. la transférer à son téléphone. Sous Android et avec OpenKeychain voir ici la procédure :

    gpg --armor --gen-random 1 20; gpg --armor --export-secret-keys YOUREMAILADDRESS | gpg --armor --symmetric --output mykey.sec.asc

    avec à la place de YOUREMAILADDRESS l'adresse mail ou l'identité IDENTITE associée à la clé créée plus tôt ; transférer le fichier produit au téléphone et l'ouvrir avec OpenKeychain en suivant les indications ; il faut notamment renseigner le mot de passe généré avec la première commande, permettant la sécurisation du transfert de la clé privée au téléphone) ;

  3. l'action personnalisée pour Thunar pour transformer un dossier en .zip chiffré (qui rend compte des étapes successives pour passer d'un dossier à une archive chiffrée):

    cd %d; zip -r %f.zip $(realpath --relative-to=%d %f); xfce4-terminal -x gpg --encrypt --recipient IDENTITE %f.zip; rm %f.zip

    (%f : chemin absolu du fichier pointé, soit ici un dossier ; %d le chemin absolu du dossier parent ; la bidouille sur le realpath permet d'avoir effectivement les chemins relatifs dans le fichier zippé) ;

    • pour l'action personnalisée Thunar, bien penser à aller cocher que celle-ci doit apparaître pour les dossiers (dans l'onglet "Conditions d'apparition").
  4. pour déchiffrer, l'action personnalisée Thunar (idem, rend compte des commandes successives pour lire le conteneur):

    xfce4-terminal -x gpg --decrypt --output %f_dechiffre --recipient IDENTITE %f

  5. sur le téléphone, déchiffrer le conteneur avec OpenKeychain et consulter le contenu de l'archive avec GhostCommander, par exemple.

À base de conteneur LUKS Principe

Créer un disque virtuel chiffré de format LUKS et partager ce disque.

Principal inconvénient

La taille du fichier est statique; de sorte que si on n'a quelques mégaoctets de données à chiffrer mais qu'on sait qu'on sera amené à y mettre davantage, pour ne pas refaire un nouveau conteneur à l'avenir, on est contraint de prendre de la marge dès la création du conteneur. Ce qui signifie qu'en général on occupe plus d'espace que n'en requièrent les fichiers chiffrés.

Avantage sur la façon GPG précédente

Retenir la phrase de passe est suffisant pour retrouver l'accès au contenu.

Mise en oeuvre
  • création du conteneur et formatage en fat (à exécuter en tant qu'admin : sudo ou compte root de rigueur):

    dd if=/dev/urandom of=conteneur.img bs=20M count=1 iflag=fullblock cryptsetup --align-payload=1 --key-size 512 --hash sha512 luksFormat conteneur.img cryptsetup open conteneur.img cont_ mkfs.fat /dev/mapper/cont_ cryptsetup close cont_
  • appariement du conteneur à un point de montage, en tant qu'utilisateur non-root : udisksctl loop-setup -f conteneur.img ; ne reste alors qu'à cliquer le conteneur dans le navigateur de fichier, rentrer la phrase de passe et on est bon!

    • pour faciliter l'utilisation quotidienne, j'ai créé un service au démarrage de la session, contenant cette ligne de commande. Il faut toujours rentrer la phrase de passe mais on se débarrasse déjà d'une partie du travail.
  • il y a ce qu'il faut sur F-Droid pour lire les conteneurs LUKS sur un téléphone Android : EDS Lite
  • A noter que j'ai d'abord essayé le formatage en ext4 : on obligé de bidouiller pour pouvoir écrire dans le conteneur (cf point suivant), et l'appli Android EDS Lite ne parvient pas à l'ouvrir.
    • pour pouvoir écrire dans le conteneur formaté en ext4, je suis obligé de l'ouvrir une première fois, donner la possession de son contenu à l'utilisateur, de le démonter. Au montage suivant je peux écrire dedans. Je suppose que la différence est liée (a) au formatage avec le compte administrateur et (b) à la différence de gestion des droits des utilisateurs entre les deux formats.
Principales sources pour cette méthode
  • wiki d'Archlinux, comme toujours très utile (complet, clair);
    • les pages liées sont utiles également : 1, 2
  • le blog qui m'a donné la solution pour l'usage en tant qu'utilisateur non root : blog (j'ai eu l'embryon de solution, à savoir udisksctl, ici, où l'on comprend que l'utilisation en tant que non-root est non triviale).
En passant

A noter également le projet luckyLUKS qui propose de faciliter l'usage de ces conteneurs chiffrés ; mais pas dans les dépôts, je ne connais pas, donc pas de confiance a priori. Surtout sur un sujet comme le chiffrement des données.

Conclusion

La solution avec LUKS reste plus sûre, dans la mesure où il n'y a pas de fichiers (clé de chiffrement) que l'on puisse égarer, seulement une phrase de passe qu'on peut oublier (problématique qui se traite mieux, de mon point de vue, avec un gestionnaire de mots de passe comme Keepass). L'ouverture d'un conteneur de 500mo sur Android est loin d'être immédiate (2 min à 3 min sur un Nexus 4) mais le cas d'usage n'implique pas un accès nécessairement rapide aux données, l'accent étant mis sur l'accessibilité.

L'avantage de GPG serait une ouverture plus rapide (OpenKeychain + GhostCommander qui sait ouvrir les zip) et une taille de fichier dynamique (vs. statique avec LUKS).

Gravatar de vhaguer
Original post of vhaguer.Votez pour ce billet sur Planet Libre.

Thuban : Guide de Migration OpenBSD 6.3 => 6.4

OpenBSD 6.4 est disponible depuis aujourd'hui. Hourra !

Voyons maintenant comment migrer d'OpenBSD 6.3 vers 6.4 ?!

Changement de configuration

Pour info, il y a les changements suivant dans la configuration :

  • à-propos de la fonctionnalité de l'enregistrement audio, et pour des raisons de confidentialité, elle est désactivée par défaut
  • correction de l'usage de l'utilitaire route(8), à propos des options -netmask et -prefixlen, d'autant sur IPv6.
  • à-propos de la gestion du wifi : votre fichier d'interface wifi devra être modifié pour correspondre à la nouvelle syntaxe :

    nwid mynwid wpakey mywpakey
    De plus, le mot clé join apparaît pour permettre l'auto-connexion à un réseau wifi. L'usage du mot clé wpakey est encouragé lors de l'usage des mots clés join ou nwid.

  • si vous utilisez les services de bgpd, httpd, nsd, relayd, smtpd, mais aussi PHP, il y a des modifications à tenir compte. Ah, oui, au fait le serveur ratdvd a été supprimé ; veuillez utiliser rad, en veillant à migrer la configuration avant l'activation du service.

  • si vous gèrez des définitions de queues avec PF, vérifiez avec pfctl -s queue, supprimez-les et configurez correctement vos queues

Si vous êtes dans l'un des cas de ces changements, veuillez IMPÉRATIVEMENT lire le Guide de Migration 6.4, que vous retrouverez en fin de cet article.

Avant la mise-à-niveau
  • Un nouvel utilisateur _rad va être créé, lié à l'activité du service Bluetooth. Il faut supprimer l'ancien groupe et utilisateur, si vous aviez : userdel _btd groupdel _btd
  • et supprimer ceux de rtadvd : userdel _rtadvd groupdel _rtadvd
  • il faut supprimer les fichiers spéciaux, liés au périphérique audio : rm /dev/audio /dev/audioctl
  • supprimer tout ce qui est relatif à l'ancien service rtadvd : rm /etc/rc.d/rtadvd /usr/sbin/rtadvd /usr/share/man/man5/rtadvd.conf.5 /usr/share/man/man8/rtadvd.8
  • et, enfin, pour finir par supprimer les fichiers relatifs aux composants obsolètes de la libxcb :  rm /usr/X11R6/lib/libxcb-xevie.* rm /usr/X11R6/lib/libxcb-xprint.* rm /usr/X11R6/lib/pkgconfig/xcb-xevie.pc rm /usr/X11R6/lib/pkgconfig/xcb-xprint.pc
  Conseils pratiques

Avant de faire la mise-à-niveau, si vous utilisez Gnome3, pensez à désactiver gdm : # rcctl disable gdm
Lors du redémarrage, vous vous retrouverez en terminal texte, mais cela permettra de ne pas avoir de soucis avec l'interface graphique.

Vous pouvez faire de même pour xenodm...

Idem, pour les services serveurs, il est recommandé de les désactiver !

Téléchargement

Maintenant que les précautions d'usage ont été exécutées - n'est-ce pas ?! - occupons-nous de télécharger le nécessaire !

Pour cela, positionnons-nous à la racine du système et téléchargeons le binaire bsd.rd, puis les fichiers de sommes de contrôle, et de signature, pour les vérifier :

$ cd /
# for file in bsd.rd SHA256.sig; do [ -f $file ] && rm -fP $file; ftp -n -m -C "https://cdn.openbsd.org/pub/OpenBSD/6.4/$(arch -s)/$file"; done
$ sha256 -c SHA256.sig 2>&1 | awk '/bsd.rd/ {print $3}'
OK
$ signify -Cp /etc/signify/openbsd-64-base.pub -x SHA256.sig bsd.rd
Signature Verified
bsd.rd: OK

Installations

(Re)démarrons la machine informatique, et lors de l'invite 'boot>', tapez : boot bsd.rd

Laissez faire, jusqu'à ce que le processus vous demande le choix d'(I)nstaller, d'(U)pgrader, etc … choisissez : ''U''

Puis, tapez ''http'' si vous voulez la faire en étant connecté à Internet...
ou si vous avez le CD ou une clé USB, tapez ''cd'' !

Ensuite, répondez aux questions, tout comme lors de votre première installation… pour finir par redémarrer, si tout s'est bien passé : reboot

Normalement, OpenBSD met-à-jour automatiquement les firmwares, et essaye de fusionner correctement les nouveaux fichiers de configuration avec ceux que vous auriez pu modifier...

au cas où, utilisez ''sysmerge'', puis ''fw_update''.

Puis terminez par la mise-à-niveau des packages !

# pkg_add -iuv

Laissez faire - cette étape peut être très longue, selon le nombre de paquets que vous aviez précédemment installés pour votre usage.
Parfois, il peut être nécessaire de répèter cette commande... plusieurs fois ; s'il vous est demandé de réparer, faites-le en spécifiant 'y'.

et une fois effectuée, exécutez :

# pkg_check

Et si vous l'avez installé, exécutez :

# sysclean

Ceci étant dit, étant fait, pensez à réactiver les services que vous auriez désactivé, lors de la phase de préparation de la mise-à-niveau, puis une fois fait, redémarrez votre machine...

Une fois que vous êtes dans votre session, pensez à lire les fichiers pkg-readmes préparés dans ''/usr/local/share/doc/pkg-readmes/''.

Documentation

La traduction anglais->français (in)officielle du Guide de migration OpenBSD 6.4 est prête !

Gravatar de Thuban
Original post of Thuban.Votez pour ce billet sur Planet Libre.

Articles similaires

Thuban : Guide de Migration OpenBSD 6.3 => 6.4

OpenBSD 6.4 est disponible depuis aujourd'hui. Hourra !

Voyons maintenant comment migrer d'OpenBSD 6.3 vers 6.4 ?!

Changement de configuration

Pour info, il y a les changements suivant dans la configuration :

  • à-propos de la fonctionnalité de l'enregistrement audio, et pour des raisons de confidentialité, elle est désactivée par défaut
  • correction de l'usage de l'utilitaire route(8), à propos des options -netmask et -prefixlen, d'autant sur IPv6.
  • à-propos de la gestion du wifi : votre fichier d'interface wifi devra être modifié pour correspondre à la nouvelle syntaxe :

    nwid mynwid wpakey mywpakey
    De plus, le mot clé join apparaît pour permettre l'auto-connexion à un réseau wifi. L'usage du mot clé wpakey est encouragé lors de l'usage des mots clés join ou nwid.

  • si vous utilisez les services de bgpd, httpd, nsd, relayd, smtpd, mais aussi PHP, il y a des modifications à tenir compte. Ah, oui, au fait le serveur ratdvd a été supprimé ; veuillez utiliser rad, en veillant à migrer la configuration avant l'activation du service.

  • si vous gèrez des définitions de queues avec PF, vérifiez avec pfctl -s queue, supprimez-les et configurez correctement vos queues

Si vous êtes dans l'un des cas de ces changements, veuillez IMPÉRATIVEMENT lire le Guide de Migration 6.4, que vous retrouverez en fin de cet article.

Avant la mise-à-niveau
  • Un nouvel utilisateur _rad va être créé, lié à l'activité du service Bluetooth. Il faut supprimer l'ancien groupe et utilisateur, si vous aviez : userdel _btd groupdel _btd
  • et supprimer ceux de rtadvd : userdel _rtadvd groupdel _rtadvd
  • il faut supprimer les fichiers spéciaux, liés au périphérique audio : rm /dev/audio /dev/audioctl
  • supprimer tout ce qui est relatif à l'ancien service rtadvd : rm /etc/rc.d/rtadvd /usr/sbin/rtadvd /usr/share/man/man5/rtadvd.conf.5 /usr/share/man/man8/rtadvd.8
  • et, enfin, pour finir par supprimer les fichiers relatifs aux composants obsolètes de la libxcb :  rm /usr/X11R6/lib/libxcb-xevie.* rm /usr/X11R6/lib/libxcb-xprint.* rm /usr/X11R6/lib/pkgconfig/xcb-xevie.pc rm /usr/X11R6/lib/pkgconfig/xcb-xprint.pc
  Conseils pratiques

Avant de faire la mise-à-niveau, si vous utilisez Gnome3, pensez à désactiver gdm : # rcctl disable gdm
Lors du redémarrage, vous vous retrouverez en terminal texte, mais cela permettra de ne pas avoir de soucis avec l'interface graphique.

Vous pouvez faire de même pour xenodm...

Idem, pour les services serveurs, il est recommandé de les désactiver !

Téléchargement

Maintenant que les précautions d'usage ont été exécutées - n'est-ce pas ?! - occupons-nous de télécharger le nécessaire !

Pour cela, positionnons-nous à la racine du système et téléchargeons le binaire bsd.rd, puis les fichiers de sommes de contrôle, et de signature, pour les vérifier :

$ cd /
# for file in bsd.rd SHA256.sig; do [ -f $file ] && rm -fP $file; ftp -n -m -C "https://cdn.openbsd.org/pub/OpenBSD/6.4/$(arch -s)/$file"; done
$ sha256 -c SHA256.sig 2>&1 | awk '/bsd.rd/ {print $3}'
OK
$ signify -Cp /etc/signify/openbsd-64-base.pub -x SHA256.sig bsd.rd
Signature Verified
bsd.rd: OK

Installations

(Re)démarrons la machine informatique, et lors de l'invite 'boot>', tapez : boot bsd.rd

Laissez faire, jusqu'à ce que le processus vous demande le choix d'(I)nstaller, d'(U)pgrader, etc … choisissez : ''U''

Puis, tapez ''http'' si vous voulez la faire en étant connecté à Internet...
ou si vous avez le CD ou une clé USB, tapez ''cd'' !

Ensuite, répondez aux questions, tout comme lors de votre première installation… pour finir par redémarrer, si tout s'est bien passé : reboot

Normalement, OpenBSD met-à-jour automatiquement les firmwares, et essaye de fusionner correctement les nouveaux fichiers de configuration avec ceux que vous auriez pu modifier...

au cas où, utilisez ''sysmerge'', puis ''fw_update''.

Puis terminez par la mise-à-niveau des packages !

# pkg_add -iuv

Laissez faire - cette étape peut être très longue, selon le nombre de paquets que vous aviez précédemment installés pour votre usage.
Parfois, il peut être nécessaire de répèter cette commande... plusieurs fois ; s'il vous est demandé de réparer, faites-le en spécifiant 'y'.

et une fois effectuée, exécutez :

# pkg_check

Et si vous l'avez installé, exécutez :

# sysclean

Ceci étant dit, étant fait, pensez à réactiver les services que vous auriez désactivé, lors de la phase de préparation de la mise-à-niveau, puis une fois fait, redémarrez votre machine...

Une fois que vous êtes dans votre session, pensez à lire les fichiers pkg-readmes préparés dans ''/usr/local/share/doc/pkg-readmes/''.

Documentation

La traduction anglais->français (in)officielle du Guide de migration OpenBSD 6.4 est prête !

Gravatar de Thuban
Original post of Thuban.Votez pour ce billet sur Planet Libre.

Articles similaires

Thuban : Publication d'OpenBSD 6.4

: OpenBSD 6.4

Quel plaisir d'annoncer en ce début d'automne, la publication d'OpenBSD 6.4. Cette version apporte son lot de nouveautés dont nous allons discuter dans cet article. Il va de soi que la liste n'est pas exhaustive et qu'il est conseillé de consulter les notes de publication ainsi que le changelog complet.

Changements notables
  • Des changements sur la configuration de l'enregistrement audio, à-propos du wifi, des services de bgpd, httpd, nsd, smtpd, - rtadvd est supprimé au profit de rad - dans la gestion réseau à-propos de route, du filtrage PF, etc... sans oublier PHP
  • Améliorations de l'installateur : cdn.openbsd.org est la nouvelle URL par défaut du fichier installurl, La taille par défaut des partitions /usr/{obj,local} change et augmente, respectivement à 5 et 20 Go.
  • Amélioration du support matériel : pilotes pour certains touchpads ou touchscreens, chiffrement matériel sur octeon.
  • vmd, le gestionnaire de machines virtuelles progresse et supporte désormais le format QCOW2 (souvent employé avec qemu).
  • Améliorations réseau, dont WiFi avec la fonctionnalité "auto-join", par le mot clé join ; lire absolument ifconfig(8), trunk(4), et bien d'autre subtilités liées à l'activité réseau...
  • Amélioration principale de la sécurité des appels systèmes : unveil(2) + pledge(2). La fonctionnalité d'Hypertreading est désactivée par défaut !
  • et bien d'autres changements, liés à OpenSSH, LibreSSL, Mandoc, beaucoup de ports et de paquets, etc...
Mettre à niveau

Pour mettre à niveau votre installation vers OpenBSD 6.4, vous pouvez lire les instructions présentes sur cette page dont voici une traduction en français.

Gravatar de Thuban
Original post of Thuban.Votez pour ce billet sur Planet Libre.

Thuban : Publication d'OpenBSD 6.4

: OpenBSD 6.4

Quel plaisir d'annoncer en ce début d'automne, la publication d'OpenBSD 6.4. Cette version apporte son lot de nouveautés dont nous allons discuter dans cet article. Il va de soi que la liste n'est pas exhaustive et qu'il est conseillé de consulter les notes de publication ainsi que le changelog complet.

Changements notables
  • Des changements sur la configuration de l'enregistrement audio, à-propos du wifi, des services de bgpd, httpd, nsd, smtpd, - rtadvd est supprimé au profit de rad - dans la gestion réseau à-propos de route, du filtrage PF, etc... sans oublier PHP
  • Améliorations de l'installateur : cdn.openbsd.org est la nouvelle URL par défaut du fichier installurl, La taille par défaut des partitions /usr/{obj,local} change et augmente, respectivement à 5 et 20 Go.
  • Amélioration du support matériel : pilotes pour certains touchpads ou touchscreens, chiffrement matériel sur octeon.
  • vmd, le gestionnaire de machines virtuelles progresse et supporte désormais le format QCOW2 (souvent employé avec qemu).
  • Améliorations réseau, dont WiFi avec la fonctionnalité "auto-join", par le mot clé join ; lire absolument ifconfig(8), trunk(4), et bien d'autre subtilités liées à l'activité réseau...
  • Amélioration principale de la sécurité des appels systèmes : unveil(2) + pledge(2). La fonctionnalité d'Hypertreading est désactivée par défaut !
  • et bien d'autres changements, liés à OpenSSH, LibreSSL, Mandoc, beaucoup de ports et de paquets, etc...
Mettre à niveau

Pour mettre à niveau votre installation vers OpenBSD 6.4, vous pouvez lire les instructions présentes sur cette page dont voici une traduction en français.

Gravatar de Thuban
Original post of Thuban.Votez pour ce billet sur Planet Libre.

genma : Yunohost, Android & LineagesOS

Ayant eu à changer de téléphone car l'ancien a fini par donner des soucis matériel sur l'écran, j'ai repris un portable d'un ami d'occasion encore fonctionnel. C'est là l'occasion de faire le tri sur les applications que l'on utilise vraiment au quotidien.

Dans le présent billet, j'aborderai donc la configuration / paramétrage des différentes applications que j'utilise "en mode cloud", comprendre : les applications tournent sur mon serveur sous Yunohost et les applications clientes sont installées sur l'ordiphone - smartphone.
- Toutes ces applications sont disponibles sur F-Droid ou via les APK du Google Store récupérable via une application comme YALP.
-Ce billet n'est pas un tutoriel, plus une prise de notes de type wiki pour avoir sur une même page les différentes configurations. Je pars du principe que vous savez installer l'application, saisir les bonnes informations dans les bons champs.

NextCloud - Utilisation de l'agenda et des contacts. Application : Davdroid

J'utilise NextCloud pour la gestion de différents agendas et mes contacts. La synchronisation sur le téléphone passe par l'application Davdroid.

Paramétrage de l'application :
- URL : https://url.de.nextcloud/remote.php/dav/
- L'utilisateur : celui de Yunohost
- Pass : celui de Yunohost
Lien vers Davdroid sur F-Droid.

Les contacts sont alors synchronisés dans l'application Contact par défaut du téléphone, les agendas dans l'application Agenda par défaut. Dans mon cas, j'installe comme application d'agenda l'application Etar.

NextCloud l'application client

L'application Client NextCloud permet de synchroniser les fichiers et d'avoir certains d'entre eux en mode déconnecté sur le téléphone.

Paramétrage de l'application :
- Serveur : https://url.de.nextcloud/
- User : celui de Yunohost
- Pass : celui de Yunohost
Lien vers NextCloud l'application client sur F-Droid.

NextCloud notes

Dans NextCloud j'ai installé l'application Notes.

Paramétrage de l'application :
- Serveur : https://url.de.nextcloud/
- User : celui de Yunohost
- Pass : celui de Yunohost
Lien vers NextCloud notes sur F-Droid.

Remarque : les notes qui apparaissent dans l'application Notes sont elles-mêmes de simples fichiers .txt, qui se trouvent dans l'application Fichier, dans le dossier Notes. L'application client de synchronisation permet également de synchroniser ce dossier et donc d'éditer ses notes via un éditeur de texte sur un PC par exemple.

FreshRSS, l'agrégateur RSS. Application : EasyRSS

L'application EasyRSS permet de se connecter à différents agrégateurs RSS en ligne, dont FreshRSS.

Une configuration préalable dans FreshRSS est à faire, il faut avoir penser à cocher l'autorisation de l'accès à l'API et penser à créer un mot de passe dédié pour l'API. Voir mon tutoriel : Yunohost, FreshRSS et EasyRSS pour Android.

Paramétrage de l'application :
- Serveur : https://rss.mondomaine.org/api/greader.php
- user : celui de Yunohost
- pass : clef d'API définie dans la configuration de FreshRSS
Lien vers EasyRSS sur F-Droid.

Wallabag. Application : Wallabag

Une configuration préalable dans Wallabag est à faire, il faut aller dans la partie "API clients management" et créer un nouveau client.
- URL : https://wallabag.genma.org/
- L'utilisateur : genma@genma.org
- Pass : celui de yunohost
Lien vers Wallabag sur F-Droid.

Gravatar de genma
Original post of genma.Votez pour ce billet sur Planet Libre.

Articles similaires

elementary OS : Juno est maintenant disponible

La cinquième itération d’elementary est maintenant disponible !

 

Soit 2 ans, 1 mois et 7 jours après la release de Loki, c’est maintenant au tour de Juno de faire son arrivée parmi les différentes releases d’elementary OS, à l’occasion d’un compte à rebours qui a pris plus de temps que prévu (le serveur a du absorber bon nombre de connexions et à, par moment, montré quelque signe de fatigue), cette version est maintenant disponible en version finale.

 

Ce sera aussi l’occasion pour moi aussi de passer à cette version et de vous faire quelques articles sur cette nouvelle version.

 

Si vous souhaitez vous lancer sur cette nouvelle version, je vous invite à vous rendre sur cette page pour télécharger l’ISO : https://elementary.io/ et à prendre connaissance du guide d’installation disponible à cette adresse : https://elementary.io/docs/installation#installation

 

Note : pour ceux qui souhaitent faire un don, vous pouvez, avant de télécharger l’ISO, indiquer le montant de votre don. Si vous ne le souhaitez pas, vous pouvez indiquer le chiffre 0, vous serez en mesure de télécharger l’ISO.

Toutes mes félicitations à l’équipe pour la réalisation de ce travail énorme ! Je vous donne rendez-vous sur le forum francophone pour échanger sur cette nouvelle version : https://forum.elementaryos-fr.org

 

Le billet Juno est maintenant disponible a été publié sur le site de la elementary OS -

Gravatar de elementary OS
Original post of elementary OS.Votez pour ce billet sur Planet Libre.

Framablog : Changer le monde, un octet à la fois

Cette année, comme les précédentes, Framasoft fait appel à votre générosité afin de poursuivre ses actions.

Depuis 14 ans : promouvoir le logiciel libre et la culture libre

L’association Framasoft a 14 ans. Durant nos 10 premières années d’existence, nous avons créé l’annuaire francophone de référence des logiciels libres, ouvert une maison d’édition ne publiant que des ouvrages sous licences libres, répondu à d’innombrables questions autour du libre, participé à plusieurs centaines d’événements en France ou à l’étranger, promu le logiciel libre sur DVD puis clé USB, accompagné la compréhension de la culture libre, ou plutôt des cultures libres, au travers de ce blog, traduit plus de 1 000 articles ainsi que plusieurs ouvrages, des conférences, et bien d’autres choses encore !

Depuis 4 ans, décentraliser Internet

En 2014, l’association prenait un virage en tentant de sensibiliser non seulement à la question du libre, mais aussi à celle de la problématique de la centralisation d’Internet. En déconstruisant les types de dominations exercées par les GAFAM (dominations technique, économique, mais aussi politique et culturelle), nous avons pendant plusieurs années donné à voir en quoi l’hyperpuissance de ces acteurs mettait en place une forme de féodalité.

Et comme montrer du doigt n’a jamais mené très loin, il a bien fallu initier un chemin en prouvant que le logiciel libre était une réponse crédible pour s’émanciper des chaînes de Google, Facebook & co. En 3 ans, nous avons donc agencé plus de 30 services alternatifs, libres, éthiques, décentralisables et solidaires. Aujourd’hui, ces services accueillent 400 000 personnes chaque mois. Sans vous espionner. Sans revendre vos données. Sans publicité. Sans business plan de croissance perpétuelle.

Parfois, Framasoft se met au vert. Parce qu’il y a un monde par-delà les ordinateurs…

 

 

Mais Framasoft, c’est une bande de potes, pas la #startupnation. Et nous ne souhaitions pas devenir le « Google du libre ». Nous avons donc en 2016 impulsé le collectif CHATONS, afin d’assurer la résilience de notre démarche, mais aussi afin de « laisser de l’espace » aux expérimentations, aux bricolages, à l’inventivité, à l’enthousiasme, aux avis divergents du nôtre. Aujourd’hui, une soixantaine de chatons vivent leurs vies, à leurs rythmes, en totale indépendance.

Il y a un an : penser au-delà du code libre

Il y a un an, nous poursuivions notre virage en faisant 3 constats :

  1. L’open source se porte fort bien. Mais le logiciel libre (c-à-d. opensource + valeurs éthiques) lui, souffre d’un manque de contributions exogènes.
  2. Dégoogliser ne suffit pas ! Le logiciel libre n’est pas une fin en soi, mais un moyen (nécessaire, mais pas suffisant) de transformation de la société.
  3. Il existe un ensemble de structures et de personnes partageant nos valeurs, susceptibles d’avoir besoin d’outils pour faire advenir le type de monde dont nous rêvons. C’est avec elles qu’il nous faut travailler en priorité.

Est-ce une victoire pour les valeurs du Libre que d’équiper un appareil tel que le drone militaire MQ-8C Fire Scout ?
Nous ne le pensons pas.
Cliché
Domaine public – Wikimedia

 

Face à ces constats, notre feuille de route Contributopia vise à proposer des solutions. Sur 3 ans (on aime bien les plans triennaux), Framasoft porte l’ambition de participer à infléchir la situation.

D’une part en mettant la lumière sur la faiblesse des contributions, et en tentant d’y apporter différentes réponses. Par exemple en abaissant la barrière à la contribution. Ou, autre exemple, en généralisant les pratiques d’ouvertures à des communautés non-dev.

D’autre part, en mettant en place des projets qui ne soient pas uniquement des alternatives à des services de GAFAM (aux moyens disproportionnés), mais bien des projets engagés, militants, qui seront des outils au service de celles et ceux qui veulent changer le monde. Nous sommes en effet convaincu·es qu’un monde où le logiciel libre serait omniprésent, mais où le réchauffement climatique, la casse sociale, l’effondrement, la précarité continueraient à nous entraîner dans leur spirale mortifère n’aurait aucun sens pour nous. Nous aimons le logiciel libre, mais nous aimons encore plus les êtres humains. Et nous voulons agir dans un monde où notre lutte pour le libre et les communs est en cohérence avec nos aspirations pour un monde plus juste et durable.

Aujourd’hui : publier Peertube et nouer des alliances

Aujourd’hui, l’association Framasoft n’est pas peu fière d’annoncer la publication de la version 1.0 de PeerTube, notre alternative libre et fédérée à YouTube. Si vous souhaitez en savoir plus sur PeerTube, ça tombe bien : nous venons de publier un article complet à ce sujet !

Ce n’est pas la première fois que Framasoft se retrouve en position d’éditeur de logiciel libre, mais c’est la première fois que nous publions un logiciel d’une telle ambition (et d’une telle complexité). Pour cela, nous avons fait le pari l’an passé d’embaucher à temps plein son développeur, afin d’accompagner PeerTube de sa version alpha (octobre 2017) à sa version bêta (mars 2018), puis à sa version 1.0 (octobre 2018).

Le crowdfunding effectué cet été comportait un palier qui nous engageait à poursuivre le contrat de Chocobozzz, le développeur de PeerTube, afin de vous assurer que le développement ne s’arrêterait pas à une version 1.0 forcément perfectible. Ce palier n’a malheureusement pas été atteint, ce qui projetait un flou sur l’avenir de PeerTube à la fin du contrat de Chocobozzz.

Garder sa singularité tout en étant relié aux autres, c’est ça la force de la fédération PeerTube.
Notre article complet sur PeerTube

 

Nous avons cependant une excellente nouvelle à vous annoncer ! Bien que le palier du crowdfunding n’ait pas été atteint, l’association Framasoft a fait le choix d’embaucher définitivement Chocobozzz (en CDI) afin de pérenniser PeerTube et de lui donner le temps et les moyens de construire une communauté solide et autonome. Cela représente un investissement non négligeable pour notre association, mais nous croyons fermement non seulement dans le logiciel PeerTube, mais aussi et surtout dans les valeurs qu’il porte (liberté, décentralisation, fédération, émancipation, indépendance). Sans parler des compétences de Chocobozzz lui-même qui apporte son savoir-faire à l’équipe technique dans d’autres domaines.

Nous espérons que vos dons viendront confirmer que vous approuvez notre choix.

D’ici la fin de l’année, annoncer de nouveaux projets… et une campagne de don

Comme vous l’aurez noté (ou pas encore !), nous avons complètement modifié notre page d’accueil « framasoft.org ». D’une page portail plutôt institutionnelle, décrivant assez exhaustivement « Qu’est-ce que Framasoft ? », nous l’avons recentrée sur « Que fait Framasoft ? » mettant en lumière quelques éléments clefs. En effet, l’association porte plus d’une cinquantaine de projets en parallèle et présenter d’emblée la Framagalaxie nous semblait moins pertinent que de « donner à voir » des actions choisies, tout en laissant la possibilité de tirer le fil pour découvrir l’intégralité de nos actions.

Nous y rappelons brièvement que Framasoft n’est pas une multinationale, mais une micro-association de 35 membres et 8 salarié⋅es (bientôt 9 : il reste quelques jours pour candidater !). Que nous sommes à l’origine de la campagne « Dégooglisons Internet » (plus de 30 services en ligne)… Mais pas seulement ! Certain⋅es découvriront peut-être l’existence de notre maison d’édition Framabook, ou de notre projet historique Framalibre. Nous y mettons en avant LE projet phare de cette année 2018 : PeerTube. D’autres projets à court terme sont annoncés sur cette page (en mode teasing), s’intégrant dans notre feuille de route Contributopia.

Framasoft n’est pas une multinationale, mais une micro-association

Enfin, nous vous invitons à faire un don pour soutenir ces actions. Car c’est aussi l’occasion de rappeler que l’association ne vit quasiment que de vos dons ! Ce choix fort, volontaire et assumé, nous insuffle notre plus grande force : notre indépendance. Que cela soit dans le choix des projets, dans le calendrier de nos actions, dans la sélection de nos partenaires, dans nos prises de paroles et avis publics, nous sommes indépendant⋅es, libres, et non-soumis⋅es à certaines conventions que nous imposerait le système de subventions ou de copinage avec les ministères ou toute autre institution.

Ce sont des milliers de donatrices et donateurs qui valident nos actions par leur soutien financier. Ce qu’on a fait vous a plu ? Vous pensez que nous allons dans le bon sens ? Alors, si vous en avez l’envie et les moyens, nous vous invitons à faire un don. C’est par ce geste que nous serons en mesure de verser les salaires des salarié⋅es de l’association, de payer les serveurs qui hébergent vos services préférés ou de continuer à intervenir dans des lieux ou devant des publics qui ont peu de moyens financiers (nous intervenons plus volontiers en MJC que devant l’Assemblée Nationale, et c’est un choix assumé). Rappelons que nos comptes sont publics et validés par un commissaire aux comptes indépendant.

En 2019, proposer des outils pour la société de contribution

Fin 2018, nous vous parlerons du projet phare que nous souhaitons développer pendant l’année 2019, dont le nom de code est Mobilizon. Au départ pensé comme une simple alternative à Meetup.com (ou aux événements Facebook, si vous préférez), nous avons aujourd’hui la volonté d’emmener ce logiciel bien plus loin afin d’en faire un véritable outil de mobilisation destiné à celles et ceux qui voudraient se bouger pour changer le monde, et s’organiser à 2 ou à 100 000, sans passer par des systèmes certes efficaces, mais aussi lourds, centralisés, et peu respectueux de la vie privée (oui, on parle de Facebook, là).

Évidemment, ce logiciel sera libre, mais aussi fédéré (comme Mastodon ou PeerTube), afin d’éviter de faire d’une structure (Framasoft ou autre), un point d’accès central, et donc de faiblesse potentielle du système. Nous vous donnerons plus de nouvelles dans quelques semaines, restez à l’écoute !

Éviter de faire d’une structure (Framasoft ou autre), un point d’accès central

D’autres projets sont prévus pour 2019 :

  • la sortie du (apparemment très attendu) Framapétitions ;
  • la publication progressive du MOOC CHATONS (cours en ligne gratuit et ouvert à toutes et tous), en partenariat avec la Ligue de l’Enseignement et bien d’autres. Ce MOOC, nous l’espérons, permettra à celles et ceux qui le souhaitent, de comprendre les problématiques de la concentration des acteurs sur Internet, et donc les enjeux de la décentralisation. Mais il donnera aussi de précieuses informations en termes d’organisation (création d’une association, modèle économique, gestion des usager⋅es, gestion communautaire, …) ainsi qu’en termes techniques (quelle infrastructure technique ? Comment la sécuriser ? Comment gérer les sauvegardes, etc.) ;
  • évidemment, bien d’autres projets en ligne (on ne va pas tout vous révéler maintenant, mais notre feuille de route donne déjà de bons indices)

Bref, on ne va pas chômer !

Dans les années à venir : se dédier à toujours plus d’éducation populaire, et des alliances

Nous avions coutume de présenter Framasoft comme « un réseau à géométrie variable ». Il est certain en tout cas que l’association est en perpétuelle mutation. Nous aimons le statut associatif (la loi de 1901 nous paraît l’une des plus belles au monde, rien que ça !), et nous avons fait le choix de rester en mode « association de potes » et de refuser — en tout cas jusqu’à nouvel ordre — une transformation en entreprise/SCOP/SCIC ou autre. Mais même si nous avons choisi de ne pas être des super-héro⋅ïnes et de garder l’association à une taille raisonnable (moins de 10 salarié⋅es), cela ne signifie pas pour autant que nous ne pouvons pas faire plus !

La seconde année de Contributopia
Illustration de David Revoy – Licence : CC-By 4.0

 

 

Pour cela, de la même façon que nous proposons de mettre nos outils « au service de celles et ceux qui veulent changer le monde », nous sommes en train de créer des ponts avec de nombreuses structures qui n’ont pas de rapport direct avec le libre, mais avec lesquelles nous partageons un certain nombre de valeurs et d’objectifs.

Ainsi, même si leurs objets de militantisme ou leurs moyens d’actions ne sont pas les mêmes, nous aspirons à mettre les projets, ressources et compétences de Framasoft au service d’associations œuvrant dans des milieux aussi divers que ceux de : l’éducation à l’environnement, l’économie sociale et solidaire et écologique, la transition citoyenne, les discriminations et oppressions, la précarité, le journalisme citoyen, la défense des libertés fondamentales, etc. Bref, mettre nos compétences au service de celles et ceux qui luttent pour un monde plus juste et plus durable, afin qu’ils et elles puissent le faire avec des outils cohérents avec leurs valeurs et modulables selon leurs besoins.

Seul on va plus vite, ensemble on va plus loin. Nous pensons que le temps est venu de faire ensemble.

Framasoft est une association d’éducation populaire (qui a soufflé « d’éducation politique » ?), et nous n’envisageons plus de promouvoir ou de faire du libre « dans le vide ». Il y a quelques années, nous évoquions l’impossibilité chronique et structurelle d’échanger de façon équilibrée avec les institutions publiques nationales. Cependant, en nous rapprochant de réseaux d’éducation populaire existants (certains ont plus de cent ans), nos positions libristes et commonistes ont été fort bien accueillies. À tel point qu’aujourd’hui nous avons de nombreux projets en cours avec ces réseaux, qui démultiplieront l’impact de nos actions, et qui permettront — nous l’espérons — que le milieu du logiciel libre ne reste pas réservé à une élite de personnes maîtrisant le code et sachant s’y retrouver dans la jungle des licences.

Seul on va plus vite, ensemble on va plus loin. Nous pensons que le temps est venu de faire ensemble.

Nous avons besoin de vous !

Un des paris que nous faisons pour cette campagne est « d’informer sans sur-solliciter ». Et l’équilibre n’est pas forcément simple à trouver. Nous sommes en effet bien conscient⋅es qu’en ce moment, toutes les associations tendent la main et sollicitent votre générosité.

Nous ne souhaitons pas mettre en place de « dark patterns » que nous dénonçons par ailleurs. Nous pouvions jouer la carte de l’humour (si vous êtes détendu⋅es, vous êtes plus en capacité de faire des dons), celle de la gamification (si on met une jauge avec un objectif de dons, vous êtes plus enclin⋅es à participer), celle du chantage affectif (« Donnez, sinon… »), etc.

Le pari que nous prenons, que vous connaissiez Framasoft ou non, c’est qu’en prenant le temps de vous expliquer qui nous sommes, ce que nous avons fait, ce que nous sommes en train de faire, et là où nous voulons vous emmener, nous parlerons à votre entendement et non à vos pulsions. Vous pourrez ainsi choisir de façon éclairée si nos actions méritent d’être soutenues.

« Si tu veux construire un bateau, ne rassemble pas tes hommes et femmes pour leur donner des ordres, pour expliquer chaque détail, pour leur dire où trouver chaque chose. Si tu veux construire un bateau, fais naître dans le cœur de tes hommes et femmes le désir de la mer. » — Antoine de Saint-Exupéry

Nous espérons, à la lecture de cet article, vous avoir donné le désir de co-construire avec nous le Framasoft de demain, et que vous embarquerez avec nous.

 

Faire un don pour soutenir les actions de Framasoft

 

 

Gravatar de Framablog
Original post of Framablog.Votez pour ce billet sur Planet Libre.

Articles similaires

Cyprien Pouzenc : Reverse SSH, pour se connecter à un ordinateur distant protégé par un pare-feu

Miniature reverse SSH

Cet article est le troisième d'une série de quatre :

  1. SSH, pour se connecter en ligne de commande à un ordinateur distant
  2. SSH, se connecter sans mot de passe à l'aide de la cryptographie
  3. Reverse SSH, pour se connecter à un ordinateur distant protégé par un pare-feu
  4. SSH, des tunnels pour tous les services (à venir)

Dans un article précédent, nous avons vu comment se connecter directement à un ordinateur distant présent sur le même réseau local, comment se connecter directement à un ordinateur distant situé derrière un pare-feu convenablement configuré, et comment se connecter à un ordinateur distant accessible par rebond via un ordinateur intermédiaire. Ne reste plus qu'à traiter, donc, le cas de l'ordinateur distant... injoignable. Ce cas est en fait le plus courant. Il s'agit d'un ordinateur distant installé derrière un routeur, lui-même inaccessible par SSH et empêchant toute connexion directe au serveur. Bref, le cas typique de l'ordinateur domestique installé derrière sa box Internet. Avec une adresse IP publique dynamique. Et des utilisateurs qui ont d'autres centres d'intérêts que l'administration réseau (et qui le vivent, semble-t-il, plutôt bien).

Connexion bloquée par un pare-feu Connexion bloquée par un pare-feu

Autant il est impossible de se connecter au serveur distant, autant on peut faire en sorte que le serveur puisse se connecter au client. Car le client, c'est nous ; et là-dessus, on peut agir. Si on ouvre un tunnel SSH depuis le serveur vers le client, il est possible au client de remonter le tunnel pour accéder au serveur. C'est ce qu'on appelle le reverse SSH — ou SSH inversé. Ça peut sembler tordu, mais ça marche. Et encore, la situation est simple ; et présente d'ailleurs certains défauts. Par exemple, si le client est mobile et change de connexion Internet, le tunnel mis en place ne fonctionne plus. On pourrait imaginer un tunnel opérant via un serveur VPN, auquel le client est connecté en permanence. Néanmoins, l'accès serait alors uniquement possible depuis le poste client connecté au VPN. Une solution plus universelle est envisageable. Plus complexe, certes, mais qui présente de nombreux avantages.

Connexion par SSH inversé Connexion par SSH inversé

Imaginons que SERVEUR_B, auquel on souhaite se connecter, est installé derrière un pare-feu qui empêche toute connexion entrante. Il n'est pas possible de se connecter au serveur, mais celui-ci a bel et bien accès au réseau. Ainsi, SERVEUR_B peut ouvrir un tunnel SSH vers SERVEUR_A, qui nous appartient et qui est convenablement configuré pour cela ; ce qui implique d'éventuelles règles de routage particulières, ou un potentiel accès direct. Si CLIENT peut également se connecter à SERVEUR_A, il peut alors aussi se connecter à SERVEUR_B, comme nous l'avons déjà vu. L'astuce réside donc dans l'usage d'un serveur intermédiaire, SERVEUR_A. Si SERVEUR_B peut se connecter à SERVEUR_A et que CLIENT peut aussi se connecter à SERVEUR_A, alors CLIENT peut se connecter à SERVEUR_B.

Connexion par SSH inversé, avec rebond Connexion par SSH inversé, avec rebond

Toute l'intelligence du système repose sur SERVEUR_A. Mais attention ! SERVEUR_B, ainsi que la multitude d'ordinateurs qui ont accès à SERVEUR_A afin de pouvoir s'y connecter à distance par SSH inversé, n'entrent pas dans votre sphère de contrôle. Et tous ces ordinateurs, que l'on peut raisonnablement considérer comme hostiles, disposent d'un accès direct à SERVEUR_A ! Autant dire qu'il va falloir réduire un minimum leur pouvoir d'action... Pour cela, on pourrait créer un utilisateur système aux droits réduits. Mieux, on peut enfermer cet utilisateur dans un chroot minimaliste, grâce à Jailkit.

Situation initiale

Faisons le point.

SERVEUR_B, auquel on souhaite se connecter, n'est pas accessible directement. Il est néanmoins nécessaire d'y opérer une configuration initiale afin d'automatiser l'ouverture et le maintient d'un tunnel SSH vers SERVEUR_A.

SERVEUR_A, qui sert de relais, nécessite une configuration spéciale afin de limiter les droits des serveurs distants qui s'y connectent, considérés comme hostiles — tel que SERVEUR_B, notamment. SERVEUR_A doit être accessible par SSH, en permanence. L'objet de cet article n'est pas d'expliquer comment déployer des règles de routages particulières ni toute autre configuration système ou réseau pour y parvenir.

CLIENT, qui souhaite accéder à SERVEUR_B, a juste besoin de pouvoir se connecter à SERVEUR_A.

Configuration de SERVEUR_A

SERVEUR_A nécessite l'installation d'un serveur SSH, comme expliqué dans l'article précédemment cité. Afin de permettre l'utilisation directe du tunnel par CLIENT, il est nécessaire d'activer deux options de configuration du serveur SSH. Pour cela, il faut tout d'abord se connecter à SERVEUR_A en tant que super-utilisateur :

su -

Modifier la configuration du serveur SSH :

sed -i "s/#AllowTcpForwarding yes/AllowTcpForwarding yes/" /etc/ssh/sshd_config sed -i "s/#GatewayPorts no/GatewayPorts yes/" /etc/ssh/sshd_config

Puis la recharger :

systemctl reload ssh.service

SERVEUR_A nécessite également l'installation et la configuration de Jailkit afin de pouvoir isoler un utilisateur système, comme expliqué dans cet autre article.

La seule différence consiste en une initialisation minimaliste de l'environnement isolé :

jk_init -v -j /home/jail limitedshell

Il n'est ici pas utile de définir Bash comme shell interactif pour l'utilisateur JAIL_USER, puisque personne n'aura à se connecter en ligne de commande à SERVEUR_A ; ce dernier ne servant que de serveur relais pour la connexion à SERVEUR_B. D'ailleurs, Bash n'est même pas installé dans cet environnement isolé.

Configuration de SERVEUR_B

SERVEUR_B a uniquement besoin d'un client SSH. Les distributions GNU/Linux les plus répandues en étant dotées par défaut, nous devrions d'ores-et-déjà pouvoir nous connecter manuellement à SERVEUR_A depuis SERVEUR_B :

ssh USER_A@IP_SERVEUR_A

Puis nous déconnecter :

exit

Le but du jeu étant d'automatiser l'ouverture et le maintient d'un tunnel SSH vers SERVEUR_A, l'authentification par mot de passe n'est pas envisageable. Il faut configurer une authentification cryptographique, comme expliqué dans cet article. La seule différence — contrainte par ce même soucis d'automatisation — étant que la clef privée elle-même ne doit pas être protégée par un mot de passe.

Copier la clef publique sur SERVEUR_A

Comme expliqué dans l'article indiqué, la clef publique doit être copiée sur SERVEUR_A, pour le compte utilisateur JAIL_USER. Malheureusement, l'environnement isolé installé est trop restrictif pour permettre l'usage de ssh-copy-id. Il est évidemment possible d'y remédier, mais cela augmente notablement la surface d'attaque. S'agissant d'une opération peu fréquente, il est préférable de la réaliser manuellement. Pour cela, il faut tout d'abord, copier la clef publique dans le dossier personnel d'un utilisateur standard de SERVEUR_A :

scp .ssh/id_ed25519.pub USER_A@IP_SERVEUR_A:/home/USER_A/

Puis se connecter à ce compte utilisateur :

ssh USER_A@IP_SERVEUR_A

Se connecter en tant que super-utilisateur :

su -

Importer la clef dans le compte utilisateur JAIL_USER :

cd /home/jail/home/JAIL_USER umask 077 mkdir -p .ssh cat /home/USER_A/id_ed25519.pub >> .ssh/authorized_keys chown -R JAIL_USER: .ssh rm /home/USER_A/id_ed25519.pub

Se déconnecter (deux fois) :

exit Création d'un tunnel SSH

Afin d'automatiser l'ouverture et le maintient d'un tunnel SSH vers SERVEUR_A, il nous faut installer le paquet autossh. Pour cela, il faut tout d'abord se connecter à SERVEUR_B en tant que super-utilisateur :

su -

Installer le paquet autossh :

apt install autossh

Créer un service systemd correspondant :

vim /etc/systemd/system/autossh.service

Et y coller ceci :

[Unit] Description=Keep a tunnel open on port 22 After=network.target [Service] User=USER_B ExecStart=/usr/bin/autossh -o ServerAliveInterval=60 -NR 22222:localhost:22 JAIL_USER@IP_SERVEUR_A Restart=on-failure [Install] WantedBy=multi-user.target

Le port 22222 correspond à l'entrée du tunnel sur SERVEUR_A, qui débouche sur le port 22 de SERVEUR_B. Autant le port d'entrée du tunnel peut être choisi — presque — librement, autant le port de sortie doit correspondre au port d'écoute du serveur SSH sur SERVEUR_B.

Activer le service au démarrage du système, et le démarrer :

systemctl --now enable autossh.service

Se déconnecter :

exit Se connecter à SERVEUR_B depuis CLIENT

Depuis SERVEUR_A, on peut désormais se connecter à SERVEUR_B ainsi :

ssh -p 22222 USER_B@localhost

Où le port 22222 sur localhost est bien l'entrée du tunnel relié au port 22 de SERVEUR_B.

Puisque le but du jeu n'est pas de se connecter directement depuis SERVEUR_A, connectons-nous donc depuis CLIENT, via SERVEUR_A :

ssh -J JAIL_USER@IP_SERVEUR_A -p 22222 USER_B@localhost

Nous y voilà ! Nous pouvons enfin nous connecter à cette satanée machine installée derrière un pare-feu empêchant toute connexion externe... ou presque, donc Wink Évidemment, si l'on souhaite créer d'autres tunnels SSH pour d'autres serveurs distants, il suffit d'utiliser des ports d'entrées différents que celui choisi pour SERVEUR_B.

Dans ce dernier exemple, nous nous sommes connectés à SERVEUR_B via SERVEUR_A, par rebond. Si, par des règles de routage particulières ou un accès direct à SERVEUR_A, il est possible de se connecter directement au port 22222 de SERVEUR_A, la connexion par rebond n'est pas indispensable.

Connexion par SSH inversé via SERVEUR_A, sans rebond Connexion par SSH inversé via SERVEUR_A, sans rebond

Dans ce cas, la commande suivante suffit :

ssh -p 22222 USER_B@IP_SERVEUR_A

À noter l'utilisation a priori étrange de l'utilisateur USER_B sur IP_SERVEUR_A.

Dans cet article, nous avons vu comment créer un tunnel SSH pour se connecter en ligne de commande à un ordinateur distant ; comment relier le port d'une machine externe au port SSH de la machine à contacter, et ainsi contourner la protection d'un pare-feu empêchant, a priori, une telle connexion. Comme nous le verrons dans un prochain article, cette méthode peut être généralisée à l'usage de biens d'autres services que la seule connexion en ligne de commande.

Article sous licence Creative Commons BY-SA 3.0 France.

Gravatar de Cyprien Pouzenc
Original post of Cyprien Pouzenc.Votez pour ce billet sur Planet Libre.

Framablog : PeerTube 1.0 : the free/libre and federated video platform

At the end of 2014, the French non-profit association Framasoft started a crazy challenge : what if we de-google-ified the Internet ?

[For French version of this article, see here]

Three years later, more than thirty alternative services to Google, Facebook, and others were available and released to the public. Based on free/libre software only, without advertising, respectful of privacy, maintained by a non-profit association and totally independent.

However, in the « missing » services, one important actor remained : YouTube. Because how one can produce or make available a YouTube alternative without, tomorrow, collapsing in the face of problems ? Explosion of online storage space (which costs a fortune), explosion of bandwidth costs (which costs two fortunes !), moderation problems, etc.

A solution had to be found.

The origins of PeerTube

In October 2017, Framasoft has hired the PeerTube developer for a few months on a full-time basis. PeerTube was then only a personal project of a free/libre and federated video distribution platform, in alpha version. The promise was a beta version, usable by the most courageous, for March 2018. The particularity of PeerTube is that the software allows to connect several « instances » of PeerTube between them (thus forming a « federation »), allowing them to exchange information without the user having to change between websites.

By March 2018, the beta version was ready. The association (which lives only on donations) then took the financial risk of extending the developer’s contract, in order to be able to launch a version 1.0 in October 2018. Since Framasoft could not finance this development on its own, a crowdfunding was launched in May 2018 with different levels. 45 days later, the association had collected 53 100€ through 1 381 donations.

In October 2018, the Framasoft non-profit is proud to announce the release of version 1.0 of PeerTube !

 Video introducing to PeerTube. For a video with English subtitles, click here.
Realisation : Association LILA (CC by-sa)

 

But then, what does this 1.0 version offer ?

First of all, and to avoid misunderstandings, let us remind you that PeerTube is not a single centralized platform (as YouTube, Dailymotion or Vimeo can be), but a software that brings together many PeerTube instances (i.e. different installations of the PeerTube software, thematic or community based) within what is called a federation. You must therefore look for the PeerTube instance that suits you best to view or upload your videos or, failing that, set up your own PeerTube instance, on which you will have full rights.

PeerTube is not a single centralized platform, but a software

Basic functionalities
    • Peertube allows you to watch videos with WebTorrent, to prevent the saturation of the broadcast servers. If several people are watching the same video at the same time, they download small pieces of the video from your server, but also from the devices of other people who are watching the same video in the same time !
    • Federation between PeerTube instances. If the PeerTube instance A subscribes to the PeerTube instances B and C, from a search on A, you can find and watch videos of B and C, without leaving A.
    • The software has fairly detailed settings that allow the governance to be adjusted : each instance can be organized as it wishes. Thus, the instance administrator can define :
      • a disk space quota for each videographer ;
      • the number of accepted accounts ;
      • the role of users (administration, moderation, use, video upload).
    • PeerTube can run on a small server. For example, you can install it on a VPS-like hardware with two cores and 2GB of RAM. The storage space required obviously depends on the number of videos you want to host personally.
    • PeerTube has a stable and robust code, tested and proven on many systems, which makes it powerful. For example, a PeerTube page often loads much faster than a YouTube page.
    • Your videos can be automatically converted into different definitions (e. g. 240p, 720p or 1080p. or even 4K) to suit the speed and equipment of the visitors. This step is called transcoding.
    • A « Theater » mode as well as a « night » mode are available for better viewing comfort.
    • PeerTube does not spy on you or lock you up : indeed, the application does not collect personal information for commercial purposes, and above all PeerTube does not lock you in a « filter bubble ». In addition, it does not use a biased recommendation algorithm to keep you online indefinitely. It may be a detail (or a weakness) for you, but for us it is a strength that means a lot !
    • There isn’t – yet – any dedicated smartphone application. However, the web version of PeerTube works just as fast on smartphones and adapts perfectly to your device.
    • Visitors can comment on the videos. This feature can be disabled either by the instance administrators on any video or locally by the person who uploads the videos.
    • Since PeerTube uses the W3C standard ActivityPub exchange protocol, it is possible to interact with other software using the same protocol. For example, the PeerTube video platform can interact with the Mastodon social network, an alternative to Twitter. Thus, it is possible to « track » a PeerTube user from Mastodon, or even comment on a video directly from your Mastodon account.
PeerTube demo with Mastodon

 

  • A dedicated button allows you to support the author of a video. In this way, videographers can pick the financing method that suits them.
  • We may not have insisted on this point, but PeerTube is of course free/libre software :) This means that its source code (its recipe) is available and open to everyone. This means you can contribute to the code or, if you think the software is not going in the right direction, copy it and make the changes that suit your needs.
Functionalities financed through crowdfunding
    • Subtitling : possibility to add multiple language files (in.srt format) to provide subtitles for videos.
    • Instance redundancy : it is possible to « help » a designated instance by activating the redundancy of all or part of its videos (which will then be duplicated on your instance). Thus, if the linked instance is overloaded because too many people are watching the videos it hosts, your instance can support it by making its bandwidth available.
    • Import from other video platforms by simply copying and pasting : YouTube, Vimeo, Dailymotion, etc. On some platforms, the retrieval of the title, description or keywords is even automatic. It is of course also possible to import videos by direct link or from another PeerTube instance. Finally, PeerTube also allows import from .torrent files.
Importing a video in PeerTube

 

 

  • Several RSS feeds are available to you according to your needs : one for videos globally, another for those of a channel and one for comments on a video.
  • Peertube has become international and now speaks 13 languages including Chinese. Translations into other languages are in progress.
  • The search feature is more relevant. It takes into account certain typographical errors and provides filters.
Upcoming features

We have excellent news : although the third level of our crowdfunding wasn’t reached, Framasoft has decided to hire the PeerTube developer on a permanent contract in order to ensure the sustainability of the software development. Other functionalities are therefore planned for 2019.

  • A plugin system to customize Peertube. This is an essential development, as it will allow everyone to develop their own plugins to adapt PeerTube to their needs. For example, it will become possible to propose recommendation plugins with specific algorithms or completely different graphic themes.
  • We will probably develop a mobile application (or some motivated contributors will)
  • It will quickly be possible to improve the video import tool, so that you can « synchronize » your YouTube channel with your PeerTube channel (PeerTube will be able to check if new videos have been added and will automatically add them to your PeerTube account, including title and descriptions). In fact, this feature is already available for those who host their PeerTube instance and master the command line.
  • Statistics by instance or by account may be made available.
  • The improvement of moderation tools for big instances
To go further

It’s up to you ! PeerTube belongs to you, take advantage of its possibilities. Submit quality videos (preferably under a free license, or for which you have the broadcasting rights or an explicit agreement) to one of the existing instances. Let your contacts and subscribed YouTubers know about PeerTube. And if you can, install your own instance to further expand the federated network !

Supporting Framasoft also means supporting PeerTube

PeerTube Framasoft

Gravatar de Framablog
Original post of Framablog.Votez pour ce billet sur Planet Libre.

Articles similaires

Pages