Re: Héritage numérique

[Thierry Bugier Pineau]

Bonjour

Je crois que la question ne porte pas sur (ou exclusivement sur) les choses de 
valeur.

Étant donné qu'il est question d'accès à des données chiffrées je pense qu'il 
peut s'agir des photos de vacances, la passation des comptes utilisateur de 
divers sites et services en ligne (le fichier keepassx).

Quid des oeuvres téléchargées légalement et protégées par DRM ? Quid des 
comptes de réseaux (a)sociaux ? Quid de tous les services web où traine un bout 
de notre vie ?

Je sais que la question est d'actualité à la CNIL depuis quelques années et 
qu'il y a une législation à l'étude. Peut être que ça a abouti à des lois en 
vigueur d'ailleurs.

Je pense que la question est très pertinente car il s'agit de protéger sa vie 
privée au delà de l'accès à l'au delà. Pourquoi un notaire serait plus fiable 
que les GAFAM finalement ? Un notaire est un humain avant tout. L'humain est 
faillible et une profession n'est pas un vaccin.

Les notaires n'ont probablement pas de datacenter hébergeant un tahoe-lafs. 
Enbpassant, jetez un oeil à ce projet c'est intéressant. 

Le 5 octobre 2017 18:30:57 GMT+02:00, Haricophile  a 
écrit :
>Le Thu, 5 Oct 2017 14:57:00 +0200,
>Wallace  a écrit :
>
>> Du coup je viens à vous demander quelle solution vous envisageriez
>> pour palier au souci de la perte d'une partie de la clef? Ou quelle
>> autre mécanisme serait le plus adapté?
>
>D'habitude on utilise un notaire pour ce qui concerne l'héritage...
>
>-- 
>haricoph...@aranha.fr 

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.
-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: ralentissement ssh -X

[Thierry Bugier Pineau]

Bonjour

Personnellement cA fait peut être 10 ans que j'utilise le protocole NX. A ce 
jour avec x2go. Il élimine beaucoup de trafic inutile rendant X peut efficace 
en réseau.

Il y a aussi xpra avec winswitch dans les dépôts officiels, mais je n'arrive 
pas toujours à le faire fonctionner bien que ce soit très intéressant en terme 
de fonctionnalité.  

Le 28 août 2017 10:49:30 GMT+02:00, Thierry Despeyroux 
 a écrit :
>En fait dès qu'il y a un curseur vidéo ça devient impossible, snif
>
>Le Mon, 28 Aug 2017 10:08:12 +0200,
>Thierry Despeyroux  a écrit :
>
>> Je viens de supprimer l'accélération matériel et le défilement doux,
>> ça améliore un peu en effet, mais j'ai l'impression que ce n'est pas
>> au même niveau qu'avant.
>> 
>> Merci beaucoup quand même
>> 
>> Thierry
>> 
>> Le Mon, 28 Aug 2017 09:52:37 +0200,
>> Grégory Reinbold  a écrit :
>> 
>> > Bonjour,
>> > 
>> > Tu as essayé activer/désactiver l'accélération matérielle dans ton 
>> > navigateur ?
>> > 
>> > 
>> > On 08/28/2017 09:33 AM, Thierry Despeyroux wrote:  
>> > > Bonjour,
>> > >
>> > > j'avais l'habitude dans les versions précédentes de Debian de me
>> > > connecter par ssh -X à mon portable pro depuis ma station perso,
>> > > et tout marchait nikel. Sauf pour les videos dans firefox, je ne
>> > > remarquais aucun ralentissement notable par rapport à aller
>> > > directement sur l'écran du portable.
>> > >
>> > > Depuis que je suis passé à Debian 9 (sur les 2 machines) le
>> > > ralentissement est devenu insupportable...
>> > >
>> > > Avez-vous une idée du côté où il faut que je regarde ?
>> > >
>> > > Bonne journée à tous
>> > >
>> > > Thierry Despeyroux
>> > >
>> >   
>> 

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: sourceforge ou autre

[Thierry Bugier Pineau]

Le jeudi 24 août 2017 à 16:09 +0200, David Martin a écrit :
> Bonjour
> 
> Je me souviens d'avoir utilisé tucows / freshmeat / sourceforge pour
> trouver des
> petits projets opensource.
> 
> tucows et freshmeat n'existant plus, en connaissez vous d'autre à
> part sourceforge ?
> 
> 
> 

Bonjour

Il y a OW2

https://gitlab.ow2.org/explore

Re: Debian sur Intel Atom Z3735F

[Thierry Bugier Pineau]

Bonjour

Une remarque sur la commande dd.

Si la destination est une clé USB il vaut mieux définir bs à une valeur plus 
élevée. Les blocs d'effacement étant de l'ordre du Mo, bs=8M (sur la base de 
mes expériences) offira une plus grande vitesse de copie.

Avec 8M on est à peu près sûr de fournir une taille supérieure ou égale à la 
taille d'un bloc d'effacement sur une clé USB.

Ça permet aussi de réduire son usure.

Le 23 août 2017 18:31:08 GMT+02:00, bernard.schoenac...@free.fr a écrit :
>- Mail original -
>
>> De: "Martin Chretien" 
>> À: debian-user-french@lists.debian.org
>> Envoyé: Mercredi 23 Août 2017 17:38:13
>> Objet: Debian sur Intel Atom Z3735F
>
>> Bonjour,
>
>> Je voudrais installer Debian sur un Voyo v2 version SSD 64go (
>>
>http://forum.frandroid.com/topic/235258-test-du-voyo-v2-le-meilleur-mini-pc-chinois-ssd-de-64-go-et-batterie-interne-de-5000mah-intégrés/
>> ) processeur Intel Atom Z3735F (
>>
>https://ark.intel.com/fr/products/80274/Intel-Atom-Processor-Z3735F-2M-Cache-up-to-1_83-GHz
>> ) . Pourriez-vous m'orienter vers une procédure ou un groupe de
>> discussion où je pourrais demander de l'aide.
>
>> Merci d'avance.
>
>> Martin
>bonjour, 
>
>voici la façon de procéder pour installer une debian en i386 (jessie) 
>upgradée ultérieurement 
>
>l'image ISO : 
>
>ftp.cae.tntech.edu/debian-cd/dvd/debian-8.8.0-i386-DVD-1.iso 
>
>avec windows il te faut rufus et une clé (vierge) USB: 
>
>https://rufus.akeo.ie/ 
>
>*attention* il faut passer par la procédure DD 
>
>avec linux et une clé USB de 4GO : 
>
>dd if= debian-8.8.0-i386-DVD-1.iso of=/dev/sdc bs=64k 
>
>attention c'est un exemple qui doit être vérifié avec la commande dmesg
>
>
>ensuite à l'aide du hub USB, il faut connecter : 
>
>un clavier et une souris 
>
>la clé USB contenant l'image ISO 
>
>une alimentation 
>
>le tutoriel qui va bien pour l'install : 
>
>http://lehmann.free.fr/Contributions/FreeRADIUS/Installer%20pub.pdf 
>https://www.debian.org/releases/stable/i386/index.html.fr 
>
>pour finaler l'install à partir de jessie : 
>
>mettre en place le serveur xrdp + tightvncserver (jessie) 
>
>xvkbd 
>
>firmware-brcm80211 
>
>slt 
>bernard 

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: recherche environnement graphique

[Thierry Bugier Pineau]

Bonjour

J'ai un Lenovo x200 tablet édition, et j'utilise xfce sous debian Sid. Ça 
fonctionne très bien.

D'une manière générale cet environnement est à mon avis le meilleur compromis 
légèreté/fonctionnalités.

Lxde manque de pas mal de choses essentielles à mon goût mais est réputé encore 
plus léger. 

Je reste sur des environnements à interface classique. Je surveille le sujet 
pour lire d'autres avis. Qui sait si ça me titillera d'essayer un autre 
environnement. 

Le 23 août 2017 13:38:16 GMT+02:00, bernard.schoenac...@free.fr a écrit :
>bonjour,
>
>cf sujet et c'est pour un lenovo x201 tablette
>avec xvkbd  (ssd et 4 Go ram)
>
>lequel est le plus adapté ?
>
>pour info: xfce est installé
>
>mais s'il y a mieux ?
>
>
>slt
>bernard

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Les cyber menaces basculent vers Linux et les serveurs Web

[Thierry Bugier Pineau]

Je prends note; je préfère ce genre de solution mécanique plutôt que
recourir à la chimie. Merci d'avoir partagé :)

Le dimanche 13 août 2017 à 21:46 +0200, Haricophile a écrit :
> Le Thu, 10 Aug 2017 10:27:51 +0200,
> "Pierre L."  a écrit :
> 
> > Les poux !!!
> > Prépare ton peigne fin et tes produits anti-poux, sinon tondeuse
> > sans
> > sabot (équivalent formatage...) !
> 
> Complètement HS mais comme il s'agit d'un problème récurent, je
> réagit
> quand même.
> 
> Le problème est résolu depuis l'apparition du peigne Assy2000 : 
> Un peigne en inox avec des grosses dents rondes avec une cannelure en
> spirale gravée au laser qui casse les lentes et les œufs de poux. 
> 
> Fini les produits, ça marche en préventif (une ou deux fois par
> semaine) et en curatif (2 ou 3 fois par jour), c'est presque
> inusable,
> ça peux servir à l'infirmière scolaire pour toute une classe en
> passant
> sous l'eau bouillante entre chaque tête et c'est autorisé puisque pas
> de
> produit ! et si je fais la pub pour ce modèle c'est qu'il a été créé
> et
> mis au point avec des subventions de l'OMS je crois afin de résoudre
> le
> problème des poux dans les pays du tiers-monde (c'est pas cher). Il
> s'agit réellement d'une grande avancée dans la santé publique faite à
> moindre coût.
> 
> Le seul problème est de trouver un pharmacien qui accepte de te le
> vendre vu qu'il va perdre la très juteuse rente de ses
> produits toxiques : santé publique vs business...
> 
> Et je peut te garantir que pour l'avoir utilisé dans un village ou
> personne n'avait de poux mais où le pharmacien te disait franchement
> :
> « Ça m'étonnerait beaucoup vu la quantité de produits que je vend »,
> je
> lui ait fait du tort à son chiffre d'affaire en donnant des peignes
> au
> médecin scolaire du collège et de l'école, mais c'était un pharmacien
> bien qui pensait que la santé des enfant passait avant son intérêt
> personnel et il a référencé le peigne.
> 
> 
> 

Faille 0day dans les box SFR et Orange

[Thierry Bugier Pineau]

Bonjour,

Poir info, il y a un peu d'excitation sur le sujet ces derniers jours.

http://www.journaldugeek.com/2017/08/11/faille-securite-box-sfr-orange-wifi/

Si vous êtes concernés, désactivez complètement le WPS, puis changez votre clé 
wifi.


-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Les cyber menaces basculent vers Linux et les serveurs Web

[Thierry Bugier Pineau]

Le mercredi 09 août 2017 à 12:39 +0200, Randy11 a écrit :
> P.S. : Il semble que je n'arrive plus à poster sur cette liste, merci
> de 
> me faire
> savoir si vous avez déjà reçu ce message.

Bonjour

Oui, les messages sont bien arrivés, j'ai d'ailleurs partagé :)

Re: plusieurs ports d'écoute pour un serveur SSH

[Thierry Bugier Pineau]

Le jeudi 03 août 2017 à 11:12 +0200, Samy Mezani a écrit :
> Le 03/08/2017 à 10:56, daniel huhardeaux a écrit :
> > Le 03/08/2017 à 10:50, Samy Mezani a écrit :
> > > 
> > > 
> > > Le 03/08/2017 à 10:26, Yatajb a écrit :
> > > > Un firewall ?
> > > 
> > > Je n'ai pas bidouillé le pare-feu, donc par défaut tous les ports
> > > sont 
> > > accessibles non ?
> > > 
> > > Voici un extrait de la config du pare-feu sur le serveur :
> > > # iptables -L
> > > Chain INPUT (policy DROP)
> > 
> > Euh ... ports accessibles avec cette policy ;), m'étonnerai
> > beaucoup !
> > 
> > > [...]
> > > ACCEPTtcp  --  anywhereanywhere tcp dpt:ssh
> > > [...]
> > 
> > ssh est le service soit le port 22. Il faut rajouter ton port.
> 
> OK, merci, j'ignorais qu'il fallait explicitement ouvrir ce port.
> Pas 
> trop l'habitude de manipuler mon pare-feu…
> 
> J'ai résolu mon problème avec :
> # iptables -A INPUT -p tcp --dport  -j ACCEPT
> 
> Merci à vous 2 !
> 
> Samy
> 

Bonjour

Pour info il existe ufw (Uncomplicated firewall) sous Debian, avec une
petite interface graphique pour Gnome. J'ai pu m'en servir brièvement
quand je connectais mon pc poratble sur un réseau bourré de machines
windows. De mémoire c'est une couche d'abstraction au dessus d'iptable,
et créé par Canonical / Ubuntu. J'ai trouvé que le rapport complexité /
fonctionnalité était pas mal du tout. A essayer :)

Re: Problème avec un update vers Mysql 5.5.57

[Thierry Bugier Pineau]

Le samedi 29 juillet 2017 à 23:56 +0200, Philippe Batreau a écrit :
> Bonjour à tous,
> 
> J'ai un serveur Debian Linux 8 et Webmin / Virtualmin en interface.
> 
> Le système a fait automatiquement les mises à jour suivantes :
> 
> An update to libmysqlclient18 from 5.5.55-0+deb8u1 to 5.5.57-0+deb8u1 
> is needed.
> This update has been successfully installed.
> 
> An update to mysql-client from 5.5.55-0+deb8u1 to 5.5.57-0+deb8u1 is
> needed.
> This update has been successfully installed.
> 
> An update to mysql-client-5.5 from 5.5.55-0+deb8u1 to 5.5.57-0+deb8u1 
> is needed.
> This update has been successfully installed.
> 
> An update to mysql-server from 5.5.55-0+deb8u1 to 5.5.57-0+deb8u1 is
> needed.
> This update has been successfully installed.
> 
> An update to mysql-server-5.5 from 5.5.55-0+deb8u1 to 5.5.57-0+deb8u1 
> is needed.
> This update has been successfully installed.
> 
> Et depuis les bases sont inaccessibles/
> 
> Elles sont toujours là car je les vois sur le serveur, mais
> inaccessibles par webmin, phpmyadmin ou tout simplement le web.
> 
> Tous les sites de ce serveur sont donc inopérants.
> 
> Avez-vous eu le même problème ?
> 
> Des idées / pistes pour résoudre ?
> 
> Des manips à me conseiller ?
> 
> A vous lire.
> 
> Bien à vous.
> 
> Philippe BATREAU
> 

Bonjour

Si je comprends bien, les fichiers des bases de données sont toujours 
là ?

Première chose à faire => backup de la machine si il n'y en a pas

- Ensuite je regarderais si mysql tourne : 

service mysql status

- Si il ne tourne pas, essayer de le relancer, et si ça ne veut pas,
lancer le service en avant plan (documentation: man mysqld)

- si Mysql fonctinne essayer de se connecter en invite de commande 

mysql -h ip-hote -u user -p 

puis:
saisir le mot de passe de l'utilisateur
use une-base-de-donnees;
show tables;

(juste pour voir si elles sont lisibles)

- si c'est bon, vérifier les droits d'accès des bases en s'assurant que
 les drotis pour webmin, phpmyadmin et les sites sont toujours valables

Essayer depuis ces hôtes via l'invite de commande
(de nouveau mais sur les hôtes consommant les BDD) mysql -h -u user -p

Voyons déjà si tout cela done des pistes.

En gros, la démarche est d'aller au plus près des bases de données
(donc les fichiers et remonter sur l'infrastructure pas à pas jusqu'à
trouver ce qui est cassé.

Re: carte nvidia jessie n'apprécie pas les upgrade

[Thierry Bugier Pineau]

Bonjour

Si j'ai bien compris, le problème n'impacte que l'environnement
graphique. Donc si le problème persiste après les premières pistes
évoquées, pensez à jeter un oeil au fichier 

/var/log/Xorg.0.log

Il devrait y avoir quelques indices. Les erreurs sont marquées par (EE)
après l'horodatage.


Le mercredi 26 juillet 2017 à 17:15 +0200, andre_deb...@numericable.fr
a écrit :
> Bonjour,
> 
> Depuis que j'ai upgradé Jessie dernière version,
> (pas vers stretch),
> ma carte nvidia geforce 200 (2xx), ne se lance plus.
> 
> J'ai essayé :
> 1] avec le driver debian nvidia,
> 2] avec le driver de nvidia téléchargé sur leur site,
> à chaque fois avec désinstallation de l'ancienne config,
> aucun message d'erreur sur les deux méthodes d'installation.
> 
> Nvidia fonctionne parfaitement sur une Jessie non upgradée,
> avec le driver nvidia de debian.
> 
> Au boot, je tombe sur un écran noir et blocage.
> CTRL-ALT-F1 et CTRL-C pour revenir à la console.
> 
> Merci d'une aide, une idée...
> 
> André
> 

Re: carte nvidia jessie n'apprécie pas les upgrade

[Thierry Bugier Pineau]

Avec le pilote libre et sans xorg.conf que dit le fichier de log de xorg dont 
j'ai parlé ?

Le 26 juillet 2017 19:19:36 GMT+02:00, andre_deb...@numericable.fr a écrit :
>On Wednesday 26 July 2017 17:27:28 maderios wrote:
>> On 07/26/2017 05:15 PM, andre_deb...@numericable.fr wrote:
>> > Depuis que j'ai upgradé Jessie dernière version,
>> > (pas vers stretch),
>> > ma carte nvidia geforce 200 (2xx), ne se lance plus.
>> > J'ai essayé :
>> > 1] avec le driver debian nvidia,
>> > 2] avec le driver de nvidia téléchargé sur leur site,
>> > à chaque fois avec désinstallation de l'ancienne config,
>> > aucun message d'erreur sur les deux méthodes d'installation.
>> > Nvidia fonctionne parfaitement sur une Jessie non upgradée,
>> > avec le driver nvidia de debian.
>> > Au boot, je tombe sur un écran noir et blocage.
>> > CTRL-ALT-F1 et CTRL-C pour revenir à la console.
>
>> Supprimer le xorg.conf s'il existe.
>> Désinstaller / supprimer / purger tout ce qui concerne nvidia
>> Installer les paquets nvidia de jessie + dépendances +
>> xserver-xorg-video-nvidia + dkms
>> Ensuite, tout est 'automagique', dkms fera le boulot lors de chaque
>mise
>> à jour...
>
>Merci de ton aide.
>
>J'ai bien fait ce que tu a écrit.
>
>Échec, pareil, écran noir, pas de connexion graphique.
>
>Je n'ai pas de fichier xorg dans /usr/share/X11/xorg.conf.d
>
>À la fin de l'installation des paquets nvidia, une fenêtre
>m'a dit de créer un fichier "xorg.conf".
>Ok, mais comment ?
>J'ai trouvé un exemple de ce fichier que j'ai mis
>dans /etc/X11, mais rien à faire...
>
>Je me demande si ma carte nvidia accepte les dernières
>versions de Debian car les 2 méthodes, driver proprio et libre
>ne marchent pas.
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Les cyber menaces basculent vers Linux et les serveurs Web

[Thierry Bugier Pineau]

Le mardi 25 juillet 2017 à 16:20 +0200, Jean Bernon a écrit :
> A Stef : OK pour le texte brut
> A tous : Une consultation plus précise du site de Clamav... 
> http://www.clamav.net/documents/potentially-unwanted-applications-pua
> ... confirme que les PUA ne signalent pas des fichiers infectés mais
> des "menaces potentielles" et dans mon cas la configuration par
> défaut de clamtk n'aurait rien signalé. Reste une seule question :
> que faire des PUA ? Les oublier purement et simplement ? 
> 
> - Mail original - 
> 
> > De: "VieuxGeek DuSystem" 
> > À: debian-user-french@lists.debian.org
> > Cc: debian-user-french@lists.debian.org
> > Envoyé: Mardi 25 Juillet 2017 15:54:26
> > Objet: Re: Les cyber menaces basculent vers Linux et les serveurs
> > Web
> > Bonjour
> > Ce sont les gros virus malsains qui te force à écrire en html?
> > Je plaisante bien sur, sauf qu'il reste préférable d'écrire sur les
> > listes en text brut :-)
> > Bonne journée
> > Stef
> > Le 25 juillet 2017 à 12:14, Jean Bernon  a écrit :
> > > Précisions suite à mon précédent post contenant une liste de 22
> > > "menaces
> > > potentielles" trouvées sur mon PC. J'ai utilisé l'interface
> > > graphique de
> > > Clamav, Clamtk, qui comporte des paramètres. Les paramètres par
> > > défaut
> > > n'incluent pas différentes options et j'ai coché toutes les
> > > options
> > > avant de
> > > faire mon analyse, notamment "analyser les logiciels
> > > potentiellement
> > > indésirables" et "analyser les fichiers commençant par un .".
> > > Donc
> > > mon PC
> > > n'est pas infecté, les 22 problèmes signalés sont seulement des
> > > menaces
> > > potentielles. Par précaution j'ai tout de même mis ces 22
> > > fichiers
> > > en
> > > quarantaine simplement pour éviter de les transmettre à d'autres,
> > > car Clamav
> > > semble tout de même bien détecter un virus dormant dans ces
> > > fichiers (?). Ma
> > > précédente analyse portait seulement sur mon répertoire
> > > personnel.
> > > J'en ai
> > > lancé une nouvelle sur tout le PC et je sors encore 88 menaces
> > > potentielles,
> > > quasi toutes dans les librairies de Libre Office. Je les ai aussi
> > > mis en
> > > quarantaine, mais je suis étonné que sur un Ubuntu, avec Libre
> > > Office
> > > installé, on ne retrouve pas les mêmes.
> > > 
> > > Un extrait
> > > /usr/lib/libreoffice/share/basic/Tutorials/RoadMap.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Tutorials/ShowInfoDialog.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Tutorials/TutorialClose.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Tutorials/TutorialCreator.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Tutorials/Functions.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Tutorials/TutorialOpen.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Protect.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/AutoPilotRun.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/ImportWizard/DialogModul.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Soft.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Init.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Hard.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/ConvertRun.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Common.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Writer.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/Test.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/L10N.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/Application.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/acConstants.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/ImportWizard/Main.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/_License.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/CommandBarControl.xb
> > > a
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/Collect.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/Control.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/DoCmd.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > 
> > > 
> > > 
> > > De: "elguero eric" 
> > > À: 

Re: Les cyber menaces basculent vers Linux et les serveurs Web

[Thierry Bugier Pineau]

Le dimanche 23 juillet 2017 à 13:00 +0200, Pierre Malard a écrit :
> Hola,
> 
> Il est tout de même bon de noter qu’un seul de ces systèmes est
> véritablement open-source (ClamAV). Personnellement, j’ai installé
> ClamAV sur tous nos serveurs offrant des espaces accédés par Windows
> (Mail, nuage, partages SMB, …) mais uniquement pour ne pas favorisé
> la propagation de virus … Windows. Par contre, en ce qui concerne les
> postes individuels sous *nix, je n’en vois pas très bien l’utilité ni
> les bienfaits. En effet, à la l’usage, ces produits, au mieux, ne
> protègent que des signatures de virus … Windows, au pire, étant assez
> mal écrits et devant s’intercaler à un niveau assez bas du système,
> ralentissent sensiblement la machine. Enfin, contrairement à ce que
> laisse entendre le flou du discours commercial, ils ne protègent en
> rien des autres types d’attaques dont un poste *nix pourrait être
> l’objet. Celles-ci sont majoritairement basées sur les failles de
> sécurité du système et d’éventuels déni de service ou écrits pour
> perturber l’utilisation des navigateurs (malwares). Dans ce cas,
> comme précisé plus avant, seule une bonne hygiène d’utilisation, des
> mises à jour régulières et des solutions de protection réseau
> globales (LAN MZ) peuvent y remédier.
> 
> Par ailleurs, si j’insiste sur le côté non libre massif des solutions
> c’est justement à cause du discours lénifiant et incantatoire de
> leurs sites qui fait plutôt penser à de la pub qu’à autre chose. En
> la matière, le seul open-source est beaucoup plus clair, il ne
> protège que des virus Windows et uniquement ça.
> 
> PS:
> C’est un vieux marronnier quand même que ce sujet ;-)
> 
> > Le 23 juil. 2017 à 12:01, Thierry Bugier Pineau <bugie...@gmail.com
> > > a écrit :
> > 
> > Le dimanche 23 juillet 2017 à 10:38 +0200, maderios a écrit :
> > > On 07/23/2017 10:14 AM, fred wrote:
> > > 
> > > > Quand on fait le nécessaire avant que les problèmes
> > > > n'apparaissent
> > > > et
> > > > pour réduire leur impact s'ils arrivent, on a déjà fait une
> > > > part
> > > > importante du boulot et on fait du préventif. Par contre, il
> > > > est
> > > > illusoire de penser que l'environnement GNU/Linux est
> > > > totalement à
> > > > l'abri des virus. Une fois qu'on a ça en tête et qu'on a fait
> > > > le
> > > > nécessaire en amont, on peut alors choisir ou non de mettre un
> > > > antivirus
> > > > sur ses machines.
> > > 
> > > Un antivirus pour Linux? C'est la première blague du jour...
> > > 
> > 
> > Pour moi, non c'est sérieux :)
> > 
> > Si je m'en réfère au grand, puissant (et plein d'autres
> > superlatifs)
> > Wikipedia, voilà ce que je trouve :
> > https://fr.wikipedia.org/wiki/Liste_des_malwares_Linux
> > 
> > On y trouve une petite liste de virus, et d'antivirus également
> > pour
> > notre OS préféré (peu importe la saveur).
> > 
> > Et la lutte contre la propagation de virus pour windows passe aussi
> > par
> > la traque de virus sur les machines linux car un serveur linux peut
> > être un porteur sain (serveur SMB/CIFS sous Samba hébergeant des
> > fichiers infectés.. pour windows). D'ailleurs c'est dit aussi dans
> > l'article que je viens de citer.
> > 
> > Enfin, l'idée d'avoir un antivirus sur un système linux utilisé
> > comme
> > poste de travail (ou de jeu) ne me choque pas: pourquoi pas, si ça
> > permet de protéger (un peu mieux) le novice, ou même lutilsiateur
> > averti qui ne sait pas tout, ou même l'expert qui a fait une
> > "boulette"
> > ?
> > 
> > Une sécurité efficace, à mon avis, passe par une série de mesures,
> > opérant à différents niveaux:
> > - le matériel (au niveau CPU, firmwares, peut être même le chipset)
> > - l'OS lui même
> > - les logiciels
> > - l'interface chaise / clavier
> > - le réseau
> > 
> > 
> 
> -- 
> Pierre Malard
> 
> À propos de nos chers économistes :
>     «Les habiles, dans notre siècle, se sont décernés a eux-mêmes la 
>     qualification d’homme d’état. [...] ces politiques, ingénieux
>     a mettre aux fictions profitables un masque de nécessité.»
>              Victor Hugo : “Les misérables”, La pléiade, Gallimard,
> P. 843
> 
>    |\      _,,,---,,_
>    /,`.-'`'    -.  ;-;;,_
>   |,4-  ) )-,_. ,\ (  `'-'
>  '---''(_/--'  `-'\_)   πr
> 
> perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  )
> )-,_. ,\ (  `'"'"'-'"

Re: Quel opcode PHP pour Debian Stretch ?

[Thierry Bugier Pineau]

Le dimanche 23 juillet 2017 à 22:04 +0200, andre_deb...@numericable.fr
a écrit :
> On Sunday 23 July 2017 20:48:56 Ph. Gras wrote:
> > Pas faux André :
> > > Avec php 7, des codes php ne fonctionnent plus,
> > > méfiance avant de basculer, il faut avant les modifier,
> > > sinon le site Web fonctionnera bien mal.
> 
> > J'ai un Wordpress et un phpBB qui doivent tourner dessus,
> > apparemment c'est bon d'après ce que j'ai lu sur le Web…
> > Ph. Gras
> 
> Les CMS ont dû en tenir compte, mais pour les sites maison...
> 
> Il faut mettre dans "php.ini", error = on,
> et le site affiche les codes php devenus obsolètes.
> 
> Sur mon site perso, j'ai préféré pour l'instant revenir à php5,
> en attendant le courage de les modifier,
> Les upgrade, c'est bien, mais que de boulot ensuite :-)
> 
> André
> 

Bonjour

Penser à la fin de vie de vos sites si vous voulez rester en PHP 5. Il
ne reste qu'un an et demi (l'air de rien, ça passe vite)

http://php.net/supported-versions.php

Re: Les cyber menaces basculent vers Linux et les serveurs Web

[Thierry Bugier Pineau]

Le dimanche 23 juillet 2017 à 10:38 +0200, maderios a écrit :
> On 07/23/2017 10:14 AM, fred wrote:
> 
> > Quand on fait le nécessaire avant que les problèmes n'apparaissent
> > et
> > pour réduire leur impact s'ils arrivent, on a déjà fait une part
> > importante du boulot et on fait du préventif. Par contre, il est
> > illusoire de penser que l'environnement GNU/Linux est totalement à
> > l'abri des virus. Une fois qu'on a ça en tête et qu'on a fait le
> > nécessaire en amont, on peut alors choisir ou non de mettre un
> > antivirus
> > sur ses machines.
> 
> Un antivirus pour Linux? C'est la première blague du jour...
> 

Pour moi, non c'est sérieux :)

Si je m'en réfère au grand, puissant (et plein d'autres superlatifs)
Wikipedia, voilà ce que je trouve :
https://fr.wikipedia.org/wiki/Liste_des_malwares_Linux

On y trouve une petite liste de virus, et d'antivirus également pour
notre OS préféré (peu importe la saveur).

Et la lutte contre la propagation de virus pour windows passe aussi par
la traque de virus sur les machines linux car un serveur linux peut
être un porteur sain (serveur SMB/CIFS sous Samba hébergeant des
fichiers infectés.. pour windows). D'ailleurs c'est dit aussi dans
l'article que je viens de citer.

Enfin, l'idée d'avoir un antivirus sur un système linux utilisé comme
poste de travail (ou de jeu) ne me choque pas: pourquoi pas, si ça
permet de protéger (un peu mieux) le novice, ou même lutilsiateur
averti qui ne sait pas tout, ou même l'expert qui a fait une "boulette"
?

Une sécurité efficace, à mon avis, passe par une série de mesures,
opérant à différents niveaux:
- le matériel (au niveau CPU, firmwares, peut être même le chipset)
- l'OS lui même
- les logiciels
- l'interface chaise / clavier
- le réseau

Re: Les cyber menaces basculent vers Linux et les serveurs Web

[Thierry Bugier Pineau]

Tant qu'à faire, si vous voulez rire un peu

http://www.linuxgenuineadvantage.org/

Le 22 juillet 2017 14:05:57 GMT+02:00, Charles Plessy  a 
écrit :
>Le Sat, Jul 22, 2017 at 11:29:47AM +0200, Alain Rpnpif a écrit :
>> 
>> Bien sûr mais Windows pousse aussi au crime avec la facilité
>> d'installation des programmes exotiques, ce qui est plus difficile
>sous
>> Linux et sous Debian en particulier car l'installation d'un programme
>> est plus compliquée (en partie à dessein) pour un débutant.
>
>Sous Linux il y a quand même l'infâme « curl
>http://example.com/fais-moi-confiance.sh | sudo bash - »...
>
>Amicalement,
>
>-- 
>Charles Plessy
>Tsurumi, Kanagawa, Japon

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Les cyber menaces basculent vers Linux et les serveurs Web

[Thierry Bugier Pineau]

Bonjour

Un sujet de BAC philosophie :

Windows est il un crime ?

(Fin de troll) :)



Le 22 juillet 2017 11:29:47 GMT+02:00, Alain Rpnpif  a écrit :
>Le 21 juillet 2017, Pierre L. a écrit :
>
>> Mais je pense qu'il faut quand même ajouter que pour les postes sous
>> Windows (et autres en fait !), la "survie" de l'OS dépend grandement
>de
>> l'utilisation de la machine ! ou plutôt de son utilisateur...
>> Nous avons tous eu la tata ou le cousin qui installe n'importe quelle
>> drouille trouvée sur le net, et paff pollution du navigateur, de la
>> machine, etc...
>> Oui, une machine requiert une certaine hygiène d'utilisation de la
>part
>> de son propriétaire... Pour moi le problème majeur restera toujours
>le
>> gugusse sur les clavier/souris !
>> 
>> On avait un prof en info à l'époque qui nous expliquait que la pire
>> menace lors de l'administration de son réseau venait principalement
>de
>> "l'intérieur"... je pense aujourd'hui qu'il avait bel et bien raison
>!
>> Des utilisateurs bien avertis et éduqués limiteront grandement la
>> propagation de saletés...
>
>Bien sûr mais Windows pousse aussi au crime avec la facilité
>d'installation des programmes exotiques, ce qui est plus difficile sous
>Linux et sous Debian en particulier car l'installation d'un programme
>est plus compliquée (en partie à dessein) pour un débutant. Le système
>des dépôts Debian est aussi un atout en faveur de Linux... recopié par
>Google pour son Android mais de façon plus libérale au sens picsou,
>euh,
>économique du terme.
>
>Viva La Debianade !
>
>-- 
>Alain Rpnpif

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Important : Veeam Backup

[Thierry Bugier Pineau]

Le vendredi 21 juillet 2017 à 09:16 +0200, Eric Bernard a écrit :
> Bonjour,
> la majorité de mes VMs sont en windows, mais je crois
> qu’effectivement une deuxième sauvegarde s'impose...
> 
> 
> Cordialement
> 
> -- 
> 
> 
> 
>   Eric BERNARD
>   Responsable informatique
>   et multimédia
>   02 41 51 11 36
> 
> 
> 
> 
> 
> Le 21/07/2017 à 09:04, Pierre Malard a écrit :
> > Bonjour,
> > 
> > Si vos VM sont des VM *nix, pourquoi ne pas simplement laisser
> > tomber VEEAM pour un système de sauvegarde basé sur rsync comme
> > « rsnapshot » ? Ou doubler les sauvegardes VEEAM par un rsnapshot
> > complet de la VM ?
> > 
> > Cordialement
> > 
> > > Le 21 juil. 2017 à 08:13, Eric Bernard  > > saumur-ec49.org> a écrit :
> > > 
> > > Bonjour,
> > > 
> > > Attention, j'ai eu un dysfonctionnement MAJEUR de Veeam Backup :
> > > celui-ci m'indiquait que toutes mes sauvegardes (11 machines
> > > virtuelles) étaient bien réalisées et sans erreur... 
> > > Impossible de restaurer une de mes VMs (celle de mon serveur
> > > pédagogique scribe), les 15 sauvegardes de celle-ci étaient
> > > défectueuses et donc la restauration ne pouvait se faire.
> > > La boite qui gère mon infrastructure Vmware à contacté Veeam
> > > Backup et on a eu droit à une belle conférence téléphonique mais
> > > toujours pas de solution et surtout d'explications !!
> > > On doit tester sur les autres VMs, surtout celles de
> > > l'administration (comptabilité, scolarité, etc..)
> > > En conclusion 1, on achète un logiciel recommandé pour Vmware,
> > > qui vaut un bras et on se retrouve comme des c... !!!
> > > En conclusion 2, à quelques jours de mes vacances, je dois
> > > réinstaller un scribe et réintégrer mes 300 postes clients...
> > > En conclusion 3, étant prévoyant, j'ai une sauvegarde des
> > > répertoires personnels réalisé par une bonne vieille commande
> > > rsync...
> > > 
> > > Bonnes vacances !!!
> > > Cordialement
> > > 
> > > 
> > >   Eric BERNARD
> > >                     
> > 
> > -- 
> > Pierre Malard
> > 
> >   « La mondialisation de l'économie a, « en moyenne », eu
> > pour conséquence
> >      l'augmentation du niveau de vie « moyen ».
> >      Un homme avec la tête dans un four et les jambes dans un
> > congélateur a,
> >      « en moyenne », une température corporelle idéale... »
> >                                          Philippe Val - France
> > Inter 09/04/2001
> >    |\      _,,,---,,_
> >    /,`.-'`'    -.  ;-;;,_
> >   |,4-  ) )-,_. ,\ (  `'-'
> >  '---''(_/--'  `-'\_)   πr
> > 
> > perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-
> >  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_):
> > 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
> > - --> Ce message n’engage que son auteur <--
> > 
> 
> 

Bonjour

Vu que je suis en plein dedans avec ma question de la semaine, je
recommande chaudement Borg (dispo depuis Jessie par backport, et en
natif sur les versions suivantes)

Pour avoir utilisé Rsnapshot et commencé avec Borg je trouve que Borg
est bien plus facile à mettre en place en ce qui concerne la partie
SSH.

J'ai trouvé un script shell tout fait pour une tâche cron (je n'ai pas
retenu la source) qui fait l'affaire. Je peux le partager.

Il peut facilement être complété pour faire un snapshot d'un volume
logique si besoin.

Et avoir 2 sauvegardes avec 2 technos différentes, effectivement ça
peut valoir la peine.

Bon courage

[RESOLU] Choisir un outil de sauvegarde, et utilité du compte système "backup"

[Thierry Bugier Pineau]

Le samedi 15 juillet 2017 à 23:35 +0200, G2PC a écrit :
> Le 15/07/2017 à 22:31, Thierry Bugier Pineau a écrit :
> > Bonjour
> > 
> > Je veux mettre en place un système de sauvegarde adapté à mon
> > infrastructure personnelle, et préparer la création de mon système
> > de
> > messagerie (avoir une sauvegarde est un pré requis).
> > 
> > J'ai:
> > - 2 serveurs sous Proxmox VE (un perso, un dédié)
> > - quelques machines perso.
> > 
> > Les Proxmox contiennent des VM à sauvegarder. Je compte simplemetn
> > configurer Proxmox pour sauvegarder les VM localement et copier les
> > sauvegardes sur un stockage distant, accessible par SFTP.
> > 
> > J'ai repéré dans Debian l'existence d'un compte utilisateur
> > "backup",
> > appartenant au groupe "backup". Je ne trouve pas d'information la
> > raison d'être de ce compte (au delà du nom explicite), ni de bonne
> > pratique d'utilisation. Quelqu'un ici saurait m'expliquer comment
> > s'en
> > servir ?
> > 
> > J'ai recherché les différentes solutions de sauvegarde possibles.
> > Il
> > faut qu'elle supporte la sauvegarde vers un stockage distant, ou
> > depuis
> > un stockage distant (tout dépend d'où le logiciel va s'exécuter).
> > Le
> > support d'un snapshot LVM est un plus, pour la cohérence de la
> > sauvegarde.
> > 
> > J'ai une petite expérience avec rsnapshot, j'ai utilisé il y a
> > longtemps backuppc sur plusieurs réseaux de postes de travail. Je
> > pense
> > me tourner vers rdiff-backup. Avant d'arrêter mon choix, je
> > voudrais
> > solliciter les avis et retours d'expérience parmi vous. 
> > 
> > D'avance merci.
> > 
> 
> Bonsoir, je ne suis pas expert en sauvegarde, certains ici ont plus
> de
> savoir faire.
> J'utilise grsync , ou, je préfère actuellement Deja Dup qui me permet
> de
> sauvegarder mon /home en GUI.
> https://www.visionduweb.eu/wiki/index.php?title=Sauvegarder_et_reinst
> aller_Linux_Mint_Sarah#Sauvegarder_le_.2Fhome_de_votre_utilisateur_av
> ec_Deja_Dup
> 
> Par contre, pour sauvegarder le système entièrement pour le
> réinstaller
> en un clic, je n'ai pas encore trouvé l'outil qui me correspond,
> facile,
> et, efficace. Redobackup est un bon choix, mais, lorsque je le lance,
> il
> ne voit pas mon disque SSD.
> 

Bonjour

D'abord merci à tous pour vos réponses.
 
J'ai mis en place Borg backup sur mon serveur de fichiers préféré
(OpenMediaVault) et ai configuré une tâche cron qui envoie par ssh les
sauvegardes sur mon de travail. 

Ce n'est pas encore le système idéal, mais au moins ma sauvegarde
initiale est faite, et ce matin la première incrémentation a joué comme
prévu.

Je retiens quelques points forts en faveur de Borg
- sauvegarde depuis ou/et vers un stockage distant (il semble qu'on
puisse sauvegarder une machine distante vers une autre machine
distante, intéressant)
- reprise après interruption grâce aux checkpoints
- déduplication
- montage en userspace du dépôt de sauvegarde pour consultation /
récupération
- divers outils de diagnostic de son dépôt
- et même un script pour Zabbix pour monitorer les sauvegardes :)
- possibilité de sauvegarder une image disque en "pipant" son dump vers
borg (vu dans la doc officielle)

Pour info la sauvegarde mesure 1.4 To pour un volume réel de 1.8 To. Ca
a pris un peu plus de 24h et a sollicité assez fortement le CPU et la
RAM (mais c'était prévisible).

Un jour je me pencherai sur le monitoring... j'ai du mal à choisir.

Avant ça, faut sauvegarder toutes mes machines un peu critiques.

Re: [Resolu]: Ventilo en marche forcé

[Thierry Bugier Pineau]

Bonjour

Sur un portable c'est asses facile d'atteindre des temperatures très hautes, vu 
les contraintes d'espace.

Si vous avez un pc fixe je pense que vous devriez optimiser le refroidissement. 
Même à pleine charge prolongée il ne faudrait pas atteindre de telles 
températures. 

Le 20 juillet 2017 07:05:33 GMT+02:00, nicolas.pec...@laposte.net a écrit :
>Le 2017-07-19 23:38, maderios a écrit :
>Je l’ai déjà écrit dans ma réponse précédente ci-dessus : avec top ou 
>htop.
>> htop lancé en console est le plus facile à utiliser. Tu verras
>> s'afficher la consommation de cpu par processus.
>> 
>> (merci de répondre sur la liste et non en privé)
>
>
>Bonjour,
>
>Effectivement, un top m’a permis de trouver le coupable (BOINC).
>
>Tous est redevenue dans l’ordre.
>
>Toutes mes excuses pour le message mal dirigé.

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Ventilo en marche forcé

[Thierry Bugier Pineau]

Le mercredi 19 juillet 2017 à 18:32 +0200, nicolas.pec...@laposte.net a
écrit :
> Bonjour,
> 
> J'ai mon ventilateur qui est en fonctionnement de façon permanente.
> De plus , dmesg me révèle ceci:
> [  341.019661] CPU3: Core temperature above threshold, cpu clock 
> throttled (total events = 23618)
> [  341.019662] CPU1: Core temperature above threshold, cpu clock 
> throttled (total events = 23618)
> [  341.020662] CPU1: Core temperature/speed normal
> [  341.020663] CPU3: Core temperature/speed normal
> 
> Voici le résultat de:
> # sensors
> coretemp-isa-
> Adapter: ISA adapter
> Package id 0:  +85.0°C  (high = +79.0°C, crit = +85.0°C)
> Core 0:+85.0°C  (high = +79.0°C, crit = +85.0°C)
> Core 1:+84.0°C  (high = +79.0°C, crit = +85.0°C)
> 
> acpitz-virtual-0
> Adapter: Virtual device
> temp1:+27.8°C  (crit = +90.0°C)
> temp2:+29.8°C  (crit = +90.0°C)
> 
> nouveau-pci-0100
> Adapter: PCI adapter
> GPU core: +0.86 V  (min =  +0.80 V, max =  +1.19 V)
> temp1:+39.0°C  (high = +95.0°C, hyst =  +3.0°C)
> (crit = +105.0°C, hyst =  +5.0°C)
> (emerg = +135.0°C, hyst =  +5.0°C)
> 
> asus-isa-
> Adapter: ISA adapter
> cpu_fan:0 RPM
> 
> 
> Cela est-il normal? Est-ce grave docteur? Que dois-je faire?
> 
> Merci par avance
> 

Bonjour

Un CPU qui atteint 80°C ça me parait élevé même si la température de
jonction est de nos jours 20°C au dessus.

A partir de 60 / 70° (en charge) je chercherais déjà à abaisser la
température.

Vérifiez l'accumulation de poussière, envisagez de remplacer la pâte
thermique par de la nouvelle, voire une plus performante...

La marge de manoeuvre dépend aussi si c'est un pc de bureau ou un
portable pour gonfler le radiateur si il s'avérait sous dimensionné.

Re: [RESOLU] Re: Encodage apache et AddDefaultCharset

[Thierry Bugier Pineau]

Bonjour

Je pense que le problème tant résolu, ça vaudrait le coup de convertir
les sources en UTF-8 pour se passer de ce réglage par la suite. 

Moins on reconfigure un système pour l'adapter à ses besoins, moins on
a d'ennuis :)

Le mercredi 19 juillet 2017 à 16:04 +0200, François TOURDE a écrit :
> Le 17366ième jour après Epoch,
> François TOURDE écrivait:
> 
> > Bonjour,
> > 
> > Lors de la migration d'un site de Debian 7.11 à Debian 8.8 (donc
> > passage
> > de Apache 2.2 à 2.4 il me semble), je rencontre un petit souci
> > d'encodage des pages.
> > 
> > Le VirtualHost de D7 intègre la directive "AddDefaultCharset ISO-
> > 8859-1"
> > et les pages s'affichent correctement. Quand je demande les infos
> > de la
> > page au navigateur, j'obtiens "Encodage du texte: windows-1252"
> > 
> > La machine en D8 possède la même configuration, mais les caractères
> > accentués s'affichent sous la forme d'un losange noir avec un "?"
> > dedans, et le navigateur m'indique "Encodage du texte: UTF-8" ...
> > 
> > Si quelqu'un a une idée du pourquoi et du comment, je suis preneur.
> > 
> > Merci d'avance.
> 
> J'avais oublié (de dire et de regarder) que les pages étaient
> générées
> par PHP pour partie, et que du coup la version de php a changé. On
> passe
> de 5.4.45 à 5.6.30, et dans le même temps et dans php.ini, on passe
> de:
> 
> ; PHP's default character set is set to empty.
> ; http://php.net/default-charset
> ;default_charset = "UTF-8"
> 
> à
> 
> ; PHP's default character set is set to UTF-8.
> ; http://php.net/default-charset
> default_charset = "UTF-8"
> 
> Donc une petite entrée dans le vhost du type:
> 
> php_value default_charset  windows-1252
> 
> Et le tour est joué. Je garde ma machine en UTF-8 par défaut, mais le
> site en question reste dans son encodage exotico-windowesque. En
> attendant d'être entièrement revisité ;)
> 
> Merci en tout cas pour les réponses reçues.
> 

Re: Les cyber menaces basculent vers Linux et les serveurs Web

[Thierry Bugier Pineau]

Le mardi 18 juillet 2017 à 21:50 +0200, G2PC a écrit :
> 
> Le 18/07/2017 à 21:10, François TOURDE a écrit :
> > Le 17365ième jour après Epoch,
> > Alain Rpnpif écrivait:
> > 
> > > Le 18 juillet 2017, Ph. Gras a écrit :
> > > 
> > > > Hello there :-)
> > > > 
> > > > > Que pensez vous de cet article ?
> > > > > 
> > > > > selon la société WatchGuard qui a tout intérêt à vendre ses
> > > > > antivirus… :  
> > > > 
> > > > Verra-t-on ses antiviraux propriétaires dans les sources_list
> > > > de Debian ?
> > > > 
> > > 
> > > Absurde, on a déjà en libre clamscan qui marche très bien.
> > > Gros problème : c'est gratuit ! ;)
> > 
> > C'est pas la gratuité le problème, c'est la liberté ! Comme le code
> > est
> > dispo, alors les vilains crackers vont pouvoir le lire pour
> > développer
> > des virus invisibles.
> > 
> > Comme le propose Ph. Gras, je penche pour une version propriétaire
> > à la
> > WatchGuard dans Debian. On sait pas ce que ça fait, donc les
> > crackers
> > non plus !
> > 
> > Bon vendredi aussi :-P
> 
> Adobe pourrait participer ... et faire un antivirus propriétaire en
> Flash.
> (Humour) :p
> 
> 

Que la semaine passe vite ! S'il vous plait réduisez l'allure que je
puisse profiter des vacances ;)

Re: Les cyber menaces basculent vers Linux et les serveurs Web

[Thierry Bugier Pineau]

Bonjour
La sécurité par l'obscurité, ça ne marche pas.
Pour preuve:  - Windows est en source fermé, et ça ne le protège pas de
manière convaincante, puisqu'il faut lui ajouter des antivirus,- Les
antivirus (propriétaires) sont assez souvent victimes de virus qui les
désactivent silencieusement pour se maintenir dans un hôte. Eux aussi
sont sujets aux failles.
A l'opposé, bien qu'un source ouvert puisse être analysé par des
pirates, d'autres peuvent l'auditer librement (donc prévenir les
failles et proposer un correctif avant la possible exploitation de
ladite faille), et surtout, chercher un correctif sans dépendre du bon
vouloir du propriétaire du code quand c'est nécessaire.

Le mardi 18 juillet 2017 à 21:10 +0200, François TOURDE a écrit :
> Le 17365ième jour après Epoch,
> Alain Rpnpif écrivait:
> 
> > Le 18 juillet 2017, Ph. Gras a écrit :
> > 
> > > Hello there :-)
> > > 
> > > > Que pensez vous de cet article ?
> > > > 
> > > > selon la société WatchGuard qui a tout intérêt à vendre ses
> > > > antivirus… :  
> > > 
> > > Verra-t-on ses antiviraux propriétaires dans les sources_list de
> > > Debian ?
> > > 
> > 
> > Absurde, on a déjà en libre clamscan qui marche très bien.
> > Gros problème : c'est gratuit ! ;)
> 
> C'est pas la gratuité le problème, c'est la liberté ! Comme le code
> est
> dispo, alors les vilains crackers vont pouvoir le lire pour
> développer
> des virus invisibles.
> 
> Comme le propose Ph. Gras, je penche pour une version propriétaire à
> la
> WatchGuard dans Debian. On sait pas ce que ça fait, donc les crackers
> non plus !
> 
> Bon vendredi aussi :-P
> 

Re: Choisir un outil de sauvegarde, et utilité du compte système "backup"

[Thierry Bugier Pineau]

A voir la demo de Borg-backup je pense que je vais le tester aussi. J'aime le 
concept d'initialiser un dossier comme espace de sauvegarde comme on ferait un 
'git init'.

Le 16 juillet 2017 22:01:05 GMT+02:00, "Sébastien Dinot" 
<sebastien.di...@free.fr> a écrit :
>Bonsoir,
>
>Thierry Bugier Pineau a écrit :
>> A mon avis, il est préférable d'utiliser un outil maintenu comme
>> rsnapshot ou rdiff-backup plutôt qu'un script shell 
>
>Tout à fait d'accord sur le principe mais malheureusement,
>rdiff-backup,
>que j'utilise avec bonheur depuis des années, aussi bien à titre
>professionnel que personnel, n'est plus maintenu depuis 2009, année de
>sortie de la dernière version 1.2.8.
>
>Les statistiques d'OpenHub sur ce projet commencent à dater mais ils
>sont toujours d'actualité :
>
>https://www.openhub.net/p/rdiff-backup
>
>La dernière contribution au code date de janvier 2010 :
>
>http://svn.savannah.nongnu.org/viewvc/rdiff-backup?view=revision=1060
>
>> Peut être Attic, mais je n'ai pas pu l'installer sans accroc sur mon
>> Debian Sid.
>
>Le développement d'Attic est gelé mais un fork, nommé borg-backup, a
>été
>créé :
>
>http://borgbackup.readthedocs.io/en/stable/
>
>Le développement de borg-backup va grand train :
>
>https://github.com/borgbackup/borg/commits/master
>
>J'ai essayé Attic, puis borg-backup, il y a déjà un moment et j'ai été
>convaincu (bien plus par borg-backup que par Attic en fait). Si je n'ai
>pas encore migré, c'est simplement par manque de temps et parce que je
>suis une personne très frileuse avec la sauvegarde : rdiff-backup n'est
>plus maintenu mais dans mon contexte, il fonctionne parfaitement et
>j'ai
>pu constater à plusieurs reprises que ses sauvegardes étaient fiables.
>
>Sébastien
>
>-- 
>Sébastien Dinot, sebastien.di...@free.fr
>http://sebastien.dinot.free.fr/
>Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Choisir un outil de sauvegarde, et utilité du compte système "backup"

[Thierry Bugier Pineau]

Bonjour,

Voyant rdiff-backup packagé dans Sid j'ai cru qu'il était toujours vivant.

Je vais donc me rabattre sur le bon vieux rsnapshot.

Merci pour l'information.

Le 16 juillet 2017 22:01:05 GMT+02:00, "Sébastien Dinot" 
<sebastien.di...@free.fr> a écrit :
>Bonsoir,
>
>Thierry Bugier Pineau a écrit :
>> A mon avis, il est préférable d'utiliser un outil maintenu comme
>> rsnapshot ou rdiff-backup plutôt qu'un script shell 
>
>Tout à fait d'accord sur le principe mais malheureusement,
>rdiff-backup,
>que j'utilise avec bonheur depuis des années, aussi bien à titre
>professionnel que personnel, n'est plus maintenu depuis 2009, année de
>sortie de la dernière version 1.2.8.
>
>Les statistiques d'OpenHub sur ce projet commencent à dater mais ils
>sont toujours d'actualité :
>
>https://www.openhub.net/p/rdiff-backup
>
>La dernière contribution au code date de janvier 2010 :
>
>http://svn.savannah.nongnu.org/viewvc/rdiff-backup?view=revision=1060
>
>> Peut être Attic, mais je n'ai pas pu l'installer sans accroc sur mon
>> Debian Sid.
>
>Le développement d'Attic est gelé mais un fork, nommé borg-backup, a
>été
>créé :
>
>http://borgbackup.readthedocs.io/en/stable/
>
>Le développement de borg-backup va grand train :
>
>https://github.com/borgbackup/borg/commits/master
>
>J'ai essayé Attic, puis borg-backup, il y a déjà un moment et j'ai été
>convaincu (bien plus par borg-backup que par Attic en fait). Si je n'ai
>pas encore migré, c'est simplement par manque de temps et parce que je
>suis une personne très frileuse avec la sauvegarde : rdiff-backup n'est
>plus maintenu mais dans mon contexte, il fonctionne parfaitement et
>j'ai
>pu constater à plusieurs reprises que ses sauvegardes étaient fiables.
>
>Sébastien
>
>-- 
>Sébastien Dinot, sebastien.di...@free.fr
>http://sebastien.dinot.free.fr/
>Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Navigateur par défaut de Debian Stretch - Impossible à lancer

[Thierry Bugier Pineau]

Bonjour
Malheureusement je n'ai pas eu à me poser plus de questions que cela
autour de l'installateur. J'ai deux grandes lignes de conduite :
l'installation normale pour un cas basique, l'installation en mode
expert si je je ne veux pas d'environnement graphique ou si je veux
faire une installation à distance avec SSH. Il me semble que le niveau
de verbosité des questions est plus élevé en mode expert. 
De ce que j'ai compris si on choisit un environnement graphique lors de
l'installation on installe le paquet task-xfce-desktop, qui, par jeu de
dépendance installe tout un ensemble d'applications. Celles de
l'environnement graphique ainsi que la suite bureautique LibreOffice et
Firefox. 
Donc le mieux si vous voulez installer un environnement grapique
"standard" serait de choisir le paquet task-[environnement graphique]-
desktop, et très probablement task-french pour la localisation.
Le samedi 15 juillet 2017 à 23:23 +0200, G2PC a écrit :
> 
> 
> 
> 
> 
> Le 15/07/2017 à 09:51, Thierry Bugier
>   Pineau a écrit :
> 
> 
> 
> >   
> >   Bonjour
> > 
> >   
> > 
> >   Je pense que ce problème dépend de comment a été installé
> >   l'environnement graphique.
> > 
> >   
> > 
> >   Il y a des paquets task-xfce4-desktop (ou quelque chose comme
> > ça),
> >   un par environnement graphique. Ces paquets installent plein
> > de
> >   logiciels dont un navigateur.
> > 
> >   
> > 
> >   Si on passe par un autre moyen, en sélectionnant plus
> > finement ses
> >   paquets (xserver-org, lightdm, xfce4) on peut se retrouver
> > avec
> >   pour seuls logiciels ceux de l'environnement graphique. Pas
> > de
> >   libreoffice ni Firefox par exemple.
> > 
> >   
> > 
> >   
> > 
> >   
> > 
> >   Le 14 juillet 2017 18:27:36 GMT+02:00,
> > G2PC <g...@visionduweb.com> a écrit :
> > 
> > >   
> > > 
> > >   
> > >   
> > > 
> > >   Le 14/07/2017 à 17:36, Thierry
> > > Bugier Pineau a écrit :
> > > 
> > >   
> > >   
> > > > 
> > > > Bonjour
> > > > 
> > > > 
> > > > 
> > > > La question peut paraitre stupide mais avant
> > > > d'installer
> > > > Firefox ESR y avait il un navigateur installé ?
> > > > 
> > > > 
> > > > 
> > > > Il me semble que ça m'est déjà arrivé et que le
> > > > problème
> > > > était simplement là : je n'avais aucun navigateur. 
> > > > 
> > > > 
> > > > 
> > > > Le 14 juillet 2017 15:00:12
> > > >   GMT+02:00, G2PC <g...@visionduweb.com>
> > > >   a écrit :
> > > >   
> > > > > Impossible de lancer le navigateur Web par
> > > > > défaut.
> > > > > 
> > > > >   Erreur d'entrée/sortie.
> > > > > 
> > > > >   
> > > > > 
> > > > >   Sur une machine virtuelle VirtualBox, toute
> > > > > neuve,
> > > > >   sans installation supplémentaire, installée
> > > > > avec
> > > > >   Debian Stretch i386 netinstall.
> > > > > 
> > > > >   
> > > > > 
> > > > >   deb http://deb.debian.org/debian/
> > > > >   stable main contrib non-free 
> > > > > 
> > > > >   deb-src http://deb.debian.org/debian/
> > > > >   stable main contrib non-free 
> > > > > 
> > > > >   deb http://deb.debian.org/debian/
> > > > >   stable-updates main contrib non-free 
> > > > > 
> > > > >   deb-src http://deb.debian.org/debian/
> > > > >   stable-updates main contrib non-free 
> > > > > 
> > > > >   deb http://deb.debian.org/debian-securi

Re: Choisir un outil de sauvegarde, et utilité du compte système "backup"

[Thierry Bugier Pineau]

Bonjour
Merci pour toutes les réponses. 
A mon avis, il est préférable d'utiliser un outil maintenu comme
rsnapshot ou rdiff-backup plutôt qu'un script shell  juste partagé sur
une page de wiki (donc peu sujet à évolutions et corrections).
D'une manière générale je note que rsync ou dérivés est un des outils
préférés et qu'il n'y a apparemment pas spécialement mieux que ce que
je connais. Peut être Attic, mais je n'ai pas pu l'installer sans
accroc sur mon Debian Sid.
BackupPC me fait de l'oeil, d'autant plus qu'il la une interface web
permettant d'avoir un aperçu de la santé générale du dispositif, et que
je j'ai utilisé professionnellement il y a quelques années.
Randy11, si cela vous intéresse, j'avais, dans le même contexte
professionnel, utilisé FOG pour restaurer des machines sous windows.
Bien que des windows soient passés sous les ponts, mon expérience sur
le sujet ne nécessite qu'un peu de rafraîchissement pour être
transposée au dernier né des systèmes fermés. Le wiki du projet devrait
encore contenir les pages que j'avais écrites pour partager mes
techniques.
Pour en revenir aux sauvegardes, je pense que je vais retenir rsnapshot
ou rdiff-backup. rsnapshot a l'avantage d'être un poil plus léger, et
de ne recourir à aucun outil pour explorer les sauvegardes (c'est
appréciable en cas d'incident majeur). 
Je pense que tout cela méritera un petit papier sur mon wiki (qui est
une des VM à sauvegarder d'ailleurs). A suivre dans les jours à venir
:)

Le dimanche 16 juillet 2017 à 13:21 +0200, Randy11 a écrit :
> On 15/07/2017 22:31, Thierry Bugier Pineau wrote:
> > Bonjour
> > 
> > Je veux mettre en place un système de sauvegarde adapté à mon
> > infrastructure personnelle, et préparer la création de mon système
> > de
> > messagerie (avoir une sauvegarde est un pré requis).
> > 
> > J'ai:
> > - 2 serveurs sous Proxmox VE (un perso, un dédié)
> > - quelques machines perso.
> > 
> > Les Proxmox contiennent des VM à sauvegarder. Je compte simplemetn
> > configurer Proxmox pour sauvegarder les VM localement et copier les
> > sauvegardes sur un stockage distant, accessible par SFTP.
> > 
> > J'ai repéré dans Debian l'existence d'un compte utilisateur
> > "backup",
> > appartenant au groupe "backup". Je ne trouve pas d'information la
> > raison d'être de ce compte (au delà du nom explicite), ni de bonne
> > pratique d'utilisation. Quelqu'un ici saurait m'expliquer comment
> > s'en
> > servir ?
> > 
> > J'ai recherché les différentes solutions de sauvegarde possibles.
> > Il
> > faut qu'elle supporte la sauvegarde vers un stockage distant, ou
> > depuis
> > un stockage distant (tout dépend d'où le logiciel va s'exécuter).
> > Le
> > support d'un snapshot LVM est un plus, pour la cohérence de la
> > sauvegarde.
> > 
> > J'ai une petite expérience avec rsnapshot, j'ai utilisé il y a
> > longtemps backuppc sur plusieurs réseaux de postes de travail. Je
> > pense
> > me tourner vers rdiff-backup. Avant d'arrêter mon choix, je
> > voudrais
> > solliciter les avis et retours d'expérience parmi vous.
> > 
> > D'avance merci.
> > 
> 
> 
> Bonjour,
> 
> J'ai fait une sauvegarde pour un PC sous Windows (désolé, mais il y
> encore des personnes contraintes d'utiliser ça :-) ), alors j'ai fait
> le
> tour de certaines solutions possibles, sachant qu'il ne suffisait pas
> de sauvegarder les données, mais aussi de restaurer la machine en
> cas de crash complet, voir avec un autre disque.
> 
> Je dois aussi me faire un système de sauvegarde convaincant, après
> le mort de ma carte mère, cela me semble impératif.
> 
> J'ai retenu SystemRescueCD et Fsarchiver pour réinstaller la machine
> en cas de problème, mais il y en a évidemment d'autres. Voici les
> liens
> que j'ai parcourus, cela fera peut-être gagné un peu de temps à
> quelqu'un :
> - http://www.system-rescue-cd.org/
> http://www.system-rescue-cd.org/manual_fr/
> - http://www.system-rescue-cd.org/manual/Creating_a_backing_store/
> - http://www.fsarchiver.org/
> - http://iabsis.com/fr/community/tuto/system-restore-generic ->
> comparaisons
> - http://www.fsarchiver.org/faq/ -> pour les liens en bas à gauche
> - https://wiki.debian.org/fr/Backup
> - https://wiki.debian.org/Backup/Clone
> - https://wiki.archlinux.org/index.php/Disk_Cloning
> - 
> https://www.opengeeks.me/2015/04/build-your-hybrid-debian-distro-with
> -xorriso/
> - https://wiki.debian.org/fr/RsyncSnapshots
> - http://www.sanitarium.net/golug/rsync_backups_2010.html
> - http://www.debianhelp.co.uk/backup.htm
> - http://backuppc.sourceforge.net/ -> Sauvegarde utilisée au travail.
> 
> Ensuite, comme je ne connais pas de sauvegarde incrémentales dont la
> taille se réduise au cours du temps, il faut penser au stockage. La
> solution
> que je veux utiliser est à base de Glusterfs et de Raspberry :
> - https://www.gluster.org/
> - https://nickhowell.co.uk/2016/07/23/raspberry-pi-nas-with-gluster/
> - http://www.linuxjournal.com/content/two-pi-r-2-web-servers
> 
> Bonne journée.
> 
> Randy11
> 

Re: Choisir un outil de sauvegarde, et utilité du compte système "backup"

[Thierry Bugier Pineau]

Bonjour

Rsync est un très bon outil mais il ne gère  pas nativement les sauvegardes 
historisées. Pour moi ce critère augmente sensiblement la qualité du dispositif 
de sauvegarde. C'est pour cela que je me suis intéresse à rsnapdhot et 
rdiff-backup qui sont eux mêmes basés sur rsync d'ailleurs.

Je suis ouvert à d'autres outils et l' interface graphique n'est pas 
obligatoire vu que la sauvegarde sera automatisée et quotidienne.

J'ai besoin d'une retention de X jours, Y semaines et Z mois. X Y et Z 
dépendront des performances de déduplication, et de l'espace dont je dispose.





Le 16 juillet 2017 12:25:02 GMT+02:00, maderios <mader...@gmail.com> a écrit :
>On 07/15/2017 10:31 PM, Thierry Bugier Pineau wrote:
>> Bonjour
>> 
>> Je veux mettre en place un système de sauvegarde adapté à mon
>> infrastructure personnelle, et préparer la création de mon système de
>> messagerie (avoir une sauvegarde est un pré requis).
>> 
>Bonjour
>Une solution fiable et relativement simple, avec une infinité de 
>possibilités: rsync en ligne de commande.
>Eviter les interfaces graphiques, elles peuvent induire des fragilités.
>https://wiki.archlinux.org/index.php/Full_system_backup_with_rsync
>
>-- 
>Maderios

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Choisir un outil de sauvegarde, et utilité du compte système "backup"

[Thierry Bugier Pineau]

Bonjour

Je veux mettre en place un système de sauvegarde adapté à mon
infrastructure personnelle, et préparer la création de mon système de
messagerie (avoir une sauvegarde est un pré requis).

J'ai:
- 2 serveurs sous Proxmox VE (un perso, un dédié)
- quelques machines perso.

Les Proxmox contiennent des VM à sauvegarder. Je compte simplemetn
configurer Proxmox pour sauvegarder les VM localement et copier les
sauvegardes sur un stockage distant, accessible par SFTP.

J'ai repéré dans Debian l'existence d'un compte utilisateur "backup",
appartenant au groupe "backup". Je ne trouve pas d'information la
raison d'être de ce compte (au delà du nom explicite), ni de bonne
pratique d'utilisation. Quelqu'un ici saurait m'expliquer comment s'en
servir ?

J'ai recherché les différentes solutions de sauvegarde possibles. Il
faut qu'elle supporte la sauvegarde vers un stockage distant, ou depuis
un stockage distant (tout dépend d'où le logiciel va s'exécuter). Le
support d'un snapshot LVM est un plus, pour la cohérence de la
sauvegarde.

J'ai une petite expérience avec rsnapshot, j'ai utilisé il y a
longtemps backuppc sur plusieurs réseaux de postes de travail. Je pense
me tourner vers rdiff-backup. Avant d'arrêter mon choix, je voudrais
solliciter les avis et retours d'expérience parmi vous. 

D'avance merci.

Re: Navigateur par défaut de Debian Stretch - Impossible à lancer

[Thierry Bugier Pineau]

Bonjour

Je pense que ce problème dépend de comment a été installé l'environnement 
graphique.

Il y a des paquets task-xfce4-desktop (ou quelque chose comme ça), un par 
environnement graphique. Ces paquets installent plein de logiciels dont un 
navigateur.

Si on passe par un autre moyen, en sélectionnant plus finement ses paquets 
(xserver-org, lightdm, xfce4) on peut se retrouver avec pour seuls logiciels 
ceux de l'environnement graphique. Pas de libreoffice ni Firefox par exemple.

 

Le 14 juillet 2017 18:27:36 GMT+02:00, G2PC <g...@visionduweb.com> a écrit :
>
>
>Le 14/07/2017 à 17:36, Thierry Bugier Pineau a écrit :
>> Bonjour
>>
>> La question peut paraitre stupide mais avant d'installer Firefox ESR
>y
>> avait il un navigateur installé ?
>>
>> Il me semble que ça m'est déjà arrivé et que le problème était
>> simplement là : je n'avais aucun navigateur.
>>
>> Le 14 juillet 2017 15:00:12 GMT+02:00, G2PC <g...@visionduweb.com> a
>> écrit :
>>
>> Impossible de lancer le navigateur Web par défaut.
>> Erreur d'entrée/sortie.
>>
>> Sur une machine virtuelle VirtualBox, toute neuve, sans
>> installation supplémentaire, installée avec Debian Stretch i386
>> netinstall.
>>
>> deb http://deb.debian.org/debian/ stable main contrib non-free
>> deb-src http://deb.debian.org/debian/ stable main contrib
>non-free
>> deb http://deb.debian.org/debian/ stable-updates main contrib
>> non-free
>> deb-src http://deb.debian.org/debian/ stable-updates main contrib
>> non-free
>> deb http://deb.debian.org/debian-security stable/updates main
>> deb-src http://deb.debian.org/debian-security stable/updates main
>> deb http://ftp.debian.org/debian stretch-backports main
>> deb-src http://ftp.debian.org/debian stretch-backports main
>>
>> Pour récupérer un navigateur, j'ai installé firefox-esr
>>
>> Le raccourci du navigateur se lance maintenant correctement, avec
>> Firefox.
>>
>> Est ce qu'il est normal que le navigateur par défaut ne se lance
>> pas, avec une erreur entrée/sortie, je suppose que non.
>>
>>
>> -- 
>> Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez
>> excuser ma brièveté. 
>
>Bonjour, ce n'est pas une question stupide, j'ai pensé comme toi, qu'il
>me fallait installer un navigateur au choix.
>Je suis juste étonné de ne pas voir de navigateur par défaut, sur une
>Debian 9.

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Navigateur par défaut de Debian Stretch - Impossible à lancer

[Thierry Bugier Pineau]

Bonjour

La question peut paraitre stupide mais avant d'installer Firefox ESR y avait il 
un navigateur installé ?

Il me semble que ça m'est déjà arrivé et que le problème était simplement là : 
je n'avais aucun navigateur. 

Le 14 juillet 2017 15:00:12 GMT+02:00, G2PC  a écrit :
>Impossible de lancer le navigateur Web par défaut.
>Erreur d'entrée/sortie.
>
>Sur une machine virtuelle VirtualBox, toute neuve, sans installation
>supplémentaire, installée avec Debian Stretch i386 netinstall.
>
>deb http://deb.debian.org/debian/ stable main contrib non-free
>deb-src http://deb.debian.org/debian/ stable main contrib non-free
>deb http://deb.debian.org/debian/ stable-updates main contrib non-free
>deb-src http://deb.debian.org/debian/ stable-updates main contrib
>non-free
>deb http://deb.debian.org/debian-security stable/updates main
>deb-src http://deb.debian.org/debian-security stable/updates main
>deb http://ftp.debian.org/debian stretch-backports main
>deb-src http://ftp.debian.org/debian stretch-backports main
>
>Pour récupérer un navigateur, j'ai installé firefox-esr
>
>Le raccourci du navigateur se lance maintenant correctement, avec
>Firefox.
>
>Est ce qu'il est normal que le navigateur par défaut ne se lance pas,
>avec une erreur entrée/sortie, je suppose que non.

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Comportement MariaDB et configuration

[Thierry Bugier Pineau]

Bonjour

A propos du comportement étrange, j'ai remarqué cela aussi il y a
plusieurs mois.

De ce que j'ai compris, MariaDB utilise l'authentification PAM. il n'y
a qu'un compte "root" dont le mot de passe correspond au compte root du
système d'exploitation. Si on lance le client MariaDB en tant que root,
on est automatiquement authentifié.

Du coup il faut créer à la main un ou plusieurs comptes utilsiateur
dans MariaDB depuis le client MariaDB.

Un exemple de commande pour créer user avec tous les privilèges sur
toutes les tables de toutes les bases de données. (Ressorti de mémoire,
une vérification dans le manuel de MariaDB ne fera pas de mal).

grant all privileges on *.* to 'user'@'localhost' identified by
'password';

Le mercredi 12 juillet 2017 à 08:33 +0200, Hugues MORIN a écrit :
> Bonjour
> 
> 
> J'ai tente hier d'updater mon dedie de Jessie a Stretch.
> Cela s'est solde par un echec (la machine ne pinguait plus)
> Apres redemarrage en mode rescue, j'ai pu avoir acces au log mais
> apres 2 a 3h de recherche, n'ayant rien trouve j'ai renonce et
> reinstaller le serveur avec Strectch.
> 
> En Jessie, j'utilisais MySQL 5.55 et j'accedais souvent a mes DB en
> utilisant phpmyadmin pour les operations courantes et en ligne de
> commande pour les operations d'archivage, sauvegarde, etc..
> 
> En Stretch je suis passe sur MariaDB.
> Auriez-vous un bon tuto pour la configuration?
> 
> J'ai un comportement de MariaDB qui me semble etrange et c'est la
> raison pour laquelle je me tourne vers vous.
> Quand je suis en shell et que je tape mysql, il semblerai que je sois
> directement connecte a MariaDB sans demande de mot de passe ou de
> quoique ce soit !!!
> 
> root@:~# mysql
> Welcome to the MariaDB monitor.  Commands end with ; or \g.
> Your MariaDB connection id is 18
> Server version: 10.1.23-MariaDB-9+deb9u1 Debian 9.0
> 
> Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.
> 
> Type 'help;' or '\h' for help. Type '\c' to clear the current input
> statement.
> 
> MariaDB [(none)]>
> 
> 
> 
> Est-ce normal?
> 
> 
> Cordialement
> Hugues
> 
> 

Re: erreur avec mariadb

[Thierry Bugier Pineau]

Bonjour,

Il semble que les noms de domaines puissent utiliser autre chose que de l'ascii 
désormais.

Voyez cette technique d'attaque qui me le laisse penser. Donc prudence avec le 
retour au bon vieux ascii.

https://en.m.wikipedia.org/wiki/IDN_homograph_attack

Le 10 juillet 2017 15:17:28 GMT+02:00, Dominique Asselineau 
 a écrit :
>bernard.schoenac...@free.fr wrote on Mon, Jul 10, 2017 at 10:55:26AM
>+0200
>> bonjour,
>> 
>> en donnant cette instruction j'ai droit à une erreur :
>> 
>> USE postfix;
>> 
>> CREATE TABLE `domaines` (
>>   `domaine` varchar(255) NOT NULL default '',
>>   `etat` tinyint(1) NOT NULL default '1',
>>   PRIMARY KEY  (`domaine`)
>> ) ENGINE=MyISAM;
>> 
>> 
>> le code erreur :
>> ERROR 1071 (42000): Specified key was too long; max key length is
>1000 bytes
>> 
>> remarque la même syntaxe passe avec MySQL comment la faire
>>  passer avec Mariadb ?
>
>C'est visiblement l'encodage utf8 qui pose problème.  Si ça passe avec
>MySQL c'est parce que l'encodage par défaut sur cet environnement est
>sur 3 octets alors qu'avec Mariadb il pourrait bien être de 4 octets.
>
>Pour résoudre le problème, s'il s'agit bien de noms de domaine, il est
>bien peu probable qu'ils fassent 255 caractères de long
>et qu'ils soient encodés en autre chose que de l'ASCII.
>
>soit
>  `domaine` varchar(128) NOT NULL default '',
>
>soit
>  `domaine` varchar(255) CHARSET ASCII NOT NULL default '',
>
>Dominique
>--

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: [HS] erreurs BTRFS [gravité(?)]

[Thierry Bugier Pineau]

Bonjour,

Pour compléter, vu que je suis dans ce sujet pour changer les disques de ma 
grappe RAID, il est aussi possible de lire les informations de santé du disque 
dur avec smartmontools

Smartctl -a /dev/sda

Sait on jamais

Le 10 juillet 2017 12:36:18 GMT+02:00, "Pierre L."  a 
écrit :
>Salut,
>as-tu déjà tenté une petite analyse des clusters de ton disque dur ?
>Histoire de voir s'il n'y en a pas quelques uns défectueux ?
>(peut-être suis-je total hors-sujet avec cette proposition, si on
>déchiffre la chinoiserie des logs...! ne me tirez pas les oreilles !)
>
>Petit outil sympa à utiliser en bootant sur une clé usb live par
>exemple :
> badblocks -nvs /dev/sdb
>
>Attention tout de même à cette commande, il existe des variantes
>"destructrices" de données... :s
>-wvs détruira les données !!!
>-nvs sera en lecture seule ;)
>/dev/sdb sera ton disque dur, trouvé avec la commande fdisk -l
>
>En espérant que ca puisse filer un petit coup de main ;)

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Recherche upgrade PC de bureau

[Thierry Bugier Pineau]

Bonjour 

Je pense qu'il faut d'abord mesurer la charge CPU et RAM, voir ce que
vous faites du pc. Je serais tenté de dire qu'un SSD à lui seul ferait
un bénéfice sensible.


Le vendredi 07 juillet 2017 à 14:38 +0200, andre_deb...@numericable.fr
a écrit :
> Bonjour,
> 
> Je souhaite upgrader mon PC de bureau.
> 
> C'est actuellement un processeur Intel i5 mais datant de 5 ans,
> et une bonne carte mère Asus qui va avec,
> une carte graphique très sophistiquée datant de 3 ans,
> Dique Dur non SSD.
> 
> En passant à un i7 dernière génération (assez cher),
> y aura t-il une grande différence de perfomance ?
> 
> Est-ce que ça vaut le coup ?
> 
> Merci d'avance d'un conseil...
> 
> Bonne journée,
> 
> André
> 

Re: l'équipe Debian a fixé la date de publication de Stretch !

[Thierry Bugier Pineau]

Bonsoir

Infos sur le support des versions précédentes:

https://wiki.debian.org/LTS

Le 28 mai 2017 19:08:18 GMT+02:00, Erwan David  a écrit :
>Le 05/26/17 à 23:52, Jean-Marc a écrit :
>> C'est officiel !
>> Et ce sera le 17 juin prochain !
>> https://lists.debian.org/debian-devel-announce/2017/05/msg2.html
>> 
>> Ça se fête, non ?
>> 
>> Jean-Marc 
>> 
>
>Jessie aura des mises à jour pendant combien de temps encore ?

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Licences FOSS

[Thierry Bugier Pineau]

Merci,

Ça me donne quelques pistes pour me documenter. 



Le 27 mai 2017 13:06:27 GMT+02:00, "Sébastien Dinot" <sebastien.di...@free.fr> 
a écrit :
>Bonjour,
>
>Thierry Bugier Pineau a écrit :
>> En quoi les licences GNU GPL ne respectent pas le droit français ?
>> Pouvez vous donner des détails, car cela m'intéresse.
>
>Je n'ai pas révisé mes classiques mais de tête et stricto sensus, elles
>ne sont pas conformes sur au moins trois points :
>
>* Elles ne précisent aucune durée de validité.
>
>* Elles ne sont pas exhaustives sur la liste des droits concédés.
>
>* Du fait de la loi Toubon, dans certains contextes, l'absence de
>  version officielle en français est un point bloquant.
>
>Ceci étant, en droit français, l'invalidité d'une clause invalide cette
>clause et non l'intégralité du contrat. En outre, plusieurs affaires
>(AFPA / Edu4, auteurs de Busybox / Free) ont montré que la licence GNU
>GPL était de nos jours opposable devant un tribunal français.
>
>Pour ma part, l'existence de licences libres « locales » (CeCILL, EUPL)
>me semble dommageable car elles augmentent l'entropie juridique et
>rendent l'interprétation du statut d'un logiciel bien plus complexe au
>niveau international. Dans mon domaine professionnel, les licences
>CeCILL et EUPL n'apparaissent d'ailleurs que rarement dans les listes
>de
>licences considérées comme libres. Cela ne signifie pas que les
>licences
>CeCILL et EUPL ne le sont pas mais que les industriels et des agences
>gouvernementales ne veulent pas s'embêter avec des licences exotiques
>qu'ils ne connaissent pas. Pour tenter de remédier à ce rejet, il
>y a quelques temps, l'INRIA a repris les échanges avec l'OSI pour qu'il
>reconnaisse la licence CeCILL comme conforme à l'OSD. Ces échanges ont
>conduit à des aménagements mineurs de la licence CeCILL qui a été
>publiée en version 2.1 :
>
>http://www.cecill.info/licences.fr.html
>
>C'est cette version 2.1 de la licence CeCILL qui est désormais reconnue
>comme conforme à l'OSD :
>
>https://opensource.org/licenses/CECILL-2.1
>
>Sébastien
>
>-- 
>Sébastien Dinot, sebastien.di...@free.fr
>http://sebastien.dinot.free.fr/
>Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Licences FOSS

[Thierry Bugier Pineau]

Bonjour

En quoi les licences GNU GPL ne respectent pas le droit français ? Pouvez vous 
donner des détails, car cela m'intéresse.



Le 27 mai 2017 12:19:50 GMT+02:00, "Stéphane Aulery" <lk...@free.fr> a écrit :
>Bonjour,
>
>Le 27/05/2017 à 11:43, Thierry Bugier Pineau a écrit :
>> 
>> Je pense que la licence GNU GPLv2 ou v3 pourrait faire l'affaire.
>Donc 
>> vous me paraissez sur la bonne piste.
>Elles ne respectent pas le droit français. Dans ce cas préférez les 
>licences CeCill : http://www.cecill.info/
>
>> 
>> Le 27 mai 2017 10:15:47 GMT+02:00, Jean-Marc <jean-m...@6jf.be> a
>écrit :
>> 
>> Sat, 27 May 2017 10:04:38 +0200
>> Jean-Marc <jean-m...@6jf.be> écrivait :
>> 
>> salut la liste,
>> 
>> Je travaille depuis peu dans le conseil informatique.
>> Je vais livrer un preseed.cfg à un client.
>> J'aimerai y inclure les termes d'une licence libre.
>> Des conseils sur la licence FOSS la plus appropriée ?
>> Je ne veux pas qu'on puisse revendre ou réutiliser cette
>config'
>> à des fins commerciales.
>
>Si c’est vraiment pour empêcher la revente ou l’utilisation commerciale
>
>tournez-vous vers les licences Creative Commons :
>
>https://fr.wikipedia.org/wiki/Licence_Creative_Commons#Vue_g.C3.A9n.C3.A9rale
>
>en particulier : la CC-BY-NC-ND.
>
>Cordialement,
>
>-- 
>Stéphane Aulery

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Licences FOSS

[Thierry Bugier Pineau]

Bonjour

Je pense que la licence GNU GPLv2 ou v3 pourrait faire l'affaire. Donc vous me 
paraissez sur la bonne piste.

Le 27 mai 2017 10:15:47 GMT+02:00, Jean-Marc  a écrit :
>Sat, 27 May 2017 10:04:38 +0200
>Jean-Marc  écrivait :
>
>> salut la liste,
>> 
>> Je travaille depuis peu dans le conseil informatique.
>> Je vais livrer un preseed.cfg à un client.
>> J'aimerai y inclure les termes d'une licence libre.
>> Des conseils sur la licence FOSS la plus appropriée ?
>> Je ne veux pas qu'on puisse revendre ou réutiliser cette config' à
>des fins commerciales.
>
>Pour infos, je suis en train de parcourir les recos du site gnu.org :
>https://www.gnu.org/licenses/license-recommendations.html#software
>
>> 
>> Bonne journée.
>> 
>> Jean-Marc 
>
>
>Jean-Marc 

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Firefox : défaut inhérents

[Thierry Bugier Pineau]

Bonjour

Avez vous essayé de lui faire peur en lui brandissant un logo de internet 
explorer ?

Pour ma part je n'ai jamais eu de tel souci. La prochaine fois que ça arrive 
essayez de supprimer le dossier de préférences sans réinstaller le navigateur. 
Je dirais à première vue que c'est quelque-chose dans les préférences qui pose 
problème.

Le 26 mai 2017 20:01:39 GMT+02:00, andre_deb...@numericable.fr a écrit :
>Bonsoir à tous,
>
>Je subis depuis longtemps un défaut inhérent
>de Firefox (version du site), toujours pas résolu.
>
>Au début, tout va bien et systématiquement 
>au bout de quelques semaines, le navigateur
>se ferme d'un coup à son premier lancement,
>m'invitant avant à envoyer un rapport de bug,
>ce que je fais mais aucune réponse, ni amélioration ensuite.
>
>Seule solution, télécharger Firefox, le réinstaller,
>supprimer le répertoire "/home/andre/.mozilla",
>et je perds tous mes enregistrements (préférences).
>
>Avez vous ce même souci ?
>
>Et comment réparer fFirefox sans perdre ses préférences ?
>
>Merci et bonne soirée,
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Grub2 bloque au démarrage de l'ordi en dual screen

[Thierry Bugier Pineau]

Bonjour

C'est un bug curieux. Avez vous pensé et pu essayer en branchant un autre écran 
?

Le 17 mai 2017 23:25:00 GMT+02:00, Zosm  a écrit :
>Bonjour, mon ordi ne démarre pas quand mon deuxième écran est allumé
>(s'il est éteint, ça démarre). Je ne peux donc pas savoir précisément
>quel paquet bug. Le compteur temps de grub2 se freeze, et c'est tout.
>Ça
>reste en l'état, ça ne démarre pas, ça ne répond plus.
>
>Si le bug n'est pas signalé, je peux vous donner d'autres infos. Je ne
>suis pas très geek mais heureusement, j'ai tout débrancher avant de
>paniquer, et j'ai pu identifier que c'était l'écran la cause du crash.
>Ça fait 1 mois et ce n'est pas corrigé. Parce que quand même, l'ordi ne
>démarre pas si on ne pense pas à l'écran (généralement, je débranche le
>cable hdmi).
>
>Je suis à votre disposition pour savoir comment faire le rapport. Merci
>beaucoup.
>
>%%
>
>Debian sid (à priori à jour)
>
>uname -r = 4.9.0-2-amd64dell
>laptop latitude E6420
>
>écran iiyama prolite XB2483HSU
>
>HDMI

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

Quelques infos sur la NSA et une demi prise de conscience en interne

https://www.washingtonpost.com/business/technology/nsa-officials-worrie
d-about-the-day-its-potent-hacking-tool-would-get-loose-then-it-
did/2017/05/16/50670b16-3978-11e7-a058-
ddbb23c75d82_story.html?utm_term=.c688e0d34340

En passant, je n'imaginais pas que le linky passionne autant, donc pour
éviter de sortir du sujet initial et pour patienter jusqu'à vendredi,
un sujet dédié serait peut être une (fausse) bonne idée.

Le lundi 15 mai 2017 à 16:52 +0200, Ph. Gras a écrit :
> Bonjour,
> 
> que pensez-vous de cette affaire :
> http://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC
> 
> Avez-vous été touchés ? J'ai eu plein d'attaques vendredi et samedi sur mon 
> serveur
> et sur une ML, et puis ça s'est calmé dimanche aussi rapidement que c'est 
> apparu…
> 
> Au plaisir de vous lire,
> 
> Ph. Gras

Re: WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

La vulnérabilité est au niveau de la persistance des données. Si le PC windows 
(forcément infecté) peut écrire les fichiers partagés par un serveur linux, 
c'est bien sur le serveur linux que les fichiers seront effacés. Effectivement 
linux n'est pas plus vulnérable quand il est en contact avec un windows. Mais 
les données qu'il contient peuvent l'être. Par conséquent le détenteur des 
données est fragilisé. 

Le 17 mai 2017 14:41:43 GMT+02:00, andre_deb...@numericable.fr a écrit :
>On Wednesday 17 May 2017 13:11:59 you wrote:
>> Il y a quelques années on a découvert dans un client IRC de Fedora du
>code
>> malveillant qui est resté environ 6 ou 9 mois. De mémoire, un
>backdoor. 
>> Des virus pour linux existent. Il faut rester prudent quand même. 
>> De plus il faut prendre en compte le scénario du porteur sain. 
>
>Il y avait dans le client IRC sous Linux Fedora un code malveillant
>mais... qui n'a PAS agi (il est resté innofensif sous Linux !)
>
>> Un serveur linux qui sert des  partages SMB, ou un serveur mail,
>peuvent
>> être vecteurs d'infection sans être infectés eux mêmes. Un .doc ou 
>> une pièce jointe, simplement stockée puis récupérée par une machine
>> sous windows peut faire des dégâts. 
>> De plus certains ransomwares chiffrent les fichiers sur les partages
>SMB.
>> Donc le partage SMB avec Samba ne constitue pas forcément une
>protection.  
>> Il suffit d'avoir un windows dans son réseau pour devenir bien plus
>> vulnérable.  
>
>C'est pourquoi, lorsque je me connecte à une partition Windows
>sous Debian, avec Samba, ensuite si je lance un anti-virus 
>depuis Debian, 
>je constate des virus, mais ou... ? : sous Windows !
>(pas sous Debian).
>
>Monté Windows sous Linux avec Samba ne rend pas Linux plus 
>vulnérable, aucun virus stocké sous Windows ne menace Linux,
>mais menace tous les Windows montés.
>
>Qui a eu un jour sous Linux un virus qui a agi et a fait du dégat ?
>(jamais chez moi, à ce jour...).
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Faire cohabiter certificats POP et IMAP

[Thierry Bugier Pineau]

Bonjour
Dans le tuto que j'ai partagé pour monter un postfix / dovecot, j'ai la
base pour permettre l'utilsiatin de nginx comme reverse proxy SMTP, POP
et IMAP.
C'est pas documenté mais j'ai fait des exprimentations dans cette
direction (les notes ne sont pas publiées). NGINX peut utiliser un
script servi par HTTP (dans le LAN) pour authentifier les utilsiateurs
et par la même occasion aiguiller le trafic vers un serveur un un
autre, selon la volonté du script. 
Voilà un lien vers une implémentation de ce genre, pour donner un
aperçu de la solution (ici avec un script perl).https://www.whatastrugg
le.com/nginx-as-an-imappop3-proxy
Il y a pas mal d'avantages:- un serveur frontal qui essuie les attaques
sans exposer les données (puisqu'elles sont sur un autre serveur)- les
certificats sont présentés par le frontal NGINX, et pas besoin de
configurer certificat et chiffrement sur postfix / dovecot (même si je
préférerais le faire personnellement). - séparer différents domaines :
un domaine par couple postfix / dovecot (mon objectif)- un peu plus de
souplesse
A mon avis, pour le SMTP, il faudrait directement utilsier un Postfix
comme frontal. J'ai expérimenté avec NGINX mais j'ai trouvé la solution
guère satisfaisante. Cela dit, c'est sans doute par manque de
connaissance et recul au moment des essais. Je crois que maintenant je
pourrais mener cette construction plus facilement.
Le mardi 16 mai 2017 à 19:46 +0200, Pascal Hambourg a écrit :
> Le 16/05/2017 à 19:17, andre_deb...@numericable.fr a écrit :
> > On Tuesday 16 May 2017 18:53:06 Erwan David wrote:
> > 
> > > Déjà ça sera postfix en smtp dovecot en pop et imap, donc tu peux
> > > séparer le certificat de postfix :
> > 
> > Je comprends pas "séparer le certificat de postfix".
> 
> Postfix ne s'occupe que du SMTP, donc tu peux lui faire utiliser un 
> certificat différent de dovecot.
> 
> > > Ensuite pour pop et imap, je m'en tire en utilisant le même nom
> > > d'hôte,
> > > pas besoin d'un certificat différent par protocole.
> > 
> > Le serveur a un nom d'hôte unique,
> > et
> > pop = pop.serveur.org
> > imap = imap.serveur.org
> 
> Ce sont deux noms différents.
> 
> > les deux bien indiqués dans le serveur DNS,
> > avec le même IP (serveur).
> 
> Peu importe qu'ils aient la même adresse. Ce que le client vérifie, 
> c'est l'adéquation entre le nom d'hôte qu'il a utilisé et celui
> figurant 
> dans le certificat servi.
> 

Re: WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

Il y a quelques années on a découvert dans un client IRC de Fedora du code 
malveillant qui est resté environ 6 ou 9 mois. De mémoire, un backdoor.

Des virus pour linux existent. Il faut rester prudent quand même. De plus il 
faut prendre en compte le scénario du porteur sain.

Un serveur linux qui sert des  partages SMB, ou un serveur mail, peuvent être 
vecteurs d'infection sans être infectés eux mêmes. Un .doc ou une pièce jointe, 
simplement stockée puis récupérée par une machine sous windows peut faire des 
dégâts.

De plus certains ransomwares chiffrent les fichiers sur les partages SMB. Donc 
le partage SMB avec Samba ne constitue pas forcément une protection. Il suffit 
d'avoir un windows dans son réseau pour devenir bien plus vulnérable.

Le 17 mai 2017 12:47:44 GMT+02:00, andre_deb...@numericable.fr a écrit :
>On Wednesday 17 May 2017 11:55:05 Michel Memeteau wrote:
>> Le 16 mai 2017 à 14:45,  a écrit :
>> > Aujourd'hui, la majorité des serveurs d'entreprises sont sous
>Linux.
> 
>> Les serveurs applicatifs à l'intérieur des entreprises sont quand
>meme
>> beaucoup sous Windows :
>> - Exchange
>> - Sharepoint
>> - SMB + DFs etc
>> - ASP.net
>
>Oui, c'est vrai.
>
>Difficile d'établir la part des marchés des serveurs Linux / Windows
>en entreprises mais la part Linux monte inéxorablement.
>
>Les pirates auraient donc aussi intérêt à fabriquer des virus pour
>Linux,
>je n'en ai jamais eu sur mes 3 ordinateurs, ni sur mes 2 serveurs...
>
>Ils n'existent quasiment pas de serveurs professionnels sous Mac OS/X.
>
>Au niveau des postes de travail, on peut estimer GNU/Linux à moins de
>2%,
>Windows ~85%, Mac OS/X ~8% et Android (tablettes) ~5%.
>
>"WannaCry" a frappé les MS-Windows XP avec propagation géométrique.
>
>Bonne journée à tous,
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

Bonjour

J'ai dû faire un raccourci sur le fait qu'ils communiquent par radio. J'ai fait 
la déduction sur la base de l'affolement sur les émissions électromagnétiques. 
Mais effectivement un des objectif est de se passer des agents de relève et les 
faire déambuler dans les rues avec des appareils est encore de trop coûteux 
(cela dit ce serrait marrant à voir si ils jouent le jeu à de déguiser en 
zombies).

Bref, pour les linky j'ai effectivement soupçonné la possibilité de collecter 
des informations mais je n'ai absolument rien vu qui puisse envisager ce 
scénario.

Et même si c'est de la sécurite, refocalisons sur notre ami wannacry.



Le 17 mai 2017 11:35:39 GMT+02:00, Haricophile <haricoph...@aranha.fr> a écrit :
>Le Wed, 17 May 2017 07:44:44 +,
>Yves Rutschle <debian.anti-s...@rutschle.net> a écrit :
>
>> On Tue, May 16, 2017 at 08:01:00PM +0200, Thierry Bugier Pineau
>wrote:
>> > J'ai aussi une interrogation sur les compteurs linky. On dit qu'ils
>> > communiquent par radio. Liaison chiffrée ou pas ? Le paiement sans
>> > contact des cartes bancaires n'est pas chiffré. Alors un décompte
>> > de kilowatts...  
>> 
>> Qui dit ça? J'ai toujours compris qu'ils communiquaient par
>> modulation sur le fil, au dessus du 50Hz, un peu comme
>> l'ADSL.
>
>C'est bien ça, ça serait con de mettre en place un système radio
>compliqué quand ils sont propriétaires des câbles. La seule question
>sur ce plan concernerait plutôt la multiplication sur un même
>réseau de transmissions de type CPL. J'avais lu que à Londre, où le CPL
>est très utilisé, ça pouvait poser des problèmes et soulever des
>questions.
>
>Sinon Linky est bien chiffré, et il me semble de manière assez robuste.
>
>Le vrai problème, d'après ce que j'ai lu, est de savoir comment à
>l'autre bout on traite les données, données que beaucoup estiment
>beaucoup trop précises et détaillées, ce qui permettraient même de
>reconnaitre la "signature" des appareils.
>Donc connaitre en temps réel et appareil par appareil ce qui est allumé
>chez toi, et par traitement des bigdata tout ce que tu fais : L'heure
>à laquelle tu va aux toilettes ou celle où tu te pieute avec ta femme,
>si tu cuisine des frites ou des légumes... plein de choses
>intéressantes pour les bigdata.
>
>Je ne sais pas quelle est la part de parano, mais en tout cas ça pose
>de vraies questions de vie privée et de société qui nécessitent d'être
>discutées en amont par les personnes concernées et non pas décidées "en
>haut lieu" selon des intérêts qui ne sont pas les nôtres.
>
>Ceci étant, dans un contexte de réduction des consommations d'énergie,
>ce type de comptage me semble nécessaire, la production des énergies
>renouvelables soleil/vent/vagues étant beaucoup moins constantes dans
>la journée et d'un jour à l'autre que les solution extractives.
>
>L'idéal d'un système de ce genre, connecté au réseau général ou en
>local, serait de démarrer par exemple la machine à laver que au moment
>le plus favorable, voire sur quelle source d'énergie il faut tirer,
>supprimer toutes les consommations inutiles. Et pour ça il faut des
>mesures assez précises. Par contre je verrais bien ces mesures au
>maximum décentralisées sur la terminaison, ce qui n'est pas l'objectif
>d'EDF... c'est l'équivalent de la dualité GAFA contre
>auto-hébergement.
>
>-- 
>haricoph...@aranha.fr 

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Re : WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

Si j'ai envie de creuser la question de cet objet connecté c'est sur le 
chiffrement, l'authentification lors de la lecture et ce qu'on peut y écrire 
(ou demander de faire).

J'ai pas trop envie que quelqu'un pirate mon compteur et m'empêche de griller 
mes tartines le matin parce qu'il fait joujou avec le coupe-circuit intégré (si 
il y a).

En gros, les objets connectés donnent du pouvoir bien au delà d'un ordinateur 
pour impacter nos vies, les pirates s'en serviront pour nous enquiquiner. 

Autre effet kiss cool: on passe à l'IPv6 pour permettre d'avoir des millions 
d'adresse IP par centimètre carré de la planète (je n'ai plus le nombre en tête 
mais c'est ahurissant). Vu le soin en matière de sécurité de nos nouveaux 
joujous qui approchent de la dizaine par foyer, des rigolos (des pirates moins 
expérimentés) pourront faire de belles attaques DoS et ce sera à qui fera la 
plus grosse. TV connectée, centrale domotique  propriétaire, ampoule connectée 
(1 par pièce minimum), stores, frigo, bouton amazon pour acheter son papier 
WC...

Je me projette un peu, mais à mon avis ça reflètera le foyer d'un windowsien 
dans pas trop longtemps. 

Le 16 mai 2017 20:55:58 GMT+02:00, nicolas.patr...@gmail.com a écrit :
>Le 16/05/2017 20:01:00, Thierry Bugier Pineau a écrit :
>
>> J'ai aussi une interrogation sur les compteurs linky. On dit qu'ils
>> communiquent par radio. Liaison chiffrée ou pas ? Le paiement sans
>> contact des cartes bancaires n'est pas chiffré. Alors un décompte de
>> kilowatts...
>
>> D'ailleurs il faut que j'appelle Engie à propos de ces compteurs car
>> ça m'inquiète réellement plus que les ondes électromagnétiques qu'on
>> va absorber. J'ai envie d'avoir les spécifications sur le protocole 
>> de communication.
>
>On bouffe tous des ondes électromagnétiques, la lumière en est comme 
>les ondes radio ou les rayons gamma.
>Tout est une question de dose, plus précisément de dose à la seconde 
>(de flux) selon l’onde. Le danger de Linky, s’il y a, n’est pas là.
>
>nicolas patrois : pts noir asocial
>-- 
>RÉALISME
>
>M : Qu'est-ce qu'il nous faudrait pour qu'on nous considère comme des 
>humains ? Un cerveau plus gros ?
>P : Non... Une carte bleue suffirait...

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

Les objets connectés ont un extraordinaire potentiel. Sont venez vous les 
attaques DoS menées contre OVH. Elles était faites à l'aide de caméras de 
surveillance connectées. Il y a eu une affaire avec des ampoules Philips 
récemment. Les objets connectés ne sont généralement pas conçus avec la 
sécurité en tête. On fait un firmware qui rend le service voulu apparemment 
sans aucune considération pour les détournements potentiels. Il faut avouer que 
la puissance de calcul et la taille des firmwares sont limités. Pire, il se 
peut que rien ne soit prévu pour les mettre à jour. Et d'ailleurs à quoi ça 
sert ? Les produits sont éphémères grâce à l'obsolescence programmée.

Des chercheurs ont mis au point un virus se propageant par les box-routeurs mal 
protégées (mot de passe par défaut) ou avec une faille. Vous êtes informés sur 
des mises à jour de vos box ? Moi, mon FAI ne m'envoie jamais un mail pour en 
parler.

Le plus drôle que j'ai vu : la vidéo du hack d'une serrure connectée. Il 
suffisait de taper un coup de marteau bien placé sur la serrure pour que la 
gâche se déverrouille (pas spécialement fort d'ailleurs). 

J'ai aussi une interrogation sur les compteurs linky. On dit qu'ils 
communiquent par radio. Liaison chiffrée ou pas ? Le paiement sans contact des 
cartes bancaires n'est pas chiffré. Alors un décompte de kilowatts...

D'ailleurs il faut que j'appelle Engie à propos de ces compteurs car ça 
m'inquiète réellement plus que les ondes électromagnétiques qu'on va absorber. 
J'ai envie d'avoir les spécifications sur le protocole de communication. 

En gros les objets connectés, pour moi, c'est vendre du rêve sans se soucier du 
cauchemar qu'ils peuvent engendrer. A consommer avec modération.

1 objet connecté, ça va; 3, bonjour les dégâts !


Le 16 mai 2017 14:07:04 GMT+02:00, "Gaëtan PERRIER"  a 
écrit :
>Le Tue, 16 May 2017 11:39:34 +
>Yves Rutschle  a écrit:
>
>> On Mon, May 15, 2017 at 05:12:55PM +0200, andre_deb...@numericable.fr
>wrote:
>> > un tel virus se serait-il propagé si fortement si la majorité des
>> > ordinateurs étaient sous Linux ?
>> 
>> À mon avis, si la majorité des ordinateurs étaient sous
>> Linux, la majorité des virus le seraient également. On n'est
>> pas magiquement protégés. À l'heure actuelle, y'a peu de
>> cibles sous Linux, [...]
>
>Oui pour le monde de la machine de bureau mais faux dans la globalité.
>Beaucoup
>de serveurs tournent sous Linux et ne parlons pas d'Androïd et de tous
>les
>objets connectés qui bien souvent utilisent linux.
>
>Gaëtan

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

Pour moi une force de linux est la permission exécutable sur les fichiers. Rien 
que ça, quand un virus crée un fichier pour satisfaire ses envies 
malveillantes, fait office de sécurité.

Des failles qui traînent, ça existe aussi sous linux. Il y a quelques mois o' a 
trouvé une belle faille dans la pile TCP/IP du noyau android qui trainait 
depuis pas mal d'années; assez pour la retrouver dans son papa linux.

Je suis tombé ces derniers jours sur des graphiques de Microsoft vantant la 
sécurité de ses produits par rapport à linux. Linux a beaucoup plus de failles 
et de failles critiques comparé à windows. (Mais ce qu'ils omettent de dire, 
c'est que linux est l'objet de beaucoup plus de paires d'yeux que windows; et 
donc ces graphiques mentent par omission).

Il ne fait pas non plus oublier que la sécurité informatique est globalement 
efficace. Beaucoup d'attaques passent par de l'ingénierie sociale comme  
premier levier de contamination (chronologique, et dans une infrastructure 
d'entreprise). Je lis souvent que le premier maillon faible c'est l'humain. En 
revanche, pour wannacrypt0r, il semble que l'humain ne soit pas nécessaire. Je 
vois des infos i' peu contradictoires cela dit.

Le 16 mai 2017 14:45:30 GMT+02:00, andre_deb...@numericable.fr a écrit :
>On Tuesday 16 May 2017 13:39:34 Yves Rutschle wrote:
>> On Mon, May 15, 2017 at 05:12:55PM +0200, andre_deb...@numericable.fr
>wrote:
>> > un tel virus se serait-il propagé si fortement si la majorité des
>> > ordinateurs  étaient sous Linux ?
>
>> À mon avis, si la majorité des ordinateurs étaient sous
>> Linux, la majorité des virus le seraient également. On n'est
>> pas magiquement protégés. À l'heure actuelle, y'a peu de
>> cibles sous Linux, et les utilisateurs tendent à être formés
>> et à ne pas cliquer sur tous les mails qui leur arrivent...
>> Si on passe tout le monde sous Linux, on découvrira
>> subitement qu'il y a autant de vulnérabilités dans
>> OpenOffice que dans MS Office.
>> Faut passer sous Qubes.
>
>Je n'ai pas la même réaction :
>
>Aujourd'hui, la majorité des serveurs d'entreprises sont sous Linux.
>
>Linux devrait donc justement être la cible des pirates,
>puisque c'est souvent à partir des serveurs que les
>virus et programmes malveillants se propagent.
>
>Or non, les pirates jettent leur dévolu sur les serveurs Windows,
>avec des logiciels exécutables pour Windows.
>Le 12 mai, ils ont ciblé un système plus maintenu (XP).
>
>Qui parmi vous a eu des virus sur son OS GNU/Linux ?
>
>Il serait intéressant de savoir ce qu'il en est des virus
>sous Android et Mac OS/X.
>
>Linux a ou a eu des vulnérabilités, mais très vite corrigées
>par sa communauté (noyaux, ssh...).
>
>Tandis que Windows traine depuis son début le grand problème des virus,
>jamais résolu, alors que Microsoft est richissime.
>
>Bonne journée,
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Faire cohabiter certificats POP et IMAP

[Thierry Bugier Pineau]

Si il y a un avertissement sur un protocole seulement, je pencherais pour un 
souci de configuration.

Je n'ai pas l'expérience pour Gandi en particulier, mais en principe le 
certificat acheté est livré avec une "CA chain". Elle sert à établir la 
relation de confiance sur plusieurs maillons jusqu'à atteindre un CA racine ou 
un CA communément déployé sur la plupart des OS.

En gros votre certificat est certifié par Grandi, qui est lui même certifié par 
un autre CA, et ainsi de suite. Souvent les vendeurs ont plusieurs maillons 
successifs en interne avant d'être certifiés par un tiers.

La CA chain doit être fournie par le serveur au client. Pour cela, soit on 
fusionne en 1 seul fichier la CA chain RT le certificat, soit le logiciel 
serveur fournit un paramètre pour spécifier la CA chain. Je vérifie mes notes, 
mais comme vous avez l'adresse jetez y un oeil.

Le 16 mai 2017 18:42:48 GMT+02:00, andre_deb...@numericable.fr a écrit :
>Bonjour,
>
>Sur un serveur de messagerie Postfix / Dovecot,
>comment faire cohabiter des certificats différents
>pour POP et IMAP.
>
>Le serveur n'a qu'un seul certificat pour les protocoles
>SMTP, POP et IMAP (certif officiel acheté chez Gandi).
>
>Quand un client via son MUA reçoit ses mails en POP,
>envoie des mails en smtp.nom-serveur.org,
>pas de messages d'alerte de confirmer le certificat.
>
>Avec IMAP, oui, il faut le confirmer (pourquoi ?)
>
>Je ne vois pas dans Dovecot et/ou Postfix la possibilité
>de créer 2 certificats différents,
>ou comment faire cohabiter le même certificat
>pour les 3 protocoles sans que çe couine pour IMAP ?
>
>Merci,
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Faire cohabiter certificats POP et IMAP

[Thierry Bugier Pineau]

Bonjour

Une possibilité: avoir un certificat "wildcard". Exemple *.domaine.com

Ce certificat peut être utilisé à volonté sur tout sous domaine de domaine.com

Autre scénario :
Si postfix et dovecot sont sur le même serveur pourquoi ne pas les rattacher à 
mail.domaine.com plutôt que créer SMTP.domaine.com IMAP.domaine.com et 
pop.domaine.com ? Un certificat, pas forcément wildcard, et moins de travail. 
Il peut être utilisé sur tous services du moment qu'il est rattaché à 
mail.domaine.com (un webmail par exemple).

Le 16 mai 2017 18:42:48 GMT+02:00, andre_deb...@numericable.fr a écrit :
>Bonjour,
>
>Sur un serveur de messagerie Postfix / Dovecot,
>comment faire cohabiter des certificats différents
>pour POP et IMAP.
>
>Le serveur n'a qu'un seul certificat pour les protocoles
>SMTP, POP et IMAP (certif officiel acheté chez Gandi).
>
>Quand un client via son MUA reçoit ses mails en POP,
>envoie des mails en smtp.nom-serveur.org,
>pas de messages d'alerte de confirmer le certificat.
>
>Avec IMAP, oui, il faut le confirmer (pourquoi ?)
>
>Je ne vois pas dans Dovecot et/ou Postfix la possibilité
>de créer 2 certificats différents,
>ou comment faire cohabiter le même certificat
>pour les 3 protocoles sans que çe couine pour IMAP ?
>
>Merci,
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

Bonjour

Quelqu'un ici a parlé d'un lien potentiel avec la Corée du nord.

Ça semble aller dans cette direction : 
http://www.ouest-france.fr/monde/coree-du-nord/virus-informatique-la-coree-du-nord-pourrait-etre-liee-l-attaque-4993956

J'ai lu que le coût de l'attaque est évalué à quelques centaines de millions de 
dollars, et assurément moins de 1 milliard. Même si c'est réparti dans le monde 
entier, ça fait une belle somme, et il y a d'autres dégâts potentiels qu'on 
semble se garder de nous dire. On a très vite parlé des hôpitaux au Royaume 
Uni, mais pas vu un mot sur un lien de cause à effet entre des décès et le 
virus informatique.

Vu l'activité sur ce sujet j'ai lu les messages plus ou moins en diagonale.

Quelqu'un a dit avoir vu de l'activité suspecte passer sur ses serveurs, 
j'aimerais moi aussi voir ces logs si possible, dans un but didactique.

Le 16 mai 2017 01:40:38 GMT+02:00, "Stéphane Aulery"  a écrit :
>Le 15/05/2017 18:46, Eric Degenetais a écrit :
>> Le 15 mai 2017 à 18:40, Stéphane Aulery  a écrit :
>>> Je te rassure, ces machines sont en permanence hors réseau
>>> sauf pour de brèves maintenances.
>> 
>> C'est ce qui paraît le plus sain, c'est pourquoi je trouve surprenant
>> que des systèmes de ce type se retrouvent vérolés...
>> Après l'intérêt d'avoir des version d'OS en fonction des plannings
>> commerciaux de microsoft sur des systèmes qui n'ont pas vocation à
>> recevoir de nouveaux périphériques à noël...
>> Mais je me demande sincèrement si avec une expérience de terrain tu
>> vois comment un virus qui traîne sur internet se retrouve dans des
>> systèmes de production de ce type ?
>
>De la même manière que les nôtres ont tout de même été infecté et que 
>nous avons mis longtemps à nous en débarrasser.
>
>Ces machines ont besoin de données extérieures pour établir un
>programme 
>de production parce que ce ne sont pas des machines outils qui 
>n’automatisent qu'un tâche basique et unique.
>
>Du coup si tu ne peux pas utiliser un câble réseau tu es obligé 
>d'utiliser... un autre moyen de faire entrer des données. Et ceux qui 
>étaient là avant moi n'ont rien trouvé de mieux que d'utiliser une clef
>
>USB. D'un autre côté le constructeur refuse l'installation d'un 
>antivirus plus élaboré que Clamav, qui n'est pas franchement efficace, 
>parce qu'ils perturbent soi-disant le fonctionnement des logiciels. Et 
>d'un autre côté, trouver un antivirus qui fonctionne encore sur XP,
>faut 
>se lever tôt.
>
>Si j'avais pu rester en poste, je projetais de rebrancher le câble 
>réseau mais de n'autoriser qu'un unique port de transfert entre deux 
>machines déterminées avec à chaque bout des services maisons en tâche
>de 
>fond de transfert / réception de fichiers s'appuyant sur une convention
>
>préétablie pour permettre de vérifier la validation du contenu de
>chaque 
>fichier échangé. En gros on ne fait passer que des fichiers de données 
>dans un format prédéfinie sur un poste frontière.
>
>C'est une politique bien différente de brancher un câble à l'aveugle en
>
>espérant passer au travers. Pour ça il faut avoir ne serai-ce que
>l'idée 
>et l’énergie de vouloir développer les outils adaptés et d'internaliser
>
>le savoir et les moyens ; ce qui est à contre-courant de l'idéologie 
>ambiante.
>
>-- 
>Stéphane Aulery

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: XFCE applet météo HS

[Thierry Bugier Pineau]

Vu la durée des cycles de release de Debian, je pense que c'est une des 
meilleures solutions, puisque il ne sera certainement pas fourni de mise à jour 
pour cette librairie.

Un petit coup d'oeil aux backports pourrait quand même apporter une bonne 
surprise, il faudrait essayer, ça ne coûte pas grand chose.

Le 15 mai 2017 21:08:13 GMT+02:00, Record Marc-Antoine 
<marc-antoine.rec...@orange.fr> a écrit :
>Le 15/05/2017 à 20:39, Pierre L. a écrit :
>> La fenêtre s'ouvre bien, mais en regardant dedans il y a juste marqué
>> "Pas de données disponibles actuellement"...
>> 
>> 
>> Hihi! merci pour le clin d'oeil :p
>> 
>> 
>> 
>> Le 15/05/2017 à 11:27, Thierry Bugier Pineau a écrit :
>>> Bonjour
>>>
>>> Je suggérerais de simplement ouvrir et regarder par la fenêtre :)
>>>
>>> Le lundi 15 mai 2017 à 11:05 +0200, Pierre L. a écrit :
>>>> Salut,
>>>>
>>>> Suis-je seul à avoir un souci avec l'applet météo de XFCE (v4.10)
>sur
>>>> Debian 8 stable ?
>>>> Pas moyen de récupérer les infos depuis un certain temps (ne me
>>>> souviens plus depuis quand!)
>>>>
>>>> Idem sur 2 ordis dans le LAN. Serait-ce mon LAN, ou est-ce général
>?
>>>>
>>>> Je vois dans le A propos de cet applet : xfce4-weather-plugin 0.8.3
>>>> Sur leur site, on aperçoit une version actuelle 0.8.9 de 2017... la
>>>> 0.8.3 de mes Debian datent de 2013 :s
>>>>
>>>> Merci d'avance pour vos lumières :)
>>>> (même si c'est pour annoncer le mauvais temps...! :p )
>>>>
>>>>
>> 
>> 
>Bonjour,
>
>J'ai le même problème depuis plusieurs mois avec les applets "Horloge"
>(qui peut donner la météo) et "Bulletin météo" pour Gnome 3 sous
>Jessie.
>Les deux reposent sur la bibliothèque libgweather qui récupère les
>données météo (METAR des aérodromes). Mais la météo américaine a changé
>l'adresse du serveur qui héberge ces données.
>Bizarrement, ce bug n'est pas corrigé. Si j'essaie de le signaler via
>ReportBug, ce dernier m'indique qu'il existe une version plus récente
>de
>libgweather. Seulement, elle n'est pas destinée à Jessie.
>
>
>J'ai bricolé avec un patch trouvé en ligne:
>https://bugs.centos.org/view.php?id=11381
>pour corriger le fichier weather-metar.c. Ce qui oblige à télécharger
>la
>source puis recompiler.
>
>Ça vous aide ?
>
>-- 
>ma record

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

Un jour j'ai lu un article (sur internet) assez amusant de quelqu'un qui était 
resté sur windows.. 3.1 !

Je crois qu'il y avait déjà des embryons de navigateurs internet (de mémoire, 
dixit l'article) . mais ce qui m'a le plus amusé c'est que l'auteur vante son 
immunité aux virus puisqu'aucun encore en activité ne cible (ou ne sait cibler) 
de tels systèmes. De plus ils ne seront pas ciblés à l'avenir.
Les virus de l'époque adoraient se nicher dans les secteurs de boot des 
disquettes, même pas sûr qu'ils aillent se copier sur disque dur. Le format 
d'exécutable 16 bits doit être maintenant une barrière à l'infection de .exe ou 
.dll (supposition personnelle).

Je sais pas pour vous, mais ça m'a un peu fait réfléchir. Pourquoi ne pas y 
retourner ? En plus, sur nos machines modernes, ça doit démarrer à une vitesse 
qui scotcherait n'importe quel OS sur un SSD ! Le bonheur !



Le 15 mai 2017 18:59:47 GMT+02:00, andre_deb...@numericable.fr a écrit :
>On Monday 15 May 2017 18:46:14 Eric Degenetais wrote:
>> Le 15 mai 2017 à 18:40, Stéphane Aulery  a écrit :
>> > Je te rassure, ces machines sont en permanence hors réseau
>> > sauf pour de brèves maintenances.
>
>> C'est ce qui paraît le plus sain, c'est pourquoi je trouve surprenant
>> que des systèmes de ce type se retrouvent vérolés...
>> Après l'intérêt d'avoir des version d'OS en fonction des plannings
>> commerciaux de microsoft sur des systèmes qui n'ont pas vocation à
>> recevoir de nouveaux périphériques à noël...
>> Mais je me demande sincèrement si avec une expérience de terrain tu
>> vois comment un virus qui traîne sur internet se retrouve dans des
>> systèmes de production de ce type ?
>
>Ce ne sont sans doute pas les systèmes robots qui auraient été vérolés,
>mais les ordinateurs indispensables à la gestion des ateliers.

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: XFCE applet météo HS

[Thierry Bugier Pineau]

Bonjour
Je suggérerais de simplement ouvrir et regarder par la fenêtre :)
Le lundi 15 mai 2017 à 11:05 +0200, Pierre L. a écrit :
> Salut,
> 
> 
> 
> Suis-je seul à avoir un souci avec l'applet météo de XFCE (v4.10)
> sur Debian 8 stable ?
> 
> Pas moyen de récupérer les infos depuis un certain temps (ne me
> souviens plus depuis quand!)
> 
> 
> 
> Idem sur 2 ordis dans le LAN. Serait-ce mon LAN, ou est-ce
> général ?
> 
> 
> 
> Je vois dans le A propos de cet applet : xfce4-weather-plugin
> 0.8.3
> 
> Sur leur site, on aperçoit une version actuelle 0.8.9 de 2017...
> la
> 0.8.3 de mes Debian datent de 2013 :s
> 
> 
> 
> Merci d'avance pour vos lumières :)
> 
> (même si c'est pour annoncer le mauvais temps...! :p )
> 
> 
> 
> 
> 
>   
> 

Re: Serveur LAMP qui ne fonctionne plus

[Thierry Bugier Pineau]

Je pense que le package à installer était libapache2-mod-php5.
Il faudrait vérifier selon les informations du package php5filter
https://packages.debian.org/jessie/libapache2-mod-php5filter
Là, on sort du cadre de mes connaissances, il faudrai que quelqu'un
prenne le relai.
Je *pense* que si la version Apache2 installée n'est pas la mdm-
prefork, il faut choisir libapache2-mod-php5. Dans le cas contraire,
libapache2-mod-php5filter.


Le samedi 13 mai 2017 à 21:36 +0200, Georges a écrit :
> Le Sat, 13 May 2017 21:03:37 +0200,
> 
> TBP a écrit :
> 
> > Que dit la commande suivante ?
> > dpkg -l | grep libapache2-mod-php
> 
>  ne répond rien et j'installe
>  libapache2-mod-php5filter
> 
>  alors localhost/phpmyadmin m'affiche "enfin" la page bienvenue
> 
> > La commande indiquera si l'interpréteur PHP d'Apache est installé. 
> > Si oui, faites cette seconde commande
> > grep -ir "Handler" /etc/apache2/*
> 
>  j'ai une réponse assez similaire avec Jessie
> 
> > Elle est censée retourner des lignes proches de ceci
> > :/etc/apache2/mods-available/php7.0.conf:SetHandler
> > application/x-
> > httpd-php/etc/apache2/mods-available/php7.0.conf:SetHandler
> > application/x-httpd-php-source
> > (ces exemples sont sous Sid)
> 
>  Yes !! la commande : http://localhost/webtrees/setup.php sa marche
> je
>  vais pouvoir configurer ma Généalogie
> 
>  Un pour tous, tous pour un C'est la magie des Logiciels Libre.
> 
>  Merci, merci, merci à Thierry Bugier Andre Debian Jean michel Oltra
> et
>  à vous tous  Georges

Re: Serveur LAMP qui ne fonctionne plus

[Thierry Bugier Pineau]

Pour savoir quel fichier examiner il faut d'abord savoir quel est le serveur 
HTTP.

Apache: /var/log/apache2/
Nginx: /var/log/nginx/

Personnellement je ferais un petit test:
Créer dans la racine web /var/www/html/ un fichier phpinfo.php
Contenant
http://serveur/phpinfo.php 

Si s'affiche le contenu du fichier, mon hypothèse est confirmée. Si on a un 
tableau avec plein d'infos techniques, c'est autre chose.

Pensez à effacer le fichier après usage.

Le 13 mai 2017 18:47:18 GMT+02:00, Georges <georges...@free.fr> a écrit :
>
>Le Sat, 13 May 2017 16:09:58 +0200,
>
>JMO a écrit :
>
>> 
>> Bonjour,
>> 
>> 
>> Le samedi 13 mai 2017, Thierry Bugier Pineau a écrit...
>> 
>> 
>> > Que dit par belle page texte ?
>> 
>> Et les logs du serveur ouèbe ?
>> 
>
> Je ne suis pas assez compétent pour trouver dans /var/log ce qui m'est
> demandé. Une piste SVP et merci de l'intérêt porté à mon problème ;-)
>
>-- 
>
> Le jour où tu découvres le Libre GNU/Linux, tu ne peux plus t'en
> passer ;-)

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: hostname et dhcp

[Thierry Bugier Pineau]

C'est une évolution appréciable. Du coup il ne faut pas hésiter à s'en
servir :)
Note: mon reproche ne portait que sur la box de Bouygues. l'UI était
horrible et lente. Même un hotliner de la marque a approuvé. Ca a dû
changer depuis et j'imagine que ça ne peut pas être pire. Les autres
box que j'ai vues n'allaient pas si loin dans le mauvais gout. (fin de
troll)
Pour info, lors d'une négociation DHCP, les machines peuvent envoyer
leur petit nom. C'est grâce à cela que le serveur DHCP prend
connaissance du nom des machines et peut mettre à jour un serveur DNS.
Du coup, je pense qu'on peut dire que au moins la LV3 a un serveur DNS
qui r ésout au moins une zone :)
J'ai jeté un oeil à mon /etc/dhcp/dhclient.conf et j'ai trouvé ceci
send host-name = gethostname();
qui est assez explicite. gethostname() est apparemment apparu avec
dhclient 4.2.x. Ce qui est bizarre, c'est que cette fonctionnalité ne
semble pas mentionnée dans les pages man. (vérifié man dhclient.conf)

Le samedi 13 mai 2017 à 17:19 +0200, Christophe De Natale a écrit :
> Le 13/05/2017 à 15:53, Thierry Bugier Pineau a écrit :
> > Bonjour
> 
> Bonjour,
> 
> > De plus il faudrait que la box connaisse le nom qu'on veut donner
> > à 
> > chaque machine. Je n'ai rien vu de tel, sauf dans la première box
> > de 
> > Bouygues, et apparemment que pour apporter un "confort" de son 
> > "interface d'administration". Mais il ne faut pas en parler plus 
> > longtemps : nous ne sommes pas vendredi.
> > 
> > Donc je suis certain que non, les box ne font pas de résolution
> > locale.
> 
> On peut leur reprocher beaucoup de choses mais pas ça :D
> 
> Pour une machine en préparation que je n'ai jamais contacté depuis
> mon 
> poste :
> cdninfo@krisbtk:~$ ping Lenovo-PC
> PING Lenovo-PC (192.168.1.106) 56(84) bytes of data.
> 64 bytes from lenovo-pc.home (192.168.1.106): icmp_seq=1 ttl=128 
> time=7.86 ms
> 
> Exemple ici avec une LB3 "Play"
> Le nom de domaine local par défaut de la box est "home" et est non 
> modifiable.
> 
> Par contre, on peut gérer son réseau local avec le nom de domaine
> désiré.
> Dans l'onglet "dns" de la configuration "réseau", on trouve un
> tableau 
> "appareils du réseau local" contenant trois colonnes : nom, nom dns
> et 
> adresse ip
> On y voit le nom court des machines découvertes par la box et son ip
> (v4 
> et v6) mais la colonne "nom dns" est vide ; c'est cette dernière
> qu'il 
> faut renseigner
> La machine devient joignable soit à "machine.monréseaulocal" soit à 
> "machine.monréseaulocal.home"
> 
> Reste à réserver les baux dhcp si on veut conserver les même ip pour
> les 
> machines concernées.
> NB : si la machine n'a pas obtenu son ip via le dhcp de la box, on
> se 
> débrouille pour récupérer l'adresse mac de la carte réseau du pc 
> concerné afin de pouvoir lui réserver un bail statique.
> 

Re: Fwd: hostname et dhcp

[Thierry Bugier Pineau]

Bonjour


Le samedi 13 mai 2017 à 07:55 +, Eric Degenetais a écrit :
> Je soupçonne le service de la box de faire de la résolution locale en
> plus de relayer les requêtes au DNS du FAI pour les noms de domaine
> publics. 

J'ai pu faire le tour de la plupart des Box de nos FAI (c'était il y a
quelques années, don ça peut être caduque). Je n'ai jamais vu une
option permettant de définir un nom de domaine pour le réseau local.
Sans que la box connaisse ce nom, comment va-t-elle résoudre pc-
salon.intra.machin.com ?

De plus il faudrait que la box connaisse le nom qu'on veut donner à
chaque machine. Je n'ai rien vu de tel, sauf dans la première box de
Bouygues, et apparemment que pour apporter un "confort" de son
"interface d'administration". Mais il ne faut pas en parler plus
longtemps : nous ne sommes pas vendredi.

Donc je suis certain que non, les box ne font pas de résolution
locale. 

> Le 12 mai 2017 11:45 PM, "Thierry Bugier Pineau" <bugie...@gmail.com>
> a écrit :
> > Bonsoir
> > c'est grâce au service DHCP de la box qu'on n'a pas besoin d'un
> > bind9 ou dnsmask : quand un ordinateur cherche un serveur DHCP sur
> > le réseau local, celui de la box répond, et il négocie avec
> > l'ordinateur pour délivrer une adresse IP, mais pas seulement. La
> > box fournit aussi l'adresse IP d'une passerelle et l'adresse IP
> > d'un serveur DNS (elle même en l'occurence, dans les 2 cas).
> > Dans les box, comme j'ai dit, le serveur DNS se limite à
> > retransmettre les requêtes au serveur DNS du FAI, récupérer et
> > relayer les réponses.
> > Le vendredi 12 mai 2017 à 21:20 +0200, Gaëtan PERRIER a écrit :
> > > Je ne suis pas un spécialiste des serveurs dns mais il me semble
> > > que pour
> > > avoir un serveur dns il faut installer bind9  ou dnsmasq, non?
> > > Or je n'ai ni l'un ni l'autre sur aucune de mes machines et
> > > pourtant la
> > > résolution des noms de mes machines locales fonctionne sans que
> > > je n'ai
> > > modifié /etc/hosts ...
> > > Et ça aussi bien avec ma livebox 4 actuelle qu'avec mon ancienne
> > > box SFR
> > > NB6 ...
> > > 
> > > Gaëtan
> > > 
> > > Le Fri, 12 May 2017 21:02:47 +0200
> > > Thierry Bugier Pineau <bugie...@gmail.com> a écrit:
> > > 
> > > > En fait les box offrent un serveur DNS qui ne fait rien de plus
> > > > que relayer
> > > > les requêtes DNS vers les serveurs DNS du fournisseur d'accès à
> > > > internet.
> > > > 
> > > > Du coup les box ne résoudront jamais un nom en une IP du réseau
> > > > local. Si
> > > > vous voulez un vrai DNS pour résoudre les machines du réseau
> > > > local, il faut
> > > > le monter et le configurer. De plus il devra faire le relai
> > > > vers le DNS de
> > > > la box ou un serveur DNS public sur internet (au choix) pour
> > > > résoudre les
> > > > noms des domaines qu'il ne gère pas.
> > > > 
> > > > Bind9 par exemple.
> > > > 
> > > > Le 12 mai 2017 20:31:49 GMT+02:00, "Gaëtan PERRIER"  > > > r...@neuf.fr>
> > > > a écrit :
> > > > > Le Fri, 12 May 2017 12:10:08 +
> > > > > Eric Degenetais <edegenet...@henix.fr> a écrit:
> > > > > 
> > > > > > Bonjour,
> > > > > > 
> > > > > > Les machines de mon réseau familial obtiennent leur IP via
> > > > > > le serveur
> > > > > > DHCP de ma box internet. C'est pratique et courant. Par
> > > > > > contre, quand
> > > > > 
> > > > > il
> > > > > > s'agit de contacter l'une ou l'autre machine, c'est plus
> > > > > > pratique de
> > > > > 
> > > > > le
> > > > > > faire grâce à son petit nom. Je peux utiliser le fichier
> > > > > > /etc/hosts
> > > > > 
> > > > > pour
> > > > > > cela, mais les adresses IP peuvent changer et j'aurais donc
> > > > > > besoin de
> > > > > > corriger ce fichier. Ce qui n'est pas pratique du tout.
> > > > > > 
> > > > > > Je me demande donc quelle est la meilleure manière de
> > > > > > récupérer les
> > > > > > adresses IP de la box internet et de diffuser la
> > > > > > correspondance IP
> > > > > 
> > > > > <->
> > > > &g

Re: Serveur LAMP qui ne fonctionne plus

[Thierry Bugier Pineau]

Que dit par belle page texte ?

Le 13 mai 2017 09:06:38 GMT+02:00, Georges  a écrit :
>Bonjour,
>
>J'avais en local un serveur LAMP qui marchait très bien pour utiliser
>phpmyadmin et une généalogie Webtrees 1.7.8 et suite à une mise à jour
>vers 1.7.9 localhost/phpmyadmin et localhost/webtrees m'affichent une
>belle page "texte" en Anglais.
>
>J'ai tout "purgé" réinstallé et toujours pareil.
>
>Et en plus, j'ai une Jessie, une Stretch, une Sid sur ce disque dur et
>les trois me jouent la même farce.
>
>J'ai du faire une bourde, mais laquelle ?
>
>Merci si on peu m'aider
>
>ps : mariadb à la place de mysql sur les 3 distrib

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Fwd: hostname et dhcp

[Thierry Bugier Pineau]

J'ai failli développer dans ce sens mon message, mais je crois que c'est une 
question de point de vue.

J'ai dit serveur DNS car je me suis positionné du point de vue des machines du 
réseau local, qui voient un service de résolution de noms (qui semble 
fonctionner).

Je n'ai jamais vu d'autre terme pour désigner le service d'une box, ou 
similaire. Je pense qu'on peut considérer que la box est un relais DNS, mais 
pas un serveur.

Le 12 mai 2017 23:32:47 GMT+02:00, "Gaëtan PERRIER" <gaetan.perr...@neuf.fr> a 
écrit :
>Peut-être que stricto sensu elle ne fait pas DNS mais vu de
>l'utilisateur la box fait bien la résolution de nom pour le
>réseau local ...
>
>
>Le Fri, 12 May 2017 23:28:31 +0200
>Thierry Bugier Pineau <bugie...@gmail.com> a écrit:
>
>> Bonsoir
>> c'est grâce au service DHCP de la box qu'on n'a pas besoin d'un bind9
>> ou dnsmask : quand un ordinateur cherche un serveur DHCP sur le
>réseau
>> local, celui de la box répond, et il négocie avec l'ordinateur pour
>> délivrer une adresse IP, mais pas seulement. La box fournit aussi
>> l'adresse IP d'une passerelle et l'adresse IP d'un serveur DNS (elle
>> même en l'occurence, dans les 2 cas).
>> Dans les box, comme j'ai dit, le serveur DNS se limite à
>retransmettre
>> les requêtes au serveur DNS du FAI, récupérer et relayer les
>réponses.
>> Le vendredi 12 mai 2017 à 21:20 +0200, Gaëtan PERRIER a écrit :
>> > Je ne suis pas un spécialiste des serveurs dns mais il me semble
>que
>> > pour
>> > avoir un serveur dns il faut installer bind9  ou dnsmasq, non?
>> > Or je n'ai ni l'un ni l'autre sur aucune de mes machines et
>pourtant
>> > la
>> > résolution des noms de mes machines locales fonctionne sans que je
>> > n'ai
>> > modifié /etc/hosts ...
>> > Et ça aussi bien avec ma livebox 4 actuelle qu'avec mon ancienne
>box
>> > SFR
>> > NB6 ...
>> > 
>> > Gaëtan
>> > 
>> > Le Fri, 12 May 2017 21:02:47 +0200
>> > Thierry Bugier Pineau <bugie...@gmail.com> a écrit:
>> > 
>> > > En fait les box offrent un serveur DNS qui ne fait rien de plus
>que
>> > > relayer
>> > > les requêtes DNS vers les serveurs DNS du fournisseur d'accès à
>> > > internet.
>> > > 
>> > > Du coup les box ne résoudront jamais un nom en une IP du réseau
>> > > local. Si
>> > > vous voulez un vrai DNS pour résoudre les machines du réseau
>local,
>> > > il faut
>> > > le monter et le configurer. De plus il devra faire le relai vers
>le
>> > > DNS de
>> > > la box ou un serveur DNS public sur internet (au choix) pour
>> > > résoudre les
>> > > noms des domaines qu'il ne gère pas.
>> > > 
>> > > Bind9 par exemple.
>> > > 
>> > > Le 12 mai 2017 20:31:49 GMT+02:00, "Gaëtan PERRIER"
>> > > @neuf.fr>
>> > > a écrit :
>> > > > Le Fri, 12 May 2017 12:10:08 +
>> > > > Eric Degenetais <edegenet...@henix.fr> a écrit:
>> > > > 
>> > > > > Bonjour,
>> > > > > 
>> > > > > Les machines de mon réseau familial obtiennent leur IP via le
>> > > > > serveur
>> > > > > DHCP de ma box internet. C'est pratique et courant. Par
>contre,
>> > > > > quand
>> > > > 
>> > > > il
>> > > > > s'agit de contacter l'une ou l'autre machine, c'est plus
>> > > > > pratique de
>> > > > 
>> > > > le
>> > > > > faire grâce à son petit nom. Je peux utiliser le fichier
>> > > > > /etc/hosts
>> > > > 
>> > > > pour
>> > > > > cela, mais les adresses IP peuvent changer et j'aurais donc
>> > > > > besoin de
>> > > > > corriger ce fichier. Ce qui n'est pas pratique du tout.
>> > > > > 
>> > > > > Je me demande donc quelle est la meilleure manière de
>récupérer
>> > > > > les
>> > > > > adresses IP de la box internet et de diffuser la
>correspondance
>> > > > > IP
>> > > > 
>> > > > <->
>> > > > > hostname vers les différentes machines de mon réseau interne.
>> > > > > 
>> > > > > 
>> > > > > Merci d'avance pour vos suggestions.
>> > > > > 
>> > > > > S
>> > >

Re: Fwd: hostname et dhcp

[Thierry Bugier Pineau]

Bonsoir
c'est grâce au service DHCP de la box qu'on n'a pas besoin d'un bind9
ou dnsmask : quand un ordinateur cherche un serveur DHCP sur le réseau
local, celui de la box répond, et il négocie avec l'ordinateur pour
délivrer une adresse IP, mais pas seulement. La box fournit aussi
l'adresse IP d'une passerelle et l'adresse IP d'un serveur DNS (elle
même en l'occurence, dans les 2 cas).
Dans les box, comme j'ai dit, le serveur DNS se limite à retransmettre
les requêtes au serveur DNS du FAI, récupérer et relayer les réponses.
Le vendredi 12 mai 2017 à 21:20 +0200, Gaëtan PERRIER a écrit :
> Je ne suis pas un spécialiste des serveurs dns mais il me semble que
> pour
> avoir un serveur dns il faut installer bind9  ou dnsmasq, non?
> Or je n'ai ni l'un ni l'autre sur aucune de mes machines et pourtant
> la
> résolution des noms de mes machines locales fonctionne sans que je
> n'ai
> modifié /etc/hosts ...
> Et ça aussi bien avec ma livebox 4 actuelle qu'avec mon ancienne box
> SFR
> NB6 ...
> 
> Gaëtan
> 
> Le Fri, 12 May 2017 21:02:47 +0200
> Thierry Bugier Pineau <bugie...@gmail.com> a écrit:
> 
> > En fait les box offrent un serveur DNS qui ne fait rien de plus que
> > relayer
> > les requêtes DNS vers les serveurs DNS du fournisseur d'accès à
> > internet.
> > 
> > Du coup les box ne résoudront jamais un nom en une IP du réseau
> > local. Si
> > vous voulez un vrai DNS pour résoudre les machines du réseau local,
> > il faut
> > le monter et le configurer. De plus il devra faire le relai vers le
> > DNS de
> > la box ou un serveur DNS public sur internet (au choix) pour
> > résoudre les
> > noms des domaines qu'il ne gère pas.
> > 
> > Bind9 par exemple.
> > 
> > Le 12 mai 2017 20:31:49 GMT+02:00, "Gaëtan PERRIER"  > @neuf.fr>
> > a écrit :
> > > Le Fri, 12 May 2017 12:10:08 +
> > > Eric Degenetais <edegenet...@henix.fr> a écrit:
> > > 
> > > > Bonjour,
> > > > 
> > > > Les machines de mon réseau familial obtiennent leur IP via le
> > > > serveur
> > > > DHCP de ma box internet. C'est pratique et courant. Par contre,
> > > > quand
> > > 
> > > il
> > > > s'agit de contacter l'une ou l'autre machine, c'est plus
> > > > pratique de
> > > 
> > > le
> > > > faire grâce à son petit nom. Je peux utiliser le fichier
> > > > /etc/hosts
> > > 
> > > pour
> > > > cela, mais les adresses IP peuvent changer et j'aurais donc
> > > > besoin de
> > > > corriger ce fichier. Ce qui n'est pas pratique du tout.
> > > > 
> > > > Je me demande donc quelle est la meilleure manière de récupérer
> > > > les
> > > > adresses IP de la box internet et de diffuser la correspondance
> > > > IP
> > > 
> > > <->
> > > > hostname vers les différentes machines de mon réseau interne.
> > > > 
> > > > 
> > > > Merci d'avance pour vos suggestions.
> > > > 
> > > > S
> > > > 
> > > > 
> > > > bonjour,
> > > > j'ai une livebox, je ne peux donc parler que de cette
> > > > configuration,
> > > 
> > > mais
> > > > elle sert également de serveur DNS pour le réseau local. Donc
> > > > pas
> > > > nécessairement besoin de localhost (qu'il vaut du coup mieux ne
> > > > pas
> > > > enrichir pour ne pas masquer le DNS de la box). Cette
> > > > ujtilisation de
> > > 
> > > la
> > > > box comme DNS est mise en place sur les machines par le client
> > > > DHCP.
> > > > Par ailleurs, comme l'a fait à juste titre remarquer hamster,
> > > > il est
> > > > généralement possible d'assigner aux machines des IP locales
> > > > fixes à
> > > > différentes machines en fonction de leur adresse MAC. Je
> > > > suppose que
> > > 
> > > la
> > > > plupart si ce n'est toutes les box ont un écran de
> > > > configuration
> > > 
> > > semblable
> > > > à celui dont je dispose pour répertorier les machines et leur
> > > 
> > > assigner des
> > > > IP locales fixes.
> > > > 
> > > 
> > > Pareil, j'ai toujours laissé faire les box. Toutes celles que
> > > j'ai eu,
> > > faisait toutes office de DNS (SFR et Orange).
> > > 
> > > Gaëtan
> > 
> > -- 
> > Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez
> > excuser ma
> > brièveté.

Re: Fwd: hostname et dhcp

[Thierry Bugier Pineau]

En fait les box offrent un serveur DNS qui ne fait rien de plus que relayer les 
requêtes DNS vers les serveurs DNS du fournisseur d'accès à internet.

Du coup les box ne résoudront jamais un nom en une IP du réseau local. Si vous 
voulez un vrai DNS pour résoudre les machines du réseau local, il faut le 
monter et le configurer. De plus il devra faire le relai vers le DNS de la box 
ou un serveur DNS public sur internet (au choix) pour résoudre les noms des 
domaines qu'il ne gère pas.

Bind9 par exemple.

Le 12 mai 2017 20:31:49 GMT+02:00, "Gaëtan PERRIER"  a 
écrit :
>Le Fri, 12 May 2017 12:10:08 +
>Eric Degenetais  a écrit:
>
>> Bonjour,
>> 
>> Les machines de mon réseau familial obtiennent leur IP via le serveur
>> DHCP de ma box internet. C'est pratique et courant. Par contre, quand
>il
>> s'agit de contacter l'une ou l'autre machine, c'est plus pratique de
>le
>> faire grâce à son petit nom. Je peux utiliser le fichier /etc/hosts
>pour
>> cela, mais les adresses IP peuvent changer et j'aurais donc besoin de
>> corriger ce fichier. Ce qui n'est pas pratique du tout.
>> 
>> Je me demande donc quelle est la meilleure manière de récupérer les
>> adresses IP de la box internet et de diffuser la correspondance IP
><->
>> hostname vers les différentes machines de mon réseau interne.
>> 
>> 
>> Merci d'avance pour vos suggestions.
>> 
>> S
>> 
>> 
>> bonjour,
>> j'ai une livebox, je ne peux donc parler que de cette configuration,
>mais
>> elle sert également de serveur DNS pour le réseau local. Donc pas
>> nécessairement besoin de localhost (qu'il vaut du coup mieux ne pas
>> enrichir pour ne pas masquer le DNS de la box). Cette ujtilisation de
>la
>> box comme DNS est mise en place sur les machines par le client DHCP.
>> Par ailleurs, comme l'a fait à juste titre remarquer hamster, il est
>> généralement possible d'assigner aux machines des IP locales fixes à
>> différentes machines en fonction de leur adresse MAC. Je suppose que
>la
>> plupart si ce n'est toutes les box ont un écran de configuration
>semblable
>> à celui dont je dispose pour répertorier les machines et leur
>assigner des
>> IP locales fixes.
>> 
>
>Pareil, j'ai toujours laissé faire les box. Toutes celles que j'ai eu,
>faisait toutes office de DNS (SFR et Orange).
>
>Gaëtan

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: hostname et dhcp

[Thierry Bugier Pineau]

Bonjour

Vous pouvez mettre mes noms que vous voulez dans /etc/hosts.

Les machines se basent sur cette liste pour résoudre un nom en IP, avant 
d'essayer les serveurs DNS listés dans /etc/resolv.conf ou 
/etc/networking/interfaces



Le 12 mai 2017 20:36:46 GMT+02:00, andre_deb...@numericable.fr a écrit :
>On Friday 12 May 2017 14:30:08 steve wrote:
>> Le 12-05-2017, à 14:21:32 +0200, André Debian a écrit :
>> >La solution  est d'attribuer l'IP à chaque station selon :
>> >MAC adresse des PC => IP fixe.
>> >Toutes Box doit avoir cette option.
>> >Je le fais aussi pour mon imprimante réseau,
>> >ainsi chaque station sait comment se connecter
>> >à mon imprimante.
>
>> Ok, c'est ce que j'ai fait et cela semble marcher. Mais je faire
>> attention au nom que je donne dans la box par rapport 
>> au hostname de chacune des stations. S'il est différent, 
>> cela ne marche pas. Petite contrainte, mais contrainte quand même…
>
>Le nom des stations est imposé par la box ?
>ou on peut choisir ?
>Si on ne peut pas choisir, c'est alors une contrainte,
>si non, non.
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Log des connexions sortantes NATées

[Thierry Bugier Pineau]

Bonjour
Par pure curiosité technique, combien y a t il d'utilisateurs dans le
réseau concerné et quel volume de données transite entre un routeur et
le serveur syslog ?
Pour avoir utilisé OpenWRT des routeurs grand public (netgear) et
trouvé que c'est un peu poussif comme matériel, je me demande aussi
quel type de routeur vous utilisez.
En tout cas l'infrastructure me parait intéressante et l'exemple
excellent pour démontrer l'utilité d'un serveur syslog.
Le jeudi 11 mai 2017 à 11:45 +0200, Jean-Michel OLTRA a écrit :
> Bonjour,
> 
> 
> Le mercredi 10 mai 2017, Olivier a écrit...
> 
> 
> > Pour satisfaire à des obligations légales, j'ai pour mission de
> > logguer des
> > connexions sortantes NATées.
> > L'installation est la suivante:
> > Machine distante <--Internet--> Routeur Debian <-- Réseau local --> 
> > PC (IP
> > privée)
> > Comment logguer ces informations ?
> > Que conseillez-vous notamment pour réduire la masse potentielle
> > d'informations à conserver ?
> 
> Pour quelque chose de similaire, des routeurs Wifi sous base OpenWRT,
> je
> loggue les paquets en PREROUTING qui ont le bit syn mis (--syn) (mais
> uniquement, pour nos besoins, sur les ports 80 et 443). Le syslog du
> routeur
> envoie sur le syslog d'un serveur Debian, qui enregistre les logs du
> routeur
> dans un fichier dédié. Après rotation des logs, j'ai un analyseur
> maison qui
> enregistre le port de destination, l'ip de destination, les adresses
> mac
> source et entrée routeur (on a plusieurs routeurs). Une tâche
> ultérieure
> fait la résolution de nom sur l'ip de destination et complète la
> donnée. Les
> enregistrements sont stockés dans une base Postgresql. Au cours de
> l'analyse
> un filtre saute les enregistrements identiques qui sont distants de
> moins de
> N secondes (N=1 pour l'instant).
> 

Re: Configuration Postfix / Dovecot

[Thierry Bugier Pineau]

Bonjour

> "Configurer un_serveur_email_privé" dit le lien :
> il s'agit d'un serveur de messagerie pro.
> Ainsi la ligne de "main.cf" :
> mynetworks = 127.0.0.0/8 ...
> Faut-il ajouter l'IP internet du serveur ?
Non. Ce paramètre n'a pas de sens tout seul, mais globalement l'idée
est que personne ne puisse envoyer de mails vers des domaines
"extérieurs" sans avoir été authentifié. Y compris dans le LAN.
L'exception est ici localhost : le serveur lui-même. Il faudrait que je
voie si je peux vider complètement ce paramètre; ce serait encore un
peu plus sûr.

Plus d'infos ici : http://www.postfix.org/postconf.5.html#mynetworks

D'une manière générale, je trouve la doc de Postfix pas trop mal, je
conseille de la consulter dès qu'un a une petite question sur un
paramètre.

> Le serveur Postfix utilise MySQL

Mes notes concernent un usage personnel de Postfix / Dovecot. Un
annuaire LDAP est exagéré dans ce cas, mais j'aime la possibilité de
l'utiliser avec à peu près tout ce qui manipule des comptes
utilisateur. 

En revanche dans une entreprise, un LDAP est à mon avis un "must have"
à partir de 5 / 10 utilisateurs. J'ai choisi Samba pour sa capacité à
gérer des machines sous Windows, justement parce que je m'intéresse à
l'interopérabilité des deux mondes, et aussi pour en savoir plus sur
l'administration d'infrastructures plus complètes / complexes, comme
celles qu'on trouve en milieu professionnel (et il y a des niveaux de
complexité bien supérieurs à ce que je soumets sur mon wiki). Je ferai
certainement une coche de reverse proxy, et de redondance d'ailleurs
(pour la tolérance de panne).

Le mercredi 10 mai 2017 à 15:08 +0200, andre_deb...@numericable.fr a
écrit :
> On Tuesday 09 May 2017 23:43:49 Thierry Bugier Pineau wrote:
> > Ce message est d'abord pour André, à qui j'ai promis il y a
> quelques
> > semaines mes notes sur la configuration Postfix / Dovecot  sur la
> > partie chiffrement SSL.
> > https://howto-it.dethegeek.eu.org/index.php?title=Postfix_-_Configu
> rer_
> > un_serveur_email_privé
> 
> Thierry,
> 
> Tout d'abord, grand merci d'avoir pensé à moi,
> je vais lire cette doc attentivement.
> 
> "Configurer un_serveur_email_privé" dit le lien :
> il s'agit d'un serveur de messagerie pro.
> Ainsi la ligne de "main.cf" :
> mynetworks = 127.0.0.0/8 ...
> Faut-il ajouter l'IP internet du serveur ?
> 
> > Mes notes me paraissent assez complètes pour résoudre la
> configuration
> > du chiffrement. Cela dit ça reste encore très brut. Il faut
> rajouter
> > des explications presque partout, et que je reconstruise tout de
> bout
> > en bout pour trouver les coquilles.
> > Il me reste à configurer / documenter spamassassin, très
> certainement
> > un webmail comme Roundcube et améliorer l'exploitation du protocole
> > LDAP.
> > Certains demanderont pourquoi utiliser LDAP. Trois raisons basiques
> :
> > - parce qu'on peut
> > - parce que LDAP me permet d'unifier les comptes utilisateur
> > - parce que c'est plus drôle
> > Du coup ce tuto me parait intéressant (ou différent) car la plupart
> des
> > documentations que j'aie pu trouver s'appuient sur des comptes dans
> un
> > fichier plat de Postfix ou dans une base MySQL.
> 
> Le serveur Postfix utilise MySQL
> 
> > A tous les autres lecteurs de cette liste, je suis preneur des
> > observations, commentaires; ou contributions (puisque c'est un
> wiki).
> 
> À bientôt des résultats,
> 
> Bonne journée.
> 
> André
>  
> 
> 

Configuration Postfix / Dovecote

[Thierry Bugier Pineau]

Bonsoir

Ce message est d'abord pour André, à qui j'ai promis il y a quelques
semaines mes notes sur la configuration Postfix / Dovecot  sur la
partie chiffrement SSL.

https://howto-it.dethegeek.eu.org/index.php?title=Postfix_-_Configurer_
un_serveur_email_privé

Mes notes me paraissent assez complètes pour résoudre la configuration
du chiffrement. Cela dit ça reste encore très brut. Il faut rajouter
des explications presque partout, et que je reconstruise tout de bout
en bout pour trouver les coquilles.

Il me reste à configurer / documenter spamassassin, très certainement
un webmail comme Roundcube et améliorer l'exploitation du protocole
LDAP.

Certains demanderont pourquoi utiliser LDAP. Trois raisons basiques :
- parce qu'on peut
- parce que LDAP me permet d'unifier les comptes utilisateur
- parce que c'est plus drôle

Du coup ce tuto me parait intéressant (ou différent) car la plupart des
documentations que j'aie pu trouver s'appuient sur des comptes dans un
fichier plat de Postfix ou dans une base MySQL.

A tous les autres lecteurs de cette liste, je suis preneur des
observations, commentaires; ou contributions (puisque c'est un wiki). 

Re: 3 écrans

[Thierry Bugier Pineau]

Bonjour
C'est intéressant, il faudrait que je voie comment ça se passe avec
deux GPUs de fabricant différent.
Il m'est arrivé dans diverses situations (matérielles) d'avoir des
modifications de disposition après un changement de résolution d'un
écran. Comme ce n'est pas quelque chose qu'on change souvent, je me
suis toujours contenté de réajuster la disposition logique des écrans.
Si deux écrans ont une résolution différente, l'un ayant plus de lignes
que l'autre, la souris peut "buter" contre la limite de l'écran ayant
le plus de hauteur si l'autre écran à côté ne prolonge pas l'affichage
à l'endroit précis de la souris. Pour moi c'est logique pour éviter de
perdre la souris dans une zone non affichée.
Quand on a plusieurs écrans, il faut veiller à ce que la disposition
logique (connue du système) reflète la réalité, sinon en passant la
souris d'un écran à l'autre, elle va "sauter" à un endroit inattendu. 
Si dans vote cas vous avez réussi à avoir vos 3 écrans avec une seule
carte graphique, c'est parfait. Utiliser les préférences d'affichage de
votre environnement graphique pour configurer la disposition des écrans
les uns par rapport aux autres, en reflétant la réalité. Ce sera
parfait. Je suis sour XFCE et avec le menu Whisker j'ai juste à taper
"affichage" pour avoir accès au programme qui va bien.
Pour ceux qui ne coonnaissent pas Whisker c'est un plugin pour XFCE,
disponible dans les dépôts qui donne au menu plus de richesse. Ca
ressemble d'assez près au menu démarrer d'un système pas libre du tout
en version 7. Mais c'est bien pratique pur lancer rapidement  son
programme favori. Un article au hasard, mais en français: https://la-va
che-libre.org/tag/whisker-menu/ pour avoir un aperçu.
Pour finir mes 4 écrans sont disposés en une matrice 2x2 : 2 lignes et
2 colonnes. A l'horizontal ça ne me parait pas confortable, il faudrait
2 bureaux et le champ de vision humain est plus proche du 16/10 que du
64/10 :)
Le vendredi 05 mai 2017 à 14:28 +0200, Eric Bernard a écrit :
> re,
> 
>   j'ai réussi en laissant faire le système à avoir mes 3 écrans (
> 1
>   sur la prise VGA de la carte interne Intel et 2 sur la Nvidia
> (DVI
>   et HDMI).
> 
>   Je rencontre 2 problèmes :
> 
>    - si je dépasse la résolution 1440x900, mes écrans ne sont
> plus à
>   la suite l'un de l'autre (1+1+1) mais se décalent vers le haut
>   comme si "l'espace bureau" n'était pas assez grand en largeur
> pour
>   des résolutions supérieures (1680x1050 ou 1920x1080)
> 
>   - l'écran "principale" des menus et de la barre des raccourcis
> est
>   sur l'écran de gauche alors que l'écran marqué comme principal
> est
>   bien celui du centre.
> 
>   
> 
>   Vos 4 écrans sont en superposition (2+2) ou alignés (1+1+1+1) ?
> 
>   
> 
>   merci de votre aide !!! 
> 
>   
> 
>   
> 
>   Le 05/05/2017 à 09:00, Thierry Bugier Pineau a écrit :
> 
> 
> 
> >   
> >   Bonjour
> >   
> > 
> >   
> >   Ce sont 2 écrans d'un modèle 27 pouces, 2 écrans d'un autre
> > modèle 24 pouces. Ils partagent tous la même résolution. 
> >   
> > 
> >   
> >   Je joins mon xorg.conf car il est nécéssaire d'en créer un
> > avec une telle configuration matérielle.
> >   
> > 
> >   
> >   Si vous l'utilisez, il faudra adapter le busID des GPUs, le
> > nom des sorties vidéo (HDMI, DVI, ...) et peut être aussi
> > la
> > position des écrans les uns par rapport aux autres.
> >   
> > 
> >       
> >   Le vendredi 05 mai 2017 à 08:12 +0200, Eric Bernard a écrit :
> >   
> > > Bonjour,
> > > 
> > >   4 écrans identiques (résolution etc..) ?
> > > 
> > >   
> > > 
> > >   
> > > 
> > >   
> > > 
> > >   Le 03/05/2017 à 14:39, Thierry Bugier Pineau a écrit :
> > > 
> > > 
> > > 
> > > >   Bonjour
> > > >   
> > > > 
> > > >   
> > > >   Je suis sur une configuration avec 4 écrans répartis
> > > > sur
> > > > 2 cartes graphiques. 
> > > >   
> > > > 
> > > >   
> > > >   Historiquement j'avais une carte NVidia de faible
> > > > puissance, juste pour mes activités type
> > > > bureautique. J'ai
> > > > récemment évolué vers 4 écrans an acquérant

Re: 3 écrans

[Thierry Bugier Pineau]

Bonjour
Ce sont 2 écrans d'un modèle 27 pouces, 2 écrans d'un autre modèle 24
pouces. Ils partagent tous la même résolution. 
Je joins mon xorg.conf car il est nécéssaire d'en créer un avec une
telle configuration matérielle.
Si vous l'utilisez, il faudra adapter le busID des GPUs, le nom des
sorties vidéo (HDMI, DVI, ...) et peut être aussi la position des
écrans les uns par rapport aux autres.
Le vendredi 05 mai 2017 à 08:12 +0200, Eric Bernard a écrit :
> Bonjour,
> 
>   4 écrans identiques (résolution etc..) ?
> 
>   
> 
>   
> 
>   
> 
>       Le 03/05/2017 à 14:39, Thierry Bugier Pineau a écrit :
> 
> 
> 
> >   
> >   Bonjour
> >   
> > 
> >   
> >   Je suis sur une configuration avec 4 écrans répartis sur 2
> > cartes graphiques. 
> >   
> > 
> >   
> >   Historiquement j'avais une carte NVidia de faible puissance,
> > juste pour mes activités type bureautique. J'ai récemment
> > évolué
> > vers 4 écrans an acquérant une seconde carte identique à la
> > première.
> >   
> > 
> >   
> >   Cela a été un peu difficile: Nouveau plante quand j'ai 2
> > GPUs. Attention, des cartes graphiques avec 2 GPU existent,
> > et
> > de ce que j'ai lu, c'est exactement comme avoir 2 cartes
> > graphiques avec 1 GPU.
> >   
> > 
> >   
> >   J'ai dû utiliser contre mon gré le pilote Nvidia, et utiliser
> > un mode dit "Zaphod" (voir H2G2) pour utilsier mes 4
> > écrans. On
> > perd un peu en fonctionnalités : un menu contextuel pouvant
> > se
> > trouver réparti entre plusieurs affichages, et xrandr ne
> > "voit"
> > qu'un écran. Cela m'empêche aussi d'utiliser le logiciel
> > Redshift (sauf à accepter son effet sur un seul écran).
> >   
> > 
> >   
> >   C'est assez difficile de configurer X11 avec une telle
> > configuration. Si vous avez besoins de passer à 2 GPUs
> > NVidia,
> > je peux donner mon Xorg.conf. 
> >   
> > 
> >   
> >   Je pense qu'il faut d'abord expérimenter en trouvant des
> > cartes diverses. Je n'ai pas trouvé de cartes graphiques
> > discrètes avec un GPU Intel, ce qui aurait été l'idéal pour
> > leur
> > prise en charge par l'Open Source. Il me reste à
> > expérimenter si
> > je peux une telle configuration avec des cartes ATI/AMD. 
> >   
> > 
> >   
> >   Avec 3 écrans, je pense qu'une carte graphique peut suffire,
> > mais attention, certains ont plus de 2 sorties, mais ne
> > supportent à priori que 2 écrans en même temps.
> >   
> > 
> >   
> >   Voilà grosso modo les infos que j'ai pu glaner / expérimenter
> > pour arriver à faire marcher mon système.
> >   
> > 
> >   
> >   Au fait : je suis sous SID, ça peut avoir son importance.
> >   
> > 
> >   
> >   Le mercredi 03 mai 2017 à 08:23 +0200, Eric Bernard a écrit :
> >   
> > > Bonjour,
> > > Je recherche des infos et/ou retour d'expérience sur
> > >   l'utilisation de 3 écrans "indépendant" (pas de
> > > clonage).
> > > 
> > > 
> > > 
> > > Merci de vos réponses
> > > 
> > > 
> > > 
> > > Eric
> > > 
> > > 
> > >   
> > 
> > 
> 
> 
> 
> 
>   
> Section "ServerLayout"
Identifier "Layout0"
Screen  0  "Screen0" 0 0
Screen  1  "Screen1" RightOf "Screen0"
Screen  2  "Screen2" Below "Screen0"
Screen  3  "Screen3" Below "Screen1"
InputDevice"Keyboard0" "CoreKeyboard"
InputDevice"Mouse0" "CorePointer"
Option "Xinerama" "on"
Option "Clone" "off"
EndSection

Section "InputDevice"
Identifier "Keyboard0"
Driver "keyboard"
EndSection

Section "InputDevice"
Identifier "Mouse0"
Driver "mouse"
Option "Protocol" "auto"
Option "Device" "/dev/psaux"
  

Re: 3 écrans

[Thierry Bugier Pineau]

Bonjour
Je suis sur une configuration avec 4 écrans répartis sur 2 cartes
graphiques. 
Historiquement j'avais une carte NVidia de faible puissance, juste pour
mes activités type bureautique. J'ai récemment évolué vers 4 écrans an
acquérant une seconde carte identique à la première.
Cela a été un peu difficile: Nouveau plante quand j'ai 2 GPUs.
Attention, des cartes graphiques avec 2 GPU existent, et de ce que j'ai
lu, c'est exactement  comme avoir 2 cartes graphiques avec 1 GPU.
J'ai dû utiliser contre mon gré le pilote Nvidia, et utiliser un mode
dit "Zaphod" (voir H2G2) pour utilsier mes 4 écrans. On perd un peu en
fonctionnalités : un menu contextuel pouvant se trouver réparti entre
plusieurs affichages, et xrandr ne "voit" qu'un écran. Cela m'empêche
aussi d'utiliser le logiciel Redshift (sauf à accepter son effet sur un
seul écran).
C'est assez difficile de configurer X11 avec une telle configuration.
Si vous avez besoins de passer à 2 GPUs NVidia, je peux donner mon
Xorg.conf. 
Je pense qu'il faut d'abord expérimenter en trouvant des cartes
diverses. Je n'ai pas trouvé de cartes graphiques discrètes avec un GPU
Intel, ce qui aurait été l'idéal pour leur prise en charge par l'Open
Source. Il me reste à expérimenter si je peux une telle configuration
avec des cartes ATI/AMD. 
Avec 3 écrans, je pense qu'une carte graphique peut suffire, mais
attention, certains ont plus de 2 sorties, mais ne supportent à priori
que 2 écrans en même temps.
Voilà grosso modo les infos que j'ai pu glaner / expérimenter pour
arriver à faire marcher mon système.
Au fait : je suis sous SID, ça peut avoir son importance.
Le mercredi 03 mai 2017 à 08:23 +0200, Eric Bernard a écrit :
> Bonjour,
> Je recherche des infos et/ou retour d'expérience sur
>   l'utilisation de 3 écrans "indépendant" (pas de clonage).
> 
> 
> 
> Merci de vos réponses
> 
> 
> 
> Eric
> 
> 
>   
> 

Re: Gestion de très gros FS

[Thierry Bugier Pineau]

Bonjour

Ce n'est pas tordre le système de snapshot que de les garder longtemps ?

Pour lvm les snapshots sont en copy on write. Apparemment btrfs ferait pareil 
vu la description du comportement.

Tout ce que j'ai lu dit que les snapshot sont des instantanés qui servent le 
temps d'un backup. Autrement dit : 
- on fige le FS sur le disque 
- on met à part les écritures (une sorte de tampon, et lvm ou le FS le gère 
selon le cas)
-jusqu'à ce que le FS figé soit pleinement exploité pour une tâche de 
sauvegarde.
- la tâche terminée, on détruit le snapshot en y incorporant les écritures 
précédemment mises à part (là encore lvm ou le FS gère cela)

On peut tout aussi bien historiser les sauvegardes et laisser le backup les 
gérer (backuppc par exemple mais guère pour un usage pro sur grosse quantités 
de données)


Le 2 mai 2017 17:46:40 GMT+02:00, Daniel Caillibaud  a 
écrit :
>Le 21/03/17 à 11:42, Pierre Malard  a écrit :
>PM> J’ai lu que BtrFS semblait se présenter comme le « successeur » de
>ext4 et proposait un
>PM> redimensionnement à chaud en complément du gestionnaire de volumes
>logiques de Linux. Il
>PM> permettrait également l’agrégat de préifériques et la gestion de «
>snapshots
>PM> » (https://fr.wikipedia.org/wiki/Btrfs). Avez-vous une expérience
>dans ce domaine et est-ce
>PM> que cela répondrait à notre besoin de gros volumes extensibles ?
>
>J'arrive longtemps après la question, au cas où ça serve à d'autres…
>
>Je n'ai pas d'expérience de btrfs sur de tels volumes, mais sur 3~4To
>de datas avec bcp de
>snapshots, il faut faire attention à l'ordre des snaphots pour garder
>une "filiation la plus
>linéaire possible".
>
>C'était pour du backup, je faisais
>- rsync de pleins de vm dans last (un subvolume)
>- delete Monday && snapshot de last sur Monday le lundi
>- … idem les autres jours, avec en plus le dimanche un
>- delete week_XX && snapshot de last sur week_XX
>
>mais de temps en temps, et de plus en plus souvent avec l'augmentation
>du nb de snapshots, le
>delete faisait complètement exploser le système, à retardement (lorsque
>btrfs nettoie ses
>metadatas, un peu plus tard, si le rsync démarre avant que tout soit
>nettoyé).
>
>L'explosion se traduisait par un système qui fige, avec ou sans oomkill
>tous azimuts. 
>
>Un expert btrfs m'a confirmé avoir déjà vu la RAM exploser dans ce
>genre de cas, sans vraiment
>savoir pourquoi… (que le load explose parce que le fs devient très lent
>ça peut s'expliquer,
>mais pas qu'il consomme énormément de RAM).
>
>C'est visiblement lié au fait du nb de snapshots qui dépendaient du
>volume dans lequel
>j'écrivais, chaque écriture sur un fichier déclenchant une cascade
>d'opérations pour que tous
>les subvolumes retrouvent leurs petits (tous ses snapshots doivent se
>mettre à jour sur
>l'ancienne version du fichier, trouver lequel la détient, etc.)
>
>En modifiant la rotation pour faire
>mv Monday avirer
>mv last Monday
>snapshot Monday last
>rsync vers last
>
>ça va bcp mieux (chaque écriture ne déclenche qu'un seul copy on write
>sur le dernier snapshot
>sans que les autres n'aient à faire qqchose, la suppression d'un
>subvolume n'entraînant de
>modif que chez son unique "fils").
>
>Tout ça pour dire que btrfs reste chatouilleux et peut partir en vrille
>(machine HS mais pas
>perdu d'octet), même si la gestion des snapshots reste un avantage très
>appréciable.
>
>Et je n'ai pas encore osé passer au btrfs send/receive pour
>synchroniser deux volumes, mais
>chez d'autres ça marche vraiment très bien (10~100 × plus rapide que
>rsync suivant le nb de
>fichiers, le volume et la BP dispo).
>
>-- 
>Daniel
>
>On devrait construire les villes a la campagne
>car l'air y est plus pur !
>Alphonse Allais

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Redimensionnement de partition

[Thierry Bugier Pineau]

/var/log peut se remplir avec le temps également.

Autre piste : apt-get clean pour supprimer le cache de paquetages. Il peut y 
avoir quelques centaines de Mo à reprendre.

Le 25 avril 2017 00:23:32 GMT+02:00, Yannick  a écrit :
>Le 24/04/2017 à 20:46, Yannick a écrit :
>> Bonsoir,
>>
>> Il me faut re-dimensionner une partition. Comment me suggérez-vous de
>> faire en graphique!?
>>
>> Le disque dur concerné est coupé en deux partition / et /home
>> Je DOIS agrandir / car il semble que la place commence à manquer.
>>
>> Ne voulant pas tout casser je veux des conseils et surtout un mode
>> opératoire.
>> Pour information Gparted est installé sur la machine.
>> Ce qui me fait peur est de démonter une partition utilisée et c'est
>pour
>> cela que je fais appel à votre sagacité.
>>
>> Amitiés
>>
>
>Bonsoir,
>
>Merci à tous ceux qui m'ont répondu.
>Bon de ce que je vois il va me falloir y aller en force!
>Donc le plus simple est de me refaire une install avec Scretch pour
>tout 
>remettre en ordre.
>
>Par contre je ne comprend pas ce qui me bouffe la place sur la 
>partition. Certes il faut vider le /tmp mais bon ce n'est de toute 
>évidence pas suffisant.
>
>Amitiés
>
>
>-- 
>Yannick VOYEAUD
>Nul n'a droit au superflu tant que chacun n'a pas son nécessaire
>(Camille JOUFFRAY 1841-1924, maire de Vienne)
>http://www.voyeaud.org
>Créateur CimGenWeb: http://www.francegenweb.org/cimgenweb/
>Journées du Logiciel Libre: http://jdll.org
>Généalogie en liberté avec Ancestris http://www.ancestris.org
>Aidez Ancestris à aller au Havre
>https://www.helloasso.com/associations/ancestris/collectes/le-havre-2017

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Redimensionnement de partition

[Thierry Bugier Pineau]

Bonjour

Pourquoi ne pas utiliser un live CD ? SystemRescueCD est parfait pour
ça !

Je conseille une sauvegarde du disque au préalable. Une bonne grosse
image bit à bit dans un fichier à pousser sur un disque externe (sûr
mais très très long).

Ce serait intéressant de savoir si le disque dur à retoucher est géré
par LVM. Cette couche intermédiaire entre partitions et volumes est un
vrai régal (mais il faut connaitre un peu la ligne de commande). Perso
je n'utilise plus que ça pour faciliter la  gestion de ces
problématiques.

Le lundi 24 avril 2017 à 20:46 +0200, Yannick a écrit :
> Bonsoir,
> 
> Il me faut re-dimensionner une partition. Comment me suggérez-vous de 
> faire en graphique!?
> 
> Le disque dur concerné est coupé en deux partition / et /home
> Je DOIS agrandir / car il semble que la place commence à manquer.
> 
> Ne voulant pas tout casser je veux des conseils et surtout un mode 
> opératoire.
> Pour information Gparted est installé sur la machine.
> Ce qui me fait peur est de démonter une partition utilisée et c'est pour 
> cela que je fais appel à votre sagacité.
> 
> Amitiés
> 

Re: ouvrir des ports pour amule

[Thierry Bugier Pineau]

Si vraiment vous voulez utiliser une VM, oui, le mode pont sera le plus
simple. Et du coup l'adresse MAC à utiliser pour ce que j'ai dit est
l'adresse MAC de l'interface réseau virtuelle de la VM. 


Le vendredi 21 avril 2017 à 13:43 +0200, babouchko a écrit :
> Salut 
> 
> Configure ta VM virtual box en mode pont.
> 
> Comme actuellement elle est en nat tu dois aussi rediriger les ports
> entre ton PC et ta VM. 
> Cdt
> Bab
> Le 21 avr. 2017 13:27, "Thierry Bugier Pineau" <bugie...@gmail.com> a
> écrit :
> > Oh, j'ai oublié un détail dans mes explications.
> > Après le reboot de la freebox, redémarez aussi votre PC pour
> > obtenir la bonne IP.
> > 
> > 
> > Le vendredi 21 avril 2017 à 09:34 +0200, Klaus Becker a écrit :
> > > On jeudi 20 avril 2017 22:52:53 CEST Pascal Hambourg wrote:
> > > > Le 20/04/2017 à 20:55, Klaus Becker a écrit :
> > > > > On jeudi 20 avril 2017 20:32:20 CEST Pascal Hambourg wrote:
> > > > > > Le 20/04/2017 à 20:19, Klaus Becker a écrit :
> > > > > > > Néanmoins amule me dit que Kad est derrière un pare-feu
> > > > > > > alors que je
> > > > > > > n'en
> > > > > > > ai pas ou alors je ne me rends pas compte.
> > > > > > 
> > > > > > Qu'est-ce que Kad ?
> > > 
> > > Kad ou Kademlia est un réseau d'échange décentralisé qu'utilise
> > > amule, 
> > > ensemble avec eD2K qui est plus ancien.
> > > 
> > > > Pas de réponse ?
> > > > 
> > > > > > Si ça teste la connectivité depuis internet, l'adressage
> > > > > > privé et le NAT
> > > > > > de la box peuvent avoir le même effet apparent qu'un pare-
> > > > > > feu en rendant
> > > > > > les ports injoignables directement.
> > > > > > 
> > > > > > > J'utilise d'ailleurs amule dans Virtualbox sous Debian
> > > > > > > stable.
> > > > > > 
> > > > > > La VM a quel type de connexion réseau ? Pont avec le LAN de
> > > > > > l'hôte,
> > > > > > sous-réseau routé, NAT ?
> > > > > 
> > > > > NAT
> > > > 
> > > > Pas le plus indiqué si la VM doit recevoir des connexions
> > > > entrantes.
> > > > Au mieux il faut configurer des redirections dans l'hyperviseur
> > > > comme
> > > > avec une box, au pire ce n'est même pas possible.
> > > 
> > > Oui j'ai vu ça mais je ne suis pas sûr de savoir le faire.
> > > 
> > > Voici un message que je viens d'envoyer sur un forum amule (je ne
> > > compte pas 
> > > trop sur une réponse du forum) :
> > > 
> > > "J'ai trouvé comment faire et les ports qu'utilise amule sont
> > > bien ouverts, 
> > > comme le montre chez moi "nmap localhost" et "netstat -ntulp".
> > > Amule les ouvre 
> > > et les ferme automatiquement.
> > > 
> > > Pourtant je suis toujours en Low-ID, selon amule probablement à
> > > cause d'un 
> > > pare-feu.
> > > 
> > > J'ai bien essayé sous Debian et sous Magéia, c'est pareil. A ma
> > > connaissance, 
> > > je n'ai pas de pare-feu sous Debian et je l'ai explicitement
> > > désactivé dans 
> > > Magéia.
> > > 
> > > Alors d'où peut bien venir ce firewall ? Y-at-il un rapport avec
> > > la freebox ?
> > > 
> > > Aussi dans un article (en allemand) j'ai trouvé que l'attribution
> > > d'une Low-ID 
> > > ou d'une High-ID dépend uniquement de l'ouverture du port TCP
> > > 4662 ce qui est 
> > > bien le cas chez moi. Ils disent qu'il faut vérifier s'il est
> > > joignable de 
> > > l'extérieur, mais comment faire ?
> > > 
> > > Selon cette source il faut s'assurer que le routeur (donc ma
> > > freebox) ne 
> > > modifie pas le port 4672 pour les paquets sortants. Encore
> > > comment faire ?"
> > > 
> > > librement
> > > 
> > > Klaus
> > > 
> > > 
> 
> 

Re: ouvrir des ports pour amule

[Thierry Bugier Pineau]

Oh, j'ai oublié un détail dans mes explications.

Après le reboot de la freebox, redémarez aussi votre PC pour obtenir la
bonne IP.



Le vendredi 21 avril 2017 à 09:34 +0200, Klaus Becker a écrit :
> On jeudi 20 avril 2017 22:52:53 CEST Pascal Hambourg wrote:
> > Le 20/04/2017 à 20:55, Klaus Becker a écrit :
> > > On jeudi 20 avril 2017 20:32:20 CEST Pascal Hambourg wrote:
> > > > Le 20/04/2017 à 20:19, Klaus Becker a écrit :
> > > > > Néanmoins amule me dit que Kad est derrière un pare-feu alors
> > > > > que je
> > > > > n'en
> > > > > ai pas ou alors je ne me rends pas compte.
> > > > 
> > > > Qu'est-ce que Kad ?
> 
> Kad ou Kademlia est un réseau d'échange décentralisé qu'utilise
> amule, 
> ensemble avec eD2K qui est plus ancien.
> 
> > Pas de réponse ?
> > 
> > > > Si ça teste la connectivité depuis internet, l'adressage privé
> > > > et le NAT
> > > > de la box peuvent avoir le même effet apparent qu'un pare-feu
> > > > en rendant
> > > > les ports injoignables directement.
> > > > 
> > > > > J'utilise d'ailleurs amule dans Virtualbox sous Debian
> > > > > stable.
> > > > 
> > > > La VM a quel type de connexion réseau ? Pont avec le LAN de
> > > > l'hôte,
> > > > sous-réseau routé, NAT ?
> > > 
> > > NAT
> > 
> > Pas le plus indiqué si la VM doit recevoir des connexions
> > entrantes.
> > Au mieux il faut configurer des redirections dans l'hyperviseur
> > comme
> > avec une box, au pire ce n'est même pas possible.
> 
> Oui j'ai vu ça mais je ne suis pas sûr de savoir le faire.
> 
> Voici un message que je viens d'envoyer sur un forum amule (je ne
> compte pas 
> trop sur une réponse du forum) :
> 
> "J'ai trouvé comment faire et les ports qu'utilise amule sont bien
> ouverts, 
> comme le montre chez moi "nmap localhost" et "netstat -ntulp". Amule
> les ouvre 
> et les ferme automatiquement.
> 
> Pourtant je suis toujours en Low-ID, selon amule probablement à cause
> d'un 
> pare-feu.
> 
> J'ai bien essayé sous Debian et sous Magéia, c'est pareil. A ma
> connaissance, 
> je n'ai pas de pare-feu sous Debian et je l'ai explicitement
> désactivé dans 
> Magéia.
> 
> Alors d'où peut bien venir ce firewall ? Y-at-il un rapport avec la
> freebox ?
> 
> Aussi dans un article (en allemand) j'ai trouvé que l'attribution
> d'une Low-ID 
> ou d'une High-ID dépend uniquement de l'ouverture du port TCP 4662 ce
> qui est 
> bien le cas chez moi. Ils disent qu'il faut vérifier s'il est
> joignable de 
> l'extérieur, mais comment faire ?
> 
> Selon cette source il faut s'assurer que le routeur (donc ma freebox)
> ne 
> modifie pas le port 4672 pour les paquets sortants. Encore comment
> faire ?"
> 
> librement
> 
> Klaus
> 
> 
> 

Re: upgrade Jessie : plus de grub

[Thierry Bugier Pineau]

Bonjour

Essayez un CD ou une clé USB de Debian, de préférence de même version.

Démarrez dessus en mode rescue. Après quelques formalités administratives 
basiques vous devrez désigner le volume du système de fichiers racine dans vos 
disques durs. Ensuite vous pourrez choisir de réinstaller GRUB.

Si vous avez plusieurs disques durs, vérifiez que le bon vieux BIOS (ou 
l'infâme UEFI) tente de démarrer sur le bon disque. C'est même la première 
chose à regarder.

Le 18 avril 2017 17:59:14 GMT+02:00, andre_deb...@numericable.fr a écrit :
>Depuis un upgrade de Jessie sur mon portable,
>je ne peux plus booter, pas de menu grub.
>
>Je dois passer par un CD Live "Super Grub Disk".
>Ça marche mais impossible de ré-installer Grub,
>(update-grub),
>ça bloque au bout de quelques temps.
>
>Si je lance "gparted", j'ai ces messages :
>
>"Error informing the kernel about modifications to partition /dev/sda4
>: 
>Argument invalide.  
>This means Linux won't know about any changes you made to /dev/sda4 
>until you reboot -- so you shouldn't mount it or use it in any way
>before 
>rebooting.
>
>Partition(s) 4 on /dev/sda have been written, but we have been unable
>to 
>inform the kernel of the change, probably because it/they are in use.  
>As a result, the old partition(s) will remain in use.  
>You should reboot now before making further changes."
>
>La partition 4 est la partition étendue.
>
>Merci de votre aide,
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Postfix Dovecot et SSL : SSL23: unknown protocol

[Thierry Bugier Pineau]

Bonsoir
J'en suis à la configuration du TLS sur SMTP
Voilà la configuration que j'ai pour le moment, et qui n'autorise que
TLS 1.2
La configuration é été vérifiée successivement avec le site suivant htt
ps://ssl-tools.net/mailservers
Il considère une configuration fiable si TLS 1.0 ou  1.1 sont permis,
mais je compte bien les bannir, sauf si quelque chose m'oblige à
revenir en arrière.
C'est un extrait de mon  /etc/postfix/main.cf ;
smtpd_tls_security_level = encryptsmtpd_tls_received_header =
nosmtpd_tls_auth_only = yessmtpd_tls_loglevel = 1smtpd_tls_cert_file =
/path/to/cert.pemsmtpd_tls_key_file = /path/to/priv.keysmtpd_use_tls =
yessmtp_tls_note_starttls_offer = yessmtpd_tls_session_cache_timeout =
3600ssmtpd_tls_exclude_ciphers = aNULL, MD5, DES, 3DES, DES-CBC3-SHA,
RC4-SHA, AES256-SHA, AES128-SHAtls_high_cipherlist =
ECDH+aRSA+AES256:ECDH+aRSA+AES128:AES256-SHA:DES-CBC3-
SHAsmtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1,
!TLSv1.1smtpd_tls_mandatory_protocols = TLSv1.2
Le vendredi 14 avril 2017 à 22:32 +0200, andre_deb...@numericable.fr a
écrit :
> On Tuesday 04 April 2017 10:43:15 Thierry Bugier Pineau wrote:
> > le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon
> > silence.  J'ai préparé postfix, je continue avec Dovecot dans les
> jours
> > à venir et ensuite je m'attaque au TLS pour atteindre le même
> niveau de
> > progression et donner un coup de main.
> > J'essaie aussi de créer un script shell (très sommaire) pour rendre
> la
> > configuration maintenable et reproductible (que je partagerai
> > volontiers sur github).
> 
> On Tuesday 04 April 2017 14:12:45 andre_deb...@numericable.fr wrote:
> > Je l'attends avec plaisir, merci d'avance.
> > Ça fait longtemps que dovecot + certificats me posent soucis... :-)
> > Bonne journée,  André
> 
> Je n'ai pas reçu de réponse à cette promesse ci-dessus... :-)
> 
> André
> 
> 

Re: Certificats https aléatoires suivant les navigateurs

[Thierry Bugier Pineau]

Essayez let's encrypt. Cela dit je suis étonné que ceux d'OVH ne fonctionnement 
pas. Avez vous configuré le serveur pour fournir la chaine de certificats ?

Le serveur donne au client son certificat (que vous avez apparemment 
configuré), mais doit aussi donner les certificats des autorités de 
certification intermédiaires jusqu'à une autorité reconnue par les clients. 
C'est ce qu'on appelle parfois la "CA chain".

Et oubliez startssl : leurs certificats ne seront plus acceptés par firefox et 
chrome d'ici quelques semaines, si ce n'est pas déjà fait. Ils ont été rachetés 
par une autorité ayant de mauvaises pratiques. Google l'a annoncé, Mozilla 
aussi.

Avoir un OS à jour a une influence sur les autorités reconnues (fiables). 
Récemment sur Debian, j'ai vu pas mal de changement sur les autorités de 
certification incluses dans l'OS (Sid). On en ajoute, et parfois on en retire.

Le 15 avril 2017 11:22:14 GMT+02:00, andre_deb...@numericable.fr a écrit :
>Bonjour,
>
>J'ai installé sur un serveur Web,
>- les certificats StartSSL (gratuits) toujours valides,
>- et j'ai acheté les certificats tout récemment chez OVH.
>
>Suivant les navigateurs, Firefox, TOR, Chrome, Opera, Epiphany, 
>le site Web affiche une erreur de certificats,
>que ce soient avec les certificats d'OVH ou de StartSSL.
>
>Ça marche avec un ou deux navigateurs et pas avec d'autres,
>et vice versa.
>
>Quels certificats fonctionnent quelquesoient les navigateurs ?
>
>Merci,
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: [Serveur mail] Bonnes pratiques et conseils

[Thierry Bugier Pineau]

Toutes les discussions sur les serveurs mails attisent pour m'y remettre. Je 
vais retenter l'expérience, nettoyer mes notes et partager.

Si ça peut rendre service à quelques uns, et bien, et j'en profiterai pour 
demander quelques renseignements sur des points d'architecture que je veux 
réaliser : 1 samba 4 par domaine et des serveurs frontaux. Pour apprendre, 
utiliser, et ne pas dépendre de solutions clé en main qui au final restreignent 
les libertés en terne de gestion, compréhension et maintenance

Le 1 avril 2017 18:12:35 GMT+02:00, Louis-Philippe  a 
écrit :
>Bonjour,
>
>Je ne connais pas tous les logiciels que tu as installés, mais il y
>aussi
>PostGrey (en package Debian) que je commence à utiliser.
>De ce que j'ai compris, si le triplet "expéditeur, serveur et
>destinataire"
>existe dans ma base de données (mon serveur de mail) et a été utilisé
>récemment(ex dans le dernier mois), il passe librement, sinon, il
>redemande
>au serveur de l'expéditeur une nouvelle expédition du mail. Les
>serveurs de
>spams ne réexpédient pas un courriel en général.
>
>Et tout ça, avant qu'ils soient analysés pour vérifier si c'est un SPAM
>ou
>virus. La charge de ton serveur est donc réduite de beaucoup...
>
>Le seul désavantage que j'ai constaté, si le triplet n'existe pas et
>que le
>courriel est légitime, le courriel peut prendre 5-10 minutes avant
>d'arriver... et nous n'avons pas de contrôle sur ce délai car c'est le
>serveur de l'expéditeur qui décide quand le renvoyer.
>
>Cordialement,
>
>
>Le 1 avril 2017 à 06:12, Kévin Gaspard  a
>écrit :
>
>> Bonjour à toutes et à tous,
>>
>> (je n'ai jamais participé à de ML, merci de me faire part de mes
>erreurs
>> mais avec un soupçon d'indulgence s'il vous plaît)
>>
>> J'ai il y a peu terminé la configuration d'un serveur mail, qui
>> fonctionne, avec les composants suivants:
>>
>> - Debian 8
>> - IPTables + Fail2Ban
>> - Postfix + Postscreen (avec 3 listes RBL)
>> - Dovecot
>> - MariaDB
>> - RSpamD avec sa web UI
>> - ClamAV
>> - OpenDKIM + SPF (paquet: postfix-policyd-spf-python)
>> - Certificat Let's Encrypt (4096 bits) pour imap.domain.tld et un
>autre
>> pour smtp.domain.tld
>>
>> Tout ça provenant des dépôts officiels de Debian, je n'ai rien
>compilé ou
>> récupéré sur github.
>>
>> Pour tester tout ça, j'ai effectué les actions suivantes:
>>
>> - Envoie de mail à partir d'une adresse de domain.tld (sur une
>adresse
>> gandi et une gmail)
>> - Réception de mail à partir d'adresses gandi et gmail vers
>domain.tld
>> - Envoie d'une signature EICAR en pièce jointe pour tester ClamAV
>> - Je suis en plein envoie massif de spam (depuis bientôt deux jours)
>via
>> un site qui inscrit une adresse e-mail donné sur un maximum de
>formulaire
>> sur le web, connu pour envoyer des mails en retour. Je suis à environ
>27000
>> formulaires remplis, et seulement ~80 mails sont parvenu jusqu'à ma
>boîte
>> poubelle, et ces mails sont des inscriptions à des ML (du genre
>redhat.com),
>> donc aucun véritable spam pour le moment. Tout semble avoir été
>filtré par
>> le DKIM et le SPF (faut savoir qu'en testant ce site avec un gmail,
>j'avais
>> plusieurs mails à la minute me demandant si je voulais une petite
>copine
>> russe ou ce genre de truc dans les spams).
>>
>> Je sais que je n'ai pas terminé, je dois encore donner des cours à
>RSpamD
>> pour qu'ils servent à quelque chose (il n'a encore rien filtré) et je
>dois
>> encore voir pour réceptionner les logs de mon serveur vers mon
>desktop
>> (e-mail de notification, logwatch etc). Sans compter un véritable
>système
>> de backup digne de ce nom. Aussi, je ne crois pas avoir configuré
>Fail2Ban
>> pour travailler de paire avec l'authentification de mon serveur mail
>(qui
>> se passe avec Dovecot).
>> RoundCube est aussi envisagé pour la mobilité.
>>
>> J'aimerai avoir vos avis sur ce qui me resterai à faire comme test,
>voir
>> comme configuration ou ajout de logiciels, ce que je devrai penser à
>la
>> suite, quels sont les pièges de débutant à éviter... Bref je me sens
>un peu
>> perdu sur la suite des évènements et je ne sais pas sur quoi je dois
>> m'orienter en priorité.
>> Le fait que ce serveur mail fonctionne ne veut pas dire que je l'ai
>bien
>> fais. Je ne m'amuse pas encore à paster de la conf ici, mais si vous
>pensez
>> que c'est nécessaire je le ferai (en obfusquant ce qui doit l'être
>bien
>> sûr).
>>
>> Après deux jours de recherches je suis tombé à cours d'idées, en
>somme.
>>
>> Je vous souhaite à toutes et à tous un excellent week-end.
>>
>> Cordialement,
>> GASPARD Kévin
>>
>>
>>
>>
>
>
>-- 
>Louis-Philippe Gauthier

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Postfix Dovecot et SSL : SSL23: unknown protocol

[Thierry Bugier Pineau]

J'y pense ; il faut juste que je me dégage un peu de temps. Je ne n ai pas 
vraiment eu pour l'instant.

En passant j'ai trouvé sur le wiki de Dovecot un script shell qui permet 
d'éditer sa configuration via la ligne de commande ou un autre script. C'est 
partiellement expérimental. On n'a pas d'équivalent à postconf ? Cet outil 
facilite énormément le travail d'automatisation.

Le 14 avril 2017 22:32:21 GMT+02:00, andre_deb...@numericable.fr a écrit :
>On Tuesday 04 April 2017 10:43:15 Thierry Bugier Pineau wrote:
>> le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon
>> silence.  J'ai préparé postfix, je continue avec Dovecot dans les
>jours
>> à venir et ensuite je m'attaque au TLS pour atteindre le même niveau
>de
>> progression et donner un coup de main.
>> J'essaie aussi de créer un script shell (très sommaire) pour rendre
>la
>> configuration maintenable et reproductible (que je partagerai
>> volontiers sur github).
>
>On Tuesday 04 April 2017 14:12:45 andre_deb...@numericable.fr wrote:
>> Je l'attends avec plaisir, merci d'avance.
>> Ça fait longtemps que dovecot + certificats me posent soucis... :-)
>> Bonne journée,  André
>
>Je n'ai pas reçu de réponse à cette promesse ci-dessus... :-)
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: [stretch]Apache2 ne démarre pas après reboot

[Thierry Bugier Pineau]

Bonjour

/var/log ou /var ne serait pas le point de montage d'un volume volatile ? 
(Genre tmpfs). Il me semble que c'est le genre de conseil qu'on donnait (ou 
donne encore) pour réduire les écritures sur un SSD.

Je ne vois guère autre chose qui expliquerait la disparition de 
/var/log/apache2 .

Quelles sont les particularités du système par rapport à une installation "bête 
et méchante" ?

Le 13 avril 2017 17:38:50 GMT+02:00, Christophe De Natale 
 a écrit :
>Bonjour à vous,
>
>Sur mon pc de la maison fraîchement upgradé en stretch, je rencontre un
>
>problème avec apache2 qui n'est plus fonctionnel après reboot de la
>machine.
>
>Les logs ? Et bien ils ne sont pas consultables tout simplement parce 
>que le répertoire /var/log/apache2 n'existe pas. Voici ce que donne 
>journalctl -xe :
>
>root@G41MDEB:/home/kristof# systemctl status apache2.service
>● apache2.service - The Apache HTTP Server
>  Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor 
>preset: enabled)
>Active: failed (Result: exit-code) since Thu 2017-04-13 17:05:32 
>CEST; 14min ago
>
>avril 13 17:05:27 G41MDEB systemd[1]: Starting The Apache HTTP
>Server...
>avril 13 17:05:32 G41MDEB apachectl[661]: (2)No such file or directory:
>
>AH02291: Cannot access directory '/var/log/apache2/' for main error log
>avril 13 17:05:32 G41MDEB apachectl[661]: (2)No such file or directory:
>
>AH02291: Cannot access directory '/var/log/apache2/' for error log of
>vhost
>avril 13 17:05:32 G41MDEB apachectl[661]: AH00014: Configuration check 
>failed
>avril 13 17:05:32 G41MDEB apachectl[661]: Action 'start' failed.
>avril 13 17:05:32 G41MDEB apachectl[661]: The Apache error log may have
>
>more information.
>avril 13 17:05:32 G41MDEB systemd[1]: apache2.service: Control process 
>exited, code=exited status=1
>avril 13 17:05:32 G41MDEB systemd[1]: Failed to start The Apache HTTP 
>Server.
>avril 13 17:05:32 G41MDEB systemd[1]: apache2.service: Unit entered 
>failed state.
>avril 13 17:05:32 G41MDEB systemd[1]: apache2.service: Failed with 
>result 'exit-code'.
>
>Si je créé le répertoire manuellement ou que je ré-installe et que je 
>relance apache2, cela fonctionne mais après le reboot, le répertoire de
>
>log n'existe plus.
>
>Quelqu'un aurait une idée de ce qui peut se passer svp ?
>
>Sincèrement,
>
>Christophe De Natale

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: comment faite-vous pour installer flashplayer?

[Thierry Bugier Pineau]

VMware.. C'est triste pour une compagnie  de ce type d'imposer ça.

Cela dit, j'adorais leur hyperviseur, je leur souhaite de vite trouver une 
alternative. 


Le 4 avril 2017 19:33:13 GMT+02:00, err...@free.fr a écrit :
>On 04/04/2017 07:27 PM, Erwan David wrote:
>> Le 04/04/17 à 19:26, err...@free.fr a écrit :
>>> On 04/04/2017 06:18 PM, maderios wrote:
 Ce paquet qui date de wheezy est obsolète. On se demande d'ailleurs
>pourquoi il est encore référencé...
>>>
>>> C'est Flash qui est obsolète.
>>> franchement, quel est l'intérêt du flash en 2017?
>>>
>> 
>> Accéder à des sites/interfaces uniquement en flash. Si ton patrn te
>fait
>> gérer du VMWare tu vas refuser parceque l'interface est en flash ?
>> 
>Ah oui, il y a ce truc, je n'y pensais plus.
>pardon.
>
>Bon courage

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: comment faite-vous pour installer flashplayer?

[Thierry Bugier Pineau]

Tout à fait d'accord :

Depuis 2015 / 2016 firefox et chrome bloquent flash avec une agressivité 
croissante. Quelques sites peuvent encore s'en servir (une dizaine de ce que 
j'ai lu, et l'info date déjà trop).

HTML 5 et CSS 3 ont mis à mal la techno, Adobe a annoncé (en 2012 je crois) 
l'abandon de son produit. Il est source de failles de sécurité en nombre.

La question que je me pose sur ce sujet est : pourquoi avez vous besoin de 
Flash aujourd'hui ? N'est il pas mieux de demander aux webmaster de se mettre à 
jour ?



Le 4 avril 2017 19:26:42 GMT+02:00, err...@free.fr a écrit :
>On 04/04/2017 06:18 PM, maderios wrote:
>> Ce paquet qui date de wheezy est obsolète. On se demande d'ailleurs
>pourquoi il est encore référencé...
>
>C'est Flash qui est obsolète.
>franchement, quel est l'intérêt du flash en 2017?

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Postfix Dovecot et SSL : SSL23: unknown protocol

[Thierry Bugier Pineau]

Bonjour
le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon
silence.  J'ai préparé postfix, je continue avec Dovecot dans les jours
à venir et ensuite je m'attaque au TLS pour atteindre le même niveau de
progression et donner un coup de main.
J'essaie aussi de créer un script shell (très sommaire) pour rendre la
configuration maintenable et reproductible (que je partagerai
volontiers sur github).


Le mardi 04 avril 2017 à 10:24 +0200, andre_deb...@numericable.fr a
écrit :
> J'avais déclaré le sujet "résolu" un peu vite, désolé.
> Ça ne fonctionne pas avec "imap",
> 
> voici ce que Kmail me répond (port 143 ou 993) :
> =
> "impossible de se connecter à « imap.mon_domaine »
> Le serveur n'a pas répondu correctement :
> * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE
> IDLE 
> STARTTLS AUTH=PLAIN] Dovecot ready"
> =
> 
> Avec le port 110, ça fonctionne mais je dois confirmer le certificat.
> 
> Bonne journée,
> 
> André
> 
> 

Re: [HS] PC récalcitrant au démarrage

[Thierry Bugier Pineau]

Pour avoir une alim qui tienne la route, il faut qu'elle puisse fournir une 
puissance plus élevée que ce que peut consommer le PC en charge. Le but est 
d'avoir une marge de sécurité significative entre évitant de la pousser à ses 
limites.

Je parierais personnellement sur une durée de garantie élevée (bien que 
certains peuvent penser que c'est discutable), sans tomber dans le piège de 
l'extension de garantie.

Pour les marques, éviter le 'noname' est probablement suffisant. Mettre son nom 
sur un produit engage son image.

Mais avant d'acheter il est prudent de faire un essai avec une alim d'emprunt.

Le 1 avril 2017 19:50:03 GMT+02:00, MERLIN Philippe 
 a écrit :
>Merci pour vos réponses,
>Je viens de tester la mémoire ça semble OK
>Donc je me range au pb alimentation 
>> Mais j'opte aussi pour ce type de problème. Je l'ai eu sur plusieurs
>vieux
>> PC. Le changement d'alim a toujours résolu le problème.
>> Les condo vieillissent mal surtout sur les alim bas de gammes où
>souvent ils
>> sont de mauvaises qualité et mal placés ce qui les fait chauffer plus
>que
>> de raison.
>> Gaëtan
>Maintenant si je change l'alimentation existe t'il des marques a éviter
>? 
>et évidemment les moins chères.
>Encore Merci.
>Philippe Merlin

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: [1/2HS] Ubuntu Canonical dans le collimateur de la CE

[Thierry Bugier Pineau]

Bonjour
J'aimerais bien avoir des sources : j'ai tenté une petite recherche sur
le sujet et je n'ai absolument rien trouvé couvrant ce sujet, même pas
sous forme de poisson d'avril.
Le samedi 01 avril 2017 à 12:23 -0400, Fzs600 a écrit :
>  Seul ubuntu est concerné.
> 
> Pou Débian c'est pas  d'actualité,peut-etre plus tard ou le moment
> venu.
> 
> Sauf si entre temps UE change d'avis. 
> 
> 
> Utilisateur Gnu-linux.
> 
> 
> 
> 
> >  Original Message 
> > Subject: Re: [1/2HS] Ubuntu Canonical dans le collimateur de la CE
> > Local Time: 1 avril 2017 10:23 AM
> > UTC Time: 1 avril 2017 08:23
> > From: bugie...@gmail.com
> > To: debian-user-french@lists.debian.org, Erwan DAVID  > .org>
> > 
> > Bonjour,
> >  
> >  Rassurez-moi : c'est quelque chose qui me parait si peu
> > improbable, que j'ai des doutes. C'est un poisson d'avril, n'est-ce 
> > pas ?
> > 
> > Le 1 avril 2017 08:18:55 GMT+02:00, Erwan DAVID 
> > a écrit :
> > > Je pense que le message est parti 9 minutes trop tard
> > > 
> > 
> > --
> >  Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez
> > excuser ma brièveté.

Re: [HS] PC récalcitrant au démarrage

[Thierry Bugier Pineau]

Bonjour

Personne ne semble y avoir pensé, mais une alim bien fatiguée peut
aussi être à la source du problème.

Si la panne est vraiment pénible à trouver, j'ai l'habitude de
simplifier le système au maximum : garder Carte mère, CPU, une seule
barrette RAM (à moins que ce soit de la RAM EDO/FPM où, si je me
souviens bien, ça fonctionne par paire) et la carte graphique.

A partir de là, il faut essayer diverses combinaisons en changeant un
seul élément du système entre chaque essai.

Barrete mémoire, alim, carte graphique, pile CMOS, reset du CMOS,
éventuellement échange du CPU si vous en avez un autre.

Un détail important : vérifiez que vous avez un haut parleur ou un
buzzer pour éouter le BIP au démarrage. Si il y en a plusieurs, c'est
une sorte de code Morse qui renseigne sur la panne.

De mémoire : 1 bip long et 3 courts veut dire "'pas de carte
graphique", et des bips longs (je ne sais plus combien, entre 3 et 5 je
pense) signifient : "pas de RAM". Il y en a d'autres mais je ne les ai
jamais rencontrés, et ne les ai pas en tête. On devrait encore les
trouver sur internet.

Ca peut aussi être un indicateur de tenter de démarrer sans RAM pour
voir si la carte mère émet les longs bips plaintifs, pour s'orienter
vers une défaillance de la carte mère. L'idéal serait de savoir avec
certitude si le modèle a bien ce comportement quand elle n'est pas en
panne (avoir essayé avant ou essayer sur un autre exemplaire).

Si vous avez une autre carte mère pouvant accueillir la RAM, utilisez
la pour la vérifier avec un outil comme Memtest 86+ (disponible sur
Ultimate Boot CD, et il me semble aussi sur un Ubuntu au démarrage).

Le samedi 01 avril 2017 à 13:00 +0200, MERLIN Philippe a écrit :
> Bonjour la liste,
> Ce n'est pas un poisson d'Avril , je suis confronté à un vieux PC qui a des 
> difficultés à démarrer et j'aimerai avoir des suggestions venant des 
> utilisateurs de la liste pour essayer de résoudre ce problème. Tout d'abord 
> je 
> vais décrire le problème et indiquer les essais que j'ai fait.
> J'appuie sur le bouton pour démarrer le PC des lumières s'allument et le 
> disque dur semble démarrer mais rien n apparaît à l'écran au bout d'un 
> certain 
> temps j'arrête le PC et je le  redémarre généralement cela refonctionne au 
> bout d'un certain nombre d'essais et de temps aléatoire.
> J'ai pensé à un problème de carte vidéo je l'ai changé le problème persiste.
> J'ai essayé de redémarrer le PC à l'aide d'un live CD  Kaella on voit 
> nettement que le live CD est bien lu mais toujours sans succès.
> Une fois que le PC est démarré correctement je n'ai aucun souci, actuellement 
> je ne l'éteins plus le soir mais j'aimerai pouvoir le faire.
> Merci pour vos suggestions.
> Philippe Merlin
> 

Re: [1/2HS] Ubuntu Canonical dans le collimateur de la CE

[Thierry Bugier Pineau]

Aucune ressource pour vérifier, ouf !

Ne riez pas, j'ai lu des choses sérieuses au niveau de l'UE qui auraient mieux 
pris place un 1er avril.

Le 1 avril 2017 08:18:55 GMT+02:00, Erwan DAVID  a écrit :
>Je pense que le message est parti 9 minutes trop tard
>
>-- 
>Erwan David
>
>
>
>Le 1 avril 2017 00:09:52 andre_deb...@numericable.fr a écrit :
>
>> Günther OETTINGER, Commissaire Européen à l'économie numérique
>> et société, a la firme  * Canonical-Ubuntu Linux *  à l'oeil.
>>
>> "Il est inique que ses nombreux clients qui utilisent le système
>Ubuntu
>> issu d'une société commerciale, ne s'acquittent pas d'une taxe,
>> même si le produit est gratuit, alors qu'ils bénéficient d'un
>> véritable service d'entreprise.
>>
>> Cette gratuité est une anormalité, créant une difficulté
>concurrentielle
>> des autres acteurs commerciaux de l'informatique, qui vendent leur
>> produit, s'acquittant des taxes commerciales, dont la TVA.
>> Toutes les sociétés de la Communauté Européenne qui utilisent
>> le système Ubuntu, firme commerciale, devront bientôt verser
>> une compensation fiscale auprès de leur service des impôts
>> (qui sera déterminée d'ici peu).
>>
>> Les entreprises utilisatrices de systèmes d'exploitation issus de
>> communautés associatives, seront absoutes de cette taxe,
>> car le système est jugé moins fiable, avec un service souvent quasi
>> inexistant, tel le SAV",
>> indique le Commissaire Européen chargé du numérique.
>>
>> Microsoft et Apple "se félicitent de cette décision", qui "permettra
>de
>> rétablir un marché plus équitable", signalent leur service de
>> communication et relation.
>>
>> Rappel :
>> Proche de la chancelière Angela Merkel, Günther Oettinger, né en 1953
>> à Stuttgart, fut commissaire à l'Énergie sous José Manuel Barroso.
>> Expert-comptable de profession, il s'est fait l'avocat des intérêts
>> industriels allemands à Bruxelles et a cherché à ménager la Russie
>> suite à l'éclatement de la crise ukrainienne, afin d'assurer
>> l'approvisionnement énergétique européen.
>> http://ec.europa.eu/archives/juncker-commission/docs/oettinger_en.pdf
>>
>> Pour l'April et l'Aful, c'est encore un coup bas scandaleux, visant à
>briser
>> un peu plus la communauté du Libre et Opensource
>> (un communiqué sur leur site est en cours).
>>
>> Pour les nombreuses entreprises qui ont des serveurs Ubuntu,
>> c'est un coup de tonnerre !
>> (~50% des serveurs aujourd'hui sont sous le système Linux).
>>

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: [1/2HS] Ubuntu Canonical dans le collimateur de la CE

[Thierry Bugier Pineau]

Bonjour,

Rassurez-moi : c'est quelque chose qui me parait si peu improbable, que j'ai 
des doutes. C'est un poisson d'avril, n'est-ce pas ?

Le 1 avril 2017 08:18:55 GMT+02:00, Erwan DAVID  a écrit :
>Je pense que le message est parti 9 minutes trop tard
>
>-- 
>Erwan David
>
>
>
>Le 1 avril 2017 00:09:52 andre_deb...@numericable.fr a écrit :
>
>> Günther OETTINGER, Commissaire Européen à l'économie numérique
>> et société, a la firme  * Canonical-Ubuntu Linux *  à l'oeil.
>>
>> "Il est inique que ses nombreux clients qui utilisent le système
>Ubuntu
>> issu d'une société commerciale, ne s'acquittent pas d'une taxe,
>> même si le produit est gratuit, alors qu'ils bénéficient d'un
>> véritable service d'entreprise.
>>
>> Cette gratuité est une anormalité, créant une difficulté
>concurrentielle
>> des autres acteurs commerciaux de l'informatique, qui vendent leur
>> produit, s'acquittant des taxes commerciales, dont la TVA.
>> Toutes les sociétés de la Communauté Européenne qui utilisent
>> le système Ubuntu, firme commerciale, devront bientôt verser
>> une compensation fiscale auprès de leur service des impôts
>> (qui sera déterminée d'ici peu).
>>
>> Les entreprises utilisatrices de systèmes d'exploitation issus de
>> communautés associatives, seront absoutes de cette taxe,
>> car le système est jugé moins fiable, avec un service souvent quasi
>> inexistant, tel le SAV",
>> indique le Commissaire Européen chargé du numérique.
>>
>> Microsoft et Apple "se félicitent de cette décision", qui "permettra
>de
>> rétablir un marché plus équitable", signalent leur service de
>> communication et relation.
>>
>> Rappel :
>> Proche de la chancelière Angela Merkel, Günther Oettinger, né en 1953
>> à Stuttgart, fut commissaire à l'Énergie sous José Manuel Barroso.
>> Expert-comptable de profession, il s'est fait l'avocat des intérêts
>> industriels allemands à Bruxelles et a cherché à ménager la Russie
>> suite à l'éclatement de la crise ukrainienne, afin d'assurer
>> l'approvisionnement énergétique européen.
>> http://ec.europa.eu/archives/juncker-commission/docs/oettinger_en.pdf
>>
>> Pour l'April et l'Aful, c'est encore un coup bas scandaleux, visant à
>briser
>> un peu plus la communauté du Libre et Opensource
>> (un communiqué sur leur site est en cours).
>>
>> Pour les nombreuses entreprises qui ont des serveurs Ubuntu,
>> c'est un coup de tonnerre !
>> (~50% des serveurs aujourd'hui sont sous le système Linux).
>>

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU

[Thierry Bugier Pineau]

Voilà ce que j'ai pour mon serveur web dans la cipher suite 
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-
CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-
SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-
AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
Ca ne liste que des méthodes de chiffrement, le protocole est dans un
paramétrage à part, contrairement à ce que j'avais dans mon souvenir. 
En cherchant activement il semble que !SSLv3 !TLSv1.0 et !TLSv1.1
auraient mieux leur place dans ssl_protocols (qui devrait être sur la
ligne précédant ssl_cipher_list)
je pense que vous pouvez essayer d'ajouter !SSLv3 puis !TLSv1.0 et
!TLSv1.1 successivement en testant à chaque fois, et voir si des
problèmes apparaissent. Du moment que vous gardez une configuration qui
fonctionne au chaud, il n'y a pas de risque particulier.
En réponse à votre dernier mesage :
- Je remets le lien vers la page wikipédia : l'accent a été altéréhttps
://fr.wikipedia.org/wiki/Confidentialité_persistante
- un exemple de connection client avec openssl en forçant tls1 (testé
sur imap.gmail.com)openssl s_client -connect imap.server.com:993 -tls1
Je suis sous Debian Sid, et -ssl2 et -ssl3 ne sont apparemment plus
reconnus (bien qu'encore présents dans la documentation).  
Le vendredi 31 mars 2017 à 19:00 +0200, andre_deb...@numericable.fr a
écrit :
> On Friday 31 March 2017 14:22:31 Thierry Bugier Pineau wrote:
> > Ce serait intéressant de savoir ce que contenant la liste
> > ssl_cipher_list avant modification, et ce qu'elle contient
> maintenant.
> 
> Avant :
> ssl_cipher_list =
> ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA:
> +HIGH:+MEDIUM
> 
> Maintenant :
> ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES
> @STRENGTH
> 
> > Je vous invite à utiliser un outil de test SSL / TLS en ligne : 
> 
> SSL/TLS est bien activé et l'outil de test est positif,
> openssl, testssl etc...
> 
> > pour affiner la configuration maintenant, car il y a un paquet 
> > de  choses à faire pour avoir un chiffrement pas trop fragile.
> 
> "Affiner et un paquet de  choses à faire" :
> que peut-on faire ?  Là je suis dépassé...
> 
> André
> 
> 
> 

Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU

[Thierry Bugier Pineau]

Bonsoir
De ce que je vois la nouvelle liste n'exclut pas explicitement SSLv3,
TLSv1.0 et TLSv1.1. Ces trois méthodes de chiffrement sont désormais
vulnérables.
Je pense que vous devez inventorier les clients mail qui seront
utilisés et rechercher pour chacun si ils supportent TLSv1.2. Si c'est
le cas (ce qui est très probable) alors il faut a jouter !SSLv3,
!TLSv1.0 et !TLSv1.1 . Je devine que vous avez pris votre liste quelque
part sur une vieille source non maintenue (elles pulullent et ce mail
sera obsolète dans quelques mois ou années). 
En gros, SSL est complètement obsolète et seul TLSv1.2+ reste encore
valable (de ce que je sais à ce jour).
Pour tester si SSLv2, v2 et TLS v1.0, 1.1 sont permis, réutilisez la
commande openssl s_client que j'ai donnée il y a quelques jours et
ajoutez un argument qui force l'usage d'une méthode de chiffrement.
Essayez successivement les arguments suivants:
-ssl2-ssl3-tls1-tls1_1-tls1_2
(plus de détail ici https://www.openssl.org/docs/man1.0.1/apps/s_client
.html)
Une bonne configuration fera en sorte que seul -tls1_2 aboutira à une
connection réussie. Les autres doivent échouer.
Après il y a le perfect forward secrecy à vérifier, je n'ai pas encore
la connaissance suffisante à ce sujet mais c'est encore uen question de
réglage sur le SSL/TLS. (introduction ici https://fr.wikipedia.org/wiki
/Confidentialit%C3%A9_persistante)
Peut être que la cipher suite préférée pour mon serveur web sera
intéressante; je la partage tout à l'heure.
Le vendredi 31 mars 2017 à 19:00 +0200, andre_deb...@numericable.fr a
écrit :
> On Friday 31 March 2017 14:22:31 Thierry Bugier Pineau wrote:
> > Ce serait intéressant de savoir ce que contenant la liste
> > ssl_cipher_list avant modification, et ce qu'elle contient
> maintenant.
> 
> Avant :
> ssl_cipher_list =
> ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA:
> +HIGH:+MEDIUM
> 
> Maintenant :
> ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES
> @STRENGTH
> 
> > Je vous invite à utiliser un outil de test SSL / TLS en ligne : 
> 
> SSL/TLS est bien activé et l'outil de test est positif,
> openssl, testssl etc...
> 
> > pour affiner la configuration maintenant, car il y a un paquet 
> > de  choses à faire pour avoir un chiffrement pas trop fragile.
> 
> "Affiner et un paquet de  choses à faire" :
> que peut-on faire ?  Là je suis dépassé...
> 
> André
> 
> 
> 

Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU

[Thierry Bugier Pineau]

Bonjour
Ce serait intéressant de savoir ce que contenant la lishe
ssl_cipher_list avant modification, et ce qu'elle contient maintenant.
A propos de /etc/hosts, il est clair que c'était pas le souci, mais
dans les essais fait il y a quelques jours, le serveur ne pouvait pas
résoudre son propre nom. Modifier /etc/hosts résout ce petit détail.
Je vous invite à utilsier un outil de test SSL / TLS en ligne pour
affiner la configuration maintenant, car il y a un paquet de choses à
faire pour avoir un chiffrement pas trop fragile.


Le vendredi 31 mars 2017 à 12:20 +0200, andre_deb...@numericable.fr a
écrit :
> On Thursday 30 March 2017 16:00:40 andre_deb...@numericable.fr wrote:
> > ça semble remarcher.
> 
> > # tail /var/log/mail.err
> > n'affiche plus d'erreur : "SSL23: unknown protocol",
> > mais toujours l'erreur :
> > "pop3-login : Error : ssl3_get_client_hello : no shared cipher"
> 
> Je n'ai plus de message d'erreur dans :
> /var/log/mail.err, ni /var/log/mail.log
> 
> Le problème venait de "cipher",
> /etc/dovecot/conf.d/10-ssl.conf" => ligne "ssl_cipher_list = "
> à adapter.
> 
> Bonne journée à tous,
> 
> André
> 
> 

Re: Postfix Dovecot et SSL : SSL23: unknown protocol

[Thierry Bugier Pineau]

Le mardi 28 mars 2017 à 11:02 +0200, andre_deb...@numericable.fr a
écrit :
> On Monday 27 March 2017 09:05:21 Thierry Bugier Pineau wrote:
> > Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit
> venir du
> > fait que la résolution DNS sur le serveur n'est pas configurée pour
> > résoudre son propre nom. Au plus simple, il faudrait mettre à jour
> > /etc/hosts. C'est quand même mieux que le serveur sache comment il
> > s'appelle :
> 
> Le fichier "/etc/hosts" sur le serveur :
>  nom-serveur.domaine  domaine  pop.domaine  smtp.domaine
> C'est bon ?

Dans mes diverses notes j'ai retenu ceci pour /etc/hosts
127.0.0.1   localhost127.0.1.1  nom-serveur.domaine 
domaine  pop.domaine  smtp.domaine
D'ailleurs si quelqu'un sait m'expliquer pourquoi attribuer les noms
"personnalisés" sur 127.0.1.1 au lieu de 127.0.0.1, je suis preneur.
J'ai remarqué que si on ne remplit pas le fichier correctement la
commande hostname peut s'en trouver perturbée. Je conseille donc de
vérifier après le changement que hostname -d, hostname -s et hostname
-f donnent un résultat cohérent, sans lenteur. 
> > Dans les cas où la connection réussit, il faudrait vérifier qu'un
> > chiffrement est bien mis en place. La seule ligne "+OK Dovecot
> ready"
> > ne l'indique pas mais il doit y avoir une bonne quantité d'infos
> avant
> > elle; notamment au début :
> 
> Oui, avant "+OK Dovecot ready" il y a des tas d'infos sur le
> certificat,
> sans message d'erreur.
> 
> > A propos de l'erreur dans /var/log/mail.err, je chercherai tout à
> > l'heure dans mes notes si j'ai des infos à ce sujet :
> 
> Elles sont toujours d'actualité, je les rappelle :
> 
> dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL 
> routines:SSL23_GET_CLIENT_HELLO:unknown protocol
> 
> dovecot: pop3-login: Error: SSL: Stacked error: error:1408A0C1:SSL 
> routines:ssl3_get_client_hello:no shared cipher

Pour ces erreurs je n'ai pas encore pu fouiller mes notes; mais un coup
d'oeil sur google m'a montré que ce n'est pas spécifique à dovecot,
donc il y a potentiellement un réel souci sur le SSL ou bien sur
l'utilisation de SSL par Dovecot.

> Merci,
> 
> André
> 
> 

Re: Postfix Dovecot et SSL : SSL23: unknown protocol

[Thierry Bugier Pineau]

Bonjour
Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit venir du
fait que la résolution DNS sur le serveur n'est pas configurée pour
résoudre son propre nom. Au plus simple, il faudrait mettre à jour
/etc/hosts. C'est quand même mieux que le serveur sache comment il
s'appelle.
Dans les cas où la connection réussit, il faudrait vérifier qu'un
chiffrement est bien mis en place. La seule ligne "+OK Dovecot ready"
ne l'indique pas mais il doit y avoir une bonne quantité d'infos avant
elle; notamment au début.
A propos de l'erreur dans /var/log/mail.err, je chercherai tout à
l'heure dans mes notes si j'ai des infos à ce sujet. 
Le dimanche 26 mars 2017 à 23:23 +0200, andre_deb...@numericable.fr a
écrit :
> On Sunday 26 March 2017 22:27:06 you wrote:
> > J'ai fait un test avec le serveur SMTP de gmail :
> > openssl s_client -connect smtp.gmail.com:995 -debug
> > et ça a fonctionné. Il y aura une quantité importante
> d'informations :
> 
> Depuis mon serveur :
> openssl s_client -connect localhost:995 -debug :
> les d'infos...
> +OK Dovecot ready.
> 
> openssl s_client -connect :995 -debug :
> aucune réponse... ou
> gethostbyname failure
> connect:errno=0
> 
> Depuis un poste client :
> openssl s_client -connect :995 -debug :
> les d'infos...
> +OK Dovecot ready.
> 
> tail /var/log/mail.err :
> ssl3_get_client_hello:no shared cipher
> SSL23_GET_CLIENT_HELLO:unknown protocol
> 
> Voilà le topo,
> 
> bonne fin de soirée,
> 
> André
> 
> > > > Le 26 mars 2017 19:45:28 GMT+02:00, andré a écrit :
> > > > >J'ai un serveur postfix + dovecot + ssl.
> > > > >Il marche parfaitement avec le port POP 110,
> > > > >mais pas du tout en mode SSL port 995.
> > > > >Voici ce que me dit "tail /var/log/mail.err" :
> > > > >dovecot: pop3-login: Error: SSL: Stacked error:
> > > error:140760FC:SSL 
> > > > >routines:SSL23_GET_CLIENT_HELLO:unknown protocol
> > > > >Mes certifs crt et key semblent bons.
> > > > >J'en ai créés d'autres mais idem.
> > > > >J'ai fouillé via Google, ce message m'apporte des centaines
> > > > >de liens mais aucun ne m'aide.
> > > > >Merci d'une piste...  André
> 
> 
> 

Re: Postfix Dovecot et SSL : SSL23: unknown protocol

[Thierry Bugier Pineau]

J'ai fait un test avec le serveur SMTP de gmail :
openssl s_client -connect smtp.gmail.com:995 -debug
et ç a fonctionné. Il y aura une quantité importante d'informations, y
compris des dumps d'échanges entre le serveur et le client; l'argument
-debug est probablement exagéré pour l'instant. 
Ce qui est intéressant avec cette commande est qu'une fois la liaison
chiffrée établie, vous aurez l'équivalent d'un telnet sur une liaison
"en clair", vous permettant de tester manuellement votre serveur.
En ce qui concerne la désactivation de SSLv3 TLSv1.0 et TLSv1.1, j'ai
trouvé cecihttp://www.postfix.org/announcements/postfix-2.9.2.htmlhttps
://www.skyminds.net/serveur-dedie-configurer-postfix-et-courier-pour-
utiliser-tls-ssl-en-perfect-forward-secrecy/
Attention : le second lien date de 2014 et ne déconseille pas TLS 1.0
et 1.1, il faut adapter les exemples. Je garde ces liens pour mes
propres notes, car j'ai moi aussi dégrossi postfix + dovecot il y a
quelques temps. J'ai encore mes notes de brouillon d'ailleurs, que je
pourrais ressortir pour l'occasion :).
La raison de cette restriction est d'empêcher un client un peu trop
vieux de se connecter en négociant un protocole de chiffrement devenu
vulnérable, par incapacité à utiliser un protocole encore fiable. Cela
dit, c'est un peu hors du sujet. Je pense qu'il faut garder cela pour
la touche finale du chiffrement. La openssl s_client aidera de nouveau,
pour vérifier l'échec de connection avec des protocoles bannis.
Le dimanche 26 mars 2017 à 20:38 +0200, andre_deb...@numericable.fr a
écrit :
> On Sunday 26 March 2017 19:58:05 Thierry Bugier Pineau wrote:
> 
> Merci de me répondre.
> 
> > Essayez de diagnostiquer avec openssl
> > openssl s_client -connect serveur.org -debug :
> 
> La commande me renvoie sur le help de openssl...
> 
> > Plus de détail ici à propos de la commande; car il vous faudra peut
> être 
> ajouter quelques arguments selon votre cas :
> > https://wiki.openssl.org/index.php/Manual:S_client(1) :
> 
> Pas trop d'infos pour la syntaxe de la commande proposée... :-)
> 
> > En passant, veillez à bien interdire sslv3 et tls < 1.2 côté
> serveur :
> 
> Comment interdire sslv3 ?
> Sinon, j'ai adopté TLS (STARTTLS) et idem, comment interdire  tls <
> 1.2 ?
> 
> Merci,
> 
> André
>  
> > Le 26 mars 2017 19:45:28 GMT+02:00, andre_deb...@numericable.fr a
> écrit :
> > >J'ai un serveur postfix + dovecot + ssl.
> > >Il marche parfaitement avec le port POP 110,
> > >mais pas du tout en mode SSL port 995.
> > >Voici ce que me dit "tail /var/log/mail.err" :
> > >dovecot: pop3-login: Error: SSL: Stacked error:
> error:140760FC:SSL 
> > >routines:SSL23_GET_CLIENT_HELLO:unknown protocol
> > >Mes certifs crt et key semblent bons.
> > >J'en ai créés d'autres mais idem.
> > >J'ai fouillé via Google, ce message m'apporte des centaines
> > >de liens mais aucun ne m'aide.
> > >Merci d'une piste...  André
> > 
> 
> 

Re: Postfix Dovecot et SSL : SSL23: unknown protocol

[Thierry Bugier Pineau]

Bonjour

Essayez de diagnostiquer avec openssl

openssl s_client -connect serveur.org -debug

Plus de détail ici à propos de la commande; car il vous faudra peut être 
ajouter quelques arguments selon votre cas :
https://wiki.openssl.org/index.php/Manual:S_client(1)

En passant, veillez à bien interdire sslv3 et tls < 1.2 côté serveur.

Le 26 mars 2017 19:45:28 GMT+02:00, andre_deb...@numericable.fr a écrit :
>Encore moi, désolé :-)
>
>J'ai un serveur postfix + dovecot + ssl.
>
>Il marche parfaitement avec le port POP 110,
>mais pas du tout en mode SSL port 995.
>
>Voici ce que me dit "tail /var/log/mail.err" :
>dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL 
>routines:SSL23_GET_CLIENT_HELLO:unknown protocol
>
>Mes certifs crt et key semblent bons.
>J'en ai créés d'autres mais idem.
>
>J'ai fouillé via Google, ce message m'apporte des centaines
>de liens mais aucun ne m'aide.
>
>Merci d'une piste...
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: écran noir pendant upgrade jessie > stretch

[Thierry Bugier Pineau]

Bonjour

J'ai eu plusieurs fois la même expérience en mettant à jour mon
système, ça m'arrive en principe quand j'ai beaucoup de paquets à
mettre à jour (notamment ceux touchant à Xorg). J'en ai conclu qu'il
vaut mieux faire de telles mises à jour en mode console.

Passer de Jessie vers Stretch en mode graphique me parait risqué
justement parce qu'on passe obligatoirement par la mise à jour de
l'environnement graphique, avec un grand bond en avant.

La première chose que je ferais, serait d'avoir un ISO ou une clé USB
de secours pour booter dessus en mode récupération. Ensuite avec une
console, faire 

apt-get install -f

Le prix étant de couper le système de manière un peu sauvage. 

Si ssh fonctinne encore, il p a peut être moyen d'arrêter le système de
manière plus douce, voire reprendre la mise à jour, toujours avec apt-
get install -f

Le mardi 21 mars 2017 à 16:46 +0100, Christophe De Natale a écrit :
> Bonjour à vous,
> 
> Sur un Dell Inspiron mini, lors du processus de mise à jour de version 
> de jessie vers stretch, l'écran est devenu noir et je ne peux plus 
> suivre l'évolution du process.
> Une action sur le pavé tactile ou une touche du clavier laisse 
> apparaître le temps d'un instant le fond d'écran...
> J'ai accès à la console, existe-t-il une possibilité de voir ce qu'il se 
> passe en temps réel svp ?
> 
> Sincèrement,
> 
> Christophe De Natale
> 

Re: dupliquer le dossier de profil de firefox

[Thierry Bugier Pineau]

Bonjour

Peut être qu'installer l'extension à l'échelle du système peut faire
l'affaire ?

Cette page résout elle la question ?

http://kb.mozillazine.org/Installing_extensions#Multi-user_installation

On 06/03/2017 08:52, hamster wrote:
> Hello.
>
> J'aimerais que tout nouvel utilisateur créé ait d'office un firefox
> avec adblock déjà installé. C'est facile a faire en mettant une copie
> du dossier de profil dans /etc/skel. Seulement voila : firefox utilise
> des dossiers de profil avec des noms aléatoires. Si c'est fait comme
> ca, y'a sans doute une bonne raison. Si j'en met un dans /etc/skel
> tous les utilisateurs auront le meme nom de dossier de profil.
>
> Comment gérer ca ?
>
> Et merci pour votre aide.
>