Sauter la navigation.
Accueil
Groupe d'Utilisateurs de GNU/Linux et de Logiciels Libres Francilien

Planet Parinux

Syndiquer le contenu
Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-10-22T11:17:06Z Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-10-22T11:17:06Z Le libre est un état d'esprit Linux Attitude» planet-libre 2014-10-22T12:17:04Z Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-10-22T11:17:06Z Le libre est un état d'esprit Linux Attitude» planet-libre 2014-10-22T12:17:03Z Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-10-22T11:17:06Z Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-10-22T11:17:06Z Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-10-22T11:17:06Z Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-10-22T11:17:06Z Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-10-22T11:17:06Z Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-10-22T11:17:06Z Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-10-22T11:17:06Z Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-10-08T08:17:05Z Rencontres mensuelles autour du logiciel libre Premier samedi du libre 2014-09-13T03:17:05Z Le libre est un état d'esprit Linux Attitude» planet-libre 2014-10-22T12:17:04Z Le libre est un état d'esprit Linux Attitude» planet-libre 2014-10-22T12:17:04Z Le libre est un état d'esprit Linux Attitude» planet-libre 2014-10-22T12:17:04Z Le libre est un état d'esprit Linux Attitude» planet-libre 2014-10-22T12:17:04Z Le libre est un état d'esprit Linux Attitude» planet-libre 2014-10-22T12:17:04Z Le libre est un état d'esprit Linux Attitude» planet-libre 2014-09-25T10:17:03Z Rencontres mensuelles autour du logiciel libre Commentaires sur : Visiteur 2014-10-19T02:17:03Z
Mis à jour : il y a 16 heures 51 min

Pont filtrant

mer, 22/10/2014 - 14:17
Une configuration réseau un peu particulière nous interdisant l’utilisation d’un routeur classique, il est devenu nécessaire de créer une passerelle. Je vais donc vous détailler le mode opératoireTopologie du réseauUn accès internet via une FreeBox v4Un PC (Windows XP) a l’étage CPL et filaireUn PC (dual boot Debian / Windows 98 SE) à l’étage CPLdeux portables filaire et WiFiun PC au rez-de-chaussée filaire et WiFiContraintes matériellesLes murs de la maison font "cage de Faraday", donc la portée du WiFi est rapidement réduite. En 2003, nous avions donc opté pour la technologie CPL (Courants Porteurs en Ligne). Puis le nombres de PC augmentant, nous en avons utilisé certains en WiFi. Néanmoins, ne désirant pas investir sur des PC de 1998, nous avons gardé le CPL. Néanmoins il fallait donner une position plus centrale à l’emetteur WiFi (la FreeBox). Nous avons donc décidé de remplacer une passerelle sous Windows XP par une passerelle sous Linux.Le clickôdrome de Windows™ fournit un moyen de relier deux interfaces pour n’en former plus qu’une (différent du partage de connexion), j’espérais bien que les distributions GNU/Linux me fourniraient la même chose, mais avec une interface plus conviviale !Pour des raisons d’habitude à l’époque, j’ai choisi une Debian/Sarge, quasi incassable. Cette distribution supportait encore la série 2.4 de Linux dont on verra la nécessité plus loin. L’idée générale est d’activer la fonction de pont du noyau. Cette fonction est activée dans le noyau fourni par les distributions « binaires », sinon, il vous faudra l’activer à la main en mettant CONFIG_BRIDGE=y dans le fichier de configuration du noyau [1].En l’occurence le pilote devolo [2] ne fonctionne correctement qu’avec le noyau 2.4.27-3-k6. Il se trouve que celui-ci contient également le patch bridge.# aptitude install bridge-utils installation de l’outil de configuration le pont.# ifconfig eth1 0.0.0.0 promisc# ifconfig dlanusb0 0.0.0.0 promisc# brctl addbr monpont# brctl addif monpont eth1# brctl addif monpont dlanusb0# ifconfig monpont 192.168.0.1 netmask 255.255.255.0La dernière ligne permet de de pouvoir accéder à la machine par le réseau mais n’est pas obligatoire du tout. Le filtrage se met en place à l’aide de Iptables en utilisant l’interface monpont.Bref après cela, un simple redémarrage du réseau sur les postes clients [3] et le tour est joué, la FreeBox se comportant comme routeur - serveur dhcp.[1] Si vous ne savez pas de quoi je parle, je vous conseille de trouver un bon article sur les noyaux (en anglais kernel)[2] je ne connais plus la licence de ce pilote[3] ipconfig_all, /release et ipconfig_all, /renew sous Windows™ ou /etc/init.d/networking restart sous DebianMerci à Tchesmeli serge pour son article sur Lea-Linux.org

De l'authentification d'un appli avec oauth

mer, 22/10/2014 - 14:17
Pfiou comme on dit ! Ça n’a pas été simple, mais j’y suis arrivé : enregistrer une application dans identi.ca, un script pour publier du contenu de façon automatique, parceque bon les opérations manuelles, c’est bien, mais parfois on oublie. Tout à commencer avec la lecture de Getting Started with oauth2, identi.ca and Python auquel je vous renvoie. Il ne faut pas oublier de compléter avec Python - SSL Issue with Oauth2 sur StackOverflow. Vous avez besoin de python-twitter, oauth2 et d’autres choses comme dev-python/certifi. Je vous livre en pièce joint un script qui devrait vous permettre de créer rapidement votre identification. Ce qu’il faut retenir : enregistrer son appli sur http://identi.ca/settings/oauthapps ; lire la doc de oauth ; créer sa requête de clef de consommateur ; autoriser l’appli à utiliser votre compte ; récupérer les jetons à partir de la clef d’authentification ; publier.

De l'itinérance avec une authentification LDAP

mer, 22/10/2014 - 14:17
Je suis un quasi inconditionnel de L.D.A.P. (rfc2307) pour obtenir une authentification unique et uniforme sur toutes mes machines et pour tous mes services.Jusqu’à présent, j’utilisais pam_ldap et nss_ldap avec plus ou moins de succès, en particulier moins dès que le réseau s’avère défaillant. pam_ldap s’inscrit dans la lignée des outils Unix qui ne font qu’une seule chose (et qui essayent de le faire bien), ce qui justement constituait un problème : l’absence de cache. Cependant, la société PADL développe aussi pam_ccreds et nss_updatedb, un moyen de cacher de « credentials » dans une base de données. La série d’outils remplit son rôle, mais semble dépassé, de l’avis d’un certains nombres de projets.Fedora a développé depuis quelques temps un démon système pour les services et la sécurité : sssd. Ce démon est organisé de façon modulaire et prends en charge une base de données local, kerberos ou encore LDAP, avec un mécanisme de cache. L’outil est organisé à l’aide de programmes fonctionnant de façon modulaire :16127 ?        Ss     0:00 /usr/sbin/sssd -D16134 ?        S      0:00  _ /usr/libexec/sssd/sssd_be --domain LDAP16135 ?        S      0:00  _ /usr/libexec/sssd/sssd_nss16136 ?        S      0:00  _ /usr/libexec/sssd/sssd_pamOn ssd réponds aux fonctions suivantes :fournir les noms d’usagers depuis un anuaireauthentifier les noms depuis un annuairecacher ses informationsLa distribution de sssd comprend un fichier d’exmple situé dans le répertoire /etc/sssd/.De plus, sssd est un outil raisonnable : celui ne permet d’utiliser un annuaire LDAP que si la connection à celui-ci est sécurisée et permet d’authentifier cette connexion avec un certificat et non un mot de passe.

De l'envoi différré des courriels

mer, 22/10/2014 - 14:17
Dans un article précédent, j’ai indiqué quels étaient les éléments clefs me permettant de lire et envoyer des mails de façon assez déconnectée. Au fur et à mesure d’une session de travail déconnectée, on envoie des mails, et on aimerait qu’ils soient stockés en attendant d’être envoyés dès que possible. La première solution était de lancer un postqueue -f en se connectant pour provoquer un vidage de la file d’attente. Cette solution nécessite d’y penser, ce qui est moins évident que de penser à synchroniser ses mails en réception. Le script suivant permet de répondre à cette problématique :#!/bin/bashif [ "$2" = 'up' ]thenpostqueue -fpostconf -e 'defer_transports='postfix reloadelsepostconf -e 'defer_transports=smtp'postfix reloadfiIl est à mettre dans /etc/NetworkManager/dispatcher.d/20-mail-sent.Il ne reste plus qu’à rajouter une synchronisation automatique du répertoire =Sent. Néanmoins, celle-ci est moins évidente, puisqu’elle est spécifique aux utilisateurs.

De la redirection du trafic vers une autre machine de votre réseau

mer, 22/10/2014 - 14:17
Je présente ici une méthode pour rediriger le trafic vers une autre machine de votre réseau en utilisant les capacités de NetFilter, le parefeu du noyau Linux. Ce parefeu se manipule en utilisant l’outil iptables. Suite à la mise en place d’un lintop comme «frontend» IPv4, certains sites web hébergés dans le LAN n’étaient plus accessibles en IPv4. Je me suis donc penchés sur la question de la redirection de flux.On commence par activer le passage IPv4 :vincentxavier@linutop:~$ sudo sysctl net.ipv4.ip_forward=1net.ipv4.ip_forward = 1 On intercepte le flux entrant (PREROUTING) et on l’envoie (-j DNAT --to-destination 192.168.0.1) vers la machine du réseau local.vincentxavier@linutop:~$ sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1On réintercepte le flux retour (POSTROUTING), provenant de la machine locale (-d 192.168.0.1) et on réécrit son adresse (-j MASQUERADE)vincentxavier@linutop:~$ sudo iptables -t nat -A POSTROUTING -d 192.168.0.1 -p tcp --dport 80 -j MASQUERADEJe me suis tardivement rendu compte que sslh permettait un accès en https, ce qui n’est pas forcément plus mal. Je dispose donc désormais des deux accès.

Une seule ip

mer, 22/10/2014 - 14:17
Niveau :       Résumé : ip link add link eth0 vlan1 type vlan id 1 Je suis de retour ! Désolé pour le lag ... mais je réponds aux commentaires. Problème Aujourd'hui, un problème qu'on m'a posé récemment. Comment faire lorsqu'on a un parc de box (routeur wifi, machine embarquée, ...) et qu'on veut pouvoir à tout moment […]

Du déploiement de sieve à l'April

mer, 22/10/2014 - 14:17
Dans le cadre d’une utilisation des mails assez itinérante, je trouve utile qu’un certain nombre de traitements automatiques soient effectués direcetement par le serveur mail, plutôt que par des applications clientes. Et je préfère également utilisés des outils intégrés à mon agent de livraison locale : i.e. Dovecot. C’est pour cela que j’ai choisi sieve. Dans ce billet, je rentrerais un peu plus dans les détails que la présentation plus que succinte d’un article précédent. On suppose que vous disposez d’un serveur Postfix qui ne joue quasiment aucun rôle ici, et d’un serveur de livraison du mail, en l’occurrence Dovecot. Je donne ici les informations pour la distribution Debian GNU/Linux que nous utilisons à l’April. Il faut dans un premier temps demander à Postfix de faire délivrer les mails par le LDA de Dovecot : postconf -e 'mailbox_command = /usr/lib/dovecot/deliver -a "$RECIPIENT"' La configuration du plugin sieve de dovecot se fait dans la section plugins en décommentant les lignes contenant le mot sieve. Il faut ensuite rajouter le plugin au plugin du LDA : mail_plugins = $mail_plugins sieve dans la section lda. Enfin, on va chercher à donner une interface un peu plus sympa à ce système : ajouter managesieve aux protocoles et décommenter protocol managesieve Cette interface peut même être afficher au travers des plugins managesieve ou sievefilter de roundcube.

Strate NTP

mer, 22/10/2014 - 14:17
Niveau :       Résumé : ntp.conf ; fudge Pour vérifier le bon fonctionnement de votre démon ntp, vous êtes amené à taper la commande suivante qui liste les source de temps utilisées : $ ntpdc -p Cette commande met une étoile face à la source de référence utilisée pour la synchronisation. Le choix se fait entre autre en fonction […]

Verrou virtuel

mer, 22/10/2014 - 14:17
Niveau :       Résumé : vlock; vlock -ns Vous avez vu apparaître dans l'article sur tmux, un petit outil pour verrouiller le terminal, il s'appelle vlock. Son unique fonctionnalité est le locker un terminal et de demander un mot de passe pour être débloqué. Mine de rien ça lui fait quand même deux cas d'usage : bloquer l'accès […]

Screen killer

mer, 22/10/2014 - 14:17
Niveau :       Résumé : tmux Aujourd'hui tout le monde connaît et utilise screen. Miracle de la technologie, il permet de survivre aux déconnexions, de lancer des commandes longues sans avoir peur, de faire passer tous ses shells dans une seule connexion et on le trouve souvent associé à l'indémodable irssi. Comme vous le savez peut-être screen […]

De la soumission à l'Agenda du Libre

mer, 22/10/2014 - 14:17
Dans le cadre de la soumission d’événements se déroulant le premier samedi du mois, je me suis posé la question de générer automatiquement la liste des premiers samedis de tous les mois d’une année. La commande date de FreeBSD propose une option -v permettant rapidement d’obtenir d’autres dates, par addition. Ce n’est pas le cas de la commande GNU date. Néanmoins, on peu, en un ligne de shell trouver les premiers samedis d’une année : for i in january february march april may june july august september october november december ; do for j in 0 1 2 3 4 5 6 ; do if [ "`date --date "1 $i 2012 + $j days" "+%A"`" = samedi ] ; then date --date "1 $i 2012 + $j days" "+%c" ; fi; done ; done Dans le cadre de la soumission à l’Agenda du Libre, j’ai donc utilisé la commande suivante : for i in february march april may june july august september october november december ; do for j in 0 1 2 3 4 5 6 ; do if [ "`date --date "1 $i 2012 + $j days" "+%A"`" = samedi ] ; then ./adl-submit.py --file premier-samedi.xml --start-date `date --date "1 $i 2012 + $j days" --iso` ; fi; done ; done P.S. adl-submit.py se trouve sur la page de soumission d’événements. On y trouve également la description du format du fichier premier-samedi.xml

Network grep

mer, 22/10/2014 - 14:17
Niveau :       Résumé : ngrep I'm back ! Ça faisait longtemps ! Vous m'avez manqué. J'ai quelques petits articles pour vous. Oui c'est vraiment la reprise, même si c'est pas encore du triple A. Aujourd'hui ngrep. Ngrep est un pote de tcpdump, il sait utiliser les mêmes filtres que tcpdump et stocker les paquets dans un format pcap […]

FOSDEM 2012

mer, 22/10/2014 - 14:17
FOSDEM will be a great time to gather what are ongoing developement in FLOSS world.

De l'auto-hébergement (du mail)

mer, 22/10/2014 - 14:17
Je procrastinais sur l’écriture de ce cours depuis des mois, c’est maintenant chose faite. Vous pouvez donc télécharger un cours sur l’auto-hébergement du mail. Les sources sont versionnées sous git : Voir la source ou ici. Ce cours sera donné dans le cadre de la pollinisation du Loop et au moins lors de la prochaine Assemblée Générale de l’April. Pour suivre ce cours, un certain nombre de pré-requis sont indispensables : savoir utiliser un shell distant, et en particulier un éditeur de texte dans ce shell ; disposer d’une machine accessible sur Internet ; disposer d’un domaine complet (champ MX) ; un peu de temps et de courage.

Ubuntu Party Paris, c'est parti !

mer, 22/10/2014 - 14:17
Demain matin à 11h, nous ouvrirons les portes de l’Ubuntu Party pour une nouvelle édition. Le programme de cette édition est en ligne sur le site dédié. Cette année, je ne serais que responsable technique, en particulier pour les moyens matériels et pour les salles d’installation, en collaboration avec Coucouf et Libfy. Dimanche à 15h, je vous convie à un atelier de découverte d’OpenStreetMap, animé par Chrisitian d’OpenStreetMap France. N’hésitez pas non plus à faire un tour sur le stand de l’April. Bon week-end à tous.

Du pilotage d'une FreeboxV6 depuis le terminal

mer, 22/10/2014 - 14:17
Quelques soucis de connexions avec Free me poussent à devoir régulièrement redémarrer la Freebox. Celle-ci se trouvant au bout de l’appartement, je me connectais via l’interface web pour redémarrer l’engin. Il ne s’agit pas moins de taper un mot de passe, de regarder le statut et en fonction de celui-ci, de cliquer sur 3 liens différents. Il s’agit d’une tâche hautement automatisable. J’ai donc commis ce script.

Du mail sur un système itinérant

mer, 22/10/2014 - 14:17
Ce billet va tâcher de décrire la configuration de la partie mail de mon laptop, vu comme une machine d’appoint itinérante. En voici le cahier des charges succints : Des connexions partout sécurisées De la connection directe quand on est connecté Du cache quand on n’est pas connecté Du choix si on désire se connecter Utiliser le plus possible les mécanismes standard (i.e. pas de VPN ni de tunnel ssh) Mon laptop est équipé des logiciels distribués par Debian GNU/Linux me permettant d’avoir une confiance assez relative dans les logiciels que je vais utiliser par la suite. Il s’agit bien sûr d’une machine d’appoint utilisée dans des conditions de mobilité et je souhaite que cette machine synchronise automatiquement une partie des mails lorsqu’elle est en ligne et me permette d’envoyer les mails lorsque je suis hors-ligne. Je passerais rapidement sur l’utilisation de Awesome, urxvt et GNU/Emacs comme outils principaux pour m’arrêter à la solution que j’ai retenu pour la gestion des mails. J’utilise mutt, en conjonction avec muttprofile pour changer de profile entre mes différentes sessions. Pour cela, il suffit de disposer des directives suivantes : zsh 1198 % ls -lh .mutt total 16K lrwxrwxrwx 1 endymion endymion 32 oct. 13 20:01 profile.active -> profile.endymion_network -rw-r--r-- 1 endymion endymion 1,8K juil. 24 22:13 profile.endymion -rw-r--r-- 1 endymion endymion 974 oct. 13 22:23 profile.endymion_network -rw-r--r-- 1 endymion endymion 1023 juin 27 19:47 profile.vincentxavier -rw-r--r-- 1 endymion endymion 995 oct. 13 22:23 profile.vincentxavier_network Un de ces fichiers contient par exemple : # NAME : imap://endymion@thetys-retz.net # DESC : This profile display imap mailboxes for endymion@thetys-retz.net account. source ~/.muttrc.commons set folder="imap://mail.thetys-retz.net" source ~/.muttrc.folders set imap_user="endymion" set imap_pass=`~/.local/bin/netrc.pl mail.thetys-retz.net endymion` # Mutt is able to deal with IMAP subscription, just enable it with # this variable set imap_check_subscribed="yes" set imap_list_subscribed="yes" # Mutt is able to send mail over various method, smtp being one of the # methods. These setting allows you to customize it. Beware that some # internet provider block port 25, so be sure to send on some other port. set smtp_url="smtps://username@mail.thetys-retz.net" set smtp_pass=`~/.local/bin/netrc.pl mail.thetys-retz.net endymion` Lorsque je ne suis pas connecté, j’utilise la version suivante : # NAME : endymion@thetys-retz.net # DESC : This profile display synchronised folders for endymion@thetys-retz.net account. source ~/.muttrc.commons set folder="~/.maildir/endymion@thetys-retz.net/" source ~/.muttrc.folders mailboxes =INBOX =Sent =Brouillons =Admin En ne précisant pas l’adresse du serveur smtp, Mutt va utiliser la version local de sendmail, qui chez moi est fournie par postfix. Et c’est là que l’utilisation de postfix va se révéler intéressante. Voici déjà une copie de ma configuration : # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtp_sasl_auth_enable = yes smtp_sasl_security_options = noanonymous smtp_use_tls = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_tls_CAfile = /etc/postfix/mail.thetys-retz.net.pem # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for # information on enabling SSL in the smtp client. myhostname = tauceticentral.thetys-retz.net alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases #myorigin = /etc/mailname myorigin = thetys-retz.net mydestination = relayhost = [mail.thetys-retz.net]:587 mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_command = mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = loopback-only inet_protocols = all defer_transports = smtp Cette configuration permet de stocker tous les messages envoyés au serveur local, via sendmail et de les mettre dans une file d’attente s’il s’agit de les envoyer par smtp. Dès que je suis connecté, il suffit de lancer (manuellement ou autmatiquement) un postqueue -f pour vider la file d’attente. Le relais se fait exclusivement via mon propre serveur de mail via une connexion chiffrée et authentifiée. Pour cela, il ne faut pas oublier le mot de passe SASL : # destination credentials [mail.thetys-retz.net]:587 remotemail:password La configuration du système mail côté client a été jointe à ce billet. Du côté serveur, il faut créer un utilisateur remotemail, qui servira pour les envois via un relais authentifié. Pour cela, il faut rajouter remotemail@thetys-retz.net reject au fichier /etc/postfix/local_part. Dans la configuration de postfix, il ne faut pas oublier d’ouvrir les protocoles smtps et submission dans /etc/postfix/master.cf sans oublier de rajouter check_recipient_access hash:/etc/postfix/local_part dans smtpd_recipient_restrictions

Par : chapot

mer, 22/10/2014 - 14:17
je viendrai le 5

Du partage d'un thème beamer pour Ubuntu

mer, 22/10/2014 - 14:17
J’ai pesté à de nombreuses reprises contre l’absence d’un thème beamer pour Ubuntu. j’ai fini par prendre le taureau par les cornes, la doc de beamer dans une main, les recommandations de la Design Team de Canonical dans l’autre et j’ai mis les pieds sur le clavier.Après un certain nombre de tâtonnements, je suis en mesure de vous présenter un thème, que vous pouvez «admirer» dans le cours que je donnerais avec Coucouf lors du prochain week-end de découverte Ubuntu parisien.Si tout se passe bien, je co-animerais avec des développeurs Fedora une session sur l’utilisation et la personnalisation de Beamer lors du prochain premier samedi du libre qui sera également l’occasion de revenir plus en détail sur la distribution Fedora. Vous pouvez télécharger le thème situé en annexe et l’installer dans votre répertoire TeX personnel. Ceux qui le souhaitent peuvent aussi regarder du côté de Wu-beamerstyle.

De l'authentification par clef ssh avec un home chiffré sous Ubuntu

mer, 22/10/2014 - 14:17
Si vous avez suivi les conseils du blog de Rom1v sur le chiffrement de votre dossier utilisateur sous Ubuntu, vous vous êtes certainement rendu compte que vous ne pouviez plus vous connecter à votre compte en utilisant votre clef ssh, ce qui semble normal, puisque celle-ci est justement stockée dans votre répertoire chiffré. Heureusement, on trouve de tout sur le Net, et en particulier un contournement possible. Comme le billet est en anglais, je me contente de reproduire les conseils donnés :cd //sbin/umount.ecryptfs_privatechmod 700 $HOME # I left it at 700 as ~/.Xauthority needs to be written for X11-Forwardingmkdir -m 700 $HOME/.sshecho $YOUR_PUBLIC_KEY > $HOME/.ssh/authorized_keysAttention, l’utilisation de cette astuce n’est sérieusement envisageable que pour une clef ssh sûre, avec une phrase de passe au moins aussi solide que votre propre mot de passe.