Planet

Depuis 2009, l’association Ubuntu-fr installe chaque année au festival des Vieilles Charrues un webcafé. Du vendredi au dimanche dans La Garenne du festival, à côté du Cabaret Breton, les festivaliers pourront donc surfer entre deux concerts. Ils y découvriront (peut-être) les Logiciels Libres ! Aucune limite, ils pourront même installer de nouveaux logiciels depuis la logithèque. Douze bénévoles (Ubuntu-fr, Infothema et Linux MAO) seront là pour les accompagner et clamer tout le bienfait de cet environnement Libre :) webcafe-monde Cette année, la technique évolue. Nous avons remplacé les deux gros vieux serveurs multiseat par 12 mini-PC (Intel NUC) pour une expérience bien meilleure ! Comme l’an passé, nos fans pourront se faire tatouer sur tout le corps de magnifiques Tux et logo Ubuntu (tattoo temporaire, ça va de soit). Et comme d’habitude, Bluedid mettra le stand en musique !

 

Lancé il y a maintenant six mois, le projet de convergence d'Ubuntu entre les plateformes mobile et bureautique suit tranquillement sa route. Depuis début juin Canonical a annonce la formation d'un groupe pour les opérateurs souhaitant diffuser Ubuntu Touch. Il n'est toutefois pas encore question d'une version massivement distribuée par des opérateurs dès le mois d'octobre ni d'une version déjà embarquée dans certains modèles de mobiles. La première version stable d'Ubuntu Touch sera avant tout une version démontrant les capacités d'Ubuntu adaptée à un contexte d'utilisation sur plateforme mobile. Elle est donc à considérer davantage comme une "plateforme promotionnelle".

Accord avec les opérateurs

Canonical a formé, à la mi-juin, un groupe de consultation pour les opérateurs de téléphonie mobile, qui pourront ainsi suivre et influencer le développement d'Ubuntu Touch pour un lancement commercial. Lors de l'annonce initiale, huit opérateurs ont officiellement rejoint le Carrier Advisory Group (CAG). On les retrouve parmi plusieurs marchés :
  • Deutsche Telekom
  • Everything Everywhere (EE)
  • Korea Telecom
  • Telecom Italia
  • LG UPlus
  • Portugal Telecom
  • SK Telecom
  • un opérateur espagnol qui n'a pas été nommé (mais soupçonnée d'être Telefónica)
Membres fondateurs du CAG Quatre autres opérateurs, indonésien (PT Smartfren Telecom), chinois (China Unicom), australien et étasunien, font également partie du groupe -- et Mark Shuttleworth souhaiterait recruter des joueurs nippons et africains. Canonical espère qu'au moins un opérateur dans chacun des grands marchés téléphoniques adhérera au CAG. Les rencontres du CAG se dérouleront autour d'enjeux importants tant pour l'avancée d'Ubuntu Touch que pour les besoins des opérateurs : éviter une possible fragmentation des plateformes mobiles, évaluer comment les opérateurs pourront se différencier sur leur marché, positionner la plateforme dans les marchés des consommateurs et des entreprises, etc.
08 Juillet 2013 à 20:36

Obtenir le fingerprint SSH de son serveur via Quack1

Pour faire suite à mon article de la semaine dernière sur le crawling récursif d'un site Web avec wget, je note ici la commande permettant de récupérer le fingerprint d'un serveur ssh.

Pour ceux qui voudraient plus d'infos sur SSH, le fingerprinting et le fingerprinting appliqué à SSH, j'ai fait un petit catch-up plus bas dans l'article ;-)

TL;DR; : La commande en question :

# Pour lister les clés publiques du serveur : ls /etc/ssh/*key*.pub # Pour obtenir le fingerprint d'une clé : ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub

 

Détails sur ssh, fingerprint et co...

SSH est le protocole le plus utilisé permettant de se connecter à distance de façon sécurisée sur une machine Unix. D'ailleurs SSH signifie Secure SHell. L'implémentation d'SSH la plus utilisée à ce jour est OpenSSH, présente par défaut sur tous les bons GNU/Linux, ou au moins dans les dépôts officiels des distributions.

Un fingerprint est l'empreinte d'un fichier. En somme, c'est une valeur (généralement une chapine de caractères en hexadécimal) qui permet d'identifier de façon unique le fichier. 2 fichier différents auront 2 empreintes différentes. Dans la pratique, ces empreintes sont calculées avec des mécanismes cryptographiques appelés fonctions de hachage, qui vont "hacher" un fichier pour obtenir son empreinte unique.

SSH fonctionne avec des mécanismes de chiffrement à clés publiques. Quand on se connecte, on récupère la clé publique du serveur pour pouvoir chiffrer les communications (en réalité, on envoie au début de l'échange une clé symétrique, chiffrée avec les clés asymétriques. Le chiffrement symétrique étant beaucoup plus rapide que l'asymétrique). Afin de vérifier qu'on dialogue avec le bon serveur SSH, il est important de vérifier l'empreinte de la clé publique reçue pour voir si on ne s'est pas trompé de serveur (un serveur différent aura des clés différentes, qui auront elles-même des fingerprint différents). Le client OpenSSH fera ça tout seul et vous demandera de vérifier l'empreinte de la clé publique reçue en cas de doute.

Source

08 Juillet 2013 à 20:36

Obtenir le fingerprint SSH de son serveur via Quack1

Pour faire suite à mon article de la semaine dernière sur le crawling récursif d'un site Web avec wget, je note ici la commande permettant de récupérer le fingerprint d'un serveur ssh.

Pour ceux qui voudraient plus d'infos sur SSH, le fingerprinting et le fingerprinting appliqué à SSH, j'ai fait un petit catch-up plus bas dans l'article ;-)

TL;DR; : La commande en question :

# Pour lister les clés publiques du serveur : ls /etc/ssh/*key*.pub # Pour obtenir le fingerprint d'une clé : ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub

 

Détails sur ssh, fingerprint et co...

SSH est le protocole le plus utilisé permettant de se connecter à distance de façon sécurisée sur une machine Unix. D'ailleurs SSH signifie Secure SHell. L'implémentation d'SSH la plus utilisée à ce jour est OpenSSH, présente par défaut sur tous les bons GNU/Linux, ou au moins dans les dépôts officiels des distributions.

Un fingerprint est l'empreinte d'un fichier. En somme, c'est une valeur (généralement une chapine de caractères en hexadécimal) qui permet d'identifier de façon unique le fichier. 2 fichier différents auront 2 empreintes différentes. Dans la pratique, ces empreintes sont calculées avec des mécanismes cryptographiques appelés fonctions de hachage, qui vont "hacher" un fichier pour obtenir son empreinte unique.

SSH fonctionne avec des mécanismes de chiffrement à clés publiques. Quand on se connecte, on récupère la clé publique du serveur pour pouvoir chiffrer les communications (en réalité, on envoie au début de l'échange une clé symétrique, chiffrée avec les clés asymétriques. Le chiffrement symétrique étant beaucoup plus rapide que l'asymétrique). Afin de vérifier qu'on dialogue avec le bon serveur SSH, il est important de vérifier l'empreinte de la clé publique reçue pour voir si on ne s'est pas trompé de serveur (un serveur différent aura des clés différentes, qui auront elles-même des fingerprint différents). Le client OpenSSH fera ça tout seul et vous demandera de vérifier l'empreinte de la clé publique reçue en cas de doute.

Source

logo_pleethebear

Plee l’ours, est un jeu de plateforme dont j’avais déjà parlé ici, il y a deux ans, lors de la sortie de la version 0.6.0 en août 2011.

Les personnages principaux de Plee l'ours.

Les personnages principaux de Plee l’ours.

Alors quoi de neuf, docteur ?

Beaucoup de choses ce sont passées durant l’aventure de Plee. D’abord, l’équipe de développement, qui était à l’origine du jeu, composés de deux étudiants passionnés, codant sur leur temps libre, a évolué en un studio de jeu vidéo indépendant composé de quatre personnes, avec pour ambition de transformer leur jeu, de sympathique démo technique, en un véritable jeu indépendant, libre et complet.

Pour se donner les moyens de leur ambition, l’équipe a alors décidé de mettre en pause le développement de Plee et de travailler sur un tout autre jeu. Ce jeu, sortie en décembre 2012, Andy’s Super Great Park est inspiré d’un mini-jeu, conçu lors de leur participation à un concours, Roller Painting, il réutilise leur moteur de jeu, le bien-nommé Bear Factory. Cette fois-ci, Andy’s Super Great Park est publié sous licence non-libre, avec un binaire disponible sur PC sous Windows et GNU/Linux, en vente sur leur site. Malheureusement, l’absence du jeu sur les principales plateformes de distribution digitale telle que Desura ou Steam auront eu raison de l’engouement suscité au début du projet.

Ça, c’est pas de pot (de miel)! Et après?

Revenu à leur premier amour, l’équipe a décidé de reprendre le développement de Plee et de livrer un jeu libre et complet. La bible et le scénario du jeu ont été mise en ligne, pour les plus curieux, mais afin de préserver l’intrigue, on a choisi chez Geek de France de vous faire ce pitch :

« Votre fils a disparu de la maison en laissant votre réserve de miel vide, ivre de colère, vous partez à sa recherche, mais vous vous rendrez compte au fil de votre expédition punitive que la bêtise de votre fils n’est pas le plus grave dans cette histoire. »

L’univers de Plee se décline en 7 mondes, avec chacun un environnement et des antagonistes distincts. Pour l’instant seul le premier monde, la forêt, déjà jouable dans la version 0.6.0 et la moitié du second monde, le château sont développés. Sur le papier, il est prévu, durant cette aventure, de croiser un bestiaire composé de plus d’une trentaine d’animaux, dont une vingtaine sera hostile à Plee. Il reste donc beaucoup de boulot à faire pour mener à bien ce projet ambitieux.

Nouveau graphisme de Plee l'ours.

Nouveau graphisme de Plee l’ours.

Comment mettre la main à la patte (d’ours)

Pour cela, Stuffomatic a fait appel au soutien de la communauté à travers la toute jeune plateforme de financement participatif Open Funding.

Open Funding est une plateforme de financement participatif de logiciels libres qui permet de financer les évolutions des projets en contribuant financièrement et en suivant leurs progrès. Les projets sont financés fonctionnalité par fonctionnalité, avec un engagement de résultat, pour que les utilisateurs valident à la fin ce qui est développé.

Grâce à ce financement, l’intégralité du jeu sera rendu disponible sur différentes forges, le code sur Github, les graphismes OpenGameArt et la musique et les sons sur Freesound.

Un conc’Ours!

Pour couvrir l’événement un jeu concours a été lancé sur le site Linuxfr.org qui s’est rhabillé au couleur du Plee pour l’occasion. Trouvez, le premier, les 9 pièces de puzzles cachés dans le CSS du site et envoyer leurs URLs à Stuffomatic et vous remporterez un livre des éditions ENI ou Eyrolles.

Si vous voulez soutenir un projet libre, foncez !!

Ray et Grod

Ray et Grod

Liens : L’annonce sur Linuxfr.org et le concours et Le projet sur Open Funding

05 Juillet 2013 à 11:10

Du bannissement des IP sur son serveur... via Quack1

 

En début de semaine, un de mes amis Facebook, ancien camarade de Licence en Informatique, a publié un statut qui m'a un peu fait tiqué. J'ai un temps voulu lui répondre directement, puis j'ai attendu quelques jours en réflechissant plus calmement à ma réponse (toujours faire attention à son esprit d'escalier), et je me suis dit que finalement c'était mieux de faire un billet afin de mettre à plat mon opinion sur le sujet, pour pouvoir écrire un peu plus que sur un simple commentaire Facebook tout en en faisant profiter mes chers lecteurs!

Le statut en question est celui-ci (le gras est de moi) :

Avoir un serveur, c'est passer sa vie à bannir définitivement des IP...

Ce qui m'a géné c'est, comme vous l'avez peut-être deviné, le fait de bannir des IP, au prétexte que l'on détecte des "attaques" provenant de celles-ci.

Je trouve ça assez dérangeant, parce qu'aujourd'hui bannir une IP ne signifie pas bannir une personne en particulier. Cela veut dire bannir tout un foyer, qui sort sur Internet derrière une seule frigoBox. Pire, dans certains pays où les FAI branche plusieurs abonnés derrière un seul gros NAT (et donc derrière la même IP publique), on se retrouve à bloquer tous les abonnés d'un FAI au niveau d'une ville ou d'un quartier. De la même façon, l'adresse IP publique bloquée peut être celle d'un VPN ou d'un noeud de sortie TOR. Comme précédemment, on va potentiellement bloquer de nombreuses personnes n'ayant aucun lien entre elles, et leur interdisant ainsi l'accès à un (ou plusieurs) site(s) Web à cause d'un seul petit rigolo.

Mais bien évidemment, le ban d'adresses IP ne se fait pas par pur plaisir (quoi que, peut être que certains le font :p ). Tout ceci vise à augmenter la sécurité de ses applications Web et serveurs en réduisant le nombre d'attaquants potentiels. Je ne pense pas que ce soit la solution à tous les maux.

Non pas que je souhaite que tous les serveurs se fassent p0wner, mais il y a à mon avis d'autres solutions beaucoup plus propres et sécurisantes. Il y a une solution très simple pour contourner ce blocage : changer d'IP. Et pour cela, les solutions VPN et proxys sont disponibles en grande quantité sur le Net. Et les attaques reprendront sans plus de protection. Et si vous êtes vulnérables, vous vous ferez avoir.

Alors que si votre système et vos logiciels sont correctement patchés et configurés, vous n'aurez rien à craindre et donc pas besoin de bannir des addresses. Pour moi la solution est là. Mettez à jour vos systèmes, vos machines, configurez les correctement et vous n'aurez pas besoin d'avoir peur des attaques ni de bannir des addresses.

 

J'éprouve les mêmes sentiments vis à vis des IPS (ou systèmes de prévention d'intrusions). Basés sur les signatures des activités malveillantes, ils bloquent tout le trafic anormal en laissant passer le trafic autorisé.

Ces techniques donnent une impression de sécurité, puisqu'ils bloquent tout ce qui est connu comme étant une source d'attaques. Sauf que les attaquants trouveront toujours des manières de bypasser les protections, comme changer d'IP ou modifier le payload envoyé lors de l'attaque. Au premier abord on va croire qu'on se protège de tout, alors que pas du tout, et que l'entretien de règles de cette façon est très long, et qu'il peut provoquer des pertes d'accès pour énormément de personnes bien intentionnées et qui ne sont pas concernées par les attaques lancées.

 

En définitive, ne bloquez pas d'IP et ne bloquez pas (à priori) de traffic. Est-ce que les attaques lancées sont vraiment dangereuses ? Est-ce qu'elles peuvent impacter votre image ou la qualité de service ? Si non, laissez tomber et oubliez l'attaque. L'attaquant finira bien par se lasser! Concentrez vous plutôt sur la détection des intrusions.

À quoi bon vouloir bloquer des attaques qui ne fonctionneront pas de toute façon, si vous ne détectez pas les intrusions effectives. Mettez en place des IDS, remontez vos logs, regardez avec précision les activités suspectes qui témoignent des intrusions. Vous serez beaucoup plus efficaces!

Ou au pire, appelez des boîtes qui le font très bien, on a besoin de boulot nous aussi ;-)

05 Juillet 2013 à 11:10

Du bannissement des IP sur son serveur... via Quack1

 

En début de semaine, un de mes amis Facebook, ancien camarade de Licence en Informatique, a publié un statut qui m'a un peu fait tiqué. J'ai un temps voulu lui répondre directement, puis j'ai attendu quelques jours en réflechissant plus calmement à ma réponse (toujours faire attention à son esprit d'escalier), et je me suis dit que finalement c'était mieux de faire un billet afin de mettre à plat mon opinion sur le sujet, pour pouvoir écrire un peu plus que sur un simple commentaire Facebook tout en en faisant profiter mes chers lecteurs!

Le statut en question est celui-ci (le gras est de moi) :

Avoir un serveur, c'est passer sa vie à bannir définitivement des IP...

Ce qui m'a géné c'est, comme vous l'avez peut-être deviné, le fait de bannir des IP, au prétexte que l'on détecte des "attaques" provenant de celles-ci.

Je trouve ça assez dérangeant, parce qu'aujourd'hui bannir une IP ne signifie pas bannir une personne en particulier. Cela veut dire bannir tout un foyer, qui sort sur Internet derrière une seule frigoBox. Pire, dans certains pays où les FAI branche plusieurs abonnés derrière un seul gros NAT (et donc derrière la même IP publique), on se retrouve à bloquer tous les abonnés d'un FAI au niveau d'une ville ou d'un quartier. De la même façon, l'adresse IP publique bloquée peut être celle d'un VPN ou d'un noeud de sortie TOR. Comme précédemment, on va potentiellement bloquer de nombreuses personnes n'ayant aucun lien entre elles, et leur interdisant ainsi l'accès à un (ou plusieurs) site(s) Web à cause d'un seul petit rigolo.

Mais bien évidemment, le ban d'adresses IP ne se fait pas par pur plaisir (quoi que, peut être que certains le font :p ). Tout ceci vise à augmenter la sécurité de ses applications Web et serveurs en réduisant le nombre d'attaquants potentiels. Je ne pense pas que ce soit la solution à tous les maux.

Non pas que je souhaite que tous les serveurs se fassent p0wner, mais il y a à mon avis d'autres solutions beaucoup plus propres et sécurisantes. Il y a une solution très simple pour contourner ce blocage : changer d'IP. Et pour cela, les solutions VPN et proxys sont disponibles en grande quantité sur le Net. Et les attaques reprendront sans plus de protection. Et si vous êtes vulnérables, vous vous ferez avoir.

Alors que si votre système et vos logiciels sont correctement patchés et configurés, vous n'aurez rien à craindre et donc pas besoin de bannir des addresses. Pour moi la solution est là. Mettez à jour vos systèmes, vos machines, configurez les correctement et vous n'aurez pas besoin d'avoir peur des attaques ni de bannir des addresses.

 

J'éprouve les mêmes sentiments vis à vis des IPS (ou systèmes de prévention d'intrusions). Basés sur les signatures des activités malveillantes, ils bloquent tout le trafic anormal en laissant passer le trafic autorisé.

Ces techniques donnent une impression de sécurité, puisqu'ils bloquent tout ce qui est connu comme étant une source d'attaques. Sauf que les attaquants trouveront toujours des manières de bypasser les protections, comme changer d'IP ou modifier le payload envoyé lors de l'attaque. Au premier abord on va croire qu'on se protège de tout, alors que pas du tout, et que l'entretien de règles de cette façon est très long, et qu'il peut provoquer des pertes d'accès pour énormément de personnes bien intentionnées et qui ne sont pas concernées par les attaques lancées.

 

En définitive, ne bloquez pas d'IP et ne bloquez pas (à priori) de traffic. Est-ce que les attaques lancées sont vraiment dangereuses ? Est-ce qu'elles peuvent impacter votre image ou la qualité de service ? Si non, laissez tomber et oubliez l'attaque. L'attaquant finira bien par se lasser! Concentrez vous plutôt sur la détection des intrusions.

À quoi bon vouloir bloquer des attaques qui ne fonctionneront pas de toute façon, si vous ne détectez pas les intrusions effectives. Mettez en place des IDS, remontez vos logs, regardez avec précision les activités suspectes qui témoignent des intrusions. Vous serez beaucoup plus efficaces!

Ou au pire, appelez des boîtes qui le font très bien, on a besoin de boulot nous aussi ;-)

04 Juillet 2013 à 20:43

Le Clapico’s blog se met en pause via Clapico

pause

Je ne sais si vous l’avez ou non constaté mais le dernier billet que j’ai publié remonte au 18 mai 2013. Pourquoi ? Parce que depuis que mon épouse a monté son élevage d’âne et qu’elle fabrique des savons au lait d’ânesse, j’ai découvert d’autres centres d’intérêts que l’ordinateur.

tracteur

C’est plus bruyant que l’ordinateur mais quel plaisir !

Du coup, je suis beaucoup moins présent qu’avant sur ma bécane bourrée de composants électroniques d’où je ne fais que lire mes mails, survoler mon agrégateur RSS et utiliser certains réseaux sociaux pour relayer les nouvelles de l’Âne à Nath.

Quoi qu’il en soit, je n’envisage pas de fermer le blog car d’une part pas mal de liens de la documentation Ubuntu-fr et du forum Ubuntu-fr pointent sur différents billets et il est hors de question que je prive les lecteurs d’une information qui les intéresse, d’autre part il est tout à fait possible que je souhaite un jour ou l’autre publier un nouvel article. En attendant, quand je lis les billets publiés sur le Planet Ubuntu-fr, je sais que la relève est assurée et que les informations pertinentes continueront à être relayées alors continuez à bien vous amuser avec votre Ubuntu et…

À bientôt.

P.S. J’ai volontairement fermé la rubrique “commentaires” car comme quand je prends le train, je n’aime pas les “au revoir”

train

 

Pour les amateurs de tout faire en GUI, voilà une petite application qui devra vous intéresser. Conky Manager est un outil qui permet de gérer vos différents conkyrc, de les éditer… etc.

En l’installant, Conky Manager va créer un répertoire dans votre /home. C’est dans ce dernier que vous devez placer vos fichiers conky (conkyrc, scripts lua…), plus exactement dans des sous-répertoires ~/conky-manager/themes/votreConky/config.

Conky manager

Les utilisateurs de ubuntu peuvent installer Conky Manager en ajoutant le PPA du projet :

sudo apt-add-repository -y ppa:teejee2008/ppa
sudo apt-get update
sudo apt-get install conky-manager

Pour Debian, vous pouvez soit récupérer le paquet .deb sur le site launchpad, soit de suivre les instructions de mon article précédent et qui expliquait comment ajouter un dépôt PPA sur Debian GNU/Linux.

Cet article Conky Manager : une application pour éditer et gérer vos conkyrc est apparu en premier sur crowd42.

No related posts.

03 Juillet 2013 à 14:11

Crawler un site Web avec wget via Quack1

Billet totalement inutile puisqu'on pourrait me répondre "RTFM" à la question "Comment aspirer récursivement un site Web avec wget tout en ré-écrivant les liens en adresses locales", mais je préfère la noter ici pour savoir directement où chercher la prochaine fois que j'en aurais besoin!

wget -rkpE <uri>
  • -r : récursif
  • -k : converti les liens en liens locaux
  • -p : télécharge tous les fichiers nécéssaires à l'affichage de la page en local
  • -E : modifie les extensions des pages Web en .html

Pages