ubuntu-fr

Bonjour,

je ne suis jamais satisfait de ma façon de gérer mes mots de passe ; il y a toujours quelque chose qui ne me satisfait pas entièrement…

Je vous avais, par exemple, parlé de PassPack. mais au final, je me suis vite retrouvé coincé dans sa version gratuite et… que se passe-t-il si ils doivent fermer du jour au lendemain ?

J’ai testé (et continue à le faire) diverses solutions.

Aujourd’hui, je voudrais vous parler de KeePass.
KeePass a un gros avantage : il tourne sous Windows, MacOSX, Linux et même…. votre téléphone Symbian ou Windows Mobile ! !

Pour être précis :

• Keepass tourne sous Windows et Windows Mobile
• KeepassX tourne sous Linux et Mac
• Keepass for J2ME sur votre téléphone java

Je ne vous parlerai pas ici de la version Mac n’ayant pas cet OS à disposition mais je me concentrerai plus sur les autres systèmes…

L’installation

Peu importe où vous désirez installer l’application, cela se fait très simplement :

• Pour Windows, vous vous rendez sur la page de téléchargement et téléchargez l’exécutable pour installer ou le .zip pour utiliser le logiciel sans installation ou sur une clé usb
• Sous Ubuntu, la simple commande sudo apt-get install keepassx se charge de tout
• Pour votre terminal Java, vous vous rendez sur ce site depuis votre téléphone et vous suivez les instructions
• Pour votre téléphone Windows Mobile, vous vous rendez sur ce site et téléchargez la version pour votre Windows Mobile

Quel est l’avantage de ces différentes solutions ?
Sur Windows (Mobile ou non) et Linux, bien entendu, je peux échanger mes mots de passe entre les différents ordinateurs sans aucun souci.
Avec la version sur Symbian, il est impossible d’éditer vos données mais cela permet d’avoir toujours ses mots de passe accessibles.

L’utilisation

Ces outils sont vraiment très pratiques ; il est possible, pour un temps limité, de copier le mot de passe dans son presse-papier. Il vous est possible de générer aléatoirement des mots de passe.

Il vous est facilement possible d’importer les mots de passe de Firefox vers Keepass en suivant ce tutorial. Malheureusement, je n’ai pas réussi à faire fonctionner un système d’import sous Linux.

En connaissez vous un ?

Enfin, pour récupérer facilement le fichier Keepass sur votre téléphone Symbian, vous pouvez utiliser Keepass uploader (uniquement sous Windows). Vous lancez l’outil et sélectionnez le fichier. Il sera sauvegardé pendant quelques minutes sur le serveur. Vous lancez alors le logiciel sous Symbian, renseignez les identifiants fournis par le logiciel Windows et le fichier est alors récupéré automatiquement. Vous n’avez rien à faire…
Dommage que cette possibilité ne soit pas également disponible pour Windows Mobile.

Vraiment un très bon outil pour vous balader avec vos mots de passe, quel que soit votre système d’exploitation…

Pour finir, quelques captures d’écran des différentes versions

Articles similaires

• Installer Evernote sur Ubuntu
• Une interface graphique à TrueCrypt
• Fring, l’IM de votre mobile
• Ubuntu sur votre téléphone portable
• Essayez de réparer vos bêtises…

Plusieurs bugs de sécurté importants ont été découverts dans le noyau Linux , en particulier le bug CVE-2008-0600 permet à un utilisateur local d'obtenir un shell avec les droits root assez simplement. Même sans utilisateurs locaux, la faille peut devenir exploitable via une autre faille d'une application web par exemple, même si ça devient beaucoup plus compliqué.

La seule solution est de mettre à jour son noyau. J'ai réalisé cette opération tout à l'heure sauf que je ne connaissais pas encore le petit détail mentionné dans ce billet et rappelé dans un topic du forum Ubuntu-fr ce qui m'a donné un bon gros coup de stress et une bonne heure de pwet.fr HS

Bref, sur les dedibox utilisant le noyau fournit par Dedibox la manipulation est simple. Une fois le kernel spécifique installé , il faut indiquer l'emplacement de la racine du système avec l'ancienne syntaxe (type /dev/sdXY) au lieu des UUID . Sinon la machine ne reboote pas. Heureusement, les dedibox ont un système de rescue bien pratique qui permet de se sortir de ce genre de situation. Concrètement, avant pour chaque choix dans le fichier /boot/grub/menu.lst, j'avais quelque chose comme :

title       Ubuntu, kernel 2.6.24.2
root        (hd0,0)
kernel     /vmlinuz-2.6.24.2 root=UUID=238ddcbc-cb7e-4023-a48e-932d874b5ef0 ro quiet splash
quiet
savedefault

que j'ai remplacé par

title       Ubuntu, kernel 2.6.24.2
root        (hd0,0)
kernel      /vmlinuz-2.6.24.2 root=/dev/sda3 ro quiet splash
quiet
savedefault

Évidemment, /dev/sdaY est spécifique à l'organisation de la machine, il s'agit du numéro de la partition root du système. Il semble qu'avec le partitionnement par défault, il s'agisse de /dev/sda2. Avec le système de rescue de Dedibox, pour déterminer qu'elle est le bon numéro, il faut monter toutes les partitions du système et trouver le numéro de celle qui contient toute l'arborescence ( /bin, /usr, /lib, ...).

Voici un énième site parlant de sécurité informatique. Mais celui-ci est assez particulier, car il émane de l’administration (secrétariat général de la défense nationale : le SGDN). Donc que du très officiel  sur ce portail dédié à la sécurité. Au menu de ce portail, des alertes, de l’auto-formation, des guides de configurations sur différents OS (dont Ubuntu) et logiciels.

Alors évidemment, le contenu est encore très pauvre et "simpliste" pour qui s’intéresse à la sécurité informatique, mais il faut tout de même saluer cette initiative des services de l’état qui ne fait que débuter (le portail est très récent).

Adresse du site : http://www.securite-informatique.gouv.fr/

A noter : ce site bénéficie de partenariats très très divers allants d’institutionnels (la CNIL) au monde associatif (l’APRIL) et en passant par le monde de l’entreprise (Microsoft).

 source : PCInpact

Depuis peu de temps, le fonctionnement du planet ubuntu-fr est soumis à de nouvelles règles. Une de ces règles demande aux contributeurs du planet à signer le Code of Conduct Ubuntu. Pour cela, il faut tout d’abord se créer une page sur le Launchpad (ça c’est encore simple) mais surtout il faut se créer une paire de clés de cryptage afin de signer le fameux Code of Conduct. Dans un premier temps, quand on m’a demandé de créer une paire de clefs, je suis resté un peu dubitatif… Je ne m’étais pas du tout penché sur le problème vu que je n’avais pas de besoin particulier en cette matière. Le logiciel de cryptographie inclus dans Ubuntu (et dans la plupart des distributions) est gpg (GNU Privacy Guard). Or ce logiciel fonctionne en ligne de commande. C’est sympa mais bon, quand il y a des interfaces graphiques permettant d’éviter la saisie de commandes, pourquoi s’en priver ? Kgpg est une des interfaces graphiques proposées en frontend de gpg pour KDE. Cette application propose principalement :

• un gestionnaire de clefs qui permet de créer, éditer, importer, exporter et supprimer des clefs.
• un éditeur qui permet de saisir un texte afin de le signer, vérifier, crypter ou décrypter.
• l’accès à un serveur de clefs publiques afin d’en exporter ou importer.

Cette application est intégrée à KDE par le menu Action (clic droit) pour crypter un fichier et l’ouverture d’un fichier crypté (clic gauche) ouvre automatiquement l’interface de Kgpg afin de le décrypter.

La création d’une paire de clés est on ne peut plus simple :

• sélectionner le menu "clefs"
• sélectionner "Générer une paire de clefs…"
• L’interface de création des clefs s’affiche et il n’y a qu’à remplir les champs demandés.

Après la création de votre paire de clefs, vous devez publier votre clef publique soit en l’envoyant directement aux tiers qui en ont l’utilité, soit (et) en l’envoyant sur un serveur public de clefs. Cette procédure se déroule de ma manière suivante:

• sélectionner le menu "Fichier"
• sélectionner serveur de clefs
• sélectionner l’onglet exporter
• sélectionner le serveur voulu et la clef publique à exporter puis cliquer sur "Exporter"

Pour installer Kgpg :

$ sudo apt-get install kgpg

Le lanceur étant :

$ kgpg

Pour ce qui est de l’utilisation des clefs (cryptage, décryptage, signature et vérification), l’article de szdavid traitant du sujet est une très bonne et suffisante introduction.

Je continue tranquillement l'installation / la configuration de ma Dedibox sous Ubuntu hébergeant ce site . Après avoir fait cohabiter PHP4 et PHP5 , migrer son site utilisant eZ publish , configurer mes statistiques web avec AWStats et m'être battu avec PDO_MySQL (rien que ça :)), j'en viens aux backups. On ne le répètera jamais assez, il est important de faire des backups réguliers et systèmatiques comme il est important de savoir restaurer ses sauvegardes...

En plus, le service Dedibox propose un accès FTP avec un quota de 5Go inclu dans l'offre, il serait dommage de ne pas en profiter. Il est également possible d'augmenter ce quota, moyennant finances. Pour mon serveur, j'ai choisi d'utiliser cet espace pour sauvegarder les bases de données. C'est la partie la plus volumineuse et dans beaucoup de cas, c'est le seul élément à récupèrer. De toute manière, l'ensemble des données est aussi sauvegardé à intervalle régulier sur mon PC de bureau. Bien sûr les informations indiquées dans ce billet fonctionnent également avec n'importe quel autre accès FTP.

Configuration de MySQL

Il faut tout d'abord créer un utilisateur dans MySQL qui aura le droit en lecture sur toutes les bases pour faire un dump. Cela peut se faire via un assistant comme PHPMyAdmin ou bien avec 2 requêtes SQL exécutées en tant que root (de MySQL évidemment) :

GRANT SELECT, LOCK TABLES, SHOW DATABASES
  ON * TO 'backup'@'localhost' 
  IDENTIFIED BY 'pass_backup';
FLUSH PRIVILEGES;

L'utilisateur backup de MySQL a maintenant les droits en lecture sur toutes bases (il est conseillé de mettre un mot de passe fort...). Pour qu'un script puisse se connecter sans avoir à taper le mot de passe, il faut créer un fichier nommé .my.cnf dans le répertoire personnel de l'utilisateur qui exécutera le script. Ce fichier doit ressembler à :

[client]
 port      = 3306
 user      = backup
 password  = pass_backup 

Attention à bien restreindre les permission sur ce fichier pour que personne ne puisse le lire, sauf l'utilisateur en question avec la commande suivante :

> tigrou@dedipwet[88.191.30.29]:~$ chmod 600 .my.cnf

Configuration de l'accès FTP

Une fois l'option FTP activée dans la rubrique Sauvegarde de la console Dedibox, comme pour MySQL il faut faire en sorte que l'accès FTP se fasse sans demander de mot de passe. Il faut créer un fichier .netrc toujours à la racine du dossier personnel de l'utilisateur qui fera tourner le script :

machine dedibackup.dedibox.fr
login login_ftp_sauvegarde
password mot_de_passe_ftp_sauvegarde

Avec ce fichier, les connections FTP sur dedibackup.dedibox.fr se feront avec le login et le mot de passe indiqués avec les clients FTP suivant ce fichier (ftp , lftp , ncftp , ...) sans rien demander. De la même manière que le fichier .my.cnf, il faut faire attention aux permissions sur ce fichier.

Le script

#! /bin/bash
# Script de sauvegarde de toutes les bases sur FTP
 
FTP='dedibackup.dedibox.fr'
MYSQL_DIR='/var/lib/mysql'
TMP="/tmp/backup_site"
 
# fenêtre de backup en semaine
ROTATION_WEEK=3 
PREFIX_DATE=`date '+%U'`
PREFIX_DATE_DELETE=`date '+%U' -d "-${ROTATION_WEEK}weeks"`
 
[ ! -d "$MYSQL_DIR" ] && exit 2
[ ! -d "$TMP" ] && mkdir -p "$TMP"
 
cd "$MYSQL_DIR"
for base in `find . -maxdepth 1 -name [a-zA-Z]\* -type d` ; do
    base=`echo $base | sed 's#\./##g'`
    mysqldump --single-transaction "$base" | bzip2 -9 - > "$TMP/$PREFIX_DATE.$base.sql.bz2"
done
cd -
lftp -e "mrm $PREFIX_DATE_DELETE* ; mput $TMP/* ; exit"  "$FTP"
rm -rf "$TMP"

Ce script est prévu pour être lancé une fois par semaine avec crontab . Il va faire un dump de toutes les bases, effacer les dumps de plus $ROTATION_WEEK semaines sur le serveur distant et uploader les nouveaux ensuite. Le nombre de semaines sur lequel se fait la rotation peut être modifié via la variable ROTATION_WEEK.

Pour ceux qui comme moi ont un dual boot Windows - Linux, il peut s’averer utile d’avoir un logiciel de cryptage de fichier qui tourne dans les deux environnements. Ce logiciel existe car il est ecrit en Java donc portable sur les deux systèmes. Il suffit d’avoir le Java Runtime Environment d’installé sur chaque OS.

Il n’y a pas de paquet à installer, c’est un exécutable java (.jar) à télécharger et à copier sur votre disque. Free Security utilise un algorythme de cryptage 128 bits (connu sous le nom de Rijndael). Il permet de crypter des repertoires ou des fichiers. Le seul hic est que le logiciel bien que Freeware ne soit pas Open Source (l’auteur a néanmoins l’intention de développer prochainement une version Open Source). Malgré cet inconvénient, ce logiciel rend bien des services. Il est à noter que l’interface sous Linux est un peu moins jolie que celle sous Windows. Le site de Free Security