En ces temps de confinement, j'essaye de travailler sur les quelques idées de projet de ma todo list 📘

Aujourd'hui j'ai publié une application destinée à Nextcloud et qui permet de modifier l'affichage du menu principal pour en faire un panneau qui s'ouvre sur la gauche de l'interface : Side menu. Cette application est plutôt adaptée aux instances qui activent beaucoup d'outils 🔨

Pour l'installer, vous pouvez passer par le gestionnaire d'application de Nextcloud ou vous pouvez l'installer manuellement en suivant les instructions (en anglais) disponibles dans le dépot du projet 🧪

Une fois installée, la liste des applications du menu supérieur sera masquées et une bouton va apparaître à gauche du logo. C'est depuis ce bouton que vous pourrez afficher le menu. Fonctionne sur bureau, tablette et mobile 📱

Original post of Simon Vieille.Votez pour ce billet sur Planet Libre.

Pour la 14ème semaine de l'année 2020, voici 12 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• [Quésaco] Démystifions les flux RSS
• Deltachat
• Le micromanagement
• Linux 5.6 est disponible avec l'implémentation du VPN WireGuard et la prise en charge d'Arm EOPD
• Wireguard et OpenWRT, le VPN facile
• pfSense 2.4.5 est disponible !
• Le plus petit Tetris du monde ?
• Comment (et pourquoi) j’ai créé ma propre extension navigateur
• Croc : un outil méconnu mais surpuissant
• Pseudonymisation ou Anonymisation ?
• Vers l'Infrastructure Craftsmanship avec les Git Hooks
• Les cahiers du débutant sur Debian en ligne !

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker
• Le compte Mastodon du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Une présentation des sources d’information principales pour Debian.

Sources officielles bien connues

La base reste évidemment le site officiel https://www.debian.org/index.html (en Français https://www.debian.org/index.fr.html) où l’on retrouve les liens vers les Mailing Lists, le Wiki, le téléchargement…

Un article récent Les canaux de communication officiels de Debian revenait sur quelques sources à suivre pour avoir de l’info. À titre personnel je suis uniquement https://www.debian.org/News/ qui a le bon goût d’avoir un flux RSS et informe de la publication des mises à jour Debian (Debian 10.3, Debian 9.12…), je remonte ensuite l’info sur le Jdh.

Les packages

On rentre dans le dur et indispensable pour les sysadmins, devs, power users tournant sur Debian.

Debian Packages permet de faire une recherche sur le nom d’un package https://packages.debian.org/search?keywords=smartmontools, on retrouve le numéro de version pour chaque distrib, la disponibilité pour chaque architecture.

À partir de là en cliquant sur la version Debian qui nous intéresse (jessie, stretch, buster, buster-backports, bullseye, sid) on arrive par exemple sur https://packages.debian.org/buster/smartmontools avec un descriptif, les dépendances du package, la possibilité de le télécharger directement en bas de page ainsi que des informations précieuses à droite : Rapports de bogues, Journal des modifications Debian, Page d’accueil (le site/dépôt principal du projet).

J’y vais plusieurs fois par jour, voir la version proposée, me renseigner sur la disponibilité d’un package, son descriptif, éventuellement son poids et dépendances.

snapshot.debian.org plus pointu surtout utile pour faire du packaging, à partir de https://snapshot.debian.org/package/smartmontools/ on retrouve les versions du package au fil du temps (très utile pour packager une version avant un bug gênant) puis https://snapshot.debian.org/package/smartmontools/7.1-1/ donne accès aux sources et binary packages.

On arrive au must pour moi le Debian Package Tracker, initialement pour les développeurs je le considère comme le point central et d’entrée pour avoir toutes les informations sur un paquet car tous les liens importants y sont centralisés.

À gauche sur https://tracker.debian.org/pkg/smartmontools general avec la source du paquet, son maintainer, les uploaders. versions avec les liens vers qa.debian.org (Debian Quality Assurance) et les snapshots. Les versioned links donnant accès directement aux fichiers .dsc, changelog, copyright, .rules et control.

À droite les bugs triés (I&N : Important and Normal, M&N : Minor and Wishlist, F&P : Fixed and Pending, etc.), les links avec la homepage du projet, les logs des builds, le popcon (Popularity contest, « concours de popularité » du package), browse source code, parfois quelques screenshots et enfin ubuntu où on peut suivre les bugs notamment.

La partie centrale news qui offre un flux RSS https://tracker.debian.org/pkg/smartmontools/rss permet de suivre le cycle de vie du package : Publication d’une nouvelle version du package sur le site/dépôt principal du projet, arrivée d’une nouvelle version dans unstable, migration dans testing, elle en est parfois retirée, etc. Très très utile notamment à cause du flux RSS, plus besoin d’aller voir si une nouvelle version est arrivée, l’information vient à nous.

La sécurité et les manpages

En tant que sysadmin il faut être au minimum inscrit sur debian-security-announce pour être prévenu par mail des problèmes de sécurité, en mode « actif » pour aller voir quels problèmes de sécurité touchent un package on se dirigera vers le Security Bug Tracker par exemple https://security-tracker.debian.org/tracker/source-package/bash.

Les manpages sont souvent oubliées à tort, une commande peut avoir un fonctionnement et des features différentes suivant sa version. https://manpages.debian.org/buster/bash/bash.1.en.html propose les manpages pour buster, testing, unstable et en d’autres langues parfois (Espagnol, Italien, etc.).

Les autres sources de qualité

Les cahiers du débutant par arpinux, Le cahier de l’administrateur Debian (pour Debian 8, on pourrait se dire que c’est périmé mais je vous le conseille encore vous apprendrez des choses), j’ai envie de souligner l’existence de DontBreakDebian en Français également.

Difficile ensuite de ne pas s’éparpiller mais on peut aussi citer les sites/forums/wikis gravitant autour de Debian (Debian-facile, debian-fr.org), les conférences (MiniDebConf), les vidéos (DebConf Videos).

Résumons

En ce qui me concerne je suis abonné à debian-security-announce, je suis via RSS les news et les packages (exemple smartmontools), je vais régulièrement sur Debian Package Tracker et Debian Packages.

Le maillage des informations chez Debian est complet et de qualité, j’y trouve tout ce dont j’ai besoin (et je suis très exigeant). Il est finalement possible d’avoir la totalité des informations traitant de cette distrib assez simplement moyennant la compréhension de l’Anglais (ce qui reste un point négatif).

Original post of blog-libre.Votez pour ce billet sur Planet Libre.

Wireguard est un logiciel et un protocole de communication pour créer un VPN en mode point à point routé ou bridgé. Il se compose d’un module noyau et d’outils en espace utilisateur.

Il se veut léger, sécurisé, facile à configurer (coucou OpenVPN) et intègre par défaut des protocoles de chiffrement modernes :

• Curve25519 pour l’échange de clé.
• ChaCha20 pour le chiffrement et Poly1305 pour l’authentification des messages.
• SipHash pour les tables de hachage.
• BLAKE2s comme fonction de hachage cryptographique

Il devrait être intégré comme module du noyau GNU/Linux dans la version 5.6 mais il est d’ores est déjà disponible via dkms sur des distributions comme Debian ou Archlinux ou encore FreeBSD.

Il est aussi disponible dans les dépôts OpenWRT, le sujet même de cet article

Installation sous OpenWRT

Je vais l’installer sur mon Turris Omnia, mais avant toute chose, je vais définir le plan d’adressage :

• le LAN déjà en place avec la place 192.168.100.0/24 et la passerelle en 192.168.100.254 (le routeur)
• tout ce qui concerne Wireguard avec comme adresse 10.100.100.0/24 avec comme passerelle 10.100.100.254 (notre interface wireguard sur le routeur).

Pour commencer l’installation, connectons nous en SSH¹ au routeur:

opkg install wireguard wireguard-tools

Il est conseillé de redémarrer le routeur après l’installation de Wireguard pour que le module noyau soit chargé².

Générer la paire de clefs

Pour fonctionner, Wireguard utilise une paire de clefs privée / publique qu’il est possible de générer via wg.

umask u=rw,g=,o=
wg genkey | tee wireguard.key | wg pubkey > wireguard.pub

Créer l’interface réseau

Maintenant que les clefs sont créées et le port ouvert nous allons configurer notre interface réseau dédiées à Wireguard.

uci set network.wg0="interface"
uci set network.wg0.proto="wireguard"
uci set network.wg0.private_key="$(cat /root/wireguard.key)"
uci set network.wg0.listen_port="51820"
uci add_list network.wg0.adresses="10.100.100.254/24"
uci commit network

Ouvrir le port udp nécessaire

Wireguard fonctionne exclusivement en UDP, il est donc nécessaire d’ouvrir un port sur notre pare-feux afin de laisser passer les trames nécessaires. Le port choisit est le 51820, voici les commandes à entrer (toujours via SSH)

uci add firewall rule
uci set firewall.@rule[-1].src="wan"
uci set firewall.@rule[-1].target="ACCEPT"
uci set firewall.@rule[-1].proto="udp"
uci set firewall.@rule[-1].dest_port="51820"
uci set firewall.@rule[-1].name="Allow Wireguard Inbound"
uci commit firewall

Ajouter les règles au pare-feux pour notre nouvelle interface

Il serait possible de créer une nouvelle zone de pare-feu pour régler finement le pare-feux pour notre interface wg0. Nous allons nous contenter de rattacher cette interface à notre zone lan.

uci rename firewall.@zone[0]="lan"
uci add_list firewall.lan.network="wg0"
uci commit
/etc/init.d/firewall restart

Configurer un “peer” sur le routeur

Dans le langage de Wireguard, un peer est une machine cliente. Nous allons maintenant en rajouter un. Mais avant il faut penser à créer un couple de clefs publique / privée pour celui-ci.

Il est aussi possible de générer une pre-shared key afin de renforcer le chiffrement celle-ci devra être différente pour chaque client pour des raisons de sécurité :

wg genpsk > client1.psk

Puis configurer notre premier client :

uci set network.wgclient="wireguard_wg0"
uci set network.wgclient.public_key=""
uci set network.wgclient.preshared_key="$(cat /root/client1.psk)"
uci add_list network.wgclient.allowed_ips="10.100.100.0/24"
uci add_list network.wgclient.description="My phone"
uci commit network
/etc/init.d/network restart

Il faut bien sûr remplacer par la clé publique de votre client.

Configuer son Client.

Le client se configure à l’aide d’un fichier de configuration, voici un exemple que l’on nommera wg.conf:

[interface]
Address = 10.100.100.42/32
PrivateKey = 

[peer]
EndPoint = :51820
AllowedIPs = 0.0.0.0/24
PersistentKeepAlive = 25
PreSHaredKey = 
PublicKey = 

Il faut bien sur remplacer ces éléments :

• par la clé privée de votre client, nous avons utilisé la clé publique pour configurer l’accès sur notre routeur
• par l’adresse IP publique de votre routeur (ou son nom DNS)
• par la pre shared key que nous avons créé pour la configuration de notre client sur le routeur
• par la clé publique de notre Wireguard sur le routeur créée au tout début de cet article.

AllowedIPs = 0.0.0.0/24 signifie que tous le trafic de notre client sera envoyé vers le VPN. Cette partie est à adapter selon les besoins.

Ce fichier servira à la commande wg-quick pour lancer la connexion sur un système *NIX, ou sera à importer dans l’interface graphique de Wireguard sous Windows.

Il existe aussi une version Android disponible sur F-Droid³, dans ce cas on peut utiliser un QR-code. Il est possible de le générer dans un terminal avec qrencode. Il est disponible sur Archlinux, Debian et FreeBSD (de ce que j’ai vérifié) et sûrement d’autre distributions / systèmes.

Sous Archlinux, en root ça donne :

pacman -S qrencode
qrencode -t ansiutf8 < wg0.conf

Il ne reste plus qu’à “flasher” le QR-code avec l’application Android.

En conclusion

Voici une solution simple et efficace de mettre en place un VPN léger, robuste et fiable sur son routeur. Avec Wireguard, j’ai accès à mon réseau local depuis n’importe où que se soit sur mon ordinateur portable ou mon ordiphone. Il est bien entendu possible d’aller plus loin : routage plus fin, pare-feux plus élaboré, plan d’adressage plus complexe etc.

Bibliographie

• La documentation sur le site du Turris Omnia
• Wireguard sur le wiki d’OpenWRT

Original post of ephase.Votez pour ce billet sur Planet Libre.

Voici un rapide article sur un problème rencontré récemment. Lors de l’exécution d’un container docker, j’ai eu une erreur SIGSEGV 139. Un crash avec aucune log.

Bref que du bonheur

Avant d’aller plus loin voici mon environnement:

• Debian 10
• Docker CE 19.03.8

Après quelques recherches, je me suis rendu compte qu’on pouvait reproduire ce comportement en exécutant cette commande:

docker run -it gcc:4.8.5

Une des raisons trouvées serait un problème de compatibilité avec le noyau 4.8.5 (oui ça remonte…).
Une solution est d’activer l’émulation vsyscall.

Voici la configuration à effectuer:
Dans le fichier /etc/default/grub, ajouter la ligne suivante:

GRUB_CMDLINE_LINUX_DEFAULT="quiet vsyscall=emulate"

Puis lancer les commandes suivantes:

$ sudo update-grub 
$ sudo reboot

Maintenant le container devrait pouvoir s’exécuter correctement.

Original post of Littlewing.Votez pour ce billet sur Planet Libre.