Ce matin de bonne heure, l'équipe OpenBSD nous livre un nouveau correctif :

• nommé "suauth"  pour empêcher un utilisateur de se connecter sous une classe de connexion différente. 6.5 : patch n°23 ; 6.6 : patch n°12.

Il ne semble pas nécessaire de redémarrer la machine.

---

Architectures concernées : hormis amd64, arm64 et i386 qui peuvent le faire par syspatch, toutes les autres architectures gérées par le projet OpenBSD doivent le faire par recompilation.

Lire la FAQ Administration Système pour savoir quoi faire : EN Official FAQ, FR.

Original post of Thuban.Votez pour ce billet sur Planet Libre.

Pour la 49ème semaine de l'année 2019, voici 14 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• Gaël Duval, l’adepte de Linux qui veut libérer les smartphones
• On ne sauvera pas le Web en dînant avec ses assassins
• Certbot 1.0 est enfin disponible – Vous n’avez plus d’excuses pour ne pas activer HTTPS sans douleur sur votre site
• Télétravail : pourquoi nous l'avons très vite adopté
• Remplacer la Livebox d'Orange par un routeur sous Linux
• Quelques tips concernant la conf Nginx
• Git Rebase, j'ai vaincu !
• Les SMS de dizaines de millions de personnes trouvés en accès libre sur le Net
• L'extrait de code Java StackOverflow le plus copié contenait un bug
• Proxmox VE 6.1 est disponible
• Intel, AMD, ARM... et mon serveur ?
• Firefox 71
• Formater un disque dur externe en 2019
• Automatisation de tâches dans un OS virtualisé

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker
• Le compte Mastodon du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Comme je vous le rapportais il y a peu, Fedora a organisé des élections pour renouveler partiellement le collège de ses organes FESCo, Mindshare et Council.

Le scrutin est comme toujours un vote par valeurs. Nous pouvons attribuer à chaque candidat un certain nombre de points, dont la valeur maximale est celui du nombre de candidat, et le minimum 0. Cela permet de montrer l'approbation à un candidat et la désapprobation d'un autre sans ambiguïté. Rien n'empêchant de voter pour deux candidats avec la même valeur.

Les résultats pour le Conseil sont :

# votes |  noms
520     Dennis Gilmore
--------------------------------------------
259     Alberto Rodríguez Sánchez
237     John M. Harris, Jr.

À titre indicatif le score maximal possible était de 243 * 3 votes soit 729.

Les résultats pour le FESCo sont (seuls les cinq premiers sont élus) :

# votes |  noms
1490 Miro Hrončok
1350 Kevin Fenzi
1115 Zbigniew Jędrzejewski-Szmek
879     Fabio Valentini
877     David Cantrell
--------------------------------------------
868     Justin Forbes
813     Randy Barlow
534     Pete Walter

À titre indicatif le score maximal possible était de 273 * 8 soit 2184.

Les résultats pour le Mindshare sont donc :

# votes |  noms
134     Héctor Louzao

À titre indicatif le score maximal possible était de 172 * 1 soit 172.

Nous pouvons noter que globalement le nombre de votants pour chaque scrutin avec un réel enjeu était proche aux alentours de 275-250 votants ce qui est un peu plus que la fois précédente (150-200 en moyenne). Les scores sont aussi plutôt éparpillés.

Bravo aux participants et aux élus et le meilleur pour le projet Fedora.

Original post of Renault.Votez pour ce billet sur Planet Libre.

Petites infos pour gros article

SSHGuard

Je suis assez mécontent de Fail2ban : Usine à gaz, regex, attaques non détectées, consommation… Il fait « relativement » le job mais quand il faut mettre les mains dedans, ça devient l’enfer. Avis personnel bien sûr.

Dès que je cherche à remplacer un outil je passe par AlternativeTo, j’ai été surpris de trouver un soft mieux noté que Fail2ban dont je n’avais jamais entendu parler : SSHGuard. La rencontre a mal débuté : Documentation pointant vers la Wayback Machine (??), code source chez SourceForge, nom mal choisi.

J’ai cependant bien fait de creuser :

• Licence BSD, activement maintenu
• Gère de nombreux services (OpenSSH, Sendmail, Exim, Dovecot, vsftpd, proftpd…), full IPv6 support et prend en charge les backends : pf, ipfw, firewalld, ipset, iptables, nftables
• Consommation insignifiante sur le système
• Fait le job sitôt installé
• Deux fichiers de configuration dont 1 pour whitelist les adresses/hosts (voir les fichiers /usr/lib/x86_64-linux-gnu/sshg* pour aller plus loin)
• Version 2.3.1 dispo sur Debian Buster
• Le délai de blocage de 120s par défaut (modifiable) est multiplié par 1.5 aux blocages suivants, plus une IP est bloquée plus elle sera bloquée longtemps automatiquement
• Un patch a été proposé pour bloquer par service, si une attaque arrive sur le service OpenSSH, on bannit l’IP seulement sur ce service/port, on ne bloque pas l’IP pour l’ensemble des ports (utile en entreprise)

Quelques inconvénients :

• Documentation éparse, datée, peu précise
• Pour ajouter des signatures
• Avant la version 2.4 les services ont des codes (100, 240…) plutôt que des noms (sshd, exim…), idée complètement perchée je trouve
• On comprend rapidement que son périmètre est bien moins étendu que Fail2ban, on peut faire/configurer moins de choses mais sa simplicité fait sa force

On reste sur Fail2ban au boulot mais on va suivre SSHGuard d’un œil attentif. Je songe à l’adopter pour mes postes/serveurs persos même si je dois le tester davantage et attendre que d’autres blogueurs fassent un retour dessus, au boulot !

Fichiers .swp de nano

Lorsqu’on édite un fichier avec nano, un fichier « temporaire » .swp est créé. J’ai consulté la doc, fait des recherches sur le net et le dépôt Git, effectué des tests, rien ne semble prévu pour pouvoir désactiver cette fonctionnalité. Sur Vim : set noswapfile.

omrelp: could not connect to remote server, librelp error 10014

Au démarrage d’un serveur un message récurrent, moche et pénible s’affiche venant de rsyslog. Centraliser les logs de tous les serveurs devient une bonne pratique dans le monde professionnel, on utilise pour cela rsyslog et le module omrelp en général. Le problème est que rsyslog démarre (trop) tôt, avant que le network soit up, il n’arrive pas à joindre le serveur qui centralise les logs. Dès qu’il arrive à le joindre, ça logue correctement, un systemctl restart rsyslog est inutile, demeure ce message moche dans les logs au démarrage. J’utilise beaucoup les drop-ins systemd maintenant, on va « surcharger » la configuration du service rsyslog en lui disant de démarrer plus tard dans /etc/systemd/system/rsyslog.service.d/rsyslog.conf.

[Unit]
After=network-online.target

https://bugzilla.redhat.com/show_bug.cgi?id=1263853
https://www.freedesktop.org/wiki/Software/systemd/NetworkTarget/

L’option AuthorizedKeysFile de sshd_config

La plupart des outils de gestion de configuration (Ansible, Puppet, Chef…) permettent d’ajouter/supprimer un fichier aisément sur une flotte de machines. Pour ajouter un accès à un utilisateur sur des serveurs, on utilisera l’option AuthorizedKeysFile dans le fichier /etc/ssh/sshd_config ainsi.

AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2 /etc/ssh/client_keys

Dans authorized_keys on mettra les clés de l’équipe (accès permanent), dans authorized_keys2 la clé de l’intervenant (accès temporaire) par exemple.

Le format de date en_US.UTF-8 sur Buster

La norme sur les serveurs en environnement professionnel est LANG=en_US.UTF-8. Avant Debian Buster si on faisait date ça donnait.

date
Sat Dec  7 14:21:25 CET 2019

Sur Debian Buster ça donne.

date
Sat 07 Dec 2019 02:21:25 PM CET

Normal (1, 2). Aucune solution simple pour avoir le format en 24h, on peut changer les locales (locale pour les afficher) en éditant /etc/default/locale ou en faisant localectl set-locale LANG=en_GB.UTF-8 par exemple (qui ne fait que modifier le fichier /etc/default/locale) mais un redémarrage sera nécessaire pour que le changement soit effectif…

Si on veut un truc plus lisible, on pourra ajouter export LC_TIME="fr_FR.UTF-8" dans son ~/.bashrc (ce que j’ai déconseillé pour avoir la même config/sortie que les clients) ou faire directement sur la ligne de commande.

LC_TIME="fr_FR.UTF-8" date
samedi 7 décembre 2019, 16:35:04 (UTC+0100)

Original post of blog-libre.Votez pour ce billet sur Planet Libre.

Il y a quelque temps, j’ai vu cette vidéo de Nicolas Peters à Devoxx qui parlait de picocli et des applications en ligne de commande java. Chez i-run on a de gros besoins en outillage DevOps pour nos nouveaux projets et du coup on a eu envie de tester picocli pour développer quelques outils. Cela fonctionne bien, mais au fil du temps et des dépendances, le binaire a pris du poids et, même en limitant les dépendances au strict minimum, le jar fait 1,2 Mo aujourd’hui (c’est que le début).

Original post of Marthym.Votez pour ce billet sur Planet Libre.