Original post of genma.Votez pour ce billet sur Planet Libre.

Cela fait depuis Fedora 19 que je publie sur la liste de diffusion de Fedora-fr une revue de presse de chaque sortie d'une nouvelle version. Récapituler quels sites en parle et comment. Je le fais toujours deux semaines après la publication (pour que tout le monde ait le temps d'en parler). Maintenant, place à Fedora 31 !

Bien entendu je passe sous silence mon blog et le forum de fedora-fr.

Sites web d'actualité

• Linuxfr ;
• NextINpact ;
• Développez.com ;
• Toolinux ;
• ZDNet ;
• Generation NT.

Soit 6 sites sur les 25 contactés.

Blogs, sites persos ou sites non contactés

• Ginjfo ;
• Linuxed.

Soit 2 sites.

Autre activité promotionnelle

En marge de la sortie de Fedora 31, j'ai participé à une vidéo sur Youtube sur la chaine Linuxtricks suite à l'invitation d'Adrien D.

C'était l'occasion de présenter Fedora, la communauté francophone et certains projets à venir de Fedora comme Silverblue. Fedora 31 étant plus une excuse que le réel sujet de conversation.

Ce fut une expérience agréable de mon côté, j'espère que ce genre d'expérience se renouvellera pour toucher un autre public et pour communiquer autrement. Merci de donner des retours pour savoir si cela vous a plu et si éventuellement certaines choses pourraient être améliorées.

Et merci à Adrien D. pour cela.

Bilan

Le nombre de sites parlant de Fedora 31 est en légère hausse cette fois. Beaucoup d'articles se fondent sur ce que j'ai moi même rédigé (que ce soit la version courte ou longue).

La semaine de sa sortie, nous avons eu globalement une augmentation de visites par rapport à la semaine d'avant de cet ordre là :

• Forums : baisse de 9% (environ 110 visites en moins)
• Documentation : stable (soit environ 25 visites en plus)
• Le site Fedora-fr : hausse de 32% (soit 250 visites en plus)
• Borsalinux-fr : hausse de 311% (soit 60 visites en plus)

À tenir compte de la situation particulière avec une sortie lors de la semaine des vacances de la Toussaint en France et en Belgique. D'ailleurs le forum et même d'autres sections du site ont connu une hausse de fréquentation la semaine suivant la sortie.

Si vous avez connaissance d'un autre lien, n'hésitez pas à partager ! Rendez-vous pour Fedora 32.

Original post of Renault.Votez pour ce billet sur Planet Libre.

Pour la 45ème semaine de l'année 2019, voici 10 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• Écris ta documentation technique bordel de merde
• La Suprématie Quantique de Google - Science étonnante #63
• Des députés veulent interdire les écrans publicitaires dans les toilettes
• Est-ce qu'on met en prod le vendredi ?
• Firefox 72 n’affichera plus par défaut les notifications des sites web
• Charger des ressources web localement (Adieu Google & Co)
• Unboxing numérique de la YubiKey 5
• Homo Stimulus Au bonheur des likes
• Sans smartphone, point de salut ? (02/2018)
• Comment Cloudfare a sollicité sa communauté pour venir à bout d'un Patent Troll ?

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker
• Le compte Mastodon du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Lors de mon premier job de sysadmin, je traînais sur Clubic pour m’informer. Je me souviens de commentaires disant que les sysadmins n’ayant pas encore passés les pc de leur parc sur Windows Seven étaient des incompétents. Ça m’a marqué.

Dans la réalité

Quelques principes de base :

• J’aime mon job, vraiment. Mais je ne suis pas là pour m’amuser, on me verse un salaire pour que je m’occupe de certaines tâches, j’avance des projets, je respecte les consignes. Si on me dit on passera à Windows Seven dans 10 ans, je réponds OK et je bosse sur ce qu’on m’a demandé
• Si l’entreprise n’a pas les moyens d’acquérir les licences ou de renouveler les postes (licences OEM), je ne paye pas la licence Windows de ma poche
• Dans toutes les entreprises où je suis passé, la montée de version du système d’exploitation correspondait au changement de la machine (en moyenne 5 ans). On sautait également un O.S sur deux, en gros j’ai jamais vraiment bossé avec Vista et Windows 8/8.1 mais avec XP, Seven et Windows 10
• N’importe qui ayant 10 ans dans l’IT vous citera des exemples d’entreprises où des serveurs/postes sont sur des versions antédiluviennes. En 2016 j’avais encore des Windows Server 2003 en prod

Tu fais avec : Ce qu’on t’a dit, ce que tu as, ce que tu peux.

Parfois je suis gêné de parler de mon job actuel car je sais que je vais avoir des remarques du genre : « Attends t’es toujours sur *****, t’as pas encore mis en place *****, mais niveau sécurité ***** juste non ». Illustrons le sujet.

FTP

Nous sommes en 2019, je travaille chez un petit hébergeur web. Tout job a ses spécificités mais je dois avouer que celui d’hébergeur est super particulier.

Dans un article Bearstech rappelait que Apple, Google, Microsoft et Mozilla annonçaient il y a un an, la fin du support de TLS 1.0 et TLS 1.1 dans leurs navigateurs pour 2020. TLS 1.0 est vieux de 20 ans, TLS 1.3 date de l’année dernière et la majorité du trafic web chiffré se fait aujourd’hui avec TLS 1.2.

J’ai passé récemment un serveur sous Buster, rôle ftp, normalement easy. Dans mon /etc/proftpd/proftpd.conf j’ai TLSProtocol ALL -SSLv3 (doc) et voici la configuration par défaut de openssl que vous trouverez dans /etc/ssl/openssl.cnf sur Debian Buster.

[system_default_sect]
MinProtocol = TLSv1.2
CipherString = DEFAULT@SECLEVEL=2

Quelques jours après la mise en prod, nous avons reçu des tickets de clients signalant que leur accès FTP ne fonctionnait plus. Certains clients utilisent des logiciels datés qui ne savent pas gérer TLS 1.2/1.3 mais seulement TLS 1.0/1.1. Typiquement un logiciel codé avec WinDev, l’utilisateur met des fichiers Excel dans un dossier et appuie sur un gros bouton vert pour envoyer les fichiers par FTP. Le truc a été codé il y a XX années, ça marchait et le client comprend pas que ça marche plus. Il faut que ça fonctionne.

Voyez-vous ma configuration proftpd est correcte mais la configuration par défaut de openssl ne permet pas de négocier en dessous de TLS 1.2 (MinProtocol = TLSv1.2). J’ai donc dû mettre MinProtocol = TLSv1. Pour vérifier ce qui est accepté par votre serveur FTP.

openssl s_client -connect 127.0.0.1:21 -starttls ftp -tls1_3
openssl s_client -connect 127.0.0.1:21 -starttls ftp -tls1_2
openssl s_client -connect 127.0.0.1:21 -starttls ftp -tls1_1
openssl s_client -connect 127.0.0.1:21 -starttls ftp -tls1

Est-ce que la connexion est moins sécurisée ? Non. Le logiciel PERMET de se connecter en TLS 1.0/1.1 mais l’immense majorité des clients/utilisateurs UTILISE TLS 1.2/1.3. Juste on ne FORCE pas les clients à utiliser TLS 1.2 au minimum sinon le FTP ne fonctionnerait plus pour certains d’entre eux.

Mais si la connexion se fait en TLS 1.0 par exemple, c’est moins secure ? Oui. Il s’agit du CHOIX des clients, ils préfèrent en général (tous ?) que ça fonctionne PEU sécurisé que PAS DU TOUT.

Et lors d’un audit de sécurité ? Rigolo. De rares clients font auditer l’hébergement que nous proposons, nous avons alors des remarques plus ou moins appuyées sur le fait qu’on permet des connexions TLS 1.0/1.1 dépassées ne devant plus être utilisées. Double dose.

Python et PHP

Python sera EOL (End Of Life) le 1 Janvier 2020, pour être précis : Support officially stops January 1 2020, but the final release (2.7.18) will occur after that date. La première release de la branche 2.7 date du 03/07/2010. La dernière release de la branche PHP 5 est la 5.6.40 EOL le 31/12/2018.

En 2019 nous recevons des tickets pour savoir si ces versions de Python et PHP vont rester disponibles, oui je vais devoir les compiler/fournir au grand minimum jusqu’à la prochaine migration vers Debian 11 (Bullseye). Dans notre cas les clients en ont BESOIN, on répond à leur DEMANDE, ils en assument les CONSÉQUENCES et nous leur rappelons les RISQUES.

Est-ce que c’est secure d’utiliser PHP 5.6.40 ? Non mais il faut toujours prendre en compte le CONTEXTE. Si votre intranet uniquement accessible en interne est en PHP 5.6.40, les risques d’avoir un problème sont très faibles. Si votre site est accessible en ligne par contre…

En résumé

Le prochain qui me dit « Attends t’es toujours sur *****, t’as pas encore mis en place *****, mais niveau sécurité ***** juste non », je le déguste avec une sauce tartare.

J’ai parlé de proftpd (retenu pour ses modules), pour certains ce ne sera peut-être pas le meilleur choix, n’oubliez pas : Il ne s’agit pas d’utiliser la meilleure solution, il s’agit de mettre en place la meilleure SOLUTION en fonction des CONTRAINTES de la prod.

Original post of blog-libre.Votez pour ce billet sur Planet Libre.

Pour démarrer des machines via le réseau en PXE, j’utilise iPXE. J’en avais déjà parlé lors du paramétrage dnsmasq en tant que serveur DHCP avec iPXE.

J’utilise de temps à autres SysRescueCD que je démarre donc via le réseau. J’avais une configuration qui fonctionnait bien, mais en voulant passer à la version 6 de ce couteau suisse de diagnostic et de la réparation, impossible de démarrer car la distribution de base a changé.

La nouvelle arborescence

Précédement, les fichiers étaient organisés comme ceci dans mon répersoire srcd sur le partage NFS ou sont stockés les fichiers :

.
├── initram.igz
├── rescue32
├── rescue64
├── sysrcd.dat
└── sysrcd.md5

Le live CD, basé sur Gentoo était compatible avec les arcihectures 32 et 64 bits. Avec la version 6 fini le support 32 bits, et l’arborescence est celle utilisée par archiso :

.
├── boot
│   ├── amd_ucode.img
│   ├── amd_ucode.LICENSE
│   ├── intel_ucode.img
│   ├── intel_ucode.LICENSE
│   └── x86_64
│       ├── sysresccd.img
│       └── vmlinuz
├── pkglist.x86_64.txt
└── x86_64
    ├── airootfs.sfs
    └── airootfs.sha512

La nouvelle configuration

Voici les options nécessaires au démarrage de SysRescueCD via iPXE, je ne mets ici que l’extrait de la configuration qui nous intéresse :

:srcd
kernel  nfs://${server_ip}/${nfs_path}/srcd/boot/x86_64/vmlinuz
initrd  nfs://${server_ip}/${nfs_path}/srcd/boot/intel_ucode.img
initrd  nfs://${server_ip}/${nfs_path}/srcd/boot/amd_ucode.img
initrd  nfs://${server_ip}/${nfs_path}/srcd/boot/x86_64/sysresccd.img
imgargs vmlinuz ip=dhcp archisobasedir=srcd archiso_nfs_srv=${server_ip}:/${nfs_path} checksum

configurer le réseau au démarrage

Les informations données sur le wiki d’archlinux parlent de la commande SYSAPPEND 3 mais celle-ci ne semble pas disponible sur iPXE¹, le réseau ne sera donc pas initialisé lors du démarrage, empêchant le montage du dossier NFS. Le paramètre noyau ip=dhcp permet de forcer le système à obtenir une adresse IP lors du démarrage.

Les autres options

le reste des options parlent d’elle-même :

• archiso_nfs_srv : donne l’adresse de la ressource NFS utilisée.
• archisobasedir : le répertoire de base contenant l’arborescence d’archiso.

Il est possible de trouver les options disponibles sur le README dans le dépôt git archiso.

Original post of ephase.Votez pour ce billet sur Planet Libre.