Chez les bidouilleurs de l'auto-hébergement, il y a des choses qu'on apprend à faire sur le tas : monter un serveur Apache, une base de données, des VirtualHosts et lier des applications à tout ceci, et des choses qu'on apprend sur le tard.

Sur mon installation actuelle, dont je suis assez fier puisque montée en presque autodidacte, je ne me suis pas tout de suite penché sur la sécurité des données qui transitées sur le réseau depuis mon serveur principal.

C'est maintenant chose faite : une partie de mon installation est désormais chiffrée part OpenSSL.

Mon instance ownCloud et la partie administration de ce blog propulsé sous Dotclear sont maintenant systématiquement redirigés vers leurs version HTTPS et non plus HTTP. En fait, à chaque fois qu'un mot de passe est demandé, je veux que ce soit fait de façon sure, en sécurisant le transite des données entre le navigateur et le serveur.

Je vous propose donc de partager ici les manipulations à faire pour un serveur sous Debian (encore Squeeze) et Apache2.

Remarque : La configuration que je vous propose se base sur des certificats auto-signés. Le principe des certificats repose sur une notion de confiance : le certificat est délivré par une entité jugée sure et reconnue qui prouve/atteste que vous arrivez dans une zone faisant transiter des données critiques de façon protégée. Avoir un certificat "officiel" coûtant environ un bras et deux jambes, ce que je vais expliquer ci-dessous s'appuie sur un certificat généré par vos soins, non officiel donc. Cela ne change rien quant au gain de sécurité. Le navigateur soupirera parce le certificat qu'il accepte n'émane pas d'une entité officielle, mais c'est tout.

Installer et activer OpenSSL

Pour installer, c'est simple :

aptitude install openssl

Pour activer OpenSSL dans apache :

a2enmod ssl

S'occuper des certifications

On commence part créer le répertoire qui contiendra les fichiers de certification :

mkdir -p /etc/ssl/localcerts

On génère ensuite les certifications :

openssl req -new -x509 -days 365 -nodes -out /etc/ssl/localcerts/apache.pem -keyout /etc/ssl/localcerts/apache.key

Et on termine par la mise en place des bons droits :

chmod 600 /etc/ssl/localcerts/apache*

On se retrouve maintenant avec la gestion de la certification qui va bien et avec Apache prêt à s'en servir.

Configuration d'Apache

Dans un souci de simplicité, je vais vous montrer comment reprendre le fichier d'exemple de configuration présent dans /etc/apache2/sites-available/ : default-ssl.

Vous n'aurez pas grand chose à modifier. 

Déclarer le nom et le port du VirtualHost

Ajoutez NameVirtualHost *:443 et modifiez la balise ouvrante de déclaration du VirtualHost .

Vous devriez donc passer d'un fichier de base :

[...]

À quelque chose comme ça :

NameVirtualHost *:443


[...]

Activez SSLEngine

La ligne suivante est parfois commentée. Faîtes sauter le # qui traîne devant.

SSLEngine On

Renseignez correctement les chemins vers le certificat et la clé

Ces deux lignes suivantes sont déjà présentes mais ne pointent pas vers ce que nous avons généré un peu plus haut dans le répertoire /etc/ssl/localcerts/, modifiez-les comme ceci :

SSLCertificateFile /etc/ssl/localcerts/apache.pem
SSLCertificateKeyFile /etc/ssl/localcerts/apache.key

Le fichier default-ssl est maintenant configuré. Passons aux dernières petites choses à faire.

Activer le VHost

Votre VHost est configuré par le fichier default-ssl. Activez-le donc :

a2ensite default-ssl

Vérifiez qu'Apache écoute bien le port 443

... dans son fichier de configuration /etc/apache2/ports.conf. A priori, il l'écoute de base.

Vous pouvez maintenant redémarrer le serveur Apache et profiter d'un accès en HTTPS !

/etc/init.d/apache2 restart

Utilisez la connexion en HTTPS automatiquement

C'est bien malin d'avoir mis en place le HTTPS mais il est encore plus malin de forcer son utilisation, histoire de ne pas s'être plongé dans des fichiers de configuration pour rien.

Pour obligatoirement utiliser une connexion sécurisée lorsque vous vous connectez à une partie de votre site, utilisez la redirection permanente vers l'accès en HTTPS.

On va prendre pour exemple l'accès à son instance ownCloud qui se ferait via : http://www.dadall.info/owncloud

Dans /etc/apache2/sites-available/default, on va ajouter une ligne pour s'occuper de sa redirection : 

 Redirect permanent /owncloud https://www.dadall.info/owncloud

Maintenant, quand vous vous connecterez sur www.dadall.info/owncloud, vous serez automatiquement redirigé vers du HTTPS.

Vous pouvez ajouter autant de redirections que vous voulez, faites-vous plaisir.

Comme je le dis toujours : chez moi ça marche. Mais bon, si ça ne marche pas chez  vous, utilisez les commentaires et je ferais ce que je peux.

Original post of dada.Votez pour ce billet sur Planet Libre.

Dans mon récent billet portant sur la sécurité des blogs sous WordPress, j’avais omis de vous parler du plugin Login Lockdown, qui est pourtant non négligeable pour se protéger contre les attaques de type brute force.

Je m’en suis rappelé en configurant un nouveau blog qu’un ami venait d’installer. Et en essayant de télécharger Login Lockdown, j’ai eu la mauvaise surprise de découvrir que le développeur du plugin a abandonné son développement. La dernière mise à jour remonte à 2009. J’ai donc logiquement commencé à chercher son remplaçant, que j’ai fini par trouver au bout de quelques minutes de recherche : Apocalypse Meow.

Ce plugin permet de définir une limite aux tentatives de connexion à l’espace d’administration de votre blog wordpress, et de bannir les ip d’où proviennent les attaques pendant X minutes. En outre, Apocalypse Meow permet d’imposer quelques règles élémentaires de sécurité des mots de passe aux personnes qui souhaitent s’inscrire à votre blog (si cette option est activée sur le votre bien évidemment).

Une autre fonctionnalité très utile du plugin, c’est qu’il donne la possibilité de supprimer la version de wordpress, que certains thèmes ajoutent à vos balises méta.

Bref, si vous avez déjà installé Login Lockdown, ou que vous cherchez un plugin du même genre, je ne peux que vous conseiller Apocalypse Meow !

Cet article Protèger votre blog WordPress contre les attaques Brute Force grâce au plugin Appocalypse Meow est apparu en premier sur crowd42.

Original post of crowd42.Votez pour ce billet sur Planet Libre.

À quand les smartphones et tablettes libres ? - LinuxFr.org

mobile tizen FirefoxOS html ubuntu Android Mer QtMoko webOS

antistress : "La téléphonie mobile est un domaine des plus fermés, où les batailles commerciales font rage. Si l'on a pu voir dans le monde de l'informatique une montée en puissance des systèmes et logiciels libres, il n'en est (presque) rien pour ce qui est des ordiphones et, par extension, des tablettes. Comme souvent les limitations sont avant tout liées à la prise en charge du matériel, via des pilotes binaires propriétaires. Ajoutons à cela la pile GSM propriétaire.
Plusieurs nouvelles peuvent, si ce n'est nous réjouir, au moins remettre la question sur le devant de la scène."

---

Rapport Lescure et DRM, des bonnes intentions réduites à néant par trois lettres : CSA - April

csa hadopi drm

antistress : "Pierre Lescure a remis ce lundi 13 mai 2013 son rapport suite à la mission « Acte II de l’exception culturelle ». Sur la partie DRM (menottes numériques), le rapport affiche de bonnes intentions mais préconise une solution qui les réduit à néant."

---

Original post of Planet Libre.Votez pour ce billet sur Planet Libre.

Witsub est mon dernier projet personnel visant à développer un utilitaire en ligne de commande permettant de télécharger automatiquement l'ensemble des sous-titres disponibles de votre bibliothèques de vidéos. L'objectif étant de disposer d'un outil simple, rapide, efficace et facilement déclenchable par script shell.

Comment marche Witsub

Witsub est développé en pure Python (sans bibliothèque non standard) et devrait donc fonctionner sur tous les systèmes d'exploitations (je l'ai uniquement testé sous GNU/linux). Dans son utilisation la plus simple, il prend en entrée un fichier ou un répertoire et une langue souhaitée pour les sous-titres. Ensuite il va parcourir la base de donnée OpenSubtitles pour y trouver les fichiers .srt correspondant à vos fichiers vidéos.

Pour installer Witsub, vous pouvez directement télécharger le script sous Github:

wget https://github.com/nicolargo/witsub/blob/master/witsub/witsub.py
chmod a+x witsub.py

ou bien utiliser les sources avec l'installeur au format tar.gz:

wget https://s3.amazonaws.com/witsub/witsub-1.1.tar.gz
tar zxvf witsub-1.1.tar.gz
cd witsub-1.1
sudo python setup.py install

ou plus propre utiliser PiPY pour l'installer sur votre système:

sudo pip install witsub

Un exemple valant mieux qu'un long discours, voici Witsub en action.

On commence par visualiser le répertoire videos avant le lancement de Witsub

videos
	├── A wonderfull movies.avi
	├── A top serie
	│   ├── A top serie - S1E01.avi
	│   └── A top serie - S1E02.avi
	└── Not a video file.txt

Puis on lance Witsub en fixant la langue Française (code ISO fre, voir la liste complète des codes ici):

witsub -l fre -f ./videos

On se retrouve avec:

videos
	├── A wonderfull movies.avi
	├── A wonderfull movies.srt
	├── A top serie
	│   ├── A top serie - S1E01.avi
	│   ├── A top serie - S1E01.srt
	│   ├── A top serie - S1E02.avi
	│   └── A top serie - S1E02.srt
	└── Not a video file.txt

Voir ce qui se passe

J'ai fait en sorte, avec l'option -V, que Witsub affiche chacune des étapes de sa recherche de sous-titres. Par exemple, pour forcer (-w) le téléchargement des sous-titres Anglais de la vidéo breakdance.avi en mode debug:

# witsub -V -w -f ./test/testdata/breakdance.avi
19/05/2013 15:19:29 DEBUG - Running witsub version 1.0
19/05/2013 15:19:29 DEBUG - Debug mode is ON
19/05/2013 15:19:29 DEBUG - Force overwrite if file exist: True
19/05/2013 15:19:29 DEBUG - No language define. Default is eng
19/05/2013 15:19:29 DEBUG - Subtitle language search set to eng
19/05/2013 15:19:29 DEBUG - Connect to XML-RPC server http://api.opensubtitles.org/xml-rpc
19/05/2013 15:19:29 DEBUG - Login to XML-RPC server 
19/05/2013 15:19:29 DEBUG - Login successfull with status 200 OK
19/05/2013 15:19:29 DEBUG - Compute hash tag for file test/testdata/breakdance.avi
19/05/2013 15:19:29 DEBUG - Hash tag for file test/testdata/breakdance.avi is 0x8e245d9679d31e12L
19/05/2013 15:19:29 DEBUG - Search subtitle in the database
19/05/2013 15:19:29 DEBUG - Search done in 0.008 seconds
19/05/2013 15:19:29 DEBUG - 4 subtitles found
19/05/2013 15:19:29 DEBUG - Subtitle 1/4 (English - Dwnl: 364): The.Sea.Inside.2004.DVDRip.XviD-RiZZ.srt
19/05/2013 15:19:29 DEBUG - Subtitle 2/4 (English - Dwnl: 224): breakdance.srt
19/05/2013 15:19:29 DEBUG - Subtitle 3/4 (English - Dwnl: 421): breakdance2.srt
19/05/2013 15:19:29 DEBUG - Subtitle 4/4 (English - Dwnl: 143): breakdance2.srt
19/05/2013 15:19:29 DEBUG - Select the first one (most downloaded): The.Sea.Inside.2004.DVDRip.XviD-RiZZ.srt
19/05/2013 15:19:29 DEBUG - Download the compressed subtitle file (id 1951887680): http://dl.opensubtitles.org/en/download/filead/1951887680.gz
19/05/2013 15:19:30 DEBUG - Download processed in 0.05 seconds
19/05/2013 15:19:30 DEBUG - Unzip the compressed subtitle file
19/05/2013 15:19:30 DEBUG - Write the subtitle to test/testdata/breakdance.srt
19/05/2013 15:19:30 INFO - Download completed: test/testdata/breakdance.srt
19/05/2013 15:19:30 DEBUG - Logout from XML-RPC server 
19/05/2013 15:19:30 DEBUG - Logout successfull with status 200 OK

Les sources !

Witsub est hébergé sur GitHub: https://github.com/nicolargo/witsub

Merci d'y poster vos problèmes, questions, demandes d'amélioration !

Faites tourner

PS: Je ne suis pas très actif sur le blog en ce moment, la faute à pas mal de choses qui me laissent peu d'énergie pour rédiger des billets. Mais ne vous inquiétez pas, certains sont en préparation, notamment un sur la nouvelle caméra pour Raspberry Pi.

Cet article Witsub télécharge automatiquement vos sous-titres est apparu en premier sur Le blog de NicoLargo.

Original post of Nicolargo.Votez pour ce billet sur Planet Libre.

Plop les bovins, comme il fait moche et que les news sont rares, nous allons profiter de ce répit pour parler de la sortie d’une distribution dont nous parlons peu (voir pas du tout) sur ce blog, à savoir Mageia. Mageia est une distribution GNU/Linux communautaire soutenue par une association, maintenue par des contributeurs élus et conçue dans le but de fournir un système d’exploitation stable et sécurisé, pour serveurs et PC.

Elle a été présentée lors de sa sortie (le 18 Septembre 2010) comme un fork de Mandriva (Mandrake pour les vieux boucs), dont l’avenir était alors incertain, dont les décisions ne plaisaient pas à tous les développeurs et dont la plus part des employés venaient d’être licenciés. Certains d’entre-eux se sont alors rassemblés et ont pris la décision de créer Mageia, en s’appuyant sur leur expérience, sur un modèle communautaire et surtout, associatif.

Ils ont posé les fondations de ce nouveau projet qui désormais ne dépend plus d’une quelconque entreprise et dont les objectifs sont les suivants : Rendre GNU/Linux et le logiciel libre encore plus accessible à tous, fournir des outils de configuration complètement intégrés au système, maintenir un haut niveau d’intégration entre le système de base, le bureau (KDE/GNOME) et les applications liées, assurer un focus particulier sur l’intégration des logiciels tiers (propriétaires ou non), cibler de nouvelles architectures matérielles et des plates-formes et enfin d’améliorer notre compréhension des ordinateurs et des périphériques. Si ça vous intéresse, vous pouvez consulter l’annonce de sortie du 18 Septembre 2010, pour vous replonger dans la genèse de ce projet un peu particulier.

Mageia a fait depuis son chemin, gagnant en maturité et en stabilité. La troisième version de cette distribution vient de faire son apparition, embarquant sont lot d’améliorations, de correctifs et de nouvelles fonctionnalités. Ne connaissant pas bien cette distribution, je ne vais pas me contenter de vous énumérer bêtement le changelog (qui de plus est très long). Cela ne serait que du « blabla inconsistant ». Vous avez en revanche tout ce qu’il vous faut (et en Français s’iou plaît), sur cette page vraiment très complète et détaillée, issue du wiki Mageia et publiée par la team Mageia pour l’occasion.

Mais vous allez me dire pourquoi faire une news alors?!! Je vous l’accorde, et pour être franc avec vous. Quand j’ai vu passer l’annonce de sortie dans mes flux RSS, je l’ai regardé d’un œil plutôt distrait et limite hautin avant de la zapper sec et net. Un petit Tweet d’Adrien.D m’a donné envie d’en savoir plus et après avoir cliqué sur le lien, fouiné un peu pour en savoir plus, j’ai trouvé le projet autour duquel s’articule cette distribution plutôt sympa. J’ai alors eu envie de vous en parler.

Si ça vous a donné envie d’en savoir plus, vous pouvez faire un tour sur le site officiel (fr) mageia.org et consulter la news d’Adrien. Si l’aventure vous tente, vous trouverez tout ce qu’il vous faut sur la page de téléchargement du bel animal, qui est disponible en version 32 ou 64-bits.

Amusez-vous bien.

Moo!

Original post of Noireaude.Votez pour ce billet sur Planet Libre.