Pour la seconde semaine de l'année 2019, voici 14 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• Localhost et HTTPS
• Pourquoi j’ai peur de voir le code être enseigné à l’école
• Démystifier l'activité d'hébergeur
• Bash 5.0 est maintenant disponible
• Un environnement de bureau tout en Python (1ère partie : le menu principal)
• 16 indices qui laissent penser que votre WordPress court le risque d’être hacké
• Mises à jour… vaste blague
• Android et ses quelques trous pour la vie privée
• L’Education nationale annonce (enfin) la création d’un CAPES d’Informatique en 2020
• TRIBUNE. Comment la France s'est vendue aux Gafam
• API on Rails 5
• Bientôt la fin des mots de passe sur le Web ? (WebAuthn)
• Top et Htop
• Conteneriser une application web avec docker-compose

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker
• Le compte Mastodon du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

L'association

Borsalinux-fr est l'association qui gère la promotion de Fedora dans l'espace francophone. Nous constatons depuis quelques années une baisse progressive des membres à jour de cotisation et de volontaires pour prendre en main les activités dévolues à l'association.

Nous lançons donc un appel à nous rejoindre afin de nous aider.

L'association est en effet propriétaire du site officiel de la communauté francophone de Fedora, organise des évènements promotionnels comme les Rencontres Fedora régulièrement et participe à l'ensemble des évènements majeurs concernant le libre à travers la France principalement.

Pourquoi nous lançons cet appel ?

Nous constatons depuis 2012 ou 2013 une baisse progressive du nombre d'adhérents et en particulier de membres actifs au sein de l'association voire même de la communauté francophone dans son ensemble. Nous atteignons aujourd'hui une phase critique où l'activité est portée essentiellement par une poignée de personnes. Et certaines personnes actives aujourd'hui souhaitent baisser le rythme pour s'impliquer dans d'autres projets au sein de Fedora comme ailleurs.

Ainsi il devient difficile de maintenir notre activité dans de bonnes conditions. Ce qui nuit à notre visibilité d'une part, mais aussi à l'attractivité du projet auprès des francophones d'autres part.

Activités possibles

Dans l'ensemble, les besoins les plus urgents sont au niveau de l'association où le renouvellement des membres dans le conseil d'administration est nécessaire. La traduction est aussi un domaine qui commence à être à l'arrêt. Et nous souhaitons aussi un élargissement de notre ancrage local. Actuellement les évènements de l'axe Bruxelles - Paris - Lyon - Nice sont assez bien couverts. En dehors nous avons des difficultés croissantes à envoyer quelqu'un sur place dans de bonnes conditions comme au Capitole du Libre à Toulouse ou aux RMLL suivant sa localisation.

Si vous aimez Fedora, et que vous souhaitez que notre action perdure, vous pouvez :

• Adhérer à l'association : les cotisations nous aident à produire des goodies, à nous déplacer pour les évènements, à payer le matériel ;
• Postuler à un poste du Conseil d'Administration, en particulier pour la présidence, le secrétariat et la trésorerie ;
• Participer à la traduction, sur le forum, sur les listes de diffusion, à la réfection de la documentation, représenter l'association sur différents évènements francophones ;
• Concevoir des goodies ;
• Organiser des évènements type Rencontres Fedora dans votre ville.

Nous serions ravis de vous accueillir et de vous aider dans vos démarches. Toute contribution, même minime, est appréciée.

Si vous souhaitez avoir un aperçu de notre activité, vous pouvez participer à nos réunions hebdomadaires chaque lundi soir à 20h30 (heure de Paris) sur IRC (canal #fedora-meeting-1 sur Freenode).

Vous souhaitez nous aider ?

N'hésitez pas à nous contacter pour nous faire part de vos idées et de ce que vous souhaitez faire.

Par ailleurs le samedi 9 février 2019 à 14h à Paris (dans les locaux de la Fondation des Droits de l'Homme), l'Assemblée Générale Ordinaire procèdera au renouvellement du Conseil d'Administration et du Bureau de l'association. C'est l'occasion de se présenter et d'intégrer le fonctionnement de l'association ! C'est vraiment le moment idéal pour se tenir au courant de ce qui se passe et de présenter ses idées. Si vous ne pouvez pas venir sur place, n'hésitez pas à nous contacter avant pour nous communiquer vos idées et votre participation à la communauté francophone.

Original post of Renault.Votez pour ce billet sur Planet Libre.

Je reconnais que le titre de ce billet est un brin putaclic, mais je sais que vous ne m’en tiendrez sans doute pas rigueur. Ayant installé une Archlinux il y a quelques jours, j’ai eu envie de vous parler de cette expérience afin de pourquoi pas vous conseiller d’en faire autant. Outre l’aspect purement technique de cette installation (que je n’évoquerai pas ou très peu ici), je pense qu’arrivé à un certain stade de votre parcours sous GNU/Linux cette étape est franchement nécessaire. Alors vous allez me dire à quoi bon se casser la tête avec un truc pareil alors qu’en quelques clics je peux faire en faire autant avec une distribution grand public? Vous avez raison et si vous le pensez vraiment c’est que ce billet n’est pas pour vous. Vous êtes sous GNU/linux, ce que vous avez vous va très bien, ça tourne, c’est beau et l’aspect technique ne vous intéresse pas. Soit. Il n’y a rien de mal à ça dans la mesure où vous avez déjà fait le choix le plus important, à savoir tourner sous GNU/Linux. Je vous en félicite. Pour les autres, ceux qui aimeraient aller plus loin mais qui hésitent encore car ils ont lu partout que c’était difficile, je dirais que vous ne devriez plus attendre. Faites-le.

En ce qui me concerne par exemple, j’ai passé le cap des 10 ans en monoboot sous GNU/Linux et si je devais me catégoriser je dirais qu’à l’heure actuelle je ne suis qu’un utilisateur final. Certes j’ai des connaissances un peu avancées dans le sens où par exemple, je connais la différence entre un gestionnaire de fenêtres et un environnement de bureau. C’est peut-être évident mais ne rigolez-pas, certains utilisateurs pensent encore qu’il s’agit la même chose! Plus globalement encore quand on me parle d’un truc ou l’autre sous GNU/Linux je sais à peu près de quoi il s’agit, même si dans les faits je ne comprend pas toujours comment ça marche. En tant qu’utilisateur final d’ailleurs je m’en fiche un peu, car l’essentiel pour moi c’est que ça tourne! Je suis également assez avancé pour ne pas avoir peur d’entrer quelques lignes dans une console, même si là encore je ne comprends pas toujours ce que je fais ou plus exactement, ce qu’il se passe. Une fois encore je m’en fiche un peu, du moment que ça tourne et que cela me semble safe. Il ne s’agit pas non plus d’entrer n’importe quoi et de tout flinguer comme un âne.

Bref, vous l’avez compris je ne suis pas un crack. J’utilise GNU/Linux au quotidien, c’est génial, je m’en sort parfaitement et quelque part je pense être assez bon voir même très bon, puisque après tout j’y suis depuis dix ans et que je n’en ai pas bougé. Sauf que non, c’est pas aussi simple que ça. Si je suis bon ou plus exactement si j’ai l’impression de l’être, c’est que des milliers de développeurs, de reporteurs de bugs, de testeurs, de traducteurs, de rédacteurs de docs etc, travaillent dans l’ombre (souvent bénévolement) pour que ça tourne et surtout, pour que cela soit simple pour moi.

Le résultat de ce travail fait que quand vous prenez une distribution grand public aujourd’hui, il suffit de la télécharger, de la coller sur un support bootable et de lancer le bouzin. Passé cette étape vous êtes pris en main par tout un ensemble d’outils et de scripts, conçus dans le but de vous permettre de procéder à une installation propre en seulement quelques clics. Les installeurs vont vous guider pas à pas, les GUI vont vous éviter d’entrer tout un tas de lignes de commandes, les fichiers de configurations sont écrits et mis à la bonne place, tout est déjà bien empaqueté et globalement, vous n’aurez plus qu’à effectuer quelques petits réglages pour mettre tout ça à votre sauce. Le plus dur dans une installation finalement, c’est de ne pas oublier de boire son kawa avant qu’il ne refroidisse.

Tout ça c’est bien, mais le revers de la médaille c’est que vous pourrez passer 10 sous GNU/Linux sans finalement connaître ne serait-ce qu’un peu le système que vous utilisez au quotidien. En tant qu’utilisateur final ça me convient la plupart du temps, mais j’avoue que j’ai toujours un peu regretté de ne faire que survoler les choses et de ne pas en savoir plus. C’est là qu’installer Archlinux pris du sens pour moi, dans la mesure où il allait falloir mettre les pattes dans le cambouis.

Alors que ce soit clair je ne vais pas détailler ici les étapes de mes séances d’installation, car cela ne vous apporterais rien et que ce n’est pas l’objectif de ce billet. Pour vous la faire courte là-dessus j’ai utilisé une Vbox, j’ai procédé à une install BIOS, j’ai pris une vieille image i686 (et oui je suis encore en 32 bits) et globalement j’ai du recommencer à peu près une dizaine de fois sur environ une semaine, avant d’en arriver à quelque chose de potable et à une installation à peu près complète. 

Ce qui a été super intéressant en revanche, c’est qu’en installant cette distribution j’en ai appris plus sur GNU/Linux en une semaine, qu’en 10 ans d’utilisation quasi passive. En effet avant je connaissais des outils ou des commandes tel(le)s que chroot, pwd, cfdisk, mkfs, mount, fdisk, mkinitcpio mkswap, etc, mais je ne les avais réellement utilisé(e)s qu’au travers d’interfaces graphiques, sans parfois même m’en rendre compte et sans chercher vraiment à comprendre ce qu’elle faisaient. Le fait de devoir les entrer à la main a réellement mis en évidence ce qu’elles faisaient, pourquoi elles le faisaient et pourquoi à ce moment précis. Alors bien entendu il y a des étapes logiques! Personne à priori n’arrivera jamais à installer quoi que ce soit sur une partition non formatée, ou qui n’est pas montée correctement. De ce côté là je n’ai pas découvert le feu. Non. En revanche le simple fait de procéder manuellement à un partitionnement, à un formatage, à la création d’un swap et de monter tout ça sois-même en comprenant ce que l’on fait et ce qu’il se passe, et bien c’est super cool. Après tout il s’agit là des fondations de notre système non? Ce n’est donc pas rien que de savoir les poser à la patte.

J’en ai appris également beaucoup plus sur la structure de mon système. Sur son arborescence (même si cela peut varier d’une distribution à l’autre), sur les modules qui font fonctionner tel ou tel composant système ou hardware, sur quand et où les installer etc etc… J’ai aussi appris à savoir où trouver et comment éditer tel ou tel fichier de configuration avec nano, afin de faire par exemple des trucs aussi cons que de passer le clavier en français, gérer l’horloge ou choisir les miroirs de téléchargement les plus rapides. En gros j’ai appris une foule de petites choses vraiment super intéressantes et devoir chercher d’où venaient les erreurs que je faisait s’est avéré tout aussi instructif.

Maintenant je peux dire que je connais vraiment beaucoup mieux le système que j’utilise au quotidien et j’en suis très satisfait car cela me sera sans doute utile un jour où l’autre. Je reste cependant lucide. Je sais bien qu’Archlinux n’est pas un système fait pour moi à l’heure actuelle et je suis bien conscient qu’il ne s’agissait là que de la première marche. La plus facile. Dans les faits je suis encore bien incapable d’administrer une telle distribution au quotidien, car il ne faut pas se le cacher c’est à ce niveau que ce situe la vraie difficulté. En revanche désormais je le sais, avec un peu de travail je peux finir par y arriver. Je sais aussi que même si je m’arrête en route, j’en sortirai moins bête et mieux armé pour maîtriser mon système. Dans tous les cas cette installation ça a été que du bon et c’est pour cela que je vous incite à en faire autant.

Gardez toutefois à l’esprit que je ne vous dis pas de tout larguer et de vous coller sous Archlinux hein! Je parle bien d’installation et non d’utilisation. Lancez-vous sur une vieille bécane ou dans une Vbox et n’ayez pas peur car au final vous allez-voir, ce n’est pas si compliqué. Techniquement je dirais même que c’est trois fois rien, mais ça apporte beaucoup. 

Alors si ça vous avez l’impression d’avoir raté votre vie de GNU/Linuxien, vous pouvez vous lancer en vous appuyant sur l’excellent guide d’installation mis à disposition et maintenu par Tonton Fred. Celui-ci constitue une très bonne base pour commencer et devrait s’avérer suffisant pour que vous arriviez à finaliser votre installation sans trop de problèmes.

Si cela ne suffit pas vous pouvez également vous appuyer sur le wikiArch du site officiel francophone. Vous y trouverez tout le reste.

Amusez-vous bien et bonne install!

Original post of La vache libre.Votez pour ce billet sur Planet Libre.

Il y a des années de ça, je me suis lancé dans l'aventure de l'hébergement à la maison avec notamment la gestion de mes mails. Dès le départ, je suis parti sur de la Debian GNU/Linux et j'ai installé les outils Postfix et Courier pour gérer les couches SMTP et IMAP.

Cette semaine, j'ai remplacé Courier par Dovecot qui est plus complet, plus simple à configurer et au cœur de beaucoup de documentations. J'avais également besoin d'intégrer Sieve pour gérer des règles de tri coté serveur.

Je ne détaillerai pas la procédure de migration car j'ai pioché dans pas mal d'articles. Globalement, tout s'est très bien passé et ça été transparent pour les quelques utilisateurs du serveur. Cependant, je me suis confronté à une erreur lorsque qu'ai voulu supprimer un dossier via mon client Thunderbird :

[CANNOT] Renaming not supported across conflicting directory permissions

Après quelques recherches, il s'avère que les répertoires Maildir des utilsateurs, générés avec la commande maildirmake ~/Maildir, ont un chmod 700 et que par défaut, lors de la création d'un répertoire, son chmod est 755. Dans la version 2.2.*, Dovecot vérifie que les chmod des dossiers correspondent pour valider la suppression et comme ce n'est pas le cas, cette erreur apparait.

Ainsi, quand un répertoire est créé dans l'arborescence de la boite mail, il ne peut plus être supprimé sans faire un chmod 700 ~/Maildir/.LeRepertoire. Pour résoudre le souci et faire en sorte que le chmod soit le bon, j'ai simplement joué avec les ACL. Pour chaque utilisateur hébergé, j'ai lancé cette commande :

$ setfacl -d --set u::rwx,g::-,o::- ~/Maildir/

Ainsi, lorsqu'un répertoire est créé dans ~/Maildir, son chmod est par défaut en 700 et je peux le supprimer via Dovecot au travers de mon client Thunderbird !

J'en ai également profité pour faire un wrapper sur le serveur :

#!/bin/sh

maildirmake.dovecot "$1"
setfacl -d --set u::rwx,g::-,o::- "$1"

Original post of Simon Vieille.Votez pour ce billet sur Planet Libre.

J’ai pris un abonnement NordVPN de 2 ans fin décembre 2017. Il me sert principalement à télécharger et parfois à changer/masquer mon adresse IP réelle pour un besoin ou un autre. J’utilise toujours le même petit script pour contrôler la connexion VPN. J’ai constaté quelques soucis dans mon utilisation.

Des défauts à corriger

Voici l’alias que j’utilisais avant dans ~/.bash_aliases (vous pouvez le mettre directement dans ~/.bashrc).

alias vpn='(sudo openvpn --config $(find /etc/openvpn/ovpn_udp -type f | shuf -n 1) --auth-user-pass ~/.config/nordvpn_auth >/dev/null 2>&1 &); while ! ip a show dev tun0 up >/dev/null 2>&1; do sleep 0.5; done && ~/Scripts/myip.sh'
--config $(find /etc/openvpn/ovpn_udp -type f | shuf -n 1) # Je prends un fichier de config au hasard dans le dossier /etc/openvpn/ovpn_udp
--auth-user-pass ~/.config/nordvpn_auth # J'indique mes identifiants NordVPN dans le fichier ~/.config/nordvpn_auth (chmod 600)
>/dev/null 2>&1 # Je redirige les flux de sortie standard et d'erreur vers /dev/null
while ! ip a show dev tun0 up >/dev/null 2>&1; do sleep 0.5; done # Tant que l'interface tun0 (VPN) n'est pas up, on boucle
&& ~/Scripts/myip.sh # Dès que l'interface tun0 est up (&&) on lance le script myip.sh

Évidemment cet alias est le résultat de choix personnels : 1/ Je lance un fichier de config au hasard (donc je me connecte à un serveur random chez NordVPN) afin d’avoir une IP différente à chaque fois. Dans les faits j’ai bien une IP différente mais je me retrouve souvent avec une bande passante en download minable, je dois donc relancer 3-4 fois le VPN pour arriver à une vitesse de téléchargement convenable 2/ Parfois la connexion VPN ne se faisait pas, j’utilisais alors pko (alias pko='sudo pkill openvpn') pour tuer le VPN puis je relancais vpn. Je n’ai jamais creusé pourquoi (flemme) et puis j’envoie les flux de sortie et d’erreur vers /dev/null 3/ J’aurais pu affiner mon find pour lancer uniquement des connexions VPN us ou uk par exemple (mais ça ne garantit en rien que la vitesse de téléchargement soit correcte)

Le DNS leak (fuite DNS) est un autre gros morceau/problème, OpenVPN laisse fuiter les requêtes DNS. Concrètement votre VPN est up, vous surfez et votre adresse IP est différente de celle de votre domicile. Tout va bien ! Sauf que pour les requêtes DNS, vous interrogez le serveur DNS de votre fournisseur internet. C’est mieux expliqué ici (en Anglais), le schéma suivant me semble explicite (ISP = Internet Service Provider = Fournisseur d’accès à Internet = FAI).

openpyn pour vous servir

Au bout d’un moment le souci 1/ a commencé à me gonfler et je me suis mis en recherche d’une solution (je pensais initialement jeter un œil aux infos proposées par l’API de NordVPN comme la latence). Je suis tombé sur openpyn un petit programme Python3 en GPLv3 qui propose pas mal de choses mais pour NordVPN :

• Choix automatique du « meilleur » serveur VPN basé sur la latence et l’encombrement du serveur notamment
• Prévention du DNS leak
• Création du service systemd si l’on souhaite que la connexion VPN soit lancée dès le démarrage
• Kill switch (expérimental) afin de stopper toute connexion dès que la connexion VPN tombe pour éviter qu’on découvre notre adresse IP réelle
• Téléchargement et mises à jour automatique des fichiers de config OpenVPN de NordVPN
• Possibilité de choisir des serveurs spécifiques chez NordVPN (« Netflix » --netflix, « Peer To Peer » --p2p, « Dedicated IP » --dedicated, « Tor Over VPN » --tor, « Double VPN » --double, « Anti DDos » --anti-ddos)
• Et d’autres features, précisons qu’il prend en charge les options OpenVPN (-o)

Après un pip3 install openpyn (éventuellement précédé de apt install openvpn unzip wget python3-setuptools python3-pip), on lance un openpyn --init qui va vous demander les identifiants de connexion à NordVPN et votre pays par défaut (si j’ai bien compris pour le service systemd, moi je m’en sers pas donc je m’en fous). Maintenant il suffit juste de openpyn uk pour qu’il se connecte au « meilleur » serveur VPN du Royaume-Uni (United Kingdom) par exemple. Voici la sortie.

openpyn uk
According to NordVPN, Least Busy 10 Servers in UK With 'Load' Less Than 70 Which Support OPENVPN-UDP Are: [['uk464', 4], ['uk477', 4], ['uk862', 4], ['uk563', 5], ['uk569', 5], ['uk842', 5], ['uk859', 5], ['uk322', 6], ['uk441', 6], ['uk562', 6]]

Pinging Server uk464 min/avg/max/mdev = [12, 12, 12, 0] 

Pinging Server uk477 min/avg/max/mdev = [11, 11, 12, 0] 

Pinging Server uk862 min/avg/max/mdev = [11, 11, 11, 0] 

Pinging Server uk563 min/avg/max/mdev = [9, 10, 11, 0] 

Pinging Server uk569 min/avg/max/mdev = [10, 10, 10, 0] 

Pinging Server uk842 min/avg/max/mdev = [10, 11, 13, 1] 

Pinging Server uk859 min/avg/max/mdev = [10, 11, 11, 0] 

Pinging Server uk322 min/avg/max/mdev = [10, 10, 11, 0] 

Pinging Server uk441 min/avg/max/mdev = [10, 10, 11, 0] 

Pinging Server uk562 min/avg/max/mdev = [9, 10, 10, 0] 

Top 10 Servers with Best Ping Are: ['uk563', 'uk569', 'uk322', 'uk441', 'uk562', 'uk477', 'uk862', 'uk859', 'uk842', 'uk464']

Out of the Best Available Servers, Chose uk563

2019-01-12 10:34:26 [SUCCESS] CONNECTING TO SERVER uk563 ON PORT udp
2019-01-12 10:34:26 [SUCCESS] Your OS 'linux' has systemd-resolve running, using it to update DNS Resolver Entries

Les logs openpyn se trouvent dans /var/log/openpyn. Les identifiants de connexion sont stockés dans /usr/local/lib/python3.6/dist-packages/openpyn/credentials.

Quelques tests et vérifications plus tard

Je suis en fibre 100M, j’étais satisfait à partir de 50M une fois la connexion VPN effectuée et mesurée avec mon petit script. Maintenant avec openpyn je tourne régulièrement à 90M, certes le changement d’IP n’est plus d’actualité mais il me suffit de lancer openpyn avec un autre pays si besoin. Concernant le point 2/ (parfois la connexion VPN ne se faisait pas), résolu. Je pense que c’est lié au fait que openpyn relance automatiquement une connexion VPN en cas d’erreurs, il gère également une sorte de failover si la connexion VPN s’arrête il passe au « meilleur » serveur suivant.

Deux sites de référence pour « vérifier » les fuites DNS et les infos vues par les sites que l’on visite : IPLEAK et DNS leak. Je vous conseille de tester un « avant » openpyn et un « après » pour confirmer que ça fonctionne et comprendre ce qui change. openpyn fait le job, OpenVPN seul non.

Afin d’être plus précis sur le DNS leak d’OpenVPN, il est possible de fixer les fuites DNS mais je résumerais en disant que c’est compliqué sur Linux. L’option block-outside-dns existe mais « Block DNS servers on other network adapters to prevent DNS leaks. This option prevents any application from accessing TCP or UDP port 53 except one inside the tunnel. It uses Windows Filtering Platform (WFP) and works on Windows Vista or later. This option is considered unknown on non-Windows platforms and unsupported on Windows XP, resulting in fatal error ». Beaucoup de solutions sont proposées sur le net, certaines avec iptables, d’autres en modifiant le fichier de config .ovpn, des scripts, utiliser votre propre serveur DNS… bref un peu de boulot à prévoir pour trier les bonnes solutions (et ensuite celles qui sont simples à mettre en œuvre par rapport à nos cas d’utilisation).

Config actuelle et prochaine étape

Mon alias dorénavant est alias vpn='(openpyn uk >/dev/null 2>&1 &); while ! ip a show dev tun0 up >/dev/null 2>&1; do sleep 0.5; done && ~/Scripts/myip.sh'.

Dans la sphère privée (pas pro), je considère que le couple OpenVPN + openpyn + NordVPN est ce qu’il y a de mieux actuellement (pour des usages comme le téléchargement, d’autres problèmatiques comme l’anonymat strict trouveront une solution avec Tor). Je vous rappelle que WireGuard est l’OpenVPN killer (ce que je confirme même si il ne fait pas « autant » de choses) mais qu’il est toujours en Work in Progress. Il devrait être intégré au noyau probablement cette année.

Oh tiens NordVPN bosse sur le support de WireGuard, quelle bonne idée

Tcho les filles !

Original post of blog-libre.Votez pour ce billet sur Planet Libre.