WIP: premier passage
This commit is contained in:
parent
411072d5ea
commit
c7f77eeed4
|
@ -8,7 +8,7 @@ tags: autohébergement,décentralisation,pair à pair,planet libre,service,tribu
|
|||
|
||||
Bonjour les gens,
|
||||
|
||||
J'aimerai revenir sur une notion dont on a beaucoup parlé (au moins [ici](/posts/le-droit-la-justice-et-internet/) et [là](/posts/ameliorer-lunivers-informatique/)) et dont on parlera beaucoup encore, vu qu'il s'agit d'un pan important de ce pourquoi nous nous battons.
|
||||
J'aimerai revenir sur une notion dont on a beaucoup parlé (au moins [ici](/posts/le-droit-la-justice-et-internet/) et [là](/posts/ameliorer-lunivers-informatique)) et dont on parlera beaucoup encore, vu qu'il s'agit d'un pan important de ce pourquoi nous nous battons.
|
||||
|
||||
J'aimerais clarifier et élargir toutes les très jolies choses que l'on met derrière ce terme, et éviter qu'il continue de vous faire peur afin que vous puissiez enfin dormir enfin à peu près convenablement.
|
||||
|
||||
|
|
|
@ -14,7 +14,7 @@ Commençons par les choses un peu moins gaies. Vous avez du vous rendre compte d
|
|||
|
||||
La seconde explication est tout simplement la baisse de l'enthousiasme de l'équipe, qui n'est pour le moment constituée que de deux personnes. Je ne vais pas rentrer dans les affaires internes, mais disons que nous attendions beaucoup de nos amis pour venir prendre part avec nous à l'aventure, et beaucoup se sont montrés intéressés et n'ont par la suite donné aucune nouvelle. Nous avons également parfois l'impression d'écrire nos articles dans le vent, nous avons très peu de retour de votre part, vous les lecteurs.
|
||||
|
||||
Cependant, nous savons que le site est de temps en temps visité, comme en témoigne l’anecdote suivante : Dans mon [tutoriel Let's Encrypt](/posts/securiser-ses-sites-web-avec-lets-encrypt/), j'avais fourni un script qui envoyait automatiquement un mail à l'administrateur du succès de l'opération, et j'avais laissé ma propre adresse. J'ai ainsi reçu avec amusement une série de mails de notifications émanant de serveurs dont les administrateurs avaient oublié de modifier cette adresse. Je n'en veux bien sûr à personne, cela rassure un peu sur la fréquentation du site.
|
||||
Cependant, nous savons que le site est de temps en temps visité, comme en témoigne l’anecdote suivante : Dans mon [tutoriel Let's Encrypt](/posts/securiser-ses-sites-web-avec-lets-encrypt), j'avais fourni un script qui envoyait automatiquement un mail à l'administrateur du succès de l'opération, et j'avais laissé ma propre adresse. J'ai ainsi reçu avec amusement une série de mails de notifications émanant de serveurs dont les administrateurs avaient oublié de modifier cette adresse. Je n'en veux bien sûr à personne, cela rassure un peu sur la fréquentation du site.
|
||||
|
||||
Mais pour le reste, dans l'ensemble, nous avons souvent l'impression de nous entêter à nous donner beaucoup de mal pour finalement pas grand chose. Nous nous investissons énormément, intellectuellement et même un peu financièrement, pour essayer de fournir une expérience certes pas parfaite ni professionnelle, mais la meilleure que nous pouvons. Je pense d'ailleurs qu'il s'agit de l'originalité du blog, si tant est qu'elle existe, car même si nous avons une certaine connaissance préliminaire du terrain et avons quelques prédispositions, nous découvrons le monde, aussi dur soit-il, et ses nouveautés, nous nous y adaptons, nous y faisons face et nous apprenons en même temps et au même niveau que vous, chers lecteurs, car nous savons que nous sommes logés à la même enseigne. Nous avons donc beaucoup misé sur l'interaction du site avec ses lecteurs, car nous n'aspirons pas à être meilleurs que vous. Nous savons que des gens beaucoup plus doués que nous sont amenés (avec un peu de chance) à tomber sur ce site. Nous voulons simplement partager notre vécu et que vous partagiez le votre entre vous. C'est en partageant et en nous entraidant que nous parviendrons à changer le monde.
|
||||
|
||||
|
|
|
@ -22,7 +22,7 @@ En ce qui me concerne, quelques évènements auxquels j'ai participé ces dernie
|
|||
|
||||
Membres présents de l'association [LILA](https://libreart.info/en/index-p2.html) lors des JDLL
|
||||
|
||||
- Le 21 mai, je me suis rendu à Toulouse pour rencontrer David Revoy, le créateur du webcomic [Pepper & Carrot](/posts/david-revoy/) dont on vous a déjà parlé, lors d'une [séance de dédicace](https://pod.hashtagueule.fr/posts/85108) dans une petite librairie.
|
||||
- Le 21 mai, je me suis rendu à Toulouse pour rencontrer David Revoy, le créateur du webcomic [Pepper & Carrot](/posts/david-revoy) dont on vous a déjà parlé, lors d'une [séance de dédicace](https://pod.hashtagueule.fr/posts/85108) dans une petite librairie.
|
||||
|
||||
Je ne pourrai malheureusement pas me rendre aux prochaines [RMLL](https://2017.rmll.info/) à Saint-Étienne En fait si, je me suis juste emmêlé les pinceaux au moment de regarder dans mon calendrier, j'y serai donc les 1er et 2 juillet prochains. D'autre part, je vais tout faire pour me rendre aux prochain [Capitole du Libre](https://2017.capitoledulibre.org/) à Toulouse les 18 et 19 novembre prochains (ça semble encore loin certes).
|
||||
|
||||
|
|
|
@ -30,7 +30,7 @@ La question qu'il est légitime de se poser à ce niveau, c'est : **Mais Raspbeg
|
|||
|
||||
Et ce tutoriel, ma foi, nous ne le commencerons pas aujourd'hui. Non non. Mais bientôt je vous le promet. J'ai réfléchi longuement à ce problème pour le décomposer en sous-parties. Voici mon plan d'attaque :
|
||||
|
||||
1. **[La gestion de conflits LAN to LAN](/posts/parcs-informatiques-partie-1-lan-to-lan/)** : résoudre les problèmes de routage induits par les conflits exposés ci dessus.
|
||||
1. **[La gestion de conflits LAN to LAN](/posts/parcs-informatiques-partie-1-lan-to-lan)** : résoudre les problèmes de routage induits par les conflits exposés ci dessus.
|
||||
2. **L'uniformisation des accès VPN**, ou comment éviter à l'utilisateur de se prendre la tête avec 50 commandes faisant toutes la longueur de mon bras.
|
||||
3. **La gestion des droits** : autoriser un groupe de personnes à effectuer des actions précises et uniquement ces actions.
|
||||
|
||||
|
|
|
@ -8,7 +8,7 @@ tags: lawrence lessig,news,présidentielle us
|
|||
|
||||
Bonjour à tous !
|
||||
|
||||
Je vous avais déjà parlé [ici](/posts/presidentielle-us/) des présidentielles US et plus particulièrement de Lawrence Lessig, candidat à l'investiture démocrate. Update et présages...
|
||||
Je vous avais déjà parlé [ici](/posts/presidentielle-us) des présidentielles US et plus particulièrement de Lawrence Lessig, candidat à l'investiture démocrate. Update et présages...
|
||||
|
||||
Petit rappel pour ceux qui ne prendront pas le temps de lire l'article précédent : Lawrence Lessig, avant d'être candidats à la présidentielle états-unienne, est un avocat spécilalisé dans le droit constitutionnel et la propriété intellectuelle, pour laquelle il a beaucoup œuvré sur internet en tant qu'activiste, avant de fonder les Creatives Commmons, essentiel au partage simplifié d'images sur internet.
|
||||
|
||||
|
|
|
@ -10,7 +10,7 @@ Bonjour à tous !
|
|||
|
||||
Le titre est assez explicite : on rempile sur d'autres points de vue sur le chiffrement, ce qui a été dit, les argumentaires etc.
|
||||
|
||||
Le chiffrement est un thème complexe en général, et avant d'en avoir fait le tour, il est nécessaire d'avoir beaucoup lu, réfléchi, etc. Et encore, notre réflexion ne s'attaque aux algorithmes que superficiellement, histoire d'en connaître leur structure et leur utilité, pas les détails d'implémentation. Vous l'avez compris, on reprend [là où on s'était arrêtés](/posts/la-guerre-du-chiffrement/).
|
||||
Le chiffrement est un thème complexe en général, et avant d'en avoir fait le tour, il est nécessaire d'avoir beaucoup lu, réfléchi, etc. Et encore, notre réflexion ne s'attaque aux algorithmes que superficiellement, histoire d'en connaître leur structure et leur utilité, pas les détails d'implémentation. Vous l'avez compris, on reprend [là où on s'était arrêtés](/posts/la-guerre-du-chiffrement).
|
||||
|
||||
# L'EFF
|
||||
|
||||
|
@ -49,7 +49,7 @@ Je vous encourage à la regarder, puisque c'est fait sur un ton humoristique, et
|
|||
|
||||
- À _2:18/6:10_, John Oliver parle de l'iPhone de Syed Farook, et dit que le FBI ne peut pas rentrer dedans, ce qui n'est que la moitié de l'histoire : Apple a fourni la backup iCloud de cet iPhone. De plus la NSA a des accès aux iPhones probablement via des malwares et autres chevaux de troie, cf. [ce qu'en dit Snowden](https://news.vice.com/article/edward-snowden-calls-bullshit-on-fbis-claim-that-it-cant-unlock-iphone), conséquence du fait qu'il n'existe pas de machine de Turing (donc d'ordinateur) absolument sécurisée contre toutes les attaques.
|
||||
- À _4:26_ : en effet, beaucoup pensent de manière trop simpliste au chiffrement. Pas de sécurité sur internet sans. Et c'est pas parce qu'on veut quelque chose qu'on l'obtient. En l'occurrence, les maths disent le contraire : si je chiffre des données avec un algorithme puissant, il va parfois être nécessaire d'utiliser des centaines de machines pendant des milliers d'heures pour décrypter ce qui a été chiffré. D'où l'utilisation d'une backdoor dans le logiciel comme solution alternative.
|
||||
- À _8:00_ : 175 iPhones état de NY seul. Cela conforte mon opinion que l'essentiel de cette affaire est le côté légal, cf. les autres arguments de [La guerre sur le chiffrement 1](/posts/la-guerre-du-chiffrement/).
|
||||
- À _8:00_ : 175 iPhones état de NY seul. Cela conforte mon opinion que l'essentiel de cette affaire est le côté légal, cf. les autres arguments de [La guerre sur le chiffrement 1](/posts/la-guerre-du-chiffrement).
|
||||
- À _8:39_ : All Writs Act : déjà cité dans l'amicus de l'EFF : selon l'EFF cet argument de type légal ne peut pas aller contre la constitution, cf. p.32 de l'amicus. Le texte de la loi énonce :
|
||||
|
||||
> (a) The Supreme Court and all courts established by Act of Congress may issue all writs necessary or appropriate in aid of their respective jurisdictions and agreeable to the usages and principles of law.
|
||||
|
|
|
@ -8,7 +8,7 @@ tags: apple,chiffrement,fbi,google,iphone,nsa,planet libre,snowden,tribunes,vie
|
|||
|
||||
Bonjour à tous !
|
||||
|
||||
Ça va peut-être vous paraître bizarre, mais je pense qu'il est grand temps de reparler de chiffrement, [un](/posts/tor-messenger/) [dada](/posts/lets-encrypt/) [chez](/posts/smssecure-vs-textsecure/) [moi](/posts/email-2-0/) me direz-vous. En effet, ça fait depuis mi-novembre (à cause des attentats du 13, en fait) que les choses ont commencé à s'agiter,
|
||||
Ça va peut-être vous paraître bizarre, mais je pense qu'il est grand temps de reparler de chiffrement, [un](/posts/tor-messenger/) [dada](/posts/lets-encrypt/) [chez](/posts/smssecure-vs-textsecure/) [moi](/posts/email-2-0) me direz-vous. En effet, ça fait depuis mi-novembre (à cause des attentats du 13, en fait) que les choses ont commencé à s'agiter,
|
||||
|
||||
Revenons sur l'actualité récente. Depuis [dix jours](http://www.numerama.com/politique/146161-tim-cook-explique-pourquoi-apple-refuse-daider-le-fbi.html), Apple [s'est relancé](http://www.numerama.com/magazine/30685-ios-8-chiffrement.html) dans la guerre pour le chiffrement, face au FBI et à la NSA. Suivit par le PDG de Whatsapp (et [Mark Zucherberg](http://www.numerama.com/politique/147609-mark-zuckerberg-comprend-la-position-dapple-face-au-fbi.html)) et celui de [Google](http://gizmodo.com/google-ceo-finally-chimes-in-on-fbi-encryption-case-sa-1759769257).
|
||||
|
||||
|
|
|
@ -26,7 +26,7 @@ Je rappelle que je ne fais que donner mon avis. Vous êtes libres de sortir dans
|
|||
|
||||
Donc aujourd'hui, disais-je, mon impression est que le progrès a été nettement plus centralisé. On a focalisé nos efforts sur une technologie particulière (quoique vaste) qui est l'informatique et ses sous domaines, comme le big-data ou l'interface homme-machine, et on en a mis partout. Quand je dis partout, je veux dire partout. La liste des objets qui ne disposent pas d'un système d'exploitation standardisé se réduit à une peau de chagrin de nos jours, et c'est donc le règne de la micro et macro-informatique.
|
||||
|
||||
Ce qui découle aussi d'un phénomène plus global : au lieu d'inventer de nouvelles technologies, on a surtout perfectionné les technologies existantes : les voitures ne volent pas et roulent toujours au pétrole, mais elle sont plus sures et moins gourmandes (sauf [exceptions](/posts/volkswagen/)).
|
||||
Ce qui découle aussi d'un phénomène plus global : au lieu d'inventer de nouvelles technologies, on a surtout perfectionné les technologies existantes : les voitures ne volent pas et roulent toujours au pétrole, mais elle sont plus sures et moins gourmandes (sauf [exceptions](/posts/volkswagen)).
|
||||
|
||||
Ce qui donne au final une image très différente de l'année 2015.
|
||||
|
||||
|
|
|
@ -8,7 +8,7 @@ tags: dompter sa machine,planet libre,tests
|
|||
|
||||
Bonjour à tous
|
||||
|
||||
Allez, on va dire que vous n'avez pas remarqué les quelques semaines mois de silence de notre part, je pourrais encore me ressortir des excuses moisies, mais je l'ai déjà fait dans [quelques articles précédents](/posts/edito-8-cest-la-rentree/). J'espère donc que vous ne m'en voudrez pas si je m'épargne cette peine.
|
||||
Allez, on va dire que vous n'avez pas remarqué les quelques semaines mois de silence de notre part, je pourrais encore me ressortir des excuses moisies, mais je l'ai déjà fait dans [quelques articles précédents](/posts/edito-8-cest-la-rentree). J'espère donc que vous ne m'en voudrez pas si je m'épargne cette peine.
|
||||
|
||||
Beaucoup de choses se sont passées dans l'actualité. Entre l’avènement du porte moumoute américain et le décret du vilain Cazeneuve sur le fichage de l'ensemble des français, les occasions de faire couler de l'encre n'ont pas manqué. Mais bon, je ne vais pas vous en parler ici. Pas encore, du moins.
|
||||
|
||||
|
|
|
@ -100,7 +100,7 @@ C'est là que le bât blesse. En fait je n'ai pas encore trouvé le lecteur qui
|
|||
|
||||
### MPD
|
||||
|
||||
Mon rêve c'est de ne pouvoir tourner qu'avec MPD. Je vous en ai déjà parlé sur l'article [Un jukebox à partir d'un Raspberry Pi](/posts/un-jukebox-a-partir-dun-raspberry-pi/) en vous disant que ça déchire, et c'est effectivement le cas. Ça ne consomme quasiment aucune ressource, ça peut lire plein de formats, ça se contrôle avec un protocole simple (même avec MPRIS2, le protocole universel de contrôle de lecteur multimédia sur Linux, grâce à l'outil [mpDris2](https://github.com/eonpatapon/mpDris2)) et ça vous fout la paix. Le problème, c'est que tous les clients MPD en ligne de commande que j'ai trouvé ont à mon sens une interface peu ergonomique. Le meilleur candidat étant ncmpcpp (déjà il à un nom à coucher dehors), l'ergonomie de son interface (pourtant en très joli ncurse, et vous savez à quel point j'aime ncurse) ne m'a pas emballé. Naviguer dans sa bibliothèque est assez douloureux, la répartition des différentes vues du programme sont pour le moins folkloriques, les raccourcis clavier par défaut sont assez déroutant... Dommage.
|
||||
Mon rêve c'est de ne pouvoir tourner qu'avec MPD. Je vous en ai déjà parlé sur l'article [Un jukebox à partir d'un Raspberry Pi](/posts/un-jukebox-a-partir-dun-raspberry-pi) en vous disant que ça déchire, et c'est effectivement le cas. Ça ne consomme quasiment aucune ressource, ça peut lire plein de formats, ça se contrôle avec un protocole simple (même avec MPRIS2, le protocole universel de contrôle de lecteur multimédia sur Linux, grâce à l'outil [mpDris2](https://github.com/eonpatapon/mpDris2)) et ça vous fout la paix. Le problème, c'est que tous les clients MPD en ligne de commande que j'ai trouvé ont à mon sens une interface peu ergonomique. Le meilleur candidat étant ncmpcpp (déjà il à un nom à coucher dehors), l'ergonomie de son interface (pourtant en très joli ncurse, et vous savez à quel point j'aime ncurse) ne m'a pas emballé. Naviguer dans sa bibliothèque est assez douloureux, la répartition des différentes vues du programme sont pour le moins folkloriques, les raccourcis clavier par défaut sont assez déroutant... Dommage.
|
||||
|
||||
### cmus
|
||||
|
||||
|
|
|
@ -6,7 +6,7 @@ template: post
|
|||
tags: architecture,auto-hébergement,planet libre,serveur,sysadmin,théorie,tutoriels,web
|
||||
---
|
||||
|
||||
Vous vous en souvenez peut-être, nous avions effectué [un tutoriel Let's Encrypt](/posts/securiser-ses-sites-web-avec-lets-encrypt/) quelques jours après sa mise en bêta publique. D'ailleurs, il mériterait un petit relooking, vu que quelques détails ont un peu changé, et que d'autres clients ACME ont vu le jour. Par exemple on a honteusement passé sous silence l'excellent [acme.sh](https://github.com/Neilpang/acme.sh) qui a le mérite de ne pas demander une ribambelle de dépendance en temps que simple script Bash. De plus, le client principal (dont le nom est désormais Certbot) a désormais implémenté des extensions Apache et Nginx qui fonctionnent (presque) comme on le souhaite, à savoir modifier tout seul les configurations des sites pour fonctionner avec Let's Encrypt. Cependant je reste plus enclin à utiliser la méthode manuelle.
|
||||
Vous vous en souvenez peut-être, nous avions effectué [un tutoriel Let's Encrypt](/posts/securiser-ses-sites-web-avec-lets-encrypt) quelques jours après sa mise en bêta publique. D'ailleurs, il mériterait un petit relooking, vu que quelques détails ont un peu changé, et que d'autres clients ACME ont vu le jour. Par exemple on a honteusement passé sous silence l'excellent [acme.sh](https://github.com/Neilpang/acme.sh) qui a le mérite de ne pas demander une ribambelle de dépendance en temps que simple script Bash. De plus, le client principal (dont le nom est désormais Certbot) a désormais implémenté des extensions Apache et Nginx qui fonctionnent (presque) comme on le souhaite, à savoir modifier tout seul les configurations des sites pour fonctionner avec Let's Encrypt. Cependant je reste plus enclin à utiliser la méthode manuelle.
|
||||
|
||||
À l'époque, je vous parlais d'une infrastructure simple, à savoir un unique serveur frontal : c'est lui qui interceptait les requêtes et qui les traitait, point barre. L'infra d'un site avec une audience restreinte, car tout doit être traité par une unique machine. Bonjour l'indispo surprise.
|
||||
|
||||
|
@ -25,7 +25,7 @@ On constate que le répartiteur de charge est un potentiel goulot d'étranglemen
|
|||
|
||||
Disons maintenant que l'on souhaite apposer un certificat sur cette architecture. Question à dix sesterces : qui parmi ces serveurs doit porter ce certificat ?
|
||||
|
||||
Si on choisit de faire porter le certificat par les frontaux, cela signifie qu'il faut que tous les frontaux doivent le porter, et qu'il faudra déployer le certificat sur toutes ces machine à chaque renouvellement. Mais surtout, cela signifie que, le trafic étant chiffré jusqu'aux frontaux, le répartiteur de charge ne pourra pas prendre en compte le contenu de la requête dans sa stratégie de répartition, ce qui est fort pénalisant. En effet, il est coutume de configurer le répartiteur de charge pour distribuer certaines URL sur un pool de frontaux différent du pool normal, par exemple le _back-office_ (la page d'administration et de saisie de contenu du site). Enfin dernier point, si vous vous souvenez du fonctionnement du protocole ACME comme décrit dans [notre tutoriel](/posts/securiser-ses-sites-web-avec-lets-encrypt/), vous saurez que le certificat doit être généré sur la machine qui en fait la demande et qui répondra au challenge ACME. Ceci implique qu'un des frontaux doit être désigné pour la génération des certificat, et donc que le répartiteur de charge doit rediriger toutes les requêtes de type ACME vers ce frontal, ce qui est à la fois moche et justement impossible car notre répartiteur de charge ne peut pas comprendre ce qu'il redirige à cause du chiffrement.
|
||||
Si on choisit de faire porter le certificat par les frontaux, cela signifie qu'il faut que tous les frontaux doivent le porter, et qu'il faudra déployer le certificat sur toutes ces machine à chaque renouvellement. Mais surtout, cela signifie que, le trafic étant chiffré jusqu'aux frontaux, le répartiteur de charge ne pourra pas prendre en compte le contenu de la requête dans sa stratégie de répartition, ce qui est fort pénalisant. En effet, il est coutume de configurer le répartiteur de charge pour distribuer certaines URL sur un pool de frontaux différent du pool normal, par exemple le _back-office_ (la page d'administration et de saisie de contenu du site). Enfin dernier point, si vous vous souvenez du fonctionnement du protocole ACME comme décrit dans [notre tutoriel](/posts/securiser-ses-sites-web-avec-lets-encrypt), vous saurez que le certificat doit être généré sur la machine qui en fait la demande et qui répondra au challenge ACME. Ceci implique qu'un des frontaux doit être désigné pour la génération des certificat, et donc que le répartiteur de charge doit rediriger toutes les requêtes de type ACME vers ce frontal, ce qui est à la fois moche et justement impossible car notre répartiteur de charge ne peut pas comprendre ce qu'il redirige à cause du chiffrement.
|
||||
|
||||
La solution la plus sensée, qui maintient également le plus l'isométrie des frontaux, est de faire porter le certificat par le répartiteur de charge.
|
||||
|
||||
|
|
|
@ -8,7 +8,7 @@ tags: architecture,auto-hébergement,planet libre,sécurité,ssl,sysadmin,tutori
|
|||
|
||||
Le fonctionnement de la Terre, avant qu'un certain Galilée y mette son grain de sel, a toujours déchaîné les passions des Hommes et a consommé beaucoup d'encre. Parmi les théories les plus folles, Terry Pratchett nous enseigne dans sa série de livres du _Disque Monde_ que le monde repose sur le dos de quatre gigantesques éléphants, eux-même reposant sur la carapace d'une tortue encore plus gigantesque appelée A'Tuin. Les quatre éléphants (Bérilia, Tubul, Ti-Phon l'Immense et Jérakine) se répartissent la charge que représente le poids du disque terrestre grâce à la rotation quotidienne de ce dernier. Si maintenant vous ne voyez pas le rapport entre une cosmologie impliquant des animaux au moins aussi grands que des continents capable de tenir en apnée pendant des milliards d'années et le sujet d'aujourd'hui, alors je ne sais plus quoi faire.
|
||||
|
||||
Nous avons vu [il y a quelques jours](/posts/lets-encrypt-sur-haproxy-partie-1/) les principes de base d'un répartiteur de charge et exposé brièvement les concepts fondamentaux de HAProxy. Nous avons également mené une réflexion sur la manière de gérer un certificat sur une architecture avec répartiteur de charge et la voix du bon sens nous a susurré que le certificat devait être porté par HAProxy. Bon, mettons ça en pratique.
|
||||
Nous avons vu [il y a quelques jours](/posts/lets-encrypt-sur-haproxy-partie-1) les principes de base d'un répartiteur de charge et exposé brièvement les concepts fondamentaux de HAProxy. Nous avons également mené une réflexion sur la manière de gérer un certificat sur une architecture avec répartiteur de charge et la voix du bon sens nous a susurré que le certificat devait être porté par HAProxy. Bon, mettons ça en pratique.
|
||||
|
||||
Rangez vos affaires, sortez une feuille, interro surprise. Rappelez-moi ce qu'est le principe de base du protocole ACME. Et comme vous suivez bien et que vous buvez les paroles de l'instituteur comme un breton boit du cidre, vous saurez donc me répondre que l'agent de certification crée un challenge ACME en générant des fichiers de test auxquels le serveur ACME devra pouvoir accéder via HTTP, ces fichiers étant soit servis par l'agent via un serveur web intégré, soit mis à disposition du serveur de notre choix qui servira ces fichiers en statique. C'est en pratique presque toujours la deuxième solution qui est utilisée, sachant que justement, un serveur web tourne déjà sur les ports web standard (80 et 443). On ne veut pas d'interruption de service, non mais.
|
||||
|
||||
|
|
|
@ -53,7 +53,7 @@ Absolument pas. Ce serait bien évidemment à la fois une tonne de paperasse et
|
|||
|
||||
**Tu as assez de place sur tes disques pour héberger tout le contenu artistique des utilisateurs ?**
|
||||
|
||||
Ta question est bête, Antoinette, mais le sujet ne l'est pas, Roberta. Bien entendu que quand le site gagnera en popularité, si tout le monde dépose du contenu comme des gros porcs, je vais vite poser la clef sous la porte. Mon plan d'attaque est d'imposer des quotas, genre pas plus de 5 Go par utilisateur dans un premier temps. Il faudra que j'y réfléchisse. Ensuite, si la demande d'espace supplémentaire est forte et/ou y a vraiment plein d'utilisateurs (ce qui est une bonne chose hein), je vais devoir proposer des plans payants. Eh oui, l'espace disque, c'est pas gratuit malheureusement, si vous me croyez pas, allez lire mon [tutoriel sur le RAID](/posts/ca-va-devenir-raid-dans-votre-serveur/). Ça ne m'a jamais dérangé de mettre un peu de ma poche pour héberger des projets, mais là, ça fait un gros paquet de poches à retourner.
|
||||
Ta question est bête, Antoinette, mais le sujet ne l'est pas, Roberta. Bien entendu que quand le site gagnera en popularité, si tout le monde dépose du contenu comme des gros porcs, je vais vite poser la clef sous la porte. Mon plan d'attaque est d'imposer des quotas, genre pas plus de 5 Go par utilisateur dans un premier temps. Il faudra que j'y réfléchisse. Ensuite, si la demande d'espace supplémentaire est forte et/ou y a vraiment plein d'utilisateurs (ce qui est une bonne chose hein), je vais devoir proposer des plans payants. Eh oui, l'espace disque, c'est pas gratuit malheureusement, si vous me croyez pas, allez lire mon [tutoriel sur le RAID](/posts/ca-va-devenir-raid-dans-votre-serveur). Ça ne m'a jamais dérangé de mettre un peu de ma poche pour héberger des projets, mais là, ça fait un gros paquet de poches à retourner.
|
||||
|
||||
**Ce sera francophone ?**
|
||||
|
||||
|
|
|
@ -8,7 +8,7 @@ tags: dompter sa machine,ip,iptables,lan,netns,parre-feu,planet libre,réseau,ro
|
|||
|
||||
Salut à tous,
|
||||
|
||||
Voici la première partie du tutoriel en temps réel que je vous avais [présenté](/posts/gerer-plusieurs-parcs-informatiques-partie-0-presentation/). Ici, on commence à mettre les mains dans le cambouis pour corrompre fertiliser notre machine pour qu'elle puisse router les IP comme une déesse.
|
||||
Voici la première partie du tutoriel en temps réel que je vous avais [présenté](/posts/gerer-plusieurs-parcs-informatiques-partie-0-presentation). Ici, on commence à mettre les mains dans le cambouis pour corrompre fertiliser notre machine pour qu'elle puisse router les IP comme une déesse.
|
||||
|
||||
![Schéma global de l'utilisation de notre passerelle](%assets_url%/2015/10/global.png)
|
||||
|
||||
|
|
|
@ -231,4 +231,4 @@ Faites-moi part de vos commentaires !
|
|||
|
||||
_Motius_
|
||||
|
||||
PS : la suite, c'est [par ici](/posts/petit-tuto-lilypond-2/) !
|
||||
PS : la suite, c'est [par ici](/posts/petit-tuto-lilypond-2) !
|
||||
|
|
|
@ -8,7 +8,7 @@ tags: lilypond,musique,partition,planet libre,tutoriel,tutoriels
|
|||
|
||||
Bonjour à tous !
|
||||
|
||||
Vous avez aimé le [petit tuto Lilypond 1](/posts/petit-tuto-lilypond-1/) ? Eh bien c'est reparti pour un tour.
|
||||
Vous avez aimé le [petit tuto Lilypond 1](/posts/petit-tuto-lilypond-1) ? Eh bien c'est reparti pour un tour.
|
||||
|
||||
# Petit récapitulatif
|
||||
|
||||
|
|
|
@ -8,7 +8,7 @@ tags: lilypond,musique,partition,planet libre,tutoriels,tweaks
|
|||
|
||||
Bonjour à tous !
|
||||
|
||||
Je vous propose de continuer la série de tutoriels commencés [ici](/posts/petit-tuto-lilypond-1/) et [là](/posts/petit-tuto-lilypond-2/) sur le logiciel de partitions de musique Lilypond.
|
||||
Je vous propose de continuer la série de tutoriels commencés [ici](/posts/petit-tuto-lilypond-1/) et [là](/posts/petit-tuto-lilypond-2) sur le logiciel de partitions de musique Lilypond.
|
||||
|
||||
Clairement le but sera moins les bases de Lilypond, que je crois avoir pas mal abordé, mais plutôt tous les petits bidouillages que j'ai fait pour améliorer la disposition des notes sur une partition lorsque la configuration par défaut était imparfaite. Ça vous permettra de commencer à faire des recherches sur la documentation et les exemples de Lilypond.
|
||||
|
||||
|
|
|
@ -16,7 +16,7 @@ Ici comme dans pas mal d'articles sur Hashtagueule, il y a un déclencheur perso
|
|||
|
||||
En réalisant ça, j'étais d'abord outré, et ça a même remis en question mon utilisation du programme. Cependant, j'ai trouvé une solution, qui est par ailleurs proposée par les développeurs. J'ai découvert un outil magique qui s'appelle stunnel, qui permet de transformer n'importe quel flux en clair par un flux chiffré à travers un certificat TLS. Pour ceux qui s'y connaissent un peu en serveur web, il s'agit du même principe qu'un reverse proxy comme le ferait un nginx ou un HAproxy, mais pour n'importe quel flux TCP (même si HAproxy est capable de gérer les flux TCP mais c'est moins marrant).
|
||||
|
||||
Du coup, il suffit de posséder un certificat adapté au nom de domaine qui pointe vers votre serveur (chose très facile en utilisant [Let's Encrypt](/posts/securiser-ses-sites-web-avec-lets-encrypt/), pour peu que vous ayez un serveur web qui sert ce nom de domaine) et il vous est possible d'envelopper ce flux dans un tunnel TLS. Voici ce que j'ai ajouté dans ma configuration stunnel :
|
||||
Du coup, il suffit de posséder un certificat adapté au nom de domaine qui pointe vers votre serveur (chose très facile en utilisant [Let's Encrypt](/posts/securiser-ses-sites-web-avec-lets-encrypt), pour peu que vous ayez un serveur web qui sert ce nom de domaine) et il vous est possible d'envelopper ce flux dans un tunnel TLS. Voici ce que j'ai ajouté dans ma configuration stunnel :
|
||||
|
||||
```
|
||||
[bitlbee]
|
||||
|
|
|
@ -20,7 +20,7 @@ Ce que je veux dire, c'est qu'en mettant à jour votre distribution, attendez-vo
|
|||
|
||||
Donc oui j'aime Debian, mais Debian me gonfle parfois. Notamment ce comportement très fâcheux que je viens de découvrir aujourd'hui même concernant OpenVPN.
|
||||
|
||||
OpenVPN, j'en ai [déjà parlé](/posts/parcs-informatiques-partie-1-lan-to-lan/) et je ne m'étendrai pas plus là dessus, est un outil permettant de construire des réseaux virtuels privés (VPN), utiles pour abstraire des réseaux entre des machines géographiquement distantes et/ou pour déporter son point de sortie pour "sembler" se connecter d'ailleurs. Il y a donc une machine qui crée le VPN, dite serveur ou tête de pont, et des machines qui s'y connectent à distance, dites clients.
|
||||
OpenVPN, j'en ai [déjà parlé](/posts/parcs-informatiques-partie-1-lan-to-lan) et je ne m'étendrai pas plus là dessus, est un outil permettant de construire des réseaux virtuels privés (VPN), utiles pour abstraire des réseaux entre des machines géographiquement distantes et/ou pour déporter son point de sortie pour "sembler" se connecter d'ailleurs. Il y a donc une machine qui crée le VPN, dite serveur ou tête de pont, et des machines qui s'y connectent à distance, dites clients.
|
||||
|
||||
J'ai donc une tête de pont que j'ai récemment mis à jour sur Stretch. Tout se passa bien entendu parfaitement en apparence, et tout le monde il était beau. Je me retrouvai avec une jolie Debian Stretch toute mignonne dont le cœur et l'âme n'aurait en aucun cas pu être mis en doute par quiconque. Sauf que sous ses jupons, elle avait dissimulé des trucs moins fun. Et en conséquence, quelques jours après, je me rendis compte que mes clients OpenVPN ne se voyaient plus. Je ne mis pas longtemps à soupçonner la belle Stretch d'avoir des aveux à me faire.
|
||||
|
||||
|
|
|
@ -169,7 +169,7 @@ server {
|
|||
}
|
||||
```
|
||||
|
||||
Les lignes 1 à 9 concernent la redirection de HTTP vers HTTPS. Vous reconnaîtrez certainement aux lignes 6 à 9 et 29 à 32 les instructions qu'on a introduites pour l'automatisation des renouvellements de certificats Let's Encrypt. Si ça ne vous dit rien, vous pouvez faire une cure de rappel [par ici](/posts/securiser-ses-sites-web-avec-lets-encrypt/), c'est gratuit et ça vous met plein de belles choses dans la tête.
|
||||
Les lignes 1 à 9 concernent la redirection de HTTP vers HTTPS. Vous reconnaîtrez certainement aux lignes 6 à 9 et 29 à 32 les instructions qu'on a introduites pour l'automatisation des renouvellements de certificats Let's Encrypt. Si ça ne vous dit rien, vous pouvez faire une cure de rappel [par ici](/posts/securiser-ses-sites-web-avec-lets-encrypt), c'est gratuit et ça vous met plein de belles choses dans la tête.
|
||||
|
||||
Rechargez Nginx, puis il faut maintenant tester sur votre appareil. Dans F-Droid, dans le menu en haut à droite, rendez vous dans la Gestion des dépôts, puis tapez le "+" pour ajouter un dépôt (duh...). Entrez https://bidule.machin.truc/repo en adresse de dépôt et rien pour l'empreinte (vous êtes le seul utilisateur de votre propre dépôt, vous savez déjà la provenance de ce qu'il y a dessus, de plus comme vous êtes déjà en connexion sécurisée, il n'y a plus beaucoup de risques).
|
||||
|
||||
|
|
|
@ -6,7 +6,7 @@ template: post
|
|||
tags: auto-hébergement,http,let's encrypt,nginx,openssl,planet libre,sécurité,serveur,tutoriels,web,www
|
||||
---
|
||||
|
||||
Bonjour à tous ! Nous allons débuter l'année avec un tutoriel sur la prise en main de [Let's Encrypt](/posts/lets-encrypt/), l'autorité de certification censée révolutionner l'usage de la technologie SSL par sa facilité d'usage, et qui doit permettre à Madame Michu de sécuriser son petit blog de cuisine traditionnelle en toute simplicité et sans avoir besoin de faire perdre une après-midi à son petit neveux du côté de sa belle-mère, qui se trouve être administrateur système, afin qu'il lui répète une quinzaine de fois les étapes de création et de validation d'un certificat en bonne et due forme. Ah, la famille...
|
||||
Bonjour à tous ! Nous allons débuter l'année avec un tutoriel sur la prise en main de [Let's Encrypt](/posts/lets-encrypt), l'autorité de certification censée révolutionner l'usage de la technologie SSL par sa facilité d'usage, et qui doit permettre à Madame Michu de sécuriser son petit blog de cuisine traditionnelle en toute simplicité et sans avoir besoin de faire perdre une après-midi à son petit neveux du côté de sa belle-mère, qui se trouve être administrateur système, afin qu'il lui répète une quinzaine de fois les étapes de création et de validation d'un certificat en bonne et due forme. Ah, la famille...
|
||||
|
||||
Mais tout d’abord, je vous souhaite à tous une bonne année 211 - 25 ! Au niveau personnel, je vous souhaite tout le bonheur que vous méritez, tant sur le plan professionnel/scolaire qu'avec votre famille/amis/béguin divers. Instruisez-vous, soyez curieux, incitez vos proches à la sagesse, et bien sûr, restez vous-même gentils.
|
||||
|
||||
|
|
|
@ -446,7 +446,7 @@ Django, a de son côté :
|
|||
|
||||
Cette comparaison n'est évidemment pas exhaustive, mais permet de se rendre compte des convergences et divergences de philosophie de ses deux projets.
|
||||
|
||||
Vous voilà parés pour démarrer ! J'espère que ce tutoriel vous a été utile. Pour ma part, je trouve que Django est très sympathique à utiliser, sa documentation est facile à prendre en main pour un usage débutant, même si elle est touffue. Enfin sachez que raspbeguy et moi-même avons quelques projets web (parmi lesquels [clickstart](/posts/mon-nouveau-projet-dampleur/), et Hashtagueule Express) qui utiliseront peut-être cette technologie.
|
||||
Vous voilà parés pour démarrer ! J'espère que ce tutoriel vous a été utile. Pour ma part, je trouve que Django est très sympathique à utiliser, sa documentation est facile à prendre en main pour un usage débutant, même si elle est touffue. Enfin sachez que raspbeguy et moi-même avons quelques projets web (parmi lesquels [clickstart](/posts/mon-nouveau-projet-dampleur), et Hashtagueule Express) qui utiliseront peut-être cette technologie.
|
||||
|
||||
Bonne journée et bon développement Python/Django !
|
||||
|
||||
|
|
|
@ -10,7 +10,7 @@ Une petite news en provenance du [PyCon](http://www.pycon.org/), la convention c
|
|||
|
||||
Un nouveau shell est né. C'est le genre de nouvelles qui, chez les sysadmins, fait pousser des hourras pour les uns et fait ricaner doucement les autres. Un petit points sur quelques unes de ses caractéristiques.
|
||||
|
||||
Nombreux sont les administrateurs frustrés par les efforts de frappe de texte lorsqu'il s'agit d'utiliser Bash, et qui préfèrent carrément se faire des scripts Python à la place. En effet, si vous vous souvenez de mon tutoriel [Let's Encrypt](/posts/securiser-ses-sites-web-avec-lets-encrypt/), vous verrez des commandes Bash assez longues (et encore, ce n'est rien comparé à d'autres).
|
||||
Nombreux sont les administrateurs frustrés par les efforts de frappe de texte lorsqu'il s'agit d'utiliser Bash, et qui préfèrent carrément se faire des scripts Python à la place. En effet, si vous vous souvenez de mon tutoriel [Let's Encrypt](/posts/securiser-ses-sites-web-avec-lets-encrypt), vous verrez des commandes Bash assez longues (et encore, ce n'est rien comparé à d'autres).
|
||||
|
||||
Xonsh promet d'allier la robustesse de Bash et l'aisance de Python. Car oui, en Python, on tape en une ligne ce que d'autres langages permettent de faire en 10, pour peu que l'on dispose des bonnes bibliothèques. Xonsh dispose apparemment de plus de commandes internes, ce qui lui permet par exemple d'effectuer des calculs tout simplement en les tapant dans le prompt, sans autre forme de procès, par exemple :
|
||||
|
||||
|
|
Loading…
Reference in New Issue