Stocker une passphrase sans protection, c'est possible ! Hé oui, grâce à la magie de l'informatique.

Tout d'abord, prenons une passphrase. Utilisons la technique des demi-bits et produisons des portions de passphrase. Enregistrons l'une sur un compte imap, l'autre sur une clé usb. On peut essayer de les protéger, mais ce qui est important c'est que la sécurité de la passphrase dépend de la somme des sécurités des éléments de stockage. Ainsi, seule une personne qui a accès à la fois à votre clé usb, à votre mail, à votre postit sous le clavier et à votre serveur web peut lire votre passphrase. Vous pouvez même avec les 2/3 de bit vous permettre de perdre un des éléments.

À quoi cela sert-il ? À pas grand chose finalement. Le but est uniquement de faire en sorte de ne pas perdre une passphrase ou une clé très importante qu'on ne peut stocker chez un tiers de confiance. En gros cela vous servira pour la clé de cryptage de vos fichiers de backup, il est probable qu'on l'ai perdu puisqu'on a besoin de backups, et il est probable qu'on ne le connait pas par cœur puisque ce genre de problème arrive rarement.

Les extrémistes de la sécurité me diront que c'est prendre un gros risque, et ils auront raison, avec un peu de patience, quelqu'un pourrait retrouver la clé. Et si elle chiffre des données très importantes, un attaquant la trouvera. Attention donc.

Par contre, quelques avantages :

• archivage quasi public
• il est impossible de retrouver la clé avec une seule donnée (ni même de simplifier une attaque)
• multiplication des sous-parties de la clé a l'envie
• redondance possible

Notez qu'il est même possible d'y ajouter des informations publiques non modifiées comme votre numéro de sécurité sociale (hé oui c'est un xor...)

I'm back ! Ca y est j'ai déménagé. Je peux maintenant reprendre mon activité normale ...

Au cas où vous ne le sauriez pas, la dernière version de openssh vient de sortir, la 5.1. La lecture du changelog est très instructive. On y découvre entre autre deux nouveautés ben sympathiques.

Serveur

Commençons par une nouvelle option de sshd :

$ sshd -T

Cette option permet de tester la configuration du serveur. Ce genre d'option devrait être disponible sur tous les softs, grâce à elle, vous pourrez savoir du premier coup d'oeil si vous avez bien écrit votre configuration et si sshd a bien compris la même chose que ce que vous vouliez lui dire.

Client

Ensuite, une nouvelle option de ssh (qui n'est pas activée par défaut) :

$ ssh -o "VisualHostKey true" mamachine.net

Cette option affiche une interprétation du fingerprint de la machine distante sous forme d'ASCII art. Il est ainsi beaucoup plus facile de comparer 2 clés (il suffit de les regarder).

Cette fonction répond au problème de la confiance au serveur ssh. Lorsque vous vous connectez, ssh vérifie que le serveur distant est connu, si vous vous y êtes déjà connecté et que la clé n'a pas changé, on peut faire confiance en son identité. Mas lorsque c'est la première fois que vous vous connectez, il faut vérifier manuellement que la clé est ben la bonne. Avec cette option la vérification est simplifiée, on espère donc que les gens la feront plus souvent ...

Donc les articles en prennent un coup. Mais ne vous inquiétez pas, je serai de retour d'ici une semaine. En attendant :

• Avez vous mis à jour vos dns ?
• Savez-vous tout sur le dns ?
• Avez-vous essayé le dernier noyau linux ?
• Connaissez-vous vos raccourcis shell par coeur ?

Évidemment, vous êtes tous passés à firefox 3 ! Ne mentez pas, mes statistiques le prouvent. Malheureusement, vous avez plein de sites https qui vous sont refusés d'office. Je suis d'accord pour dire qu'il faut forcer un peu les gens à être sérieux, le https on ne l'utilise pas pour rien, Imaginez un zoo sans grilles, il vaut mieux être prévenu avant d'y entrer. Mais je trouve la procédure de firefox 3 pour forcer l'accès au site bien trop contraignante.

Pour améliorer un peu ceci, voici 2 options à lancer pour vous faire gagner un peu de temps lorsque vous tombez sur un site https mal sécurisé. Allez à l'url "about:config" et changez les options suivantes :

browser.ssl_override_behavior -> 2
browser.xul.error_pages.expert_bad_cert -> true

L'avertissement reste et vous aurez toujours besoin d'ajouter des exceptions, ça sera juste un peu plus rapide.

Flash

Je vous rappelle un précédent article sur comment installer flash avec firefox si vous êtes sur une distribution 64 bits. Il est toujours valable.

Bureau

1. Le son avec alsa et OSS
2. Lecture de flux mms
3. Lancer plusieurs sessions avec gdmflexiserver
4. Lancer plusieurs sessions avec kdmctl
5. Changer la vitesse de lecture d'un film sans déformer le son
6. Installer Internet Explorer
7. Installer flash sur une machine 64 bits

Serveurs

1. Voir en direct l'activité d'apache et de mysql
2. Memcached
3. Écrire un serveur (service) en shell
4. Patch apache pour mesurer les temps de réponse de mod_proxy
5. Filtrage de fichiers sur apache
6. Hébergement de fichiers avec WebDAV
7. Performance de setenvif dans apache
8. Exécution non simultanée de crons

Matériel et disques

1. Ordonnancement d'entrées/sorties
2. Modifier des paramètres d'un disque
3. Hotplug de disque IDE
4. Lister le matériel de la machine
5. Forcer la relecture des partitions
6. Utilisation de smartd
7. Utilisation de smartctl
8. Ce qu'il faut faire et ne pas faire en raid
9. Protéger ses archives par de la redondance
10. Récupérer des données sur des disques endommagés
11. Lire des images disques

Serveur X

1. Conserver son DISPLAY après un su
2. Lancer un serveur X dans une fenêtre
3. Copier coller X en ligne de commande
4. La consommation de ressources par X
5. Fond d'écran animé
6. Les magic sysrq
7. Agir à distance sur son serveur X (sans vnc)
8. Multi-écran sur plusieurs machines
9. Techniques d'affichage distant
10. Transférer le son sur un poste distant
11. Partage de souris/clavier entre deux machines

Shell

1. Historique timestampé
2. Raccourcis courants
3. Gestion du bit suid
4. Astuce de chown
5. Gestion des attributs sur un fichier
6. Lancer des commandes avec un délai
7. Commande top et équivalents
8. Changer la priorité d'exécution des processus
9. Démonter une partition occupée
10. Chroot
11. Lancer une commande sans terminal
12. Écrire un démon en shell
13. S'abonner a des évènements sur le système de fichier
14. Récupérer les éléments communs à deux fichiers
15. Utiliser le pipe uniquement sur stderr
16. Modification du prompt
17. Utiliser sed pour remplacer head et tail
18. Remplacer sed, awk, grep par perl
19. Lignes de commande en sed
20. Renommage de fichiers en masse
21. Ctrl-z et fg avec des signaux
22. Calculatrice en ligne de commande
23. Complétion automatique sur nom de machine
24. Complétion automatique sur nom de machine (suite)
25. Partager un terminal
26. Les caractères d'échappement
27. Fonctionnement des terminaux
28. Le framebuffer en console (et autres astuces)
29. Gestion de la console et des terminaux
30. Lecture de terminaux à distance
31. Les caractères non affichables d'un terminal
32. Les caractères non affichables d'un terminal (bis)
33. Écrire un script en C
34. Le manuel unix
35. Manuel en couleurs
36. Astuces en vrac (1)
37. Astuces en vrac (2)
38. Astuces en vrac (3)
39. Astuces en vrac (4)
40. Astuces en vrac (5)
41. Astuces en vrac (6)
42. Astuces en vrac (7)
43. Astuces en vrac (8)
44. Astuces en vrac (9)
45. Astuces en vrac (10)
46. Astuces en vrac (11)
47. Astuces en vrac (12)
48. Astuces en vrac (13)
49. Bashrc

SSH

1. Utiliser une passphrase ssh pour se connecter en local
2. Se connecter avec une clé ssh
3. Montage de répertoire par ssh (sshfs)
4. Lancer des commandes sur plusieurs machines à la fois
5. Lancement de commandes en parallèle
6. Transférer des fichiers d'une machines à une autre
7. Vérification automatique des fingerprint ssh
8. Récupérer un agent ssh déjà lancé
9. Mutualisation de connexions ssh
10. Changer les locales
11. Filtrage avec sshd

Sécurité

1. Protection de clés grâce aux demi-bits
2. Génération automatique de mots de passe
3. Génération automatique de mots de passe (bis)
4. Détecter les mots de passe faible
5. Login automatique avec clé usb
6. Utilisation de sudo
7. Désactiver temporairement un compte
8. Faire disparaître son historique
9. Lire et modifier l'historique d'accès (wtmp)
10. Authentification, identification et autorisation
11. Les formes de faille de sécurité
12. Stéganographie
13. Suppression non récupérable de fichiers
14. Utilisation de la commande openssl
15. Certificats multi domaines
16. Chiffrement symétrique et asymétrique de fichiers
17. Orange book et les niveaux de sécurité
18. Authentification avec PAM
19. Limite de fréquence d'accès avec PAM
20. Contrôle d'accès avec tcpwrappers
21. Bloquer un serveur ssh

Protocoles et standards

1. POP
2. HTTP
3. IMAP
4. SMTP
5. SMTP et submission
6. Format d'un mail
7. Le standard FHS
8. Le format des uuid
9. URL et URI
10. Les différents méga octets
11. Divers acronymes
12. L'unicode

Réseau

1. Tunnel HTTP
2. Surveiller le traffic
3. Traceroute et mtr
4. Couper des connexions traversant une machine
5. Utiliser socat pour faire communiquer des socket
6. Round robin DNS
7. Limiter la bande passante d'une commande
8. MTU et MSS
9. Patch iptables pour écrire des règles éphémères

Développement

1. Utilisation de configure, make, make install
2. Processus de développement
3. Nommage des constantes
4. Refactoring
5. Internationalisation
6. Localisation
7. Ctags, etags, emacs et vi
8. Binaire statique et dynamique
9. Transférer une socket d'un processus à un autre
10. Appel système (syscall)
11. Exporter des logs type apache en php
12. Memcached
13. Les trigraphs et digraphs en C

Inclassables

1. Réinstaller une machine à distance
2. Les fichiers de résolution de nom
3. Cache pour la résolution de noms (DNS, utilisateur ...)
4. Reboot d'une machine
5. Configuration de init (/etc/inittab)
6. Lire les logs en couleur
7. Mesurer le temps de boot
8. Retrouver des fichiers avec locate
9. Variables communes aux utilisateurs
10. Mesurer les consommations de ressources
11. Gestion de version simple avec RCS
12. M4, un langage de macro
13. Screen et irssi
14. Tests automatiques
15. NTP
16. Les niveaux de démarrage
17. Influencer le chargement d'un binaire
18. Récupérer de la place perdue sur le disque
19. Récupérer des fichiers effacés mais en cours d'utilisation
20. Le preseed des configurations debian
21. Faire une debian miniature
22. Mettre en place un chroot
23. Mettre en place un chroot bind
24. Mettre en place un chroot apache
25. Faire des liens depuis un chroot

Hors sujet

1. Le jour des sysadmins
2. Loi de Gall
3. 10 commandement du sysadmin
4. Virtual Richard Stallman
5. Le langage brainfuck
6. Le chercheur, l'ingénieur et l'informaticien
7. La rache
8. Des sites incontournables
9. Linux en espagnol

Parfois on veut éditer un fichier en hexadécimal, par exemple pour voir s'il n'y a pas certains caractères cachés dans un texte ou pour débugger un programme.

Première solution hexedit : bof, il faut installer le paquet et l'éditeur est pas terrible.

Deuxième solution hexeditor : attention, le paquet debian s'appelle ncurses-hexedit, un éditeur hexadécimal en ncurses dont les raccourcis sont un peu plus pratiques que le précédent. Avantage, il sait éditer les fichiers énormes et les périphériques (par exemple une partition).

Troisième solution hexer : assez agréable pour les habitués de vi puisqu'il utilise les mêmes raccourcis. Il a l'avantage de permettre facilement les insertions.

Dernière solution xxd : cet outil ne sert qu'à convertir entre un binaire et un format hexadécimal écrit. Son avantage est qu'il est fourni avec vim, donc disponible à peu près partout. Il fonctionne dans les 2 sens, ce qui veut dire qu'on peut transformer un fichier, l'éditer, puis revenir dans l'autre sens (attention, c'est la partie hexadécimale qui force la valeur en cas de conflit).

Vous pouvez même faire tout ça en une fois avec vi :

# tapez cette commande pour passer en mode hexa
:%!xxd
# editez la partie hexadécimale, puis revenez en arrière
:%!xxd -r

Aujourd'hui nous allons transférer des périphériques par le réseau. Et nous n'aurons même pas besoin de graveur de disque dur pour les télécharger.

Un disque

Commençons par le plus simple, le transport de disque dur. Pour cela, Chronopost est l'un des moyens de communication les plus rapides au monde, transport de 10To de disque en 24h ... Mais nous n'allons pas transporter physiquement notre disque.

La technique est simple, il suffit d'utiliser nbd. Nbd (network block device) est un module et un protocole permettant de faire passer le contenu d'un périphérique block dans une communication TCP. Pour cela vous avez un serveur (sur lequel on trouve le périphérique) et une client (sur lequel on ne trouve rien).

Sur le serveur vous exportez votre périphérique après avoir installé le serveur :

# il faut bien l'installer
$ apt-get install nbd-server

# export du disque sur le port 1234
$ nbd-server 1234 /dev/hdb

Sur le client :

# il faut bien l'installer
$ apt-get install nbd-client
# ne pas oublier le noyau
$ modprobe nbd

# import du disque distant
$ nbd-server machine1 1234 /dev/nbd0

Et ouala, vous avez un accès direct à votre disque à distance. Vous pouvez le monter, le formater ... Attention toutefois, ce disque a beau être vu à plusieurs endroits à la fois, les systèmes de fichiers n'en sont pas conscient, vous ne pouvez donc pas le monter deux fois en écriture.

# read write
machine1$ mount /dev/hdb /usr

# read only
machine2$ mount -o ro /dev/nbd0 /usr

Ou vous ne le montez qu'un fois et c'est réglé.

Autre chose

En réalité, nbd est capable d'exporter n'importe quel fichier comme disque, vous pouvez alors stocker des images disque sur des machines distantes (il permet même d'agréger plusieurs fichiers pour en faire un disque).

$ nbd-server 1234 /srv/images/machine2.usr

Par contre, cela ne fonctionne pas avec les périphériques en mode caractère : votre souris ou votre carte son, ou votre imprimante.

Rien ne vous empêche de monter un raid par dessus des disques distant. Par contre le raid comme les systèmes de fichiers n'est pas conscient que le disque est visible à plusieurs endroits, donc vous ne devez pas mettre en place de raid sur plusieurs machines à la fois (un unique point de montage).

En gros c'est l'iscsi du pauvre !