Salut,
Un bail que je ne blogge plus grand chose, j’ai trop d’autres occupations.
M’enfin là, il fallait bien mettre à jour la release stable de Debian… Comme elle est sortie il y a quelques temps déjà, ça s’annonçait pas trop risqué avec Google sous la main pour résoudre les problèmes déjà connus par d’autres. Je ne regrette pas cette décision car ça c’est exactement passé comme ça… donc je reprends ici ceux que j’ai rencontré, ça peut resservir.

Je vous livre donc ici les différents problèmes sur un tas de serveurs (donc un tas de configuration et de services différents)
C’est parti :

Côté APT

Le backport est intégré au mainstream (je sais pas si c’est le terme) normal, donc il faut adapter. On passe de quelque chose comme :

deb ftp://ftp.fr.debian.org/debian/ squeeze main contrib  non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb ftp://ftp.fr.debian.org/debian/ squeeze-updates main contrib  non-free
deb http://backports.debian.org/debian-backports squeeze-backports main contrib non-free

à :

deb ftp://ftp.fr.debian.org/debian/ wheezy main contrib  non-free
deb http://security.debian.org/ wheezy/updates main contrib non-free
deb ftp://ftp.fr.debian.org/debian/ wheezy-updates main contrib  non-free
deb ftp://ftp.fr.debian.org/debian/ wheezy-backports main contrib non-free

Attention à bien regarder vos fichiers /etc/apt/preferences et /etc/apt/apt.conf.d/* où vous pouvez avoir fixé des versions de paquets ou fixé la release à Apt::Default-Release "squeeze"; au lieu de Apt::Default-Release "stable";.
Ensuite, un aptitude update && aptitude dist-upgrade et c’est parti.
Lorsque vous aurez les éternelles questions où il faut choisir entre le fichier de conf du mainteneur et le votre, ne pas oublier de bien lire les différences de fichiers. Si vous n’avez rien touché, vous prenez celle du mainteneur, sinon vous réfléchissez. L’idée est de bénéficier des nouveautés sans pour autant perdre vos paramétrages. Quitte à accepter le fichier du mainteneur puis aller voir le fichier « machin.conf.dpkg-dist » pour y retrouver vos anciennes modifs et adapter.

Enfin, si aptitude mouline pendant des heures sur l’analyse des dépendances, lisez ces messages. Cela se résout avec aptitude en mode interface.

/bin/sh et /etc/crontab

Attention, j’ai le sentiment qu’on vient de passer de /bin/sh => bash à /bin/sh => dash (avec un ‘d’).
Donc dans la crontab, pour un script bash mal écrit (pas d’entête #!/bin/bash), le lancement depuis crontab ne fonctionnait plus tout à fait en dash.
La crontab contient un SHELL=/bin/sh en entête qui fait que par défaut, les scripts partent donc en dash.
Exemples de différences dash/bash.

Mise à jour PHP & oracle

On passe de PHP de 5.3 à 5.4, rien de violent (sauf pour les puristes peut-être qui iront voir la page PHP de ces changements), mais tout au moins mon module Oracle a sauté à cette occasion.
Un pecl install oci8 devrait suffire à vous ramener ce qu’il faut. Testez alors à nouveau votre connexion Oracle.

le patch suhosin pour Apache

Il y a une discussion citée sur ce bug. Entre le fait que ce patch ne se justifierait plus trop (PHP aurait au fil du temps assez évolué pour combler pas mal de choses que suhosin apporte) et le fait que ça manquerait de main d’oeuvre côté debian/suhosin. Bref, le patch est désactivé pour le moment et il faut vérifier les conf de vos serveurs/applications web et adapter les éventuels paramètres suhosin positionnés (php_value…).
Je vous recommande un bon locate suhosin et un grep -ri suhosin /etc/apache2/ pour y voir clair rapidement et dans la plupart des outils web.

ocs-inventory-server

Alors là, le paquet a simplement sauté sur un serveur OCS. Rien de méchant, la conf est restée, la base de données aussi, mais les agents ont vite couiné.
Il suffit simplement d’installer à nouveau le paquet.
Coup de pas de bol ? bug ? je ne sais pas.

postfix et SASL

Quelques légers paramètres sautent dans le main.cf : virtual_create_maildirsize, message_helo_required, virtual_maildir_extended, virtual_overquota_bounce
HYPER IMPORTANT : l’authentification en envoi ne marchait plus du tout, on trouve des messages d’erreur type May 23 09:39:33 bla postfix/smtpd[31851]: warning: mail.toto.fr[x.y.z.t]: SASL LOGIN authentication failed: no mechanism available.
J’ai trouvé différentes méthodes sur le web pour contourner ça, dont une qui consiste à réinjecter les paquets « Squeeze » de SASL. Beurk. Et ça ne passait même pas pour moi. Finalement, la bonne méthode est de commenter le paramètre auxprop_plugin: whatever et votre fichier /etc/postfix/sasl/smtpd.conf. Pourquoi ? paske… (je n’ai pas été lire de prose sur le sujet et la conf SASL est déjà assez pénible).
J’ai trouvé ça ici.

postfix et quota

Sur un certain serveur, j’utilise postfix avec le patch « VDA » ajoutant la notion de quota sur les boîtes mails.
Il faut bien penser à récupérer la nouvelle version du patch pour les sources Postfix en question (2.9.6), et on repart pour un tour pour générer le paquet.
SAUF QUE, la compilation échoue. C’est décrit ici.
Je ne sais pas pourquoi, mais il faut changer un paramètre dans le fichier rules de /usr/src/postfix-2.9.6/debian/) ; une histoire de « DEB_BUILD_HARDENING ».
Là ça compile.
Perso ensuite, pour figer postfix dans le temps (et tant pis pour les MAJ de sécu) et éviter que aptitude veuille me le mettre à jour à tout de bras, j’ajoute ceci dans mon /etc/apt/preferences :

Package: postfix
Pin: version *
Pin-Priority: -1

Package: postfix-mysql
Pin: version *
Pin-Priority: -1

Et voilà

Voilà, c’est tout. Ca ne fait pas trop de problèmes finalement, mais certains peuvent vraiment vous bloquer si vous n’avez pas rapidement la solution.

Original post of Michauko.Votez pour ce billet sur Planet Libre.

Raspberry propose depuis peu et pour moins de 25€ une caméra dédiée à sa gamme Pi. Cette caméra de quelques grammes se connecte à une Raspberry Pi (model A ou B) à travers une interface CSi v2 (MIPI camera interface) dédiée. Grâce à Kubii (fournisseur Farnell en France) j'ai pu obtenir rapidement un de ces caméra que nous allons tester dans ce billet.

Découverte de la (petite) bête

Avec un capteur d'une résolution native de 5 mégapixels (5M) et au niveau optique d'une lentille de focalisation fixe, la caméra peut servir d'appareil photo (résolution maximale de 2592 par 1944 pixels) ou de caméra vidéo (format HD juqu'à 1080p). Son poids est impressionnant car elle ne pèse pas plus de 4 grammes pour une dimension de L25 l20 H9 (en millimètre).

Installation de la caméra

On commence par brancher la caméra sur l'interface CSi. Il faut y aller doucement, sans forcer comme un bourrin. Je vous conseille de visualiser la vidéo suivante:

Il faut disposer d'une distribution Raspbian à jour avant de pouvoir activer la caméra:

sudo apt-get update && sudo apt-get upgrade

Puis on lance ensuite l'utilitaire raspi-config ou un nouveau menu devrait vous permettre d'activer la caméra (choix numéro 5 - Activate the camera):

sudo raspi-config

Un reboot plus tard vous pouvez commencer à jouer avec la caméra

Utilisation de la caméra pour prendre des photos

Première surprise un peu désagréable: la caméra n'est pas reconnue comme un device vidéo standard (accessible via /dev/videoX). En l'état actuel des choses on ne peut donc pas l'utiliser avec une bibliothèque comme GStreamer.

Pour utiliser la caméra comme appareil photo, il faut donc passer par un utilitaire installé de base dans Raspbian: Raspistill (les sources sont disponibles sur Github).

Ce logiciel est utilisable en ligne de commande.

Prenons donc notre première "photo" en résolution maximale et à main levé (2592 par 1944 pixels):

raspistill -o image001.jpg

La même photo avec l'option de stabilisation activée (pas de grosse différence mais je ne bougeais pas):

raspistill -ev -o image002.jpg

Il est possible de désactiver la compression JPEG en utilisant le tag --raw (mais attention la taille des images passes à plus de 5 Mo):

raspistill --raw -o image002.jpg

Voir le résultat ici.

Il est bien sûr possible de fixer la résolution avec les tag -h et -w. Par exemple une photo en 1280x1024:

raspistill -w 1280 -h 1024 -o image003.jpg

Utilisation de la caméra pour capturer des vidéo

Tout comme pour les photos, il faut passer par le l'utilitaire Raspivid (les sources sont disponibles sur Github). Le logiciel va permettre de générer des vidéos au format H.264.

Capturons notre première vidéo en full HD (1080p) pendant  10 secondes (-t 10000):

raspivid -t 10000 -o video001.h264

La vidéo est stocké au format H.264 dans le fichier video001.h264. Pour lire cette vidéo sur votre Raspberry, vous pouvez utiliser la commande omxplayer qui va utiliser le GPU interne et afficher la vidéo d'une manière fluide sans consommation CPU.

omxplayer video001.h264

On peut voir que la qualité du capteur est au rendez-vous, la vidéo est lumineuse et fluide, comparable à ce que l'on peut obtenir avec un bon smartphone.

Pour activer la prévisualisation de la vidéo dans un coin de l'écran (position 0x0 et taille de 640x480) on peut utiliser l'option -p:

raspivid -t 10000 -p 0,0,640,480 -o video0012.h264

Aller plus loin ?

La documentation officielle des deux commandes.

Raspistill

raspistill
==========
--width,	-w		Set image width 
--height,	-h		Set image height 
--quality,  -q		Set jpeg quality <0 to 100>
Quality 100 is almost completely uncompressed. 75 is a good all round value
--raw,	-r		Add raw bayer data to jpeg metadata
This option inserts the raw Bayer data from the camera in to the JPEG metadata
--output	-o		Output filename .
Specify the output filename. If not specified, no file is saved. If the filename is '-', then all output is sent to stdout.
--verbose,	-v		Output verbose information during run
Outputs debugging/information messages during the program run.
--timeout,	-t		Time before takes picture and shuts down.
The program will run for this length of time, then take the capture (if output is specified). If not specified, this is set to 5 seconds
--timelapse,-tl		Timelapse mode.
The specific value is the time between shots in milliseconds. Note you should specify %d at the point in the filename where you want a frame count number to appear. e.g.
	-t 30000 -tl 2000 -o image%d.jpg
will produce a capture every 2 seconds, over a total period of 30s, named image1.jpg, image2.jpg..image15.jpg.
--thumb,	-th		Set thumbnail parameters (x:y:quality)
Allows specification of the thumbnail image inserted in to the JPEG file. If not specified, defaults are a size of 64x48 at quality 35.
--demo, 	d	 	Run a demo mode 
This options cycles through range of camera options, no capture is done, the demo will end at the end of the timeout period, irrespective of whether all the options have been cycled. The time between cycles should be specified as a millisecond value.
--encoding,	-e		Encoding to use for output file
Valid options are jpg, bmp, gif and png. Note that unaccelerated image types (gif, png, bmp) will take much longer to save than JPG which is hardware accelerated. Also note that the filename suffix is completely ignored when encoding a file.
--exif,	-x		EXIF tag to apply to captures (format as 'key=value')
Allows the insertion of specific exif tags in to the JPEG image. You can have up to 32 exif tge entries. This is useful for things like adding GPS metadata. For example, to set the Longitude
	--exif GPS.GPSLongitude=5/1,10/1,15/100
would set the Longitude to 5degs, 10 minutes, 15 seconds. See exif documentation for more details on the range of tags available; the supported tags are as follows.

Raspivid

raspivid
========
--width,	-w		Set image width 
Width of resulting video. This should be between 64 and 1920.
--height,	-h		Set image height 
Height of resulting video. This should be between 64 and 1080.
--bitrate,	-b		Set bitrate.
Use bits per second, so 10MBits/s would be -b 10000000. For H264, 1080p a high quality bitrate would be 15Mbits/s or more.
--output	-o		Output filename .
Specify the output filename. If not specified, no file is saved. If the filename is '-', then all output is sent to stdout.
--verbose,	-v		Output verbose information during run
Outputs debugging/information messages during the program run.
--timeout,	-t		Time before takes picture and shuts down.
The program will run for this length of time, then take the capture (if output is specified). If not specified, this is set to 5seconds
--demo, 	d	 	Run a demo mode 
This options cycles through range of camera options, no capture is done, the demo will end at the end of the timeout period, irrespective of whether all the options have been cycled. The time between cycles should be specified as a millisecond value.
--framerate, 	-fps  Specify the frames per second to record
At present, the minimum frame rate allowed is 2fps, the maximum is 30fps. This is likely to change in the future.
--penc,	-e	Display preview image *after* encoding
Switch on an option to display the preview after compression. This will show any compression artefacts in the preview window. In normal operation, the preview will show the camera output prior to being compressed. This option is not guaranteed to work in future releases.

Conclusion

Pour moins de 60€, il est donc possible d'avoir un Raspberry Pi model B + Camera qui vous ouvre la porte à pas mal de possibilité. J'espère rapidement voir apparaître une API (en Python par exemple) permettant de programmer directement la caméra.

De mon coté je vais faire un peu mumuse avec ce nouveau jouet puis revenir prochaine vers vous pour de nouveaux billets sur le sujet !

Cet article Test de la caméra Raspberry Pi 5M est apparu en premier sur Le blog de NicoLargo.

Original post of Nicolargo.Votez pour ce billet sur Planet Libre.

Plop les bovins, si nous devions citer une des particularités de GNU/Linux, outre son côté libre, c’est sans aucun doute la profusion de distributions disponibles. Cependant, si cela constitue un avantage pour les gens connaissant bien cet environnement (dans la mesure où ils trouveront forcément une distribution convenant à leur besoins), cette profusion peut très vite poser pas mal de problèmes aux nouveaux venus, qui ne sauront plus où donner de la tête avec tous ces noms « bizarres ». Des sites tels que DistroWatch, Quebecos, ou encore Framasoft existent déjà, et proposent une foule d’infos concernant les distributions GNU/Linux et les logiciels libres, ce qui permet déjà d’y voir plus clair. Get Linux s’inscrit dans ce registre, à la différence qu’il dispose en plus de son portail descriptif, d’un petit soft pouvant être installé sur Microsoft Windows. Celui-ci a été conçu dans le but de faciliter la sélection et le téléchargement d’une distribution GNU/Linux, grâce à une interface claire, intuitive et pourvue de quelques options avancées.

Get Linux va vous permettre d’effectuer votre choix facilement parmi de nombreuses distributions (plus ou moins populaires) comme Ubuntu, Fedora, Debian, openSUSE, Archlinux, Deft, Caine, Tails etc… Son interface va afficher diverses informations, comme les icônes des différentes distributions, un screenshots, une description (en anglais), les derniers numéros de version, l’environnement de bureau utilisé, le pays d’origine et la taille du fichier ISO. Vous pourrez ensuite (et c’est là que ça devient sympa), récupérer facilement la distribution de votre choix en version 32 ou 64 bits, grâce à un simple clic sur le bouton « Download ». Get Linux va également vous permettre de choisir l’action à mener après le téléchargement, comme par exemple créer un dossier pour accueillir le fichier ISO ou graver directement le fichier image sur un CD/DVD, sans devoir passer par un logiciel tiers. Si nous devions le résumer en quelque mots, nous dirions de Get Linux qu’il est en quelque sorte la version « applicative » de DistroWatch.

Si vous êtes curieux voilà à quoi ressemble le bel animal :

Get Linux est disponible sur Microsoft Windows XP, Vista, 7 et 8, sous la forme d’un .exe ou en version portable. Si vous avez envie de l’essayer, vous pouvez vous le procurer en vous rendant sur cette page.

Fondamentalement les accrocs du web n’en verront pas l’utilité et préfèreront sans aucun doute aller sur les sites nommés plus hauts, ou directement sur les sites/blogs communautaires des différentes distributions. Mais comme d’habitude il faut voir les choses de manière un peu plus large et c’est un fait, il y’a encore des gens qui ne sont pas très à l’aise avec le surf sur internet. Get Linux constitue pour eux une très bonne alternative de découverte, en leur fournissant une solution que l’on pourrait qualifier de « centralisée » ou « clé en main ».

Amusez-vous bien.

Moo!

source

Original post of Noireaude.Votez pour ce billet sur Planet Libre.

Voici quelques règles de sécurité à respecter pour assurer la pérennité de votre serveur mail. Je me suis basé sur mon expérience et les failles de sécurité que nous avons rencontré en entreprise.

1.Le serveur mail est le seul autorisé à envoyer du courrier

Dans votre organisation, vous devez faire en sorte que seul votre serveur mail puisse envoyer du courrier, et pas vos postes clients. Concrètement vous devez ajouter une règle dans votre parefeu qui indique que seul l'IP du serveur mail peut utiliser le port 25 tcp sortant. Il doit être bloqué pour le reste des gens.

Imaginez qu'un poste client attrape un virus (très courant) dont le but est d'envoyer du spam. Si le poste client accède au port 25, rien n'empêchera le nuisible de le faire et vous vous ferez rapidement blacklister. Par contre si l'accès au port 25 est bloqué, l'impact sera limité (pas de blacklistage). Les nuisibles qui envoient du spam sont rarement capables de trouver et utiliser le serveur mail de l'entreprise.

2. Contrôlez ce que le serveur mail relaie

Un serveur mail ne doit pas être openbar. Il ne doit accepter de relayer le courrier qu'après une authentification du client. Si ce n'est pas possible pour certaines applications, autorisez les adresses IP des serveurs qui les font tourner. Mais un serveur mail ne doit pas relayer le courrier anonymement pour tous.

Bien souvent la configuration par défaut autorise le relai du courrier si l'émetteur est sur le même réseau. En pratique c'est rarement gênant mais cela peut constituer une faille et un point d'entrée pour l'émission de courriers non désirée.

3. Le serveur mail est protégé par une passerelle

Un serveur mail peut être sensible s'il contient des éléments critiques : par exemple un serveur Exchange est sur un domaine Active Directory. Il ne doit donc pas être compromis sous peine de donner l'accès à tout votre domaine et vos ressources réseau à l'attaquant. Vous devez donc utiliser une passerelle SMTP qui va effectuer un premier filtrage et ne fera que du relai. Ce rôle peut être rempli par diverses solutions : serveur linux avec postfix, appliance, etc.

4. Le serveur mail est clean

Votre serveur mail doit être mis à jour régulièrement et disposer d'un antivirus. Le système ne doit pas être compromis (par un virus, vers, rootkit...) sous peine de devenir une machine à spam. L'analyse des profils utilisateur et du comportement est un élément de diagnostic.

5. Votre serveur mail ne doit pas être accessible par internet

Le courrier entrant doit être dirigé dans la passerelle, située en DMZ, qui ensuite va les rediriger sur votre serveur mail. Il est important que le serveur mail lui-même ne soit pas accessible par internet. De trop nombreuses failles sont exploitables, notamment au niveau des logins administrateur. Un compte de test anodin sur un Active Directory avec un mot de passe "temporaire" (123456) permettra à quelqu'un de se connnecter en RDP et faire des dégâts.

De manière générale aucun serveur fournissant des services privés, comme du TSE, ne doit être accessible par internet. Si vous souhaitez que des utilisateurs distants ouvrent des sessions TSE, utilisez un VPN.

Original post of Xavier Chotard.Votez pour ce billet sur Planet Libre.

N’ayant plus assez temps libre à consacrer à Archlinux, j’ai décidé de revenir à mon premier amour : Debian GNU/Linux. Et ne voulant pas non plus me trop casser la tête avec les mises à jours de Sid et testing, mon choix s’est donc porté bien évidemment sur la Wheezy, avec quelques paquets piochés dans le dépôt backports. Ça était l’occasion pour moi de découvrir une nouvelle concernant ce projet.

En effet, depuis début avril, Debian Backports a rejoint la section principale de l’archive (main) de la distribution. Ce qui a pour effet que la ligne de que vous devez ajouter à votre sources.list n’est plus la même. Dorénavant il faut rajouter :

deb http://ftp.debian.org/debian/ wheezy-backports main

N’oubliez pas l’habituel apt-get update. Et pour installer un paquet depuis backports :

su -c 'apt-get install -t wheezy-backports paquet'

Pour Squeeze, il n’y a aucun changement, vous pouvez continuer à utiliser backports de la même façon qu’avant.

Cet article Ajouter le dépôts backports au sources.list de votre Debian Wheezy est apparu en premier sur crowd42.

Original post of crowd42.Votez pour ce billet sur Planet Libre.