Dans le cadre d’un projet de mise en oeuvre d’un moteur de recherche, on s’est attardé sur la sécurité du moteur elasticsearch.

ce dernier dispose pour peu qu’on prenne le support d’un plugin gérant la sécurité des index : shield.

• Ce plugin permet de sécuriser les cluster et index ELASTICEARCH. Il apporte
• Identification et gestion des ACLS sur les cluster et index
• IP Filtering
• Audit
• Cryptage des échanges

La documentation est très bien faite. Voici les actions que j’ai réalisé pour installer le tout

Installation plugin license et shield

bin/plugin -i license -u file:///logiciels/source/shield/license-latest.zip
bin/plugin -i shield -u file:///logiciels/source/shield/shield-1.2.0.zip

Génération des clés privées/publiques

bin/shield/syskeygen
Storing generated key in [/logiciels/elasticsearch/config/shield/system_key]...
Ensure the generated key can be read by the user that Elasticsearch runs as, permissions are set to owner read/write only

Création des utilisateurs

bin/shield/esusers useradd es_admin -p es_admin -r admin
bin/shield/esusers useradd es_puser -p es_puser -r power_user
bin/shield/esusers useradd es_user -p es_user -r user

Configuration marvel

bin/shield/esusers useradd marvel_export -p strongpassword -r marvel_agent
bin/shield/esusers useradd es_admin -p es_admin -r marvel_user

Puis indiquer dans le fichier elasticsearch.yml, le moyen de se connecter

marvel.agent.exporter.es.hosts: [ "http://marvel_export:marvel_export@127.0.0.1:9200"]

Configuration pour une connexion LDAP

shield:
authc:
realms:
esusers:
type: esusers
order: 0
ldap:
type: ldap
order: 1
url: "ldap://monserveurldap:389"
bind_dn: "CN=user,...."
bind_password: .....
user_search:
base_dn: "OU LDAP"
attribute: sAMAccountName
group_search:
base_dn: "OU"
unmapped_groups_as_roles: false

Redémarrage

Au redémarrage, vous obtiendrez cette erreur

shield.license [node-maquette]
#
# Shield license will expire on [Wednesday, May 20, 2015]. Cluster health, cluster stats and indices stats operations are
# blocked on Shield license expiration. All data operations (read and write) continue to work. If you
# have a new license, please update it. Otherwise, please reach out to your support contact.

Pour ça, je ne peux pas vous aider, il faut souscrire à un contrat de support

Original post of Littlewing.Votez pour ce billet sur Planet Libre.

Si vous avez eu récemment un plantage de Thunderbird au démarrage, n’hésitez pas à entrer en contact avec la communauté Mozilla comme indiqué sur cet article de BlogZiNet. Cela pourrait éventuellement provenir du dictionnaire français, mais la seule certitude que les responsables du projet ont, c’est que ce sont 80 % d’utilisateurs d’adresses mail en .fr qui sont concernés. Ce problème touche toutes les versions de Thunderbird. Merci de votre aide, si vous avez constaté ce problème.

Original post of mozillaZine-fr.Votez pour ce billet sur Planet Libre.

Lettre à ceux qui s'en foutent - Mediapart

droit pistage institution

antistress : "Nos représentants, vos représentants, vous ont parfaitement représenté en n'étant qu'une trentaine à prendre part à un vote sur la surveillance généralisée de tous les citoyens, et qu'une poignée à voter contre. Les autres, tout comme vous, s'en fichaient, préféraient rester au soleil à se dorer la couenne en attendant les grandes vacances.

Oui, je sais, il est d'autres combats que celui là.

J'ai lu des commentaires, du genre "oui, mais la loi Santé", "oui, mais le chômage"...

Permettez, malgré ma colère, que je vous pose une question, une seule: vous comportez-vous de la même manière quand vous êtes seul que lorsque vous savez qu'on peut vous voir ?

Parce que, si la réponse est "non", alors comprenez, je vous prie, que quand l'État aura placé ses grandes oreilles partout, vous n'aurez plus le loisir de vous battre pour le moindre combat. Que celui-ci est le premier de tous les autres."

---

[EN] Europe to accuse Google of illegally abusing its dominance - Financial Times

Europe concurrence Google recherche Android

antistress : L'Europe va poursuivre Google pour abus de sa position dominante sur le marché des moteurs de recherche d'une part, et sur la plate-forme Android d'autre part.

---

Original post of Planet Libre.Votez pour ce billet sur Planet Libre.

Ce post s'inscrit dans la série des dons pour vous donner envie de contribuer même très modestement à des logiciels libres. Les petites pierres font les grands édifices.

Ce mois-ci, j'ai choisi de donner à GnuPG, l'implémentation libre de PGP qui permet de chiffrer et signer ses courriels. Le montant de ce don est de 5€. Les raisons de ce soutien :

• En ces temps où des lois de surveillance massive s'appretent à être votées, même si je n'ai rien à me repprocher, je n'ai pas rien à cacher (arguments ici, ici ou encore là par exemple). GPG contribue à préserver ma vie privée.
• Ils ont besoin d'argent pour maintenir le code
• Quand on sait ce qui a pu se passer pour SSL

A noter que dans le même esprit, j'ajoute à ma liste enigmail qui rend les choses faciles. Peut être pour le mois prochain.

Pour donner à GnuPG.

Original post of François Boulogne.Votez pour ce billet sur Planet Libre.

J’ai remplacé MySQL par MariaDB pour mes sites web et applications de gestion en PHP. Cela fait plusieurs fois que je me retrouve avec mes sites hors service suite à une mise à jour de MariaDB. Il faut dire que j’applique les mises à jour de sécurité de façon automatique sur mes serveurs avec cron-apt, car je suis un gros fainéant .

Je sais que je prends un risque en procédant ainsi. Mais dans 95% des cas, je n’ai pas de problèmes. Et comme je gère trois serveurs dédiés et une bonne vingtaine de machines virtuelles, cela m’économise tout de même pas mal de temps. D’ailleurs seul MariaDB m’a posé des soucis…

Jusqu’à présent j’avais réussi à réparer le problème tant bien que mal. Ce matin ce fut un peu plus difficile.

À la base une mise à jour qui signale un problème de dépendance (extrait du log de mise à jour automatique) :

The following packages will be upgraded:
  libmysqlclient18 mysql-common 
2 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 728 kB of archives. After unpacking 3406 kB will be used.
The following packages have unmet dependencies:
 libmariadbclient18 : Depends: libmysqlclient18 (= 5.5.41+maria-1~wheezy) but 5.5.43-0+deb7u1 is to be installed.
The following actions will resolve these dependencies:
Remove the following packages:              
1)     libmariadbclient18                        
2)     mariadb-client-5.5                        
3)     mariadb-client-core-5.5                   
4)     mariadb-server                            
5)     mariadb-server-5.5                        
6)     mariadb-server-core-5.5                   
     Leave the following dependencies unresolved:
7)     phpmyadmin recommends mysql-client        

The following packages will be REMOVED:
  libmariadbclient18{a} mariadb-client-5.5{a} mariadb-client-core-5.5{a} 
  mariadb-server{a} mariadb-server-5.5{a} mariadb-server-core-5.5{a} 
The following packages will be upgraded:
  libmysqlclient18 mysql-common

Et là comme vous le voyez c’est le drame, MariaDB est désinstallé…

En cherchant un peu, je suis tombé sur cette note sur le site de MariaDB traitant justement de soucis de dépendances sur Debian et Ubuntu.

J’ai donc suivi les instructions avec quelques adaptations. Tout d’abord la version 5.5.32 n’ést plus en ligne sur le serveur FTP indiqué, il faut prendre la 5.5.42. Jj’ai mis en commentaires les dépôts standards de MariaDB puis ajouté la ligne suivante dans mon fichier sources.list :

deb http://ftp.osuosl.org/pub/mariadb/mariadb-5.5.42/repo/debian wheezy main

Ensuite un apt-get update pour mettre à jour le catalogue des packages. À ce stade-là, il n’est toujours pas possible de réinstaller MariaDB:

# apt-get install mariadb-server mariadb-client
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Some packages could not be installed. This may mean that you have
requested an impossible situation or if you are using the unstable
distribution that some required packages have not yet been created
or been moved out of Incoming.
The following information may help to resolve the situation:

The following packages have unmet dependencies:
 mariadb-client : Depends: mariadb-client-5.5 (= 5.5.42+maria-1~wheezy) but it is not going to be installed
 mariadb-server : Depends: mariadb-server-5.5 (= 5.5.42+maria-1~wheezy) but it is not going to be installed
E: Unable to correct problems, you have held broken packages.

Je suis les instructions du scénario 2 du tutoriel avec :

#apt-get install   libmysqlclient18=5.5.42+maria-1~wheezy   mariadb-client-5.5=5.5.42+maria-1~wheezy   mariadb-client-core-5.5=5.5.42+maria-1~wheezy
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following extra packages will be installed:
  libmariadbclient18
Suggested packages:
  libterm-readkey-perl
The following NEW packages will be installed:
  libmariadbclient18 mariadb-client-5.5 mariadb-client-core-5.5
The following packages will be DOWNGRADED:
  libmysqlclient18
0 upgraded, 3 newly installed, 1 downgraded, 0 to remove and 0 not upgraded.
Need to get 7649 kB of archives.
After this operation, 24.6 MB of additional disk space will be used.
Do you want to continue [Y/n]? Y
Get:1 http://ftp.osuosl.org/pub/mariadb/mariadb-5.5.42/repo/debian/ wheezy/main libmysqlclient18 i386 5.5.42+maria-1~wheezy [2924 B]
Get:2 http://ftp.osuosl.org/pub/mariadb/mariadb-5.5.42/repo/debian/ wheezy/main libmariadbclient18 i386 5.5.42+maria-1~wheezy [836 kB]
Get:3 http://ftp.osuosl.org/pub/mariadb/mariadb-5.5.42/repo/debian/ wheezy/main mariadb-client-core-5.5 i386 5.5.42+maria-1~wheezy [1708 kB]
Get:4 http://ftp.osuosl.org/pub/mariadb/mariadb-5.5.42/repo/debian/ wheezy/main mariadb-client-5.5 i386 5.5.42+maria-1~wheezy [5102 kB]
Fetched 7649 kB in 5s (1508 kB/s)             
dpkg: warning: downgrading libmysqlclient18:i386 from 5.5.43-0+deb7u1 to 5.5.42+maria-1~wheezy
(Reading database ... 28653 files and directories currently installed.)
Preparing to replace libmysqlclient18:i386 5.5.43-0+deb7u1 (using .../libmysqlclient18_5.5.42+maria-1~wheezy_i386.deb) ...
Unpacking replacement libmysqlclient18 ...
Selecting previously unselected package libmariadbclient18.
Unpacking libmariadbclient18 (from .../libmariadbclient18_5.5.42+maria-1~wheezy_i386.deb) ...
Selecting previously unselected package mariadb-client-core-5.5.
Unpacking mariadb-client-core-5.5 (from .../mariadb-client-core-5.5_5.5.42+maria-1~wheezy_i386.deb) ...
Selecting previously unselected package mariadb-client-5.5.
Unpacking mariadb-client-5.5 (from .../mariadb-client-5.5_5.5.42+maria-1~wheezy_i386.deb) ...
Processing triggers for man-db ...
Setting up libmysqlclient18 (5.5.42+maria-1~wheezy) ...
Setting up libmariadbclient18 (5.5.42+maria-1~wheezy) ...
Setting up mariadb-client-core-5.5 (5.5.42+maria-1~wheezy) ...
Setting up mariadb-client-5.5 (5.5.42+maria-1~wheezy) ...

Je peux maintenant à nouveau installer MariaDB avec :

# apt-get install mariadb-server mariadb-client

Je dois indiquer le mot de passe du compte root de MariaDB (je remet le même que celui existant, important !). L’installation reprend alors les bases existantes et tout refonctionne. J’ai ensuite remis les dépôts standards.

deb http://mariadb.biz.net.id/repo/5.5/debian wheezy main
deb-src http://mariadb.biz.net.id/repo/5.5/debian wheezy main

Un upgrade me signale cependant

# apt-get -V upgrade
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following packages have been kept back:
   libmysqlclient18 (5.5.42+maria-1~wheezy => 5.5.43-0+deb7u1)
0 upgraded, 0 newly installed, 0 to remove and 1 not upgraded.

J’en reste là pour l’instant bien que la situation ne me semble pas encore très saine. Si vous avez des idées, ou déjà rencontré le problème, merci pour vos suggestions et commentaires.

[Mise à jour 15/04/2105]

Ce matin à nouveau Cron-Apt a procédé à la mise à jour « desinstalatrice ». J’ai laissé les dépôts de la version 5.5.42. Cependant un apt-get -V update me signale toujours un problème de version de librairie pour libmysqlclient18

---

Réagir à cet article

Article original écrit par Philippe Scoffoni le 19/04/2015. | Lien direct vers cet article

Cette création est mise à disposition sous un contrat Creative Commons BY à l'exception des images qui l'illustrent (celles-ci demeurent placées sous leur mention légale d'origine).

.

Original post of Philippe Scoffoni.Votez pour ce billet sur Planet Libre.