Ubuntu et resolv.conf

 

tux-ubuntuLorsqu'on installe ou met à jour Ubuntu on a dans le resolv.conf systématiquement nameserver 127.0.0.1 ce qui peut poser problème quand on a son propre dns. Du coup à la mise à jour, surprise, y a pas de net.

 

Pour résoudre ce problème il suffit de commenter une ligne dans le network-manager :

sudo vi /etc/NetworkManager/NetworkManager.conf

 

et commenter la ligne :

#dns=dnsmasq

 

Enfin redémarrer le service :

sudo  service network-manager restart

 

M31 et M15

tux-astroAvec un ciel bien dégagé, je me suis décidé à sortir faire une virée nocturne à la recherche de belles observations. Mon jardin étant maintenant  directement éclairé par un lampadaire :'( j'ai entrepris de m'éloigner des éclairages municipaux et de trouver un spot d'observation acceptable.

 Une fois en pleine nature et loin de la pollution lumineuse, j'ai pu installer mon matériel. Premier point négatif, il y a du vent et comme je suis en hauteur et il même un peu plus fort que prévu. Mais bon comme je suis là autant s'essayer à quelques observations. Pour cette session, j'ai jeté mon dévolu sur M31 la galaxie d'Andromède et M15 un amas globulaire dans la constellation de Pégase. Avec l'oculaire de 32 mm (x28 sur mon téléscope) les images sont vraiment belles[1] et donnent envie de grossir un peu mais avec le vent ça devient vite gênant. Donc après m'être rincé l'oeil une dernière fois, je rentre avec de belles images en tête. Le deuxième point négatif de ce spot est que le chemin est plutot chaotique et ma voiture passe vraiment difficilement par endroits. Je suis donc toujours à la recherche du spot idéal mais celui là n'est pas si mal quand même.

m31m15

[1] : Tout est relatif dans mon 130/900 ça reste des tâches grises ;-)

Source : Observatoire de Paris

Authentification à deux facteurs sous Ubuntu à l'aide d'une Yubikey

tux-secuJ'ai récemment acquis une Yubikey que j'utilise en conjonction de lastpass. Cette clé me permet d'effectuer une authentification à deux facteurs. J'ai donc souhaité étendre ce concept sous un système Gnu/Linux[1]. Pour cela il faut d'abord ajouter une source qui contient la librairie PAM pour la yubikey.

$ sudo add-apt-repository ppa:fredrikt/yubico
$ sudo apt-get update
$ sudo apt-get install libpam-yubico

Sous Mint / Ubuntu, seul le super utilisateur à le droit d'écrire sur le périphérique usb de Yubico. C'est gênant pour notre utilisation car les processus d'authentification qui ne seraient pas lancés en tant de root ne supporteraient pas l'utilisation de la yubikey.
C'est par exemple le cas de gnome-screensaver, c'est l'utilisateur connecté qui exécute ce process. Donc, si on laisse ubuntu dans l'état initial, on peut ouvrir une session avec lightdm, mais on ne pourra jamais débloquer l'écran de veille car  la yubikey n'est pas accessible :

gnome-screensaver-dialog: USB error: Access denied (insufficient permissions)


Il faut donc ajouter une règle udev permettant de faire appartenir le device USB à un groupe dans lequel on mettra les utilisateurs qui veulent utiliser la yubikey pour l'authentification pam.
Tout d'abord on crée le groupe : 

$ addgroup yubikey

Puis , on ajoute l'utilisateur qui possède la yubikey dans le groupe : 

$ adduser toto yubikey

Enfin on crée un fichier /etc/udev/rules.d/71-yubikey.rules qui contient la ligne suivante : 

$ sudo echo 'SUBSYSTEM=="usb",ACTION=="add",ATTR{idVendor}=="1050",ATTR{idProduct}=="0010",GROUP="yubikey"' > /etc/udev/rules.d/71-yubikey.rules

Pour ma part j'ai redémarré le système pour que tout soit pris en compte, mais il suffit peut être de lancer les commandes :

$ sudo udevadm control --reload-rules
$ sudo service lightdm restart

Il faut savoir que la yubikey dernière génération[2] dispose de deux slots de configuration permettant ainsi de l'utiliser de deux manières différentes. Par défaut le slot1 est configuré pour générer un mot de passe à usage unique. Lors d'une utilisation de cette méthode le mot de passe généré est vérifié auprès du serveur yubicloud de chez yubico. Cette méthode est valable mais elle nécessite une connexion internet. Hors si ce n'est pas gênant pour l'authentification sur un service en ligne, ça l'est pour l'authentification sur un ordinateur qui peut potentiellement être déconnecté du réseau.
Il faut alors configurer le slot2 pour une utilisation en mode challenge/response.

Pour cela il faut installer l'outil de personnalisation fourni par yubico. Sous les ubuntu like rien de plus simple : 

$ sudo apt-get install yubikey-personalization-gui

Puis on lance l'outil graphique[3] :

$ yubikey-personalization-gui

Il faut alors cliquer sur l'onglet "Challenge-Response" puis sur le bouton "HMAC-SHA1". Ensuite dans la partie "Configuration Slot" cliquer sur "Configuration Slot 2", laisser toutes les options par défaut puis cliquer sur le bouton "Write Configuration" de la partie "Actions".
Une fois cette étape effectuée on peut utiliser notre yubikey à la fois pour la génération de mots de passe à usage unique mais aussi en mode challenge-response.

Il faut maintenant associer notre yubikey à un compte utilisateur présent sur l'ordinateur. Pour cela, il faut utiliser la commande "ykpamcfg".
Normalement cette commande suffit :

$ ykpamcfg -2 -v

La yubikey est maintenant associée à l'utilisateur, il faut donc configurer pam pour qu'il utilise la yubikey comme deuxième facteur d'authentification.
Tout d'abord, il convient de faire une copie de sauvegarde du fichier /etc/pam.d/common-auth :

$ sudo cp /etc/pam.d/common-auth /home/toto/

Puis, il faut modifier le fichier en question pour qu'il ressemble à cela : 

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
# traditional Unix authentication mechanisms.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules. See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
auth required pam_unix.so nullok_secure try_first_pass
auth [success=1 new_authtok_reqd=ok ignore=ignore default=die] pam_yubico.so mode=challenge-response
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth optional pam_cap.so
# end of pam-auth-update config

Voilà, à présent lorsque vous voudrez vous authentifier, il faudra connecter la yubikey puis saisir votre mot de passe habituel. Si la yubikey n'est pas présente lors de la saisie du login/mot de passe l'authentification échouera.

[1] : Mint en l'occurence, mais cela fonctionne très bien avec les autres distributions.
[2] : À partir de la version 2.2.
[3] : N'oubliez pas d'insérer votre yubikey dans un port usb.

Source

Multiplication des mots de passe et sécurité

tux-secuAvec l'explosion d'internet nous avons commencé à mettre de plus en plus d'informations en ligne. Sites marchands, établissements financiers, réseaux sociaux, forums et boites mails ne sont que des exemples d'endroits sur lesquels nous laissons une empreinte numérique. Et pour tout cela l'unique protection qui nous est proposée est le bon vieux couple identifiant/mot de passe[1].
Seulement voila, avec la multiplication des mots de passe nous sommes tentés de prendre des raccourcis dangereux en matière de sécurité.

Ainsi, moi comme beaucoup d'autres, j'ai été tenté par les solutions de simplification dans la gestion des accès à mes informations numériques. Je n'avais que 3 ou 4 mots de passes différents que je mettais sur tous les sites, car il faut bien le reconnaitre, se souvenir de plus était difficile pour moi. L'autre travers dans le quel je étais tombé était d'utiliser les fonctions d'enregistrements des mots de passe proposées par les navigateurs ... ouais je sais ...

Toutefois, suite à l'écoute de l'histoire du piratage des comptes de Mat Honan dans l'excellent podcast "Le Rendez-vous Tech" n°93, je me suis (enfin) rendu compte que non seulement mes comptes étaient pas mal vulnérables mais en plus que les conséquences d'un piratage pouvaient être vraiment désagréables[2].
J'ai donc décidé d'augmenter le niveau de sécurité de ma vie numérique mais avec une idée en tête, conserver un maximum de souplesse d'utilisation.

La première étape dans la sécurisation de mes comptes a été de faire appel à un gestionnaire de mots de passe. Dans le cadre professionnel j'utilisais keepass. Bien que keepass soit excellent, j'ai voulu tester lastpass. Je dois avouer que je suis très satisfait de la simplicité qu'offre cette solution tout en augmentant considérablement le niveau de sécurité.
Quel est le principe ? C'est très simple. On part du fait qu'il faudrait un mot de passe très compliqué et différent pour chacun des sites sur lequel on crée un compte. Mais comme il serait très difficile de s'en souvenir, on passerait notre temps avec la procédure de mot de passe perdu. L'idée avec lastpass est de créer un compte chez eux, d'y mettre un mot de passe fort dont on se souviendra et ensuite laisser lastpass se souvenir des autres mots de passe pour vous.
J'ai donc créé un compte chez lastpass puis j'ai téléchargé le plugin pour firefox et chrome. Le programme vous invite à importer les mots de passe stockés dans les navigateurs de sorte que ce soit à présent lastpass qui gère cette partie. Puis, vient la partie un peu longue qui consiste à faire le tour des sites pour changer les mots de passe. J'ai opté pour des mots de passe auto-générés de 25 caractères avec caractères spéciaux. Là encore, on est guidé par lastpass il est très facile de changer et sauvegarder les mots de passe des différents sites. Une fois ce travail rébarbatif effectué, la navigation n'est pas plus compliquée qu'avant. On va sur son site marchand, on clique sur connexion et lastpass remplit les champs pour vous. Pour certains sites "sensibles", il est possible d'indiquer à lastpass de d'abord demander le mot de passe principal avant de compléter les champs de login et password.

Étant donné que je suis un utilisateur d'Android, mon compte google a une vraie importance pour moi. J'ai donc décidé de mettre en œuvre la validation en deux étapes. Cette technique consiste utiliser deux facteurs d'authentification. Dans la pratique lorsque vous voulez vous connecter sur votre compte google, vous devez saisir votre mot de passe habituel[3] plus un code qui vous a été envoyé via sms par google (ou via le Google authenticator[4]). C'est un peu plus long mais vraiment plus sûr. D'autant qu'en plus il vous est possible de définir certains ordinateurs comme étant sûr et depuis lesquels Google ne demandera pas le second code. Toutefois attention, cette méthode est disponible sur les services web de Google, mais lorsque l'on utilise ces services au travers d'applications tierces, ce mécanisme, qui n'avait pas été prévu à l'origine, ne fonctionne pas ( y compris le compte google sur les téléphones Android [sic] ). Google propose alors de générer un mot de passe fort (qui ne sera visible qu'une seule fois) a destination de ces applications. Il faut alors générer un mot de passe, le saisir dans l'application et demander à cette dernière de se souvenir du mot de passe. Là encore ça prend un peu de temps mais rien d'insurmontable.

Si l'on étudie ces nouveaux outils, ils augmentent certes la sécurité si l'on considère chaque compte de manière individuelle, mais de manière globale lastpass représente un gros "SPOF"[5]. Le problème des gestionnaires de mots de passe est que l'on centralise tous les mots de passe au même endroit. C'est presque pire que de tous les noter sur un calepin puisque dans notre cas c'est en plus accessible depuis le net. Alors certes lastpass ne stocke pas les mots de passe en clair, ils sont chiffrés et le seul moyen de les déchiffrer est de connaître le mot de passe principal ( [sic] ). Ok, donc il suffit à un pirate de cracker un seul de vos mots de passe, le plus important, pour avoir accès à toute votre vie numérique... Pas si génial finalement.
Alors, que faire ? Revenir à 3 ou 4 mots de passe que l'on met partout ? Non. Lastpass permet lui aussi de mettre en œuvre une authentification à deux facteurs via l'utilisation d'une Yubikey.
Yubikey est un produit de la société Yubico qui se présente sous la forme d'une clé USB muni d'un bouton. Elle se comporte comme un clavier à une seule touche. Une pression sur cette touche envoie sur l'entrée standard un mot de passe à usage unique. Une fois ajoutée à lastpass, il faudra saisir le mot de passe principal puis appuyer sur le bouton de la clé USB pour être authentifié sur lastpass. C'est bien mieux là déjà non ?

Pour résumer, effectuer ces opérations n'est pas réellement à la porté de tout le monde[6] mais c'est je pense vraiment nécessaire si l'on souhaite bénéficier d'un niveau de sécurité correct sur le net. La sécurité a du mal à faire écho auprès des entreprises et c'est pire pour le grand public. Pourtant, on a pu voir avec l'histoire de M. Honan que le risque existe et que les conséquences peuvent être vraiment désagréables. Alors je ne suis pas dupe, il existe des failles dans tous les systèmes et même avec les nouvelles solutions que j'ai mis en place je reste vulnérable. Mais je pense qu'augmenter le niveau de sécurité est toujours une bonne chose et que même si la protection n'est pas complète elle limitera au moins les dégâts.

 

[1] http://fr.wikipedia.org/wiki/Mot_de_passe
[2] Je ne sais pas pourquoi, mais jusqu'alors j'avais l'impression qu'il n'y avait rien de bien important pour moi sur le net... étrange non ?
[3] Dans mot cas un mot de passe de 25 caractères généré par lastpass.
[4] C'est un logiciel que l'on installe sur smartphone et qui donne le code au lieu de recevoir le sms. C'est la solution que j'ai choisie.
[5] Sauf pour le compte google qui dispose d'une authentification à deux facteurs.
[6] Même si ce n'est pas non plus super complexe.

Le manchot cyberpunk

tux-newsJordan Weisman, l'un des co-fondateurs de FASA Corp. (l'éditeur original de Shadowrun) a récemment eu l'idée de créer un jeu vidéo basé sur l'univers de Shadowrun. Il a donc utilisé la plateforme de financement collaboratif Kickstarter pour financer le nouveau projet très justement nommé Shadowrun Returns. Ce bon monsieur avait demandé 400 000 dollars pour que son projet voit le jour. Comme la levée de fond se passait bien, il a indiqué dans un message que si les dons atteignaient 1 millions de dollars, une version GNU/Linux  à part entière serait développée. Mais c'était sans compter sur les fans de l'univers accros au manchot, puisqu'il a finallement levé 1 836 447 dollars.

La sortie du jeu est prévue pour janvier 2013.

Mais ce monsieur ne s'est pas arrêté là, puisqu'avec une autre équipe il envisage de développer Shadowrun Online un MMORPG, là encore basé sur l'univers de Shadowrun. Encore une fois, il passe par Kickstarter pour lever les fonds. Le jeu devrait utiliser le moteur Unity 4 (rien à voir avec l'environnement graphique d'Ubuntu hein ;) ), un moteur capable d'utiliser DirectX mais aussi de tourner de sous GNU/Linux. 

Moi ça m'a donné envie j'ai filé 35$ pour le MMO qui, s'il est financé, sortira en 2013.

tux-cyberpunk

source : Slashdot

De la convergence des plateformes mobiles

tux-newsAvec l'arrivée des smartphones tactiles1 notre usage d'Internet en mobilité a considérablement évolué. C'est essentiellement l'arrivée des OS évolués avec les "markets d'apps" qui ont changés la donne. C'est d'abord Apple qui a ouvert la voie avec son iPhone, puis Google avec Android et maintenant Microsoft avec Windows Phone 7 et bientôt Windows Phone 8. Puis, nous avons vu arriver la déferlante tablette, ce matériel hybride à la croisée des chemins entre le smartphone et l'ordinateur portable. Son arrivée fut d'abord accompagnée d'une certaine circonspection de la sphère Hi-Tech qui ne savait pas où positionner ce device et s'il trouverait une place dans les usages numériques quotidiens. Mais, le succès des tablettes est aujourd'hui indéniable. Là encore, c'est Apple qui a ouvert la danse avec l'iPad, suivi plus tard (un peu trop ?) par Android et maintenant par Microsoft et ses fameuses tablettes Surface.
Microsoft a d'ailleurs frappé un grand coup en entamant la convergence des plateformes mobiles en premier. Cette convergence justement est largement saluée par le monde du tech qui voit là un vrai avantage par rapport à la concurrence.

Cependant, je suis moins entousiaste sur cette "nouveauté". Alors, soyons clair, j'accueille avec un vrai plaisir le nouvel écosystème de Microsoft car il reste cohérent et l'utilisateur final n'en sera que plus satisfait. Il est indéniable que travailler dans un environnement uniforme quelque soit les devices est un avantage non négligeable. Mais je regrette que cette convergence n'ai pas eu lieue à la fois sur l'OS et sur le matériel. On avait pourtant vu des prémice de ce qui me semble être la solution de convergence. Avec, coté matériel le Motorola Atrix ou le ASUS Padfone. Coté software, c'est Ubuntu qui développe un concept prometteur avec Ubuntu for Android.
L'idée de tout cela est simple: Quelle est la plateforme mobile que l'on a le plus souvent avec soit ? - Le smartphone. Donc, si l'on considère cet état de fait, il est tout naturel de vouloir que le smartphone reste au coeur de notre environnement technologique. Et si notre smartphone était aussi notre tablette et notre ordinateur de bureau ? Jusqu'à présent nous avons déployé une énergie considérable pour effectuer une synchronisation de nos données pour qu'elles soient accessibles sur tout nos devices. Mais il serait plus simple de concentrer ces données dans un endroit unique2, un appareil polymorphe capable de s'adapter à toutes les situations.
Alors attention ! Je ne parle pas d'un téléphone basé sur des technologies qui n'existent pas encore ou alors seulement dans nos rêves les plus fous. Non ! Il suffirait de mixer les idées et technologies mises en place dans les solutions actuelles. Donc, le téléphone qui s'insère dans un écran 10 pouces et en fait une tablette; le téléphone qui se branche à un socle relié à un grand écran, un clavier et une souris. Force est de constater que la technologie est là, que les smartphones sont de plus en plus puissants, au point de répondre désormais aux usages courant de l'informatique grand public et que cette convergence pourrait (aurait déjà pu) avoir lieue.

Finalement, je ne perds pas espoir, je pense réellement que c'est le futur de nos technologies mobiles, mais c'est pour cela que la solution de Microsoft bien qu'encouragente ne me satisfait pas car on a toujours un OS par appareil et donc autant de points de divergence de l'information.

1 : Je mets volontairement de coté les smartphones sous windows mobile 5 et 6.
2 : Bien évidemment sauvegardé comme il se doit.

Éviter les plantages de knotify

tux-ubuntuAu boulot comme à la maison j'utilise Ubuntu, mais comme la nouvelle interface, unity ne me plait guère j'ai switché sur gnome-shell. J'utilise assez peu d'applications KDE mais il est vrai que pour celles que j'utilise je n'ai pas trouvé d'équivalent sous gnome.
C'est le cas de krusader, un gestionnaire de fichier dans lignée des mc et autres norton commander. Il est vraiment très complet, avec plein d'outils pour faire à peu près toutes les opérations sur les fichiers.
Cependant, depuis ma migration sous Precise Pangolin, à chaque fois que krusader lance une notification (normalement accompagnée d'un son), j'ai un superbe rapport de crash. C'est en fait knotify qui ne parvient pas à jouer le son de notification.

Après plusieurs recherches sur le net, j'ai fini par trouver un workaround :
Créer ou modifier le fichier ~/.kde/share/config/knotifyrc
Puis y saisir le contenu suivant :

[Sounds]
No sound=true
Use external player=true
Volume=100