Cet après midi j'ai vu un certain Kevin Mitnick tweeter sur une nouvelle application http://faceniff.ponury.net/ Intéressant de voir que la vague "FireSheep" n'est pas terminé. D'ou l'importance de s'assurer que les connexions vers nos fournisseurs de services soient chiffrés lorsqu'on est sur des réseaux publiques. ( lire email/média sociaux )
Informatique
vendredi, juin 3 2011
Le sniffing des réseaux Wifi de plus en plus intéressant!
Par Charles Lacroix le vendredi, juin 3 2011, 16:40
jeudi, juin 2 2011
2 Factor authentication avec google-authenticator
Par Charles Lacroix le jeudi, juin 2 2011, 20:35
Quand je suis allé au CloudCamp il y a quelque semaines, je jasias avec un gars de google en lui disant que j'avais hâte qu'il existe une implentation de 2factor auth gratuite! J'avais regardé le Blizzard authenticator, mais c'est difficile à intégre. C'est la qu'il s'est mit a me parler d'un petit projet que google ont relaché dernièrement http://code.google.com/p/google-authenticator/
Vraiment génial comme petit authenticator pour son compte google. Ils ont aussi relaché un module PAM, donc à peu prèt tout ce qui est sur unix/linux peux être accroché avec ce petit module. Il y a un autre projet http://code.google.com/p/google-authenticator-apache-module/ pour faire du web based authentication sous apache!
Je me suis amusé avec le module PAM, et en fait j'ai activé cela sur tout mes connexion SSH. Je ne voulais pas mettre en péril mon smart serveur et ne pas pouvoir le booter en recovery afin de l'arranger. J'ai jugé que d'activer du 2 factor authentication sur tout les connexions SSH était suffisent. J'ai tout de même des clients qui transfert leur sites web via ftp et je ne voulais pas les obliger à utiliser cela. J'aurais aussi pu faire en sorte les sudo et les su soient authentifié via ce 2 factor, mais mon serveur est chez iWeb et je ne voulais pas courrire le risque que je ne puisse plus devenir root d'aucune autre façon qu'avec le recovery cd si le module décidais de bugger pour une raison ou une autre. Bref, j'ai toujours accès via un kvm ip sane le 2 factor en backup alors cela me conviens.
L'installation est hyper simple mais requière que vous avez déjà installé l'app sur votre smart phone.
Installer mercurial, pam-devel
$ hg clone https://google-authenticator.googlecode.com/hg/ google-authenticator/ $ cd google-authenticator/libpam/ $ locate libdl.so ( Si le make fail .. c'est fort probablement le patch dans le Makefile qui est pas bon ) $ make
- su -
- make install
- vi /etc/pam.d/sshd
auth required pam_google_authenticator.so
- vi /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
ctrl+d
$ google-authenticator
Répondre aux questions, paster le lien dans votre navigateur web et scanner le QR code pour l'ajouter a votre appareil! Notez les emergency scratch codes car ils peuvent vous sauver les fesses si votre téléphone est à plat, perdu!
lundi, mai 23 2011
Passer au cloud oui mais quoi faire avec mes DNS
Par Charles Lacroix le lundi, mai 23 2011, 15:24
Depuis environ 1 an l'idée de mover complètement vers le cloud pour mes besoin d'hébergement web, courriel, vpn, mumble, et bien plus. J'ai fait plusieur test, j'ai sauvegardé quelque snapshot pour mes besoin ponctuel en serveur. J'ai écrit quelques script pour syphonner mes config à partir d'un volume S3 au démarrage. Bref, il me reste a essayer le fameux cloud watch et tester le failover afin d'être redondant et ne pas être trop stressé si un désastre survient pendant que ma blonde accouche ;)
Un de mes gros problème était quessé je vais bien faire avec mes DNS comment est-ce que je vais en faire la gestion?
Depuis quelque jours je magazine les prix des "DNS as a Service" et ouf je suis pas mal découragé de voir les prix pour cela. Je suis consient que c'est une grosse responsabilité qu'on leur confie mais dans mon cas pour un lot d'environ 35-40 nom de domaines ça me couterais plus de 100$ par mois ... avec cela j'ai toujours d'ip/serveur sur lequel pointer ces nom! 100$ par mois c'est ce que je paie pour mon serveur dédié! voir si je vais payer le même pris pour que quelqu'un gère mes dns et ensuite payer le même prix si pas plus cher chez amazon en EC2, S3, EBS, CloudWatch, SimpleDB, disk IO, traffic web, loadbalancer, ElasticIP, etc.
J'en suis a me questionner et voir si je ne gèrerais pas mes DNS à même le cloud! 2 micro instances dans 2 datacenter éloignés, volume de traffic assez faible, pas énormément d'accès disque, pas besoin d'un énorme volume il reste a voir comment ça se gère quand une instance meurt. J'ai aussi regardé le "route 53" de amazon, mais pour le moment ça reste des idées à explorer.
Bref que de plaisir en perspectives!
vendredi, mai 20 2011
Mon nouveau SmartServer de iWeb
Par Charles Lacroix le vendredi, mai 20 2011, 10:13
Depuis environ 2 semaines je me suis procuré un smart server chez iWeb je voulais enlever la couche "hardware" de ma responsabilité et avec les SmartServers c'est exactement ça qui se passe. Ils peuvent déplacer ton image sur une autre machine sans avoir a ré-instaler. Juste qu'a présent tout semble très bien fonctionner, j'en suis agréablement surpris. Je me suis dit tanqu'a ré-installer et migrer mes clients sur un nouveau serveur, essayons de garder un contexte ou la sécurité une prioritée.
Première chose que j'ai fait c'est de lire attentivement ce document: RHEL5 Guide. Je sais qu'il est très long mais il couvre énormément de choses et c'est un très bon point de départ pour partir du bon pied comme on dit. Je n'enterai pas dans tout les détails de cette configuration car elle beaucoup trop vaste pour un billet sur mon blog, en plus elle est très bien expliqué dans le RHEL5 Guide.
Les grosse étapes pour sécurier un serveur:
- Déactivéer/déinstaller tout ce qu'on a pas besoin.
- Sécuriser le file system:
* Mettre des nodev, noexec, nosuid, nosgid * Faire un bind mount pour /var/tmp
- Surveiller le filesystem pour tout changements.
* Vérifier de facon périodique. * L'intégrité des fichiers. * L'intégrité des packages. * Les permissions sur certain fichiers critique. * Les changements pour les fichiers suid/sgid. * Trouver les fichier n'ayant pas de owner. * Surveiller les dossier et fichier world writable.
- Déactiver core dumps.
* Déactiver prelinking. * Activer ShiledExec. * Déactiver les filesystem qu'on utilise pas ex: clef-usb, floppy... * Garder selinux enforcing,targetted mode. * Effectuer divers modifications à Syslog afin que tout soit écrit à quelquepart. * Utiliser Auditd.
- rehausser la sécurité des login.
* Configurer une déconnection automatique. * Remettre en fonction le fameux group Wheel. * Définir une stratégie de mot de passe plus adécoite. * Changer le hashage de mot de passe pour utiliser SHA512. * Verrouiller les comptes après plusieur écheque de login. * Verrouiller tout les comptes système et changer leur shell pour /sbin/nologin. * Implementer du 2 factor authentication pour les comptes SSH
- Réseau
* Ajouter quelques options sysctl. * Batir un firewall solide. * Sécuriser les divers services utilisé. * Déactiver le support IPv6 étant donné que iWeb n'offre pas encore ce service. ( hint, hint! )
Une fois qu'on a passé à travers ceci, il est temps d'installer nos services voulu. Dans mon cas j'ai ajouté quelques repo, principalement pour avoir un php5.2 ou 5.3 (ius) et j'ai aussi installé celui de (epel) qui me permet d'installer des truc comme nginx, iotop, phpmyadmin, divers module perl sans avoir a compiler manuellement.
En utilisant ces repo extérieur il faut absoluement faire attention et s'assurer qu'on autorise seulement les packages voulu de ces repository avec la ligne 'includepkgs'
Une fois rendu ici, le fun commence. La guerre est officiellemnt déclaré entre moi et SeLinux car certain services sont plus compliqués à faire fonctionner ensemble mais rien de terrible quand on sait comment s'y prendre.
Problème avec php.net
Par Charles Lacroix le vendredi, mai 20 2011, 10:06
Le site wiki.php.net semble avoir été attaqué dernièrement :(
php.net security notice [19-Mar-2011] The wiki.php.net box was compromised and the attackers were able to collect wiki account credentials. No other machines in the php.net infrastructure appear to have been affected. Our biggest concern is, of course, the integrity of our source code. We did an extensive code audit and looked at every commit since 5.3.5 to make sure that no stolen accounts were used to inject anything malicious. Nothing was found. The compromised machine has been wiped and we are forcing a password change for all svn accounts. We are still investigating the details of the attack which combined a vulnerability in the Wiki software with a Linux root exploit.
mardi, novembre 30 2010
Les bon coté du cloud computing
Par Charles Lacroix le mardi, novembre 30 2010, 21:00
Comme plusieurs on pu le constater, le site Wikileaks.org à mis la main sur plusieurs documents fort intéressants à propos du gouvernement américain. Depuis qu'ils ont annoncé leur trouvaille, ils se sont fait faire un DDOS, (Distributed Denial Of Service) mais ils ont rapidement migré sur une infrastructure de Cloud computing EC2 de Amazone. L'avantage ici c'est que ça "scale" rapidement et facilement afin de satisfaire la demande. Ce matin, j'ai lu qu'il y avait environ 10gig/s de données qui circulaient ...
Je suis heureux de voir qu'Amazone tient le coup. Je songe depuis un bout à migrer mon serveur dédié vers le cloud. Avec quelques clients de plus je pourrais rendre ce rêve une réalité ;)
jeudi, novembre 25 2010
Raison de plus pour rooter son appareil Android
Par Charles Lacroix le jeudi, novembre 25 2010, 20:26
Voici un article en anglais qui explique une faille de sécurité qui se trouve dans le browser de Android.
La faille en question se situe dans le navigateur web et permet d'accéder à des fichiers sur la carte SD.
A security officer has stumbled across a serious vulnerability in the built-in browser of Android smartphones that might allow hackers to lift data from SD cards in the Google handsets.
Heureusement, il y a un workaround qui consiste à installer un nouveau browser, opera ou firefox mais toujours est-il que la faille restera présente pour la plupart des gens et cela pour un temps indéterminé. Le correctif sera présent dans la version Gingerbread, mais cela ne fera pas en sorte que les fournisseurs de cellulaire, pour ne pas nommer Rogers, Bell et les autres, vont pousser une mise à jours pour corriger la situation. Rappelons-nous que lors de la faille du 911, qui était d'ordre critique voire même tragique, ils ont mis 8 mois avant de pousser une mise à jours...
mardi, novembre 2 2010
Méfiez-vous des accès sans-fil... Fire Sheep vol vos cookies
Par Charles Lacroix le mardi, novembre 2 2010, 21:04
J'ai récament entendu parler de FireSheep. C'est un petit addon de firefox qui permet à un peu tout le monde de faire ce que les hackers faisaient déjà depuis longtemps. Je trouvais cela rigolo car dernièrement j'ai écrit un article sur mon petit coté parano et mon obsession de chiffrer tout les connexions entre moi et le réseau auquel je suis physiquement connecté.
Ceci n'est qu'un exemple de ce qui peut arriver car sur la plus part des sites web, il y a une authentification qui se fait dans un canal sécurisé et une fois que le site sais qui tu es, il te donne un espèce de jeton appelé cookie que tu lui transmet à chaque requête. Cela permet de maintenir la connexion ouverte sans avoir à ré-authentifier chaque clique, chaque reload... Chose qui serait très désagréable pour l'utilisateur. La problématique en arrière de cela est que les sites n'utilisent pas le protocole HTTPS afin de sécuriser de bout en bout la connexion une fois l'authentification faite. Ça laisse donc la porte ouverte pour des gens avec un sniffer de capturer ces cookies et de les ré-utiliser ou tout simplement enregistrer et se faire passer pour vous.
Cette pratique est beaucoup plus simple à effectuer via les réseaux WiFi que sur un réseau câblé. Étant donné que tout passe dans les air, il est facile d'intercepter les communications si elle n'est pas chiffré de bout en bout. Certaine technologies wireless comme Aruba sont drôlement plus complexes voir presque impossibles à intercepter la communication. Via les réseaux câblé il faut un peu plus de gymnastique mais on peut y arriver avec de arp poisoning mais encore la ça dépend du commutateur.
Bref, une opération qui nécissitais de bien comprendre ce qui se passe en dessous du navigateur web se fait maintenant en quelque cliques!! C'est assez épurant de voir tout ce qui est disponible et maintenant très facilement accessible.
En espérant que les sites populaire, pour ne pas dire tout les sites vont réagir et chiffrer leur communications afin que cela ne soit plus possibles.
mercredi, septembre 22 2010
comment utiliser les réseaux sans-fil de façon un peu parano!
Par Charles Lacroix le mercredi, septembre 22 2010, 19:13
Il y a quelques années, quand j'ai acheté mon premier portable, les réseau sans-fil était tout neuf. Personne ne les sécurisait, le wardrivin' était à la mode dans mon entourage. J'avais même volontairement laissé mon wifi ouvert afin d'espionner mes voisins qui décidaient d'utiliser ma connexion internet. En faisant cela, j'ai réalisé ce qui se passe quand on ne contrôle pas notre dhcp et/ou notre gateway vers internet. C'est à ce moment que j'ai décidé d'encapsuler mes communications dans un tunnel VPN. J'ai essayé plusieurs technologies: IPSEC, CIPE, pptp, des tunnel SSH bidon, mais rien n'était satisfaisant, souvent trop de manipulations à faire à chaque fois qu'on se connecte. J'ai longtemps utilisé CIPE ( Crypto IP Encapsulation ) un logiciel très simple à configurer comparativement à IPSEC mais il comporte encore quelques lacunes. Un jour, apparu, OpenVPN!!
Depuis plusieurs années, j'utilise OpenVPN dès que j'ai besoin d'une solution vpn. Simple, stable, sécuritaire, supportant plusieurs niveau d'authentification, du proxy http, bref rien à dire de plus pour me convaincre. Il y a même des outils hyper simple à utiliser pour faire la gestion des clef SSL.
La première étape est de se configurer un serveur OpenVPN.
Voici mon setup. J'utilise Centos 5.5, mais n'importe quelle version de linux/bsd ferait le travail tout aussi bien. Il se peut que les path des logiciel ne soient pas au même endroit, mais le concept reste le même.
Voici les grande lignes:
* Installer OpenVPN sur le serveur * Générer les clefs SSL * Éditer le fichier server.conf * Paramétrer notre firewall * Copier certaines clefs vers nos clients ( portable, téléphone cellulaire, etc. ) * Configurer notre client pour se connecter sur notre serveur.
yum install openvpn cd /etc/openvpn/ cd easy-rsa ### configurer le fichier "vars" et répondre aux questions qui nous sont demandées. . ./vars sh clean-all sh build-ca sh build-key-server my-srv sh build-key my-cli1 sh build-key my-cli2 sh build-key my-cli3 sh build-dh openvpn --genkey --secret ta.key cp keys/*.crt ../keys/ cp keys/*.key ../keys/
Quant à la configuration du firewall, je n'entrerai pas dans les détails. Brièvement, j'utilise du SNAT étant donné que j'ai une ip fixe ( chez iWeb ), mais si j'étais hébergé à la maison j'utiliserais fort probablement du Masquerade et un Dyndns.
Éditer /etc/sysctl.conf et s'assurer que les lignes suivantes sont présentes:
net.ipv4.ip_forward = 1 net.ipv4.conf.default.rp_filter = 1 # relire notre config et l'appliquer sysctl -p iptables -t nat -A POSTROUTING -s 10.18.137.0/255.255.255.0 -o eth0 -j SNAT --to-source 72.55.147.X iptables -I RH-Firewall-1-INPUT -d 72.55.147.X -p udp -m udp --dport 1194 -j ACCEPT service iptables save
Ensuite, on peut éditer /etc/sysconfig/iptables ou votre quelconque script de firewall.
Voici mon fichier de configuration
local 72.55.147.X port 1194 proto udp dev tun ca keys/ca.crt cert keys/serveur.crt key keys/serveur.key # This file should be kept secret dh keys/dh2048.pem server 10.18.137.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1" push "dhcp-option DNS 10.18.137.1" # rediriger son dns sur une machine qu'on contôle! keepalive 10 120 tls-auth keys/ta.key 0 # This file is secret comp-lzo persist-key persist-tun status openvpn-status.log verb 3
Ensuite il faut copier nos clef "clients" vers nos ordinateurs portables. Dans mon cas, j'utilise TunnelBlick sur macosx et le client OpenVPN qui vient avec Android.
Pour utiliser OpenVPN sur son cellulaire il faut malheureusement l'avoir préalablement rooté son appareil. Je n'entrerai pas dans ces détails, mais sur ce site ils ont tout expliqué comment faire: http://www.cyanogenmod.com/ Lorsque CyanogenMod-6.0, de préférence, est installé, on va dans le Market, on installe OpenVPN-Installer et OpenVPN-Settings. Ensuite, il faut copier les clefs ca.crt, ta.key, my-cliX.crt. my-cliX.key dans un répertoire qui s'appelle openvpn à la racine de notre carte SD.
Voici le fichier de configuration que j'ai sur mon appareil: Notez qu'il a été créé par OpenVPN-Settings et qu'il est ensuite facilement éditable à partir de notre ordinateur.
client dev tun proto udp remote 72.55.147.X 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert my-cliX.crt key my-cliX.key tls-auth ta.key 1 comp-lzo verb 4
Ceci étant fonctionnel, j'ai tout de même quelques désagréments. Le vpn ne s'accroche pas automatiquement au démarrage du wifi. Si le téléphone tombe en veille ça cause parfois problème lors du réveil. Quand on est dans un environnement où il y a plusieurs bornes ( cégep, université, etc ), il se peut qu'en se déplaçant, et qu'on change de borne, le routing se brise, mais rien de terrible... Off/On du vpn et le tour est joué.
Attention à votre batterie! Elle se vide à vue d'oeil.
mercredi, juin 16 2010
Enfin rootable le correctif de sécurité 911 pour htc dream et magic!
Par Charles Lacroix le mercredi, juin 16 2010, 17:49
Finallement, la communotée a réussi a trouver une méthode de rooter les HTC Magic qui ont été patché pour le fameux bug du 911 dont j'ai fait référence dernièrement. Je n'ai pas essayé étant donné que je n'ai pas vraiment été affecté par ce bug, mais la procédure est la et si vous en avez un que vous voulez rooter. Faite attention a ne pas faire une brick, il serait dommage de transformer un android en une vulguère brick.
En passant cm-5.0.8 va très bien les versions cyanogenmod sont très stable et il y a des updates très régulièrement .. froyo est pour bientot.
jeudi, mai 6 2010
Que faire quand il manque d'électricité
Par Charles Lacroix le jeudi, mai 6 2010, 17:48
humm la vie sans internet n'a plus aucun sens, il y a eu une tempête et l'électricité a soudainement disparue. Heureusement j'ai une batterie sur mon ordinateur portable ainsi qu'un téléphone avec Android. En quelque secondes j'ai installé une application pour faire du tethering ... avec cela je partage le réseau wifi de mon charmant petit téléphone et ainsi utiliser la connexion 3G que mon fournisseur m'offre. Ah que c'est beau de pouvoir utiliser ces applications gratuite sur un téléphone dont j'ai le plein contrôle.
update eclair pour htc dream
Par Charles Lacroix le jeudi, mai 6 2010, 08:35
En fin de semaine je me suis un peu ammusé avec mon android car vendredi j'ai vu qu'il y avait la version 2.1 ( eclair ) est disponible non seulement pour les utilisateur du NexusOne mais aussi pour les utilisateur du Dream et du Magic. Pour le dream il faut avoir le "danger-spl" afin de pouvoir l'installer.
Il faut dire que j'ai été chanceux dans mon timing avec Rogers pour mes téléphonnes. Ayant acheté le dream j'ai eu droit à un rehaussement gratuit pour le Magic. J'ai reçu ce Magic avant l'ultime crosse du bug 911. Ils ont décidé d'utiliser ce bug plusieurs mois plus tard pour locker avec un firmware pas encore rooté leurs nouveaux clients afin qu'ils ne puissent pas profiter de la beauté de l'open-source. Sincèrement, je trouve vraiment que la communoté en arrière de Cyanogenmod (www.cyanogenmod.com) est belle à voir aller. Beaucoup d'updates sur twitter qui nous disent comment avance le développement et ils nous offrent des version de firmware bien plus à jour que ce que notre fournisseur (Rogers) veut nous offrir.
Anyways, quand on est assez chanceux pour avoir un cell rooté rien de plus simple que de copier les 3 fichiers sur la carte SD et de les appliquer dans l'ordre suivent: update-cm-5.0.7-DS-test2-signed.zip, gapps-ds-ERE36B-signed.zip, bc-5.0.7-t2-ebi1_R2-signed.zip
Il est préférable de "wiper" le téléphonne si on arrive d'une version 4.2.X. Il reste encore des petit bugs mais ça reste dans mon cas très utilisable :)
mercredi, janvier 27 2010
Rogers Bug 911 mise à jour obligatoire
Par Charles Lacroix le mercredi, janvier 27 2010, 16:02
C'est à mon grand malheur que samedi passé je reçois un SMS de la part de Rogers me disant que je devrai nécessairement appliquer leur mise à jour obligatoire. Ayant rooté mon appareil, je me dit, ouf encore une magouille pour me rendre la tache encore plus compliquer pour rouler la version 1.6.
Je comprends très bien l'impact et la nécessité d'appliquer cette mise à jour qui corrige un bug relié aux appels acheminés au service 911 si on a le GPS d'activé. Pour forcer les gens à se mettre à jour ils ont décidé de désactiver le plan data a tout les détenteurs de HTC Dream ou Magic. Certain vont dire, mais ou est le lien avec le fucking GPS! L'application Google Maps utilise le GPS et va siphonner des données sur internet, donc ils ont jugé que si quelqu'un utilise le gps, il devra utiliser son plan data afin d'avoir une map qui contient des informations pertinentes. Donc en désactivant le data, les gens ne peuvent plus utiliser leur appareil comme un GPS dans la voiture ( ou dans mon cas à vélo ).
Personnellement j'ai un gros problème avec cette mise à jour car depuis septembre passé, la version 1.6 a corrigé ce bug... j'utilise et aime bien cette version comparativement à la version d'origine ( 1.5 ). Cette mise à jour va aussi Wiper tout les contact et applications sur le téléphone... style un FORMATTAGE! Je me retrouve face a une situation ambiguë, je dois contacter Rogers pour leur dire que j'ai pas appliqué la mise à jour et que j'ai aucune intention de l'appliquer, et que mon appareil n'est pas vulnérable à ce bug du 911 sans toute fois leur dire que j'ai rooté mon appareil. J'ai passé beaucoup de temps sur les forums de discutions à voir ce que les gens allaient faire.
Teteux comme je suis je les ai appelés à répétition pour qu'ils m'aident à mettre à jour mon appareil. Ils m'ont tous pris par la main afin que je me rende sur le site web avec la petite procédure. Une fois rendu sur la page, je leur dit que j'utilise Linux comme système d'exploitation et que j'ai pas accès a un ordinateur qui a windows peu importe la version, ni d'amis qui ont des mac. La c'est comique de les entendre patiner à se demander ce qu'ils vont faire. Finallement après avoir eu beaucoup de plaisir à engorger leur soutien technique, j'ai décidé de leur dire que j'ai repris mon vieux Nokia 6275i que j'avais chez bell mobilité... J'ai dit au gars du tech support que j'ai transféré ma sim dans mon ancien appareil que j'avais chez bell. Il a simplement fait son "network refresh" sans plus poser de questions.
Je suis content de la situation car j'ai mon accès a mon plan data, je ne suis pas vulnérable au cas ou je voudrait appeler le 911, et ce même si je suis entrain de jouer sur google maps avec mon gps.
lundi, janvier 18 2010
Ah ces jeunes et la technologie!
Par Charles Lacroix le lundi, janvier 18 2010, 13:30
Ça y est, mon fils est sur la bonne voie, déjà il sait comment utiliser le téléphone cellulaire! Il ne fait pas comme la plupart des enfants et le mettre dans sa bouche, il en fait une utilisation avancée. Il a réussi à le débloquer, ouvrir des applications, si au moins il savait écrire, il aurait pu envoyer un SMS à sa maman pour lui dire un petit COUCOU!
Faute de savoir écrire, il se débrouille merveilleusement bien dans les menu. Il a même téléchargé une application sur le Market il trouvait que j'avais besoin d'installer seesmic! Avec cela je peux désormais, âce à mon fils, twitter sur n'importe quoi n'importe où! Que de plaisir en perspective!

mardi, janvier 12 2010
Mon premier petit bug de l'année 2010 selinux+postfix
Par Charles Lacroix le mardi, janvier 12 2010, 11:23
Vendredi passé, j'applique diverses mises à jours, et ce matin je rentre au bureau avec la mauvaise surprise que tous mes serveurs qui utilisent le combo postfix et selinux en mode enforcing me causent de petits problèmes. Heureusement, aucun d'entre eux sont des serveur de courriel, ils ne font qu'envoyer divers rapports de tache cron.
Bref, ce matin j'ai fouillé un peu sur le bugzilla de redhat de redhat et j'ai trouvé un petit workaround. Rien de trop compliqué..
echo "test" |mail -s "test" root send-mail: warning: premature end-of-input on /usr/sbin/postdrop -r while reading input attribute name send-mail: fatal: root(0): unable to execute /usr/sbin/postdrop -r: Success
yum install selinux-policy-devel
Créer un fichier mypostfix.te
vim /usr/share/selinux/devel/mypostfix.te
========CUT========
policy_module(mypostfix, 1.0)
gen_require(`
type sendmail_t;
type postfix_postdrop_t;
')
allow postfix_postdrop_t sendmail_t:unix_stream_socket { getattr read write ioctl };
==================
cd /usr/share/selinux/devel/; make -f Makefile
semodule -i mypostfix.pp
# On test que tout va bien.
echo "test" |mail -s "test" root
mercredi, décembre 16 2009
HTC Dream, je t'ai rooté!
Par Charles Lacroix le mercredi, décembre 16 2009, 15:27
Quoi de plus frustrant pour un linuxien de ne pas avoir le plein contrôle de son nouveau téléphone. J'ai passé de longues heures à analyser la situation, à lire sur les forums afin de trouver la méthode pour upgrader mon appareil et y installer tout plein de trucs cool qui ne sont pas supportés par mon telco.
Bref, je suis rendu à la version donut ( 1.6 ) d'android. L'interface est beaucoup plus rapide et intéressante. À ce que j'ai lu, il parait que c'est une augmentation des performances de l'ordre de 30% .. ce qui n'est pas négligeable. J'ai remarqué que ma batterie dure beaucoup plus longtemps depuis que j'ai changé le OS dans mon cell.
Pour les gens qui sont pris avec rogers et la version 1.5 d'android et qui désirent rooter leur appareil, sachant qu'il est possible de faire une brick avec celui-ci et par le fait même invalider la garantie que Rogers offre... J'ai un lien qui explique toutes les étapes nécessaires pour y arriver. Les fichiers sont un peu difficile à trouver, car ils ne restent jamais très longtemps sur les site de download. J'en ai une copie que je pourrai vous expédier avec grand plaisir si vous me le demandez mais je ne les mettrai pas en lienici.
Bonne chance
mardi, décembre 8 2009
Qui veux des invitations pour Google Wave!
Par Charles Lacroix le mardi, décembre 8 2009, 09:04
J'ai une vingtaine d'invitations disponibles si jamais quelqu'un voulait tester la nouvelle plateform de travail collaboratif de google. Je ne l'ai pas vraiment essayé depuis que j'ai reçu mon invitation, mais je serais ravis d'en faire l'essai avec mes fidèle lecteur de mon blogue que je délaisse un peu trop. Les invitations iront premier arrivé premier servis, donc j'attends avec impatience vos commentaires!
jeudi, novembre 26 2009
Uptime de malade.
Par Charles Lacroix le jeudi, novembre 26 2009, 15:51
Je sais pas si je devrais être fier de ce uptime de fou ou bien m'en vouloir pour ne pas avoir patché le kernel et rebooté le serveur quelques fois depuis les 1191 dernier jours... J'ai juste été étonné de voir cela ce matin quand j'ai du me connecter pour re-rouler des cron du a une défaillance d'un commutateur.
4:19PM up 1191 days, 18:18, 1 user, load averages: 0.01, 0.02, 0.00
C'est beau de voir que les unix restent stable longtemps.
vendredi, juillet 31 2009
Nom de domaine accentués
Par Charles Lacroix le vendredi, juillet 31 2009, 11:45
Ça fait déjà un bon nombre d'années que l'on peut enregistrer des nom de domaines ayant des caractères accentués. Je ne m'étais pas encore décidé d'en acheter un et de voir comment le tout fonctionnait avant cette semaine. Suite à mon expérimentation qui ressemble plus a beaucoup de lecture sur l'algorithme punycode qui est utilisé pour représenter les caractères bizarre ou accentués en ASCII. J'ai songé à cela un peu et en tant que tel, pour nous les francophones notre alphabet est tellement proche de l'anglais que ça ne nous cause pas de réel problèmes.
Prenons comme exemple un site populaire qui s'appelle météomédia qui utilise meteomedia.com comme nom de domaine. Tout est beau, le nom est très proche de la réalité et souvent à l'école les gens écrivent des caractères accentués avec un simple barbeau qui rend cela difficile à déterminer si l'auteur voulait écrire un é è ë ê. Bref pour la langue française c'est mineur comme avantages mais pour les gens en Asie ou leur alphabet ne ressemble pas du tout à nous ça deviens d'autant plus intéressant d'avoir des IDN. ( Internationalized domain names )
Le problème que l'on rencontre c'est que depuis qu'un tata a décidé d'enregistrer ωωω.ραyραl.com ou un autre genre de déviation du nom original afin de faire du phishing. Les navigateurs firefox et IE ont décidé de ne plus afficher le nom avec les caractères internationales mais plutôt d'afficher le résultat punycodé ce qui est un peu ordinaire à mon avis.
Ex: www.là-bas.com deviens www.xn--l-bas-rqa.com
Pour m'amuser j'ai aussi créé ωωω.là-bas.com
Je dois avouer que la configuration au niveau des dns n'est vraiment pas évidente à relire... C'est pas que c'est compliqué à faire mais visuellement c'est pas évident à voir qu'est-ce qui est quoi. Même chose dans la config de apache :)
$ORIGIN xn--l-bas-rqa.com. @ IN A 72.55.168.14 www IN A 72.55.168.14 xn--byaaa IN A 72.55.168.14
ServerName www.xn--l-bas-rqa.com
ServerAlias xn--l-bas-rqa.com xn--byaaa.xn--l-bas-rqa.com
Bref tout la mécanique est en place pour que ça soit fonctionnel et utilisable mais les navigateurs nous mettent indirectement un bâton dans les roues sous prétexte que c'est pour protéger les gens contre les arnaques. Je vous laisse songer à tout ça et j'attends vos commentaires que je lis toujours avec grand plaisir.
lundi, juillet 27 2009
un phisheur qui ne me réponds pas!
Par Charles Lacroix le lundi, juillet 27 2009, 14:07
Je me demande pourquoi je n'ai pas de réponse. J'ai pourtant fait un reply sur le email provenant d'un imposteur voulant voler mon compte paypal. Si au moins il me répondais pour essayer de me convaincre qu'il travaille réellement chez paypal. Qui sait, je me ferais peut-être avoir!
----- Original message -----
MIME-Version: 1.0
Received: by 10.210.110.5 with SMTP id i5mr4607065ebc.3.1248455252108; Fri, 24
Jul 2009 10:07:32 -0700 (PDT)
In-Reply-To: <20090724160425.20454.qmail@vps6579.managemyvps.com>
References: <20090724160425.20454.qmail@vps6579.managemyvps.com>
From: Charles Lacroix <charles.lacroix@gmail.com>
Date: Fri, 24 Jul 2009 13:07:12 -0400
Message-ID: <d86d67c10907241007j3c51309dxb7ff8078b22a11d1@mail.gmail.com>
Subject: Re: {Disarmed} Your account is limited
To: paypal@10484.ppsecure.com
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 7bit
dude i cannot go anywhere in your site except the "my account"
and any other link i click looks like it redirects me to "my account"
Are you trying to get my login informations and credit card number ?
I feal this isn't really comming from paypal, am i right ?
On Fri, Jul 24, 2009 at 12:04 PM, <paypal@10484.ppsecure.com> wrote:
> MailScanner has detected a possible fraud attempt from "66.11.239.194"
> claiming to be
----- End of message -----
« billets précédents - page 1 de 3

