Proxy Web avec SSH

Imaginons que vous soyez sur un réseau où certains sites web sont bloqués.
Si vous avez une machine à l’extérieur et un accès SSH dessus, vous pouvez l’utiliser comme proxy.

1ère étape

Lancez la commande suivante pour créer un proxy :

$ ssh Utilisateur@MachineExterne -C -N -D 8080

Les options sont les suivantes :

  • -C : compresse la transmission pour économiser la bande passante
  • -N : n’ouvre pas de shell
  • -D : ouvre un proxy dynamique

Vous devez garder le proxy ouvert, ne fermez donc pas la console sur laquelle vous l’avez ouvert !

Cette commande fonctionne pour Linux et MacOS. Pour Windows, je vous laisse regarder du coté de Putty.

2eme étape

Configurez ensuite votre navigateur pour pour rediriger le flux TCP et DNS vers le proxy :
proxyN’oubliez pas de cocher la case « DNS distant ». Et voila !

Vous avez en plus changé d’IP sur Internet. Vous utilisez désormais celle du serveur proxy.

J'aime(3)Ferme-la !(0)

OpenMailBox

Vous cherchez à quitter Gmail ou Hotmail mais ne savez pas comment avoir un email ailleurs? Pourquoi ne pas héberger vos mails sur OpenMailBox?

Il n’y a pas de business pour revendre ou exploiter vos données. Les conditions de services sont simples à comprendre.
Vous payez ce que vous voulez, voir rien.
Les protocoles de communications sont sécurisés.
C’est géré uniquement avec des logiciels libres.
Vous avez 1Gb d’espace à vous. (Pas besoin de garder 10 ans de mails en ligne alors que l’espace coûte rien chez vous. Vous pouvez aussi les ranger ou supprimer ce qui est obsolète.)
ll y a un webmail sympa.
Vous avez en plus un compte XMPP (Jabber) pour faire de la messagerie instantanée avec vos potes barbus.

Ca ne vous protégera pas des lois liberticides de Ho’llandouille. Mais vos mails ne serviront plus à vous profiler comme le dindon de la farce. De plus, vos amis vous remercieront car les emails qu’ils vous enverront seront aussi protéger des yeux des GAFA.

Comme le site est très succinct sur comment configurer votre logiciel de mail, je vous donne ici les réglages de manière plus détaillée :

Réception des mails:

Serveur: imap.openmailbox.org
Port: 993
Sécurité: SSL/TLS
Nom d’utilisateur: username@openmailbox.org
Authentification: clair/mot de passe normal

Envoi des mails:

Serveur : smtp.openmailbox.org
Port: 465
Sécurité : SSL/TLS
Authentification requise : oui
Nom d’utilisateur: username@openmailbox.org
Authentification: clair/mot de passe normal

J'aime(6)Ferme-la !(0)

Conditions de service de Facebook

Article 2 des conditions de service de Facebook :

Pour le contenu protégé par des droits de propriété intellectuelle, comme les photos ou les vidéos (contenu de propriété intellectuelle), vous nous donnez expressément la permission suivante, conformément à vos paramètres de confidentialité et des applications : vous nous accordez une licence non exclusive, transférable, sous-licenciable, sans redevance et mondiale pour l’utilisation des contenus de propriété intellectuelle que vous publiez sur Facebook ou en relation avec Facebook (licence de propriété intellectuelle). Cette licence de propriété intellectuelle se termine lorsque vous supprimez vos contenus de propriété intellectuelle ou votre compte, sauf si votre contenu a été partagé avec d’autres personnes qui ne l’ont pas supprimé.

Pas de besoin de chercher loin, dès les première lignes des conditions de service, on trouve une clause inacceptable. En clair, vous donnez consciemment les droits d’exploitation de vos photos et vidéos à Facebook pour toute utilisation commerciale et pour gratos en plus.

vous n'etes pas un fichierDes solutions alternatives existent : WordPress (blog), Owncloud (stockage et partage de fichiers), Jabber (chat), et le mail bien sur !

Des réseaux sociaux intégrés comme Movim ou Jappix sont en développement.

J'aime(5)Ferme-la !(0)

Mettre à jour le microcode de son CPU sous Debian

Les CPU ont aussi un firmware appelé microcode. Normalement, c’est le BIOS de votre carte mère qui le met à jour. Mais si le fabricant de sa carte mère ne publie pas de nouveau BIOS avec de nouveaux microcodes pour son CPU, il est possible de le faire à la volée avant le chargement du noyau Linux.

Le microcode corrige des bugs connus du CPU. Si vous rencontrez des freeze ou des erreurs de calcul, il peut être intéressant de voir si une mise à jour du microcode ne corrige pas votre problème.

Tout d’abord on vérifie la version du microcode de son CPU :

$ grep microcode /proc/cpuinfo
microcode : 0x19

Puis on installe le paquet intel-microcode ou amd64-microcode selon son modèle de CPU. Vous avez besoin d’activer les dépôts contrib et non-free pour y avoir accès.

On redémarre. Et voilà !

$ dmesg | grep -i microcode
[    0.000000] CPU0 microcode updated early to revision 0x1c, date = 2014-07-03
[    0.071491] CPU1 microcode updated early to revision 0x1c, date = 2014-07-03
[    0.085625] CPU2 microcode updated early to revision 0x1c, date = 2014-07-03
[    0.099732] CPU3 microcode updated early to revision 0x1c, date = 2014-07-03
[    0.448963] microcode: CPU0 sig=0x306c3, pf=0x2, revision=0x1c
[    0.448968] microcode: CPU1 sig=0x306c3, pf=0x2, revision=0x1c
[    0.448972] microcode: CPU2 sig=0x306c3, pf=0x2, revision=0x1c
[    0.448976] microcode: CPU3 sig=0x306c3, pf=0x2, revision=0x1c
[    0.449007] microcode: Microcode Update Driver: v2.00 <tigran@aivazian.fsnet.co.uk>, Peter Oruba

J'aime(1)Ferme-la !(1)

Fail2ban pour Owncloud 7 sur Debian Jessie

Petit guide pour couper court au crackage de vos passwords par le formulaire de login d’Owncloud.

Ajouter dans le fichier /etc/fail2ban/jail.conf :

[owncloud]
enabled = true
port = http,https
filter = owncloud
logpath = /var/log/owncloud.log
maxretry = 3

Modifier le fichier /etc/owncloud/config.php

'loglevel' => '2',
'logtimezone' => 'Europe/Brussels',

Le loglevel ne doit pas être supérieur à 2 pour que les tentatives de login soient enregistrées dans le log !
le logtimezone doit être accordé avec l’heure de votre serveur. Sinon fail2ban pensera toujours que la connexion est ancienne et ne bannira rien.

Créer un fichier /etc/fail2ban/filter.d/owncloud.conf:

[Definition]
failregex = .*"message":"Login failed:.*IP: '<HOST>'.*
ignoreregex =

Relancer le service fail2ban:
# systemctl fail2ban restart

Faites trois mauvaises tentatives de login sur Owncloud pour vérifier !
Pour vérifier le status de fail2ban:

# fail2ban-client status owncloud

Pour débloquer une IP:

# fail2ban-client set owncloud unbanip 192.168.0.13

Cette configuration de Owncloud et Fail2ban devraient être par défaut dans Debian à mon sens.

On peut également se connecter à Owncloud par l’API REST. Je n’ai pas testé si les erreurs de connexion par cette API étaient aussi enregistrées dans le fichier de log, et donc prises en compte par Fail2ban.

J'aime(6)Ferme-la !(1)

Installer un serveur Mumble sur Debian

Ils commencent à m’emmerder ces ploutocrates à vouloir m’espionner sans juges ! Voici comment avoir des discussions audio en toute intimité avec le logiciel libre Mumble.

Et ce sera la preuve que leurs systèmes d’écoute automatisée sur les réseau téléphone, Skype, etc… ne va renifler que les honnêtes gens, ou les terroristes de pacotille.

mumbleDonc pour discuter en toute discrétion, il vous faut:

  • un PC
  • dont vous connaissez l’IP sur Internet
    (astuce pour la connaître en ligne de commande : $ curl ifconfig.me)
  • et qui accessible depuis Internet sur les ports UDP and TCP 64738. Ca se configure dans la box/routeur de votre FAI si vous avez ça.

Une fois que vous avez ça. Il suffit d’installer le serveur libre Murmur.

Je donne l’exemple d’installation pour Linux pour la suite, mais Murmur marche aussi sous Windows et Mac OS. Donc voila la commande d’installation et configuration pour Debian :

# apt-get install mumble-server

Et voila, c’est tout! Dur hein?

Le serveur tourne, est accessible à tous les clients Mumble et les communications sont chiffrées entre le serveur et chaque client (chacun a un certificat). La classe.

Vous pouvez y accéder depuis votre Linux,Windows,Mac avec Mumble et de votre smartphone android avec Plumble, un logiciel libre disponible sur Fdroid ou Mumblefy sur iPhone.

Pour rendre le serveur privé, vous avez juste à renseigner un mot de passe derrière le paramètre serverpassword= dans le fichier /etc/mumble-server.ini.

Et cerise sur le gateau, le codec audio Opus est supporté par défaut :

J'aime(9)Ferme-la !(0)

Ne demandez plus d’email pour poster un commentaire

Il y a déjà 2 ans, je me posais déja la question, toujours sans réponse, Pourquoi faut-il renseigner son e-mail pour poster un commentaire?

En effet, sans email :

  • Askimet est toujours aussi performant pour supprimer les spams.
  • On peut suivre les commentaires d’un billet particulier par RSS.
  • C’est plus facile pour tout le monde d’écrire un commentaire sous pseudonyme.
  • C’est mieux pour la vie privée pour ceux qui ont une IP dynamique (les autres je vous ai à l’oeil :p)
  • Ca évite de se casser la tête à donner un email bidon ou de se faire spammer si votre email est utilisée à mauvais escient.

Si vous aussi, vous trouvez que ça n’a pas de sens, installez le plugin WordPress :  Remove Email from Comments

J'aime(13)Ferme-la !(2)

Google en intraveineuse

google-spyLes journaux en ligne dénoncent souvent le profilage constant des internautes par les Google, Facebook, NSA & co et sont toujours prompt à défendre Snowden. Pourtant, à l’encontre de leur discours, ce sont eux qui participent le plus au flicage des internautes.

Les journaux en ligne gratuits, vivant essentiellement de la publicité, y sont contraint par leur modèle économique. Ils cherchent à maximiser leur audimat par tous les moyens (Facebook, etc…) et leurs revenus publicitaires et cela passe par donner vos infos de connexions à la régie publicitaire (Google). Il n’y a donc rien à attendre d’eux sinon qu’ils ferment leur gueule et se remettent en question en lisant leurs propres articles (cela leur permettrait de corriger leur fautes d’orthographe également).

Plus inquiétant, les journaux payants tels que Mediapart, incluent le traqueur Google Analytics sur toutes leurs pages. Piwik s’installe pourtant en quelques clics. Il y a donc un manque de volonté de mettre une action derrière les mots.

Encore plus inquiétant, des journaux payants spécialisés sur le sujet et en informatique tels que NextInpact (nouveau nom de PCInpact), qui pourtant désactivent Google Analytics pour les abonnés sur leur pages , viennent de m’envoyer (je suis abonné) un questionnaire à remplir sur Google Forms ! Ben oui, c’est simple, c’est gratuit et c’est moi le produit ! Pourtant il existe Limesurvey qui s’installe aussi en quelques clics.

Bref, Google semble présent en intraveineuse même chez les plus éduqués des grands journaux en ligne, pour des fonctionnalités aisément remplaçables avec un peu de volonté.

J'aime(16)Ferme-la !(0)

Cacher ses adresses mail, numéros de téléphone, etc… des spammeurs sur WordPress

Si vous laissez votre adresse email sur un site web, nul doute qu’un robot va venir la lire et l’ajouter à son fichier de SPAM. Pour éviter cela, on peut encoder l’email en Javascript.

Les humains regardant la page web verront l’email proprement car leur navigateur va décoder le javascript. (Aucun problème de copier coller contrairement aux images)

Les robots ne vont pas exécuter le javascript car c’est trop long et trop complexe pour eux.

Cette technique s’applique aux emails mais aussi à tout contenu que vous voudriez protéger des bots comme votre numéro de téléphone etc…

Il existe un plugin pour WordPress pour mettre en place cette technique facilement : Email encoder bundle

Pour cacher un email ou tout autre contenu des robots, écrivez celui-ci entre balises dans votre article :

[eeb_content]toto@gmail.com[/eeb_content]

J'aime(8)Ferme-la !(2)

Forcer l’utilisation de SSL pour se connecter à WordPress

Un des moyens de ne pas se faire voler son mot de passe et login WordPress est de se connecter uniquement en chiffrant la connexion par SSL (HTTPS). WordPress a une fonctionnalité, un peu cachée, pour forcer l’utilisateur à utiliser SSL lors de sa connexion.

Pour activer cette fonctionnalité, vous devez rajouter dans le fichier wp-config.php la ligne suivante :

define('FORCE_SSL_ADMIN', true);

Source : Codex WordPress

J'aime(1)Ferme-la !(0)