GuiGui's Show

Le package puppet de Debian, c't'un peu le zouk... Y'a l'initscript et l'unit systemd sans compter le fait que puppet peut rester en démon après un lancement manuel... Autrement dit, c'est le bordel pour avoir un puppet agent qu'on lance uniquement à la demande (oui, on pourrait se poser la question de l'utilisation d'un autre logiciel de gestion de conf' plus approprié comme ansible mais pour l'instant, on veut juste achever notre migration Wheezy (+ dépôt apt puppetlabs) vers Jessie).

    1. Dans /etc/default/puppet, on vérifie que START=no est présent... sauf que, si ce fichier est bien lu dans /etc/init.d/puppet, la variable START ne sert à rien... Il faut donc virer l'initscript à la manière forte :
        * sudo /etc/init.d/puppet stop
        * sudo update-rc.d puppet remove
        * sudo rm /etc/init.d/puppet
        * sudo dpkg-divert --add --no-rename --divert /usr/share/puppet/puppet.initscript /etc/init.d/puppet

    2. On désactive ensuite l'unit systemd : « sudo systemctl stop puppet.service ; sudo systemctl disable puppet.service »

    3. On change aussi l'état interne de puppet : « sudo puppet agent --disable ». Lorsque vous voudrez lancer puppet, faites : « sudo puppet agent --enable && sudo puppet agent --server <server> -t ; sudo puppet agent --disable »

Normalement, « puppet agent --disable » devrait empêcher puppet de se lancer quel que soit l'origine de l'appel (systemd ou l'initscript) mais ce n'est visiblement pas le cas... La méthode présentée ci-dessus est clairement de l'acharnement thérapeutique mais à moment donné...

« owner

This module attempts to match various characteristics of the packet creator, for locally-generated packets. It is only valid in the OUTPUT chain, and even this some packets (such as ICMP ping responses) may have no owner, and hence never match.
--uid-owner userid
    Matches if the packet was created by a process with the given effective user id.
--gid-owner groupid
    Matches if the packet was created by a process with the given effective group id.
--pid-owner processid
    Matches if the packet was created by a process with the given process id.
--sid-owner sessionid
    Matches if the packet was created by a process in the given session group.
--cmd-owner name
    Matches if the packet was created by a process with the given command name. (this option is present only if iptables was compiled under a kernel supporting this feature)
NOTE: pid, sid and command matching are broken on SMP »

On peut donc filtrer le trafic sortant sur l'uid et le gid du processus qui a créé une socket. Intéressant pour marquer les paquets pour ensuite faire de la QoS avec tc sur les protocoles qui ouvrent des trilliards de connexions sur des ports différents genre torrent, par exemple. L'ennui, c'est que sur un desktop, la plupart du temps, les programmes sont exécutés avec l'uid/gid de l'utilisateur courant, pas avec un utilisateur dédié... Oui, on peut lancer sudo -u <user> <programme> mais il faut que l'user ait un shell et tout donc boarf...

« Ne pas se justifier, c'est donc :

- simplement répondre à la question posée

- revenir toujours à la réalité et fuir comme la peste les digressions affectives

- responsabiliser l'autre pour ne pas être englué dans ses décisions

- répéter en boucle comme un robot.

[...]

"- Ah tu m'appelles enfin!

- Oui. (réponse à la question)

- De toute façon, je m'étais dit que si tu ne m'appelais pas avant demain, je n'irais pas à ta fête dimanche!

- Je ne vois pas le rapport! (erreur, car il y a déjà de l'agressivité dans cette phrase. J'aurais dû répondre : ah!)

- Si! Le rapport c'est que tu n'en as rien à faire de moi, je peux bien mourir, tu ne le saurais même pas.

- Mais tu n'es pas morte. (rappel de la réalité)

- (délire paranoïaque et diarhée verbale) Puisque c'est ça je ne viendrai pas dimanche.

- C'est dommage, les enfants vont être déçus, mais tu fais comme tu veux, c'est toi qui décide. (responsabilisation : je renvoie la bombe à celui qui l'a lancée. Tu ne veux pas venir? Ce n'est pas mon problème, c'est le tien.)

- Je vois bien qu'on ne veut pas de moi, c'est pas la peine de m'inviter!

- Tu es déjà invitée, je t'ai invitée il y a deux mois. Maintenant si tu ne veux pas venir, c'est toi qui le choisit!" (principe de réalité et responsabilisation) »

Via http://sebsauvage.net/links/?n5W9yQ :(

« Le collectif Brandalism – un mot-valise formé à partir de « brand » (marque, en anglais) et de « vandalisme » – revendique la pose, en région parisienne, de 600 affiches détournées.

L’opération a eu lieu entre vendredi et samedi, pour marquer le coup à la veille de la COP21 et dénoncer « la mainmise des multinationales sur les négociations climatiques ».

L’initiative est d’autant plus percutante que les entreprises citées font souvent parties des « généreux » mécènes qui ont financé ce grand raout international.

[...]

« Roulez plus propre. Du moins en apparence. »
« Nous avons omis de lever le voile sur nos émissions de CO2 parce que le réchauffement climatique ne fait pas partie de nos thématiques. »

« Notre philosophie : vous n’avez pas besoin de savoir. » »

« Pour produire des slides propres pour une présentation, j’aime beaucoup Beamer (basé sur LaTeX). Mais la syntaxe est un peu lourde et la configuration est parfois inutilement compliquée (fonts, encodage, compilation multipasse…).

Est-il possible d’avoir les avantages de Beamer sans ses inconvénients ? La réponse est oui, grâce à pandoc et son Markdown étendu. »

Je suis du genre à faire mes visuels de présentation à l'arrache car je laisse murir mon message et la manière de l'articuler ce qui fait que j'ai rarement besoin de répéter mon speech : je sais où je veux en venir et comment. Et le stress, ça aide à poursuivre/axer la réflexion. Le support sert uniquement à ne pas me perdre ainsi que l'auditoire. Du coup, se farder des \begin{itemize}, \item et autres \textbf{} à 30 minutes de ton speech : what about no?

J'ai déjà dit tout le bien que le passage de Impress à Beamer m'a fait (voir http://www.guiguishow.info/2012/06/12/latex-motivations-usage/), maintenant, il est temps de passer au niveau supérieur. :D


Pour les paramètres à passer à pandoc, les extensions existantes et les balises de formatage, c'est par ici : http://pandoc.org/README.html. Je vous recommande vivement la lecture du bloc « Structuring the slide show »


Je retiens :
    # = changement de niveau. Donc # = frame/slide, ## = un bloc dans une frame/slide,... Sauf si --slide-level=2 est utilisé dans la ligne de commande pandoc auquel cas # = une interslide qui contient juste le titre de la section, ## une slide/frame ;

    \begin{block|alertblock|exampleblock}{} \end{block|alertblock|exampleblock} = pas d'équivalence mais il est possible d'utiliser cette syntaxe. Simplement, le markdown à l'intérieur ne sera pas interprété donc tout le contenu du bloc doit être du LaTeX : \begin{itemize}, \item, \end{itemize}, par exemple ;

    \itemize \item = - (oui, un tiret). Pour avoir une liste dans une liste, il suffit de tabulation + tiret ;

    \textbf{mon texte en gras} = **mon texte en gras** ;

    \textit{mon texte en italique} = _mon texte en italique_ ;

    \underline{mon texte souligné} = pas d'équivalence ;

    \usepackage{ulem} + \sout{mon texte barré/rayé} = ~~mon texte barré/rayé~~ avec l'extension strikeout ;

    Évidemment, les styles précédent (gras, italique, barré) peuvent se cumuler : ~~_**YOLO**_~~ ;

    \url{mon_lien} = <mon_lien> ;

    \usepackage{eurosym} + \euro = € ;

    \begin{figure}[!h] \centering \includegraphics{images/mon_image.jpg} \caption{Source : ma source} \end{figure} =  L'image sera centrée automatiquement. Non, des choses comme « [height=6cm, width=2cm] » ne sont pas disponibles. Ce n'est pas le rôle de LaTeX mais celui d'un logiciel de traitement d'images, ceci dit. Attention : si vous utilisez les formats « markdown_strict » ou « markdown_mmd », alors le centrage et la légende ne se font pas automatiquement (je n'ai pas creusé la question de la bonne syntaxe) ;

    % mon commentaire = <!-- mon commentaire --> (oui, la balise commentaire du XHTML). Néanmoins, il est impossible d'introduire un commentaire entre le préambule (titre/auteur/date) du document et la première slide sinon une slide blanche sera insérée automatiquement. Or, c'est ici que j'insère la licence et la ligne de commande pour générer le PDF correspond. Pour éviter ce désagrément, j'utilise un préambule MultiMarkdown :
    « Title:   My title
      Author:  John Doe
      Date:    September 1, 2008
      Comment: This is a sample mmd title block, with
               a field spanning multiple lines. » (source : http://pandoc.org/README.html) ;

    Comme d'habitude, il faut échapper les caractères qui ont un sens en LaTeX comme « & » ou « # » ou « $ » : \&, \#, \$ ;

    Une table des matières automatique ça n'existe pas sans contrainte avec pandoc (sans éditer le template, j'entends).
        Le premier inconvénient, c'est que la table des matières est insérée juste derrière le slide de titre (celui qu'on projette pour captiver l'auditoire pendant que celui-ci s'installe dans la salle :P ). Or, j'aime bien commencer par une intro où je me présente, j'explique ce que je viens faire ici (quel est mon but ?) et les mots clés de mon sujet avant d'annoncer le plan.
        Le deuxième problème est que, pour avoir une table des matières, il faut forcément que le --slide-level soit à 2. Donc il faut # ma section ## ma slide. Or #ma section produit des interslides dont je ne veux pas.

Pour activer ou désactiver une extension, il faut + ou - au format d'entrée. Exemple : j'utilise le format d'entrée markdown et je veux l'extension strikeout (pour barrer du texte), alors ma chaîne c'est « markdown+strikeout ». Il faut donc la donner à l'option « -f » de pandoc qui sert à préciser le format d'entrée : pandoc -f markdown+strikeout -st beamer input.md output.pdf.

    Donc pour moi, ça donne : pandoc -f markdown+mmd_title_block+strikeout -st beamer -V theme:Boadilla -V lang:french input.md -o slides.pdf . -V permet de préciser les valeurs de variables internes. Ici : le thème et la langue (pour déterminer où effectuer les éventuelles césures) utilisés. Pour que ça fonctionne, il faut installer les packages texlive texlive-lang-french texlive-latex-extra texlive-base texlive-latex-base cm-super lmodern latex-beamer pandoc.
ÉDIT DU 29/11/2015 À 11h55 : lang n'attend pas un country code-like comme le dit la doc de pandoc mais french ou francais. Voir /var/lib/texmf/tex/generic/config/language.dat : francais = patois = french. FIN DE L'ÉDIT.

Suite à une faille de sécu (http://shaarli.guiguishow.info/?nT1hgQ) dans l'applet OpenPGP de mes yubikeys (neo et neo-n), Yubico, la société qui commercialise les Yubikeys, a mis en place une procédure de remplacement. Comme j'utilise exclusivement cette fonctionnalité (OpenPGP) de mes yubikeys (voir http://shaarli.guiguishow.info/?VMg7XA), j'ai estimé que j'étais légitime et j'ai demandé l'échange contre les nouvelles Yubikeys 4.

Quoi de neuf avec ces Yubikeys version 4 ? Plus de NFC, support des clés OpenPGP RSA 4096 bits (< 3 ) et Docker. Forcément, votre clé ne sera pas reconnue par les tools Yubico (ykinfo, ykpersonalize) packagés dans Debian stable. ;)

Niveau OpenPGP, ça juste fonctionne en suivant mon tuto original (http://shaarli.guiguishow.info/?VMg7XA). Néanmoins, la clé est déjà en mode smartcard et il faut utiliser GnuPG v2 pour générer les paires de clés.

En effet, GnuPG v1 (j'ai testé avec la v1.4.18) voit la yubikey comme une smartcard qui supporte uniquement une taille de clés comprise entre 1024 et 3072 comme l'indique le message :
« $ gpg2 --card-edit
[...]
Key attributes ...: 2048R 2048R 2048R
[...]

gpg/card> admin
Admin commands are allowed

gpg/card> generate
Make off-card backup of encryption key? (Y/n) n
[...]

Quelle taille de clef désirez-vous pour la clef de signature ? (2048) 4096
les tailles de clefs RSA doivent être dans l'intervalle 1024-3072

[...]
Faut-il modifier le (N)om, le (C)ommentaire, l'(A)dresse électronique
ou (O)ui/(Q)uitter ? O
gpg: unknown parameter name in received key data
gpg: Note that the key does not use the suggested creation date
gpg: sending command `SCD PKSIGN' to agent failed: ec=6.18
gpg: échec de la signature : erreur générale
gpg: make_keysig_packet failed: erreur générale
Échec de génération de la clef : erreur générale »


En revanche, GnuPG v2 voit la smartcard avec une taille de clé de 2048 bits par défaut mais va reconfigurer la yubikey pour vous :
« $ gpg2 --card-edit
[...]
gpg/card> admin
Admin commands are allowed

gpg/card> generate
Make off-card backup of encryption key? (Y/n) n
[...]

scdaemon[4253]: DBG: asking for PIN '||Please enter the PIN'
What keysize do you want for the Signature key? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
NOTE: There is no guarantee that the card supports the requested size.
      If the key generation does not succeed, please check the
      documentation of your card to see what sizes are allowed.
scdaemon[4253]: 3 Admin PIN attempts remaining before card is permanently locked
scdaemon[4253]: DBG: asking for PIN '|A|Please enter the Admin PIN'
scdaemon[4253]: size of key 1 changed to 4096 bits
What keysize do you want for the Encryption key? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
scdaemon[4253]: 3 Admin PIN attempts remaining before card is permanently locked
scdaemon[4253]: DBG: asking for PIN '|A|Please enter the Admin PIN'
scdaemon[4253]: size of key 2 changed to 4096 bits
What keysize do you want for the Authentication key? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
scdaemon[4253]: 3 Admin PIN attempts remaining before card is permanently locked
scdaemon[4253]: DBG: asking for PIN '|A|Please enter the Admin PIN'
scdaemon[4253]: size of key 3 changed to 4096 bits
Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0) 1y
Key expires at Sat 26 Nov 2016 03:53:58 PM UTC
Is this correct? (y/N) y

GnuPG needs to construct a user ID to identify your key.
[...]

scdaemon[4253]: generating new key
scdaemon[4253]: 3 Admin PIN attempts remaining before card is permanently locked
scdaemon[4253]: DBG: asking for PIN '|A|Please enter the Admin PIN'
scdaemon[4253]: please wait while key is being generated ...
scdaemon[4253]: key generation completed (73 seconds)
scdaemon[4253]: signatures created so far: 0
scdaemon[4253]: DBG: asking for PIN '||Please enter the PIN%0A[sigs done: 0]'
scdaemon[4253]: generating new key
scdaemon[4253]: please wait while key is being generated ...
scdaemon[4253]: key generation completed (112 seconds)
scdaemon[4253]: signatures created so far: 1
scdaemon[4253]: signatures created so far: 2
scdaemon[4253]: generating new key
scdaemon[4253]: please wait while key is being generated ...
scdaemon[4253]: key generation completed (105 seconds)
scdaemon[4253]: signatures created so far: 3
scdaemon[4253]: signatures created so far: 4 »

« Le Conseil constitutionnel vient de valider tous les articles de la loi sur la surveillance des communications internationales qui avaient été pointés par les sénateurs LR. [...]

Ils ont d’abord considéré que les outils ciblant les échanges internationaux relèvent de la police administrative. En conséquence, un tel recueil d’informations « ne peut donc avoir d’autre but que de préserver l’ordre public et de prévenir les infractions ». Sous un autre angle, « il ne peut être mis en œuvre pour constater des infractions à la loi pénale, en rassembler les preuves ou en rechercher les auteurs. »

[...]


Il n’y a donc aucune inadéquation particulière, pas plus qu’il n’y a de problème avec d’autres dispositions qui autorisent, toutes, une surveillance décidée par le seul pouvoir exécutif, sans passer par l’intermédiaire de la Commission nationale de contrôle des techniques du renseignement. Pas de contrôle préalable, des durées d’exploitation plus longues, bref un formalisme en retrait, etc. Mais tout va bien : « le législateur a précisément défini les conditions de mise en œuvre de mesures de surveillance des communications électroniques internationales, celles d’exploitation, de conservation et de destruction des renseignements collectés ainsi que celles du contrôle exercé par la commission nationale de contrôle des techniques e renseignement. »

[...]

Tous les articles n’ont pas été examinés par le Conseil constitutionnel. Plusieurs sont passés entre ses gouttes laissant ainsi une brèche pour de potentielles QPC. Cela concerne en particulier :

    L854-3 : la protection des avocats, magistrats, parlementaires et journalistes (cependant une disposition similaire avait été validée dans la loi renseignement..)
    L. 854-4 : la traçabilité de l’interception et l’exploitation des communications
    L. 854-6 : l’exploitation des renseignements, leurs transcriptions, etc.
    L. 854-7 : opérations matérielles effectuées par les opérateurs de communications électroniques
    L. 854-8 : exploitation des correspondances interceptées qui renvoient à des numéros d’abonnement ou à des identifiants techniques rattachables au territoire national

Le Conseil constitutionnel a fait là un contrôle au strict minima. Son analyse des boites noires internationales face à celles prévues par la loi sur le Renseignement en France est particulièrement symptomatique. Si, dans ce dernier cas, il s’est montré très tatillon, il a survolé le dispositif pourtant moins encadré et nettement plus vaste programmé par la loi sur la surveillance internationale.  »

« Parmi les aides publiques directes dont peuvent bénéficier les titres de presse, il y a les aides à la diffusion (portage, réduction tarifs postaux), les aides au maintien d'une presse pluraliste (récemment élargies aux périodiques) et les aides à l'innovation. C'est le "fonds stratégique pour le développement de la presse" (FSDP), créé en 2012, qui se charge de trier les projets pouvant bénéficier d'aides publiques. Les critères ? Il faut que ce soit des "projets innovants", des projets "de développement numérique" ou "assurant le rayonnement de la presse française dans les pays francophones".

[...]

nnovation en 2014 : dix-neuf de ces projets ont été présentés dans le rapport (document PDF). En faisant le lien avec les sommes versées, on découvre de petites pépites. Exemple ? L'Express.fr a perçu 591 731 euros pour un projet de "refonte en responsive design du site et des lettres d'information". Près de 600 000 euros pour rendre le site accessible sur mobile et tablette ? @si était passé "en responsive" en juillet 2014, sans aucune subvention, grâce au travail de notre webmaster (qui est donc passée à côté d'un joli pactole subventionné).

Autres projets financés : LeJDD.fr a touché 162 947 euros pour "un jeu social sur la presse", Atlantico a reçu 149 590 euros pour consolider "la transition vers le modèle hybride abonnement / publicité". Une partie gratuite et une partie payante en somme. In-no-va-tion. Quant au site "Lequotidiendelart.com", il a reçu 27 100 euros pour avoir innové. Comment ? Accrochez-vous : "Le développement d'applications éphémères présente un caractère innovant pour le secteur". Forcément innovant : les autres sites de presse conçoivent des applications durables. Certains intitulés, aussi limpides que ceux du fonds Google, nous laissent d'ailleurs perplexes : Science-et-vie.com a reçu 753 242 euros pour "le développement et l'enrichissement d'une base de connaissance globale dans les domaines scientifiques et techniques, structurée et non-structurée". Même destructurée, la connaissance, ça paye.

Dans ce concours Lépine de l'innovation, c'est LeMonde.fr qui l'emporte (avec 1 million d'euros d'aides pour son hébergement et un logiciel de relations clients), suivi de Lequipe.fr (912 000 euros). »

J-O-I-E. :(

Via http://korben.info/news/la-presse-qui-rage-apres-lautre-presse-et-je-les-comprends

« Ne pas avoir le droit de manifester à Paris: c'est impensable et pourtant c'est devenu bien réel depuis quelques jours. La tendance date d'avant les attentats et cette interdiction est particulièrement scandaleuse dans le contexte actuel. La COP21 a été maintenue, mais les mobilisations qui devaient l'accompagner sont censées disparaitre sous l'effet magique du décret d'état d'urgence. L'abus de pouvoir est manifeste et nous n'entendons pas le laisser passer sans nous manifester.

[...]

Ce week-end, une grande partie de la ville de Sens (Yonne) a été soumise à un couvre-feu, sans rapport clair avec les attentats. C’est la perquisition d’un appartement – dont les locataires n’auraient finalement pas été inquiétés – qui a justifié cette punition collective. Parmi les 1072 perquisitions nocturnes diligentées hors de tout cadre judiciaire par les préfets, moins d'une sur dix a abouti à une garde-à-vue. À Nice, c'est une fillette de six ans qui a été blessée lors d'une opération de police : les policiers intervenus en pleine nuit avaient enfoncé la mauvaise porte. Dimanche en Loire-Atlantique, c'est une caravane de 200 vélos accompagnée de 5 tracteurs qui a été bloquée par les forces de l'ordre : il s'agissait de dissuader les cyclistes de rejoindre Paris pour la COP21.

[...]

C'est une victoire pour daesh que d'être parvenu, avec moins d'une dizaine d'hommes, à faire sombrer l’État dans ses pires réflexes réactionnaires. C'est une victoire pour daesh que d'avoir provoqué la mise sous tutelle sécuritaire de la population tout entière.
Le dimanche 29 novembre, une gigantesque manifestation était prévue dans les rues de Paris pour faire pression sur les gouvernants mondiaux, à qui personne ne faisait confiance pour trouver une solution au réchauffement climatique. Des centaines de milliers de personnes étaient attendues de toute l'Europe. Manuel Valls, certainement lucide sur le caractère dérisoire des accords qui sortiront de la COP21, craignait beaucoup cette manifestation; il a donc décide de l’interdire. Le prétexte : la foule risquerait d’être la cible d'un attentat – M. Valls jouerait-il avec le feu en laissant les Français risquer leur vie en faisant leurs courses de Noël ?  Les moyens: ceux qui voudraient manifester encourent 6 mois de prison. M. Valls va-t-il nous mettre en prison pour nous protéger des attentats ? »

« Red touches yellow, which I think means this is a 24 ohm snake. »

Haha :D