GuiGui's Show

Un silence assourdissant ! Emmanuel Macron n’a rien trouvé à dire. Angela Merkel non plus. Et Jean- Claude Juncker encore moins… Après douze ans d’absence, le parti d’extrême droite FPO revient en force au gouvernement en Autriche.

Pour la première fois, le parti conduit par Heinz—Christian Strache arrache six porte-feuilles, dont trois ministères régaliens (Défense, Intérieur et Affaires étrangères).

Grand copain de bal de Marine Le Pen, le nouveau vice-chancelier Strache a longtemps appartenu au groupe néonazi Wiking-Jugend (« Jeunesse viking »). Mais, à part ça, tout est normal !

Histoire de rassurer l’Union européenne, le chancelier conservateur Sebastian Kurz promet que les dossiers européens ne seront pas traités par la ministre des Affaires étrangères FPO. Il prétend aussi que le parti d’extrême droite n’organisera pas de référendum sur la sortie de l’UE (« La Croix », 19/12). Ce très jeune dirigeant (31 ans) sera-t-il capable de maintenir le cap ou bien ne sera-t-il que la marionnette du parti brun ?

Pour sceller leur alliance, les deux leaders autrichiens avaient choisi de se retrouver au mont du Kahlenberg. Chaque année, les identitaires viennent y célébrer la victoire, en 1683, des armées chrétiennes sur les musulmans de l’Empire ottoman.

Ils n’ont pas encore réclamé le retour de l’Empire austro-hongrois, mais cela ne saurait tarder…

Résumons :

• Un régime dictatorial prend doucement place en Pologne ;
  
  
• La Hongrie a un gouvernement réactionnaire (source : Canard enchaîné du 27 décembre 2017) ;
  
  
• L'extrême-droite est entrée au Parlement chypriote pour la première fois en 2016 ;
  
  
• L'extrême-droite se renforce dans les parlements néerlandais et allemands ;
  
  
• Cas de l'Autriche ci-dessus malgré un président écolo ;
  
  
• Le faux retrait de l'Angleterre (je maintiens que l'Angleterre signera 3 tonnes d'accords et de partenariats… Plus officiellement dans l'Union, mais pas en-dehors non plus).

Jusque-là, tout va bien dans l'Union européenne ? :-

Dans le Canard enchaîné du 20 décembre 2017.

Depuis 2014, une start-up choisit les toilettes publiques comme support publicitaire, dans les bars, les cafés, les restaurants mais aussi les théâtres, les musées, etc. Un concept qui séduit les annonceurs.

[…]

Actuellement, Little Corner a tissé un réseau de plus de 1 200 écrans installés dans plus de 200 sites partout en France dont les restaurants Costes, le théâtre Mogador, le Carrousel du Louvre, l'espace Champerret... Mais aussi des bars sportifs qui diffusent les matchs de rugby. Quand on sait que 75 % des gens qui viennent dans un café vont aux toilettes, les pauses pipi des soirs de matchs permettent à l'entreprise d'enregistrer de beaux scores.

La société, qui réalise cette année 1 million d'euros de chiffre d'affaires, prévoit d'ici 2019 un parc d'au moins 8 000 écrans. Elle a déjà convaincu des grands comptes comme Carrefour, BNP, Warner Bros, Orange et tous les VTC de diffuser leurs publicités sur ses supports. « Un publicitaire cherche l'efficacité là où ça marche », indique le dirigeant. Or, selon lui, les messages seraient, sondages à l'appui, bien mieux mémorisés au petit coin qu'ailleurs. Le taux de mémorisation d'un contenu ou d'une marque y serait de 84 %, contre 75 % au cinéma, 30 % à la télévision et 10 % sur Internet. « Aux toilettes, la personne est seule, sans éléments distractifs », commente Efraim Clam et donc plus captive.

Ce dernier a poussé son concept plus loin avec une innovation unique au monde, développée avec son associé Dominique Truel : chaque écran installé est doté de capteurs thermiques intelligents capables de mesurer en temps réel le nombre d'utilisateurs devant l'écran et le temps passé. […] Avec cette technologie, l'entreprise peut vendre à l'annonceur une audience réelle. Ainsi, celui-ci ne paie que le nombre de messages totalement vus, soit 3 centimes d'euro l'unité. L'entreprise verse ensuite un tiers de ces revenus au propriétaire du lieu.

On n'arrête pas le progrès… :'(

Via le Canard enchaîné du 20 décembre 2017.

Je suis curieuse. Je n’y peux rien, même si on dit que c’est un vilain défaut, c’est une partie insatiable de ma personnalité : j’adore découvrir et apprendre de nouvelles choses. Ce qui me transcende lorsque j’apprends, c’est de découvrir un petit quelque chose qui élargira ma vision du monde. Alors je cherche, je lis, j’accumule des connaissances, je découvre de nouvelles façons de penser et parfois, j’ai un déclic, dû à une phrase, un mot, une tournure qui rend évident quelque chose, et mon univers s’agrandit.

Mais pour que cette petite étincelle arrive, pour que je puisse avoir des étoiles dans les yeux en comprenant un nouveau concept, j’ai besoin d’être inspirée.

L’inspiration n’arrive pas toute seule

Heureusement, je suis entourée de personnes qui aiment partager leurs connaissances et leurs découvertes.

[…]

Alors je vous en prie, prenez le temps, régulièrement, d’écrire, de prendre en photo, de filmer, afin qu’il soit possible de retracer ce que vous réalisez. Car quelque part, il y a forcément des personnes qui sont interessées par vos connaissances, pour apprendre elles aussi de vos erreurs et de vos expériences, pour avancer et progresser. Il y aura toujours une personne qui découvrira votre domaine et sera avide de connaissances s’adressant à elle, sans prétention. Simplement pour savoir ce que vous avez vécu, ce que vous savez, ce que vous faites.

« J’ai rien à dire d’intéressant »

Évidemment, dès qu’on parle de diffuser ses connaissances, notre syndrôme de l’imposteur·se arrive à toute vitesse pour nous faire dire « De toute façon, moi, j’ai rien de spécial à raconter ».

Soyons clair·e·s tout de suite : c’est faux

Car même si vous racontiez quelque chose qui avait déjà été dit 1000 fois, c’est la façon dont vous le direz qui fait une différence. Et pour avoir entendu une même idée des dizaines de fois avant qu’une formulation, une métaphore, une image ne s’impose à moi comme une évidence, il aura fallu un certain nombres de personnes qui se seront répétées.

De plus, nous sommes malheureusement bombardé·e·s d’informations inintéressantes nous répétant de grands préceptes qui privilégient pour la plupart d’avantage l’intérêt financier et productiviste que la possibilité de s’écouter et de faire les choses pour son bien-être. Il est donc, à mon sens, très important de semer les alternatives, les expériences individuelles, pour qu’elles prennent de l’ampleur et se fassent davantage entendre.

[…]

Documentez, écrivez, partagez, même si c’est imparfait, même si vous voudriez faire plus, faites-le un peu plutôt que pas du tout, afin que nos horizons puissent s’agrandir et nos connaissances se multiplier <3

Gros gros gros gros +1. J'ai donné des raisons supplémentaires ici (la deuxième moitié du shaarli) et là (le dernier point, à la fin).

Via Johndescs.

Comme à chaque passage à une nouvelle version de Debian GNU/Linux, voici un résumé de tout ce qui a foiré ou changé quand je suis passé à Stretch.

Nommage des interfaces réseau

Désormais, les interfaces réseau portent des noms dit cohérents. Soit tu mets à jour ton fichiers interfaces, soit tu désactives ce nouveau nommage. Attention si tu bosses sur des machines distantes en adressage static : ne rebootes pas avant d'avoir fait une modif' ;) .

dictionaries-common/default-ispell

Sur une seule de mes machines, celle équipée d'aspell (pour Roundcube via php-pspell), le message suivant s'est affiché durant la mise à jour :

Base de données de configuration probablement corrompue

Le réglage pour « dictionaries-common/default-ispell»  est manquant mais des paquets fournissant des candidats pour ce réglage sont installés : « ifrench-gut ».

Cela peut être dû à une corruption de la base de données de configuration (« debconf »). Veuillez consulter le fichier (non traduit en français) /usr/share/doc/dictionaries-common/README.problems au chapitre « Debconf database corruption ». │

Dans cette situation, il est possible d'exécuter la commande « /usr/share/debconf/fix_db.pl » pour remettre la base de données de configuration dans un état cohérent.

Il est probable que certaines questions seront alors posées afin de replacer le système de gestion des dictionnaires dans un état (temporairement) opérationnel.

À la fin de la mise à jour, j'ai exécuté /usr/share/debconf/fix_db.pl avec succès puis j'ai vérifié : les paquets ispell et ifrench-gut ne sont pas installés… Erreur transitoire ?

OpenSSH

Les paramètres « RSAAuthentication » et « RhostsRSAAuthentication » sont dépréciés d'où un message s'affiche dans le log.

Postfix

Postfix passe en version 3.X. Elle apporte un filet de sécurité qui prévient, dans le log, des réglages implicites qui ont changé. Exemple : dans cette nouvelle version, les diffférents modules (nommés services) de Postfix ne sont plus exécutés dans un chroot par défaut. Dans mon fichier master.cf, dans la colonne « chroot », il y a la valeur implicite « - » qui signifiait « yes » avant et « no » maintenant donc Postfix émet un avertissement dans le log : /etc/postfix/master.cf: line 36: using backwards-compatible default setting chroot=y pour chaque service configuré.

Comme je suis certain de vouloir chrooter les services Postif (car ça a toujours bien fonctionné ainsi…), je mets toute la colonne « chroot » à « y » à l'exception des services local, pipe, spawn, virtual et proxymap puis je redémarre Postfix. Notons qu'une commande de type postconf -F <nom_service>/<type>/chroot=y pour chaque service produira le même résuultat (mise à « y » dans master.cf).

Dovecot

Dans la configuration de tous mes services réseau, je désactive explicitement SSLv2 et SSLv3. Avec Dovecot, cela donne ssl_protocols = !SSLv2 !SSLv3.

Or, les devs OpenSSL ont (enfin !) totalement désactivé SSLv2 entre la version 1.0.2h et 1.1.0 (voir /usr/share/doc/openssl/changelog.gz). Ainsi, le symbole « SSLv2 » n'existe plus, donc Dovecot retourne l'erreur : imap-login: Fatal: Invalid ssl_protocols setting: Unknown protocol 'SSLv2'. Notons que d'autres logiciel, comme Postfix, ne remontent pas d'erreur quand on interdit l'usage de SSLv2 dans leur config'. J'imagine que cette diffférence provient de la manière d'appeler les fonctions de la lib OpenSSL…

La correction est simple : dans la conf' de Dovecot, je n'utilise plus que : ssl_protocols = !SSLv3.

Sympa

Après la mise à jour, le menu de l'interface web (« connexion », « assistance/documentation », « chercher une liste/index des listes », etc.) n'était plus cliquable : dès que j'essayais de cliquer sur un sous-item du menu, pouf, le menu se ferme. Idem pour la connexion : impossible de saisir mon identifiant et mon mot de passe.

La raison est que j'utilise une configuration Apache httpd un peu plus contraignante que celle fournie par défaut avec Sympa (voir /etc/apache2/conf-available/sympa.conf ). Notamment, dans le dossier /var/lib/sympa/static_content, j'autorise le suivi des liens symboliques uniquement si le propriétaire du lien est le même que la destination du lien (« +SymLinksIfOwnerMatch »). Or, dans dans /var/lib/sympa/static_content, on trouve, par exemple external/jquery* qui est un lien symbolique root:root qui pointe vers un fichier sympa:sympa. Apache httpd ne le suivra donc pas. Or, en 2017, il faut obligatoirement du JS pour faire fonctionner un menu… Ceci explique cela.

Changer le propriétaire du lien ne résistera pas à une prochaine mise à jour. Il vaut donc mieux supprimer « +SymLinksIfOwnerMatch » des « Options » du dossier.

Langue

Sympa dispose de plusieurs paramètres pour adapter la langue. « lang » dans la conf' permet de changer la langue par défaut des mails envoyés automatiquement. Chaque utilisateur peut également configurer sa langue dans ses préférences dans l'interface web.

Quant à la langue par défaut de l'interface web (quand on ne s'authentifie pas), ça reste un mystère pour moi… Elle s'adapte à la langue annoncée par le navigateur web du visiteur grâce à l'entête HTTP « Accept-Language ». Avec mon Firefox packagé dans Debian configuré en Français, l'interface reste en anglais. Pourtant, Firefox annonce bien FR-fr puis en-US puis en… En revanche, si dans les préférences Firefox, Contenu, Langues, je supprime toutes les langues sauf le français, l'interface web de Sympa s'affiche en français. Avec curl, qui n'envoie pas l'entête « Accept-Language », l'interface est en français… Est-ce un bug de Firefox qui annonce mal la priorité de chaque langue supportée ou un bug de Sympa qui interprête mal les différente langues supportées par un navigateur web ? Aucune idée…

PHP 7

PHP 7 est installé durant la mise à jour, mais il n'est pas forcément activé… et comme la sécurité de PHP 5 n'est plus prise en charge dans cette version de Debian, je pense qu'il vaut mieux cesser de l'utiliser et passer en 7.0.

D'abord, il faudra porter ta configuration de /etc/php5 vers /etc/php. Par exemple, dans mes php.ini, je modifie toujours les valeurs des paramètres disable_functions, openssl.cafile, memory_limit, html_errors, post_max_size, date.timezone, session.save_path (pour pointer sur un RAMdisk / tmpfs). Elles ne sont pas importées automatiquement dans la nouvelle configuration.

Il faut désactiver PHP 5 avec a2dismod php5 puis virer les paquets php5-* et libapache2-mod-php5 puis vérifier que libapache2-mod-php7.0 et les modules php-* (oui, on note l'apparition de ces metapaquets) correspndant aux php5-* désactivés sont bien installés. Enfin, il faut activer PHP 7 avec a2enmod php7.0 && systemctl restart apache2.

Il faut vérifier que tous tes sites web fonctionnent. S'il n'y a pas de doute à avoir avec les logiciels packagés dans Debian (c'est tout l'intérêt d'une distribution), il n'en va pas de même avec les extensions ni avec les logiciels installés en dehors du gestionnaire de paquets. Exemple : j'utilisais l'extension WordPress ContentOverSSL. Celle-ci utilise la fonction PHP ereg qui a été supprimée dans PHP 7.0. Si tes logs sont bien fichus, tu devrais y trouver les fonctions problèmatiques, genre PHP Fatal error: Uncaught Error: Call to undefined function ereg() in </chemin/vers/fichier.php>.

PHP 7 + TLS dans un chroot

Attention, un chroot Apache httpd incomplet ne pardonne plus avec PHP 7.0. En effet, mon chroot ne contenait pas /dev/random et /dev/urandom et un file_get_contents('https://shaarli.guiguishow.info'); sortait en erreur :

PHP Warning: file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages:
\nerror:24064064:random number generator:RAND_bytes:PRNG not seeded in /var/www/shaarli/test.php on line 2
PHP Warning: file_get_contents(): Failed to enable crypto in /var/www/shaarli/test.php on line 2
PHP Warning: file_get_contents(https://shaarli.guiguishow.info): failed to open stream: operation failed in /var/www/shaarli/test.php on line 2

Pour réparer :

mkdir $chrootdir/dev
mknod /var/apache/chroot/dev/random c 1 8
mknod /var/apache/chroot/dev/urandom c 1 9
systemctl restart apache2

MySQL

La mise à jour et le passage à MariaDB se passe bien… sauf si l'on utilise un chroot.

En premier lieu, j'ai eu une erreur relative à /usr/share/mysql/errmsg.sys. J'y suis habitué : il faut copier ce fichier dans le chroot.

Ensuite, j'ai eu l'erreur InnoDB: ./ib_logfile0 can't be opened in read-write mode. Le web conseille de supprimer ib_logfile0 et ib_logfile1.

ENfin, j'ai eu les erreurs InnoDB: Could not find a valid tablespace file for 'mysql/gtid_slave_pos'., InnoDB: Could not find a valid tablespace file for 'mysql/innodb_index_stats'., InnoDB: Could not find a valid tablespace file for 'mysql/innodb_table_stats'..

J'ai essayé de terminer le script /usr/scripts/scripts/mysql_install_db, mais il était impossible de lancer MySQL, même avec les fichiers ib_logfile* remis à leur place et le mode safe…

Dès l'origine, j'ai configuré salement ce chroot, avec des liens symboliques (et d'autres choses qu'il ne faut pas faire avec un chroot) afin de contenter MySQL. Il m'apparaît, plus de 5 ans après, que le fonctionnement dans un chroot n'est pas vraiment bien intégré dans MySQL en comparaison d'Apache ou de Postfix (la copie du fichier errmsg.sys en est une illustration). Je pense que ce chroot m'apporte plus d'ennuis que de sécurité. Donc, j'ai décidé de le supprimer. J'ai donc déinstallé MySQL (en répondant non à la question "faut-il supprimer l'ensemble des bases de données ?"), j'ai viré tout ce qui est relatif à MySQL de mon arborescence, à l'exception de /var/lib/mysql. J'ai installé MySQL et… ça a fonctionné. \o/

Logrotate

La nuit suivant cette ré-installation de MySQL, logrotate a terminé en erreur :

/etc/cron.daily/logrotate:
mysqladmin: connect to server at 'localhost' failed
error: 'Access denied for user 'root'@'localhost' (using password: NO)'
error: error running shared postrotate script for '/var/log/mysql/mysql.log /var/log/mysql/mysql-slow.log /var/log/mysql/mariadb-slow.log /var/log/mysql/error.log '
run-parts: /etc/cron.daily/logrotate exited with return code 1

La solution se trouve ici : il faut saisir le mot de passe de l'utilisateur de la base de données « debian-sys-maint » dans /etc/mysql/debian.cnf. Si tu ne le connais plus, connectes-toi en root à la base de données puis change-le avec SET PASSWORD FOR 'debian-sys-maint'@'localhost' = PASSWORD('<nouveau_mdp>');.

RoundCube

Durant l'installation, dbconfig produisait des erreurs du genre "je n'arrive pas à me connecter à la base de données" mais en beaucoup moins trivial (la base de données fonctionnait et le message d'erreur était plus cryptique que ce que j'en rapporte ici). J'ai décidé de quitter dbconfig sans rien configurer. Une fois la mise à jour terminée, roundcube ne savait plus pour quels domaines il devait répondre… Je l'ai reconfiguré avec dpkg-reconfigure roundcube-core et tout est devenu OK.

OpenDKIM

Dans mes logs, OpenDKIM s'écrivait milter socket must be specified tandis que systemd s'écrivait opendkim.service: PID file /var/run/opendkim/opendkim.pid not readable (yet?) after start: No such file or directory

Dans Stretch, OpenDKIM abandonne son script sysvinit et utilise une unit systemd. /etc/default/opendkim n'est donc plus lu. Il faut donc indiquer la socket directement dans la configuration d'OpenDKIM (/etc/opendkim.conf).

De même, systemd s'attend à obtenir le PID d'OpenDKIM dans le fichier /var/run/opendkim/opendkim.pid . Il faut donc ajouter PidFile /var/run/opendkim/opendkim.pid dans /etc/opendkim.conf.

Dans le modèle de configuration qui nous est proposé, remarquons la directive « UserID » qui permet de ne plus exécuter OpenDKIM en root.

OpenDNSSEC

OpenDNSSEC passe de sa version 1.4.6 à sa version 2.0.4 donc, forcément, ça implique une importante migration. Migration assez mal préparée dans le paquet Debian puisque le message nous indique « The enforcer does require a full migration, as the internal database has been completely revised. See the upstream documentation in the /usr/share/opendnssec/1.4-2.0_db_convert/README.md » alors que le dossier /usr/share/opendnssec/1.4-2.0_db_convert/ est vide et les fichiers nécessaires sont éparpillés dans /usr/share/opendnssec… … …

Bref, voici comment j'ai mis à jour :

• Vérifie qu'une clé n'est pas en train d'être changée ou d'être préparée à l'être : echo 'SELECT zones.name FROM dnsseckeys JOIN zones on zones.id = dnsseckeys.zone_id WHERE dnsseckeys.keytype = 257 AND dnsseckeys.active IS NULL AND dnsseckeys.zone_id NOT IN (SELECT dnsseckeys.zone_id FROM dnsseckeys WHERE dnsseckeys.keytype = 257 AND dnsseckeys.state = 4);' | slite3 /var/lib/opendnssec/kasp.db . Si c'est le cas, la doc' d'OpenDNSSEC conseille d'attendre que le rollover soit terminé pour mettre à jour ;
  
  
• Récupére le KeyTag de tes clés actuelles avec ods-ksmutil key list --verbose ;
  
  
• Fais une copie de /var/lib/opendnssec/kasp.db et /var/lib/softhsm/slot0.db , ça te permettra de rollback. Testé et approuvé ;) ;
  
  

• On arrête toute la machinerie et on l'empêche de démarrer durant la mise à jour :

  systemctl stop opendnssec-enforcer.service
  systemctl stop opendnssec-signer.service
  systemctl disable opendnssec-enforcer.service
  systemctl disable opendnssec-signer.service
  systemctl mask opendnssec-enforcer.service
  systemctl mask opendnssec-signer.service
  systemctl mask opendnssec-signerd.service

• Procéde à la mise à jour du système… Conserve les fichiers de conf' actuels d'OpenDNSSEC ;
  
  
• Mets à jour le schéma de la base de données d'OpenDNSSEC vers celui de la version 1.4.8 : cat /usr/share/opendnssec/migrate_1_4_8.sqlite3 | sqlite3 /var/lib/opendnssec/kasp.db ;
  
  

• Mets à jour le contenu de la base de données d'OpenDNSSEC de la version 1.X à 2.X :

  cd /usr/share/opendnssec/
  ./convert_sqlite -i /var/lib/opendnssec/kasp.db -o /var/lib/opendnssec/kasp.db.new
  mv /var/lib/opendnssec/kasp.db.new /var/lib/opendnssec/kasp.db

• Retrouve la cohérence des KeyTags suite à la migration : ods-migrate ;
  
  
• Évite l'erreur « ods-signerd[27373]: [file] unable to stat file /var/lib/opendnssec/enforcer/zones.xml: ods_fopen() failed » : cp /etc/opendnssec/zonelist.xml /var/lib/opendnssec/enforcer/zones.xml ;
  
  

• Démarre l'enforcer et vérifie que tes clés sont toujours là (à l'aide des KeyTags mis de côté au début ;) ) :

  ods-enforcer start
  ods-enforcer key list --verbose

• Si tout est OK, démarre le signer et tente de signer une modification de ta zone DNS :

  ods-signer start
  <Fais une modification de ton fichier de zone ici>
  ods-signer sign <nom_zone>
  <Vérifie que ta modification est effective>

• Si tout est OK, on re-active le lancement d'OpenDNSSEC au boot :

  ods-signer stop
  ods-enforcer stop
  systemctl unmask opendnssec-signerd.service
  systemctl unmask opendnssec-signer.service
  systemctl unmask opendnssec-enforcer.service
  systemctl enable opendnssec-enforcer.service
  systemctl enable opendnssec-signerd.service
  systemctl start opendnssec-enforcer.service
  systemctl start opendnssec-signer.service

Changement dans les conf'

• conf.xml :

  • Enforcer / « Interval » n'est plus utilisé et est déprécié dès la version 2.1 ;
    
    
  • Enforcer / ajout de « P1Y » : pré-génère les paires de clés nécessaires pour couvrir un an dès l'ajout d'une zone ;
    
    
  • Enforcer / ajout de « /var/lib/opendnssec/enforcer » ;
    
    
  • Signer / changement de la valeur de « WorkingDirectory » pour « /var/lib/opendnssec/signer » ;

• kasp.xml :

  • Les zones ont désormais un paramètre « MaxZoneTTL » avec une valeur par défaut d'un jour. Si la zone contient des enregistrements plus grands que la valeur de ce paramètre, ils seront cappés.
• zonelist.xml n'est plus vraiment utilisé et est remplacé par des commandes qui interrogent la base de données interne.

SoftHSM

SoftHSM passe lui aussi d'une version 1.X à 2.X, donc une migration nous attend. Notons que cette migration n'est pas obligatoire à mon sens, car le paquet softhsm version 1.X est toujours maintenu dans cette version de Debian.

Voici comment j'ai procédé :

• Évite l'erreur « ERROR: Could not initialize the library. » : mkdir /var/lib/softhsm/tokens ;
  
  
• Créer un nouveau coffre-fort dans la nouvelle version de SoftHSM : softhsm2-util --init-token --slot 0 --label OpenDNSSEC ;
  
  
• Copie l'ancien coffre-fort dans le nouveau : softhsm2-migrate --db /var/lib/softhsm/slot0.db --token OpenDNSSEC ;
  
  
• Fais utiliser SoftHSM2 par OpenDNSSEC en modifiant la section « Repository » de /etc/opendnssec/conf.xml : <Module>/usr/lib/softhsm/libsofthsm.so</Module> devient <Module>/usr/lib/softhsm/libsofthsm2.so</Module>. Change le PIN si t'as configuré un nouveau USER PIN sur le coffre-fort version 2 ;
  
  
• Redémarre OpenDNSSEC et vérifie que tout est OK ;
  
  
• Si tout est OK, tu peux virer la version 1.X de SoftHSM : apt-get autoremove --purge softhsm-common softhsm.

Si besoin de rollback

• Coupe tout OpenDNSSEC et empêche-le de démarrer automatiquement durant le rollback :

  systemctl stop opendnssec-enforcer.service
  systemctl stop opendnssec-signer.service
  systemctl disable opendnssec-enforcer.service
  systemctl disable opendnssec-signer.service
  systemctl mask opendnssec-enforcer.service
  systemctl mask opendnssec-signer.service
  systemctl mask opendnssec-signerd.service

• Copie tes sauvegardes des fichiers /var/lib/opendnssec/kasp.db et /var/lib/softhsm/slot0.db à leur emplacement d'origine ;
  
  
• Ajoute les dépôts Jessie dans ton sources.list et réinstalle la précédente version : apt-get install opendnssec=1:1.4.6-6 softhsm=1.3.7-2+deb8u1 opendnssec-enforcer-sqlite3=1:1.4.6-6 opendnssec-signer=1:1.4.6-6 opendnssec-common=1:1.4.6-6 libhsm-bin=1:1.4.6-6 opendnssec-enforcer=1:1.4.6-6 libsofthsm=1.3.7-2+deb8u1 softhsm-common=1.3.7-2+deb8u1 ;
  
  
• Recommence la migration à tête reposée en vérifiant que tu n'as rien oublié.

ejabberd

Le bug que je rencontrais lorsque je spécifiais des suites de chiffrement PFS à utiliser lors des connexions c2s (client to server) a disparu.

De même, cette version autorise enfin des dhparam > 1024 (directives « dhfile » et « s2s_dhfile »).

J'ai remarqué de nombreux changements entre ma config' et celle qui est proposée par le paquet. Exemples :

max_user_sessions:
all: 10

devient :

max_user_sessions: 10

max_user_offline_messages:
admin: 5000
all: 100

devient :

max_user_offline_messages:

• 5000: admin
• 100

Conclusion : j'ai décidé de ne pas avoir une conf' passoire et/ou une conf' qui peut se casser d'un rien donc j'ai accepté la conf' proposée et je l'ai adaptée à mes besoins.

icedtea-8-plugin

Les applets Java prennent enfin en charge TLS version 1.2. Utile pour les consoles à distance des BMC (même si Dell propose de l'HTML 5 depuis iDRAC 8).

OpenVPN

Il est désormais à nouveau possible de négocier la version de TLS utilisée. Cela permettra à court terme de forcer l'usage de TLS 1.2 / TLS 1.1 sans avoir à modifier la conf' des clients…

Unbound

On peut enfin activer qname minimisation, ce qui est une bonne nouvelle pour la vie privée.

Apache httpd

On peut enfin spécifier des dhparam personnalisés.

J'en ai déjà parlé, mais comme ça me semble être hyper important et méconnu, je répète.

1 % logement, action logement, loca-pass, visale, etc. Tout ça désigne des aides au logement ouvertes à un peu tout le monde. Par exemple, les principales aides à la location sont le paiement de la caution (aka dépôt de garantie) à ta place et le fait qu'Action Logement se porte garante (aka caution solidaire) pour le paiement de tes loyers. Il y a aussi des prêts pour l'accession à la propriété et pour la rénovation, notamment énergétique.

Prenons visale / loca-pass, c'est-à-dire le fait qu'Action Logement se porte garante pour le paiement des loyers :

• Cette aide est ouverte aux jeunes (< 30 ans) en étude / stage / CDD / CDI / intérim, dans le privé comme dans le public (contractuel de l'État), ainsi qu'aux moins jeunes (> 30 ans) en CDD / intérim / CDI en période d'essai dans le secteur privé non agricole ;
  
  
• Tu remplis un dossier en ligne (qui es-tu ? Quel emploi occupes-tu ? Quels sont tes revenus ?) avec des pièces justificatives, t'as une réponse sous deux jours ouvrés (pour de vrai !), tu obtiens une attestation, tu la montres à ton⋅a futur⋅e proprio, il⋅elle remplit son dossier en ligne (qui est cette personne ? Que loue-t-elle ? À quelle personne bénéficiant d'une garantie Action Logement loue-t-elle ?), il⋅elle obtient un contrat de cautionnement et vous pouvez signer un bail de manière tout à fait standard : ce n'est pas un bail tri-partie ou autre truc compliqué. Action Logement est à la fois souple et rigide. D'un côté, une promesse d'embauche suffit pour boucler le dossier. De l'autre, un document doit indiquer le temps précis de travail (exemple : 35 heures), pas juste « temps complet »… … … ;
  
  
• Action Logement se porte garante pour un montant (loyer + charges) qui n’excède pas 50 % de tes revenus si t'as moins de 30 ans, 30 à 50 % sinon. La garantie est valable durant les 3 premières années du bail ;
  
  
• En cas de défaut de paiement de ta part, Action Logement paie immédiatement ton⋅a proprio puis te réclame les sommes correspondantes par les voies amicales puis contentieuses habituelles. Certain⋅e⋅s proprios refusent d'entendre parler de ces aides car il⋅elle⋅s ont entendu dire qu'Action Logement ne réclame pas toujours (ou pas assez vite) les sommes dues à la personne locataire. Il faut répondre que ça ne les regarde pas : le⋅a proprio est payé⋅e et Action Logement est libre d'utiliser les moyens de recouvrement qu'elle veut, quand elle veut, si elle veut, ce n'est plus du ressort du proprio.

Certain⋅e⋅s proprios attendent de leur futur⋅e locataire qu'il⋅elle leur explique ce qu'est Action Logement… Allons-y :

• Chaque société commerciale qui emploie plus de 20 salarié⋅e⋅s doit payer un impôt sur sa masse salariale : la Participation des Employeurs à l'Effort de Construction (PEEC). Soit elles le font en construisant des logements en dur pour leurs salarié⋅e⋅s (comme les cités Michelin ou OVH ou…), soit en accordant à leurs salarié⋅e⋅s (et à leur famille) des prêts à taux réduit pour la construction d'une propriété, soit en versant l'impôt à un organisme collecteur agréé ;
  
  
• Action Logement est le seul organisme collecteur agréé dont j'ai entendu parler. C'est tout un groupe privé (sociétés anonymes, association) sous convention avec l'État et dirigé paritairement par les syndicats patronaux et salariés. Il collecte la PEEC et conduit différentes actions, comme les aides présentées ci-dessus.

Tiens, revoilà la farce du comité d’éthique de Canal Plus ! La semaine dernière, la chaîne cryptée a publié la liste des quatre membres composant ce machin « chargé de garantir l’indépendance éditoriale et celle de l’information », comme ne craint pas de le clamer Vincent Bolloré.

Le moment est bien choisi : Canal est en train de virer une salariée qui, par erreur, a diffusé sur Canal Afrique un reportage critiquant Faure Gnassingbé, le monarque du Togo — un grand ami de Bolloré. Les ténors de son vertueux comité vont sûrement mettre un terme à ces aimables pratiques.

Le premier n’est autre que Laurent Le Mesle. Ex-conseiller de Chirac à l’Elysée, ex-procureur général de Paris, Le Mesle officie comme premier avocat général a la Cour de cassation. il va bientôt se retrouver dans une position très éthique. Ladite Cour statuant, à l’occasion, sur les procès que Bolloré intente aux journalistes qui n’ont pas… la même approche de l’éthique que lui.

Mitraillage judicialre

Depuis 2013, le milliardaire a attaqué 19 médias en diffamation, pour dénigrement ou pour préjudice commercial. Radios (France Inter, France Culture, France Info), télévisions (France 2), journaux (« L’Obs »), sites internet (Bastamag, Mediapart, Rue89)… Le groupe Bolloré fait feu de tout bois, réclamant parfois des millions d’euros (il en demande 50 à France 2 !) pour des reportages sur ses affaires africaines, les plus juteuses et les plus secrètes.

Onze procédures en cours ont des chances d’arriver un jour devant la Cour de cass, et la première dès 2918 : un pourvoi introduit par Bolloré dans son procès contre Bastamag — pour un papier sur l’accaparement des terres en Afrique —, que le malheureux industriel a perdu, le 12 février dernier…

Les experts à Saint-Trop'

Par pudeur, sans doute, le communiqué annonçant la nommination de Le Mesle au sein du comité de Canal (une maison où son épouse a officié jusqu’en 2014) le présente comme « un ancien premier avocat général à la Cour de cassation », alors qu’il ne prendra sa retraite qu’en février 2019. Précision du magistrat au « Canard » : « Je suis arrivé par Vincent Bolloré (…) C'est gratuit, je ne suis pas remunéré. Si un dossier le concernant vient devant la chambre commerciale de la Cour où je suis, je me déporterai. » impressionnant.

Quant aux autres membres du comité, le deuxième s’appelle Brice Charles, rapporteur au tribunal administratif de Paris — ça ne peut pas nuire. il y a aussi Sabine Bourgey, spécialiste en numismatique, ex-antiquaire, qui fait ainsi étalage de ses qualités d’experte : « J’aime la télé et beaucoup les séries américaines. » La dernière est Jacqueline Franjou. Jadis conseillère de DSK à l’industrie, elle dirige le Women's Forum de Publicis et préside le Festival de Ramatuelle, à deux pas de ia villa tropézienne de Bolloré.

Chez Canal, l’éthique sera chic !

Roh, mais non, c'est juste un comité éthique qui a le bras long afin de servir aux mieux les intérêts industriels du patron, rien de plus.

Dans le Canard enchaîné du 13 décembre 2017.

Alors que la plupart des ministères sont à la diète, le budget des espions de la Direction générale de la sécurité extérieure ne cesse d’enfler. Selon le projet de loi de finances 2018, ses crédits de paiement devraient passer, révèle « La Lettre de L’Expansion » (20/11), à 295,6 millions d’euros, soit un bonus de 20,3 % par rapport à 2017. C’est Noël, chez les barbouzes !

Près de 70 % de cette manne tombe dans l’escarcelle de la Direction technique, les « grandes oreilles » de la maison. Il y a quelque temps, la France s’est mis en tête de jouer dans la cour des grands. Avec Frenchelon, d’abord, la version coq sportif du système Echelon des Anglo-Saxons, destinée à écouter la planète, lancée dans les années 90. il y a dix ans, ensuite, avec un projet de siphonnage du Web mondial. D’où sa course aux crédits : le trafic mondial ne cesse de croître, le pays a besoin de serveurs puissants pour stocker et mouliner les données piquées dans les câbles sous-marins. Pour faire tourner ce superbouzin informatique, la DGSE, qui aligne 5 430 fausses barbes, a encore embauché 123 agents.

Sans décoder...

Des analystes et des linguistes, mais aussi des matheux, as du cryptage, des « techniciens du signal » ou des experts en bases de données, qu’il a fallu séduire avec de gros chèques. Attirer tous ces civils dans une maison qui n’aligne plus que 25 % de militaires revient donc cher. L’an prochain, la masse salariale va s’alourdir de 20 millions d’euros, pour atteindre 445,5 millions. Et la loi de programmation militaire 2019—2025 prévoit encore un bond des effectifs de 25 % !

D’autant que la lutte contre le terrorisme a fait exploser le nombre de missions à l’étranger. Les frais de déplacement (11,5 millions en 2018) flambent de plus de 17 %. « Dans un monde où tout est surveillé, des mouvements des personnes aux flux financiers, garantir la discrétion est de plus en plus onéreux », regrette un militaire au parfum. D’où la gourmandise grandissante de la DGSE, qui accapare chaque année plus de 50 millions d’euros de « fonds spéciaux ».

Le contribuable n’a pas fini de contribuer. Afin de lutter contre le cryptage auquel les internautes recourent de plus en plus souvent, les barbouzes réclament de nouveaux joujoux techniques, susceptibles de tripler leur budget ! La DGSE devrait recruter le Père Noël…

Toujours plus de flicage, toujours moins de vie privée pour le⋅a citoyen⋅ne lambda. Toujours plus de fric gaspillé pour une efficacité identique face aux grandes menaces qui sont vendues aux citoyen⋅ne⋅s… Moins de liberté, moins de sécurité. Perdant-perdant. :'(

Dans le Canard enchaîné du 13 décembre 2017.

Les députés viennent de se voir accorder quelques petites rallonges. Elles s’ajoutent aux 5 373 euros mensuels d’indemnité représentative de frais de mandat (IRFM).

Indemnnité utilisable comme bon leur semble, sans trop de contrôles.

Comme l’atteste un compte rendu que s’est procuré « Le Canard », les trois questeurs réunis le 1er décembre ont ainsi décidé que l’Assemblée prendrait en charge, à partir du 1er janvier, 30 euros sur 80 par nuitée passée par les députés à Paris dans les hôtels détenus par l’Assemblée. Soit 400 euros par mois, puisqu’un député dort, en moyenne, trois nuits par semaine dans la capitale.

L'IRFM n'était pas justement censée servir, entre autres, au logement ?!

Généreux avec leurs pairs, et donc, au passage, avec eux-mêmes, les grands argentiers de l’Assemblée ont également décidé de réunir en une seule dotation annuelle les frais de courrier (12 000 euros), de taxi (2 750 euros) et de téléphone (4 200 euros) par député. Soit 18 950 euros par an pour chacun des 577 membres de l’Assemblée.

L'IRFM n'était pas censée servir pour payer les déplacements ?! 1000 €/mois de courrier… ça fait plus de 1100 lettres prioritaires… Ce n'est pas un peu trop, sérieux ? :/ Je ne critique pas le téléphone car la majorité des assistant⋅e⋅s parlementaires de l'ancienne législature prenaient la peine de rapeller le⋅a citoyen⋅ne lambda qui téléphonait, de vécu.

Jusqu’à présent, d’année en année, l’argent non dépensé était remis dans le pot commun. A compter du 1er janvier, les députés pourront conserver les reliquats d’une année à l’autre. Enfin, ils seront autorisés à utiliser cet argent pour améliorer leur enveloppe informatique : 15 000 euros par député pour la durée de son mandat. Jusqu’alors, ce forfait ne pouvait être dépassé qu’exceptionnellement.

Sans doute un bug !

Dans le Canard enchaîné du 13 décembrre 2017.

Voila une cochenille asiatique qui passe sa vie à baver sur les arbres. Si la femelle du Kerria lacca, qui s’épanouit dans les forêts tropicales, recouvre de ses sécrétions tout ce qu'elle touche, c’est d'abord pour protéger son nid. En séchant, la salive de cette fausse chenille donne une croûte visqueuse qui fait le bonheur de l'industrie agroalimentaire.

Récoltée sur le tronc des arbres, la précieuse bave est concassée puis purifiée par extraction à chaud à l’aide d'un solvant. La masse pâteuse ainsi obtenue est ensuite mélangée avec de l'alcool éthylique, métylique, butylique, amylique, de l'ammoniaque, de la soude caustique, de la potasse, du borax, des carbonates alcalins… — n’en ietez plus ! —, pour en faire une chouette gomme d'enrobage, de couleur orangée ou blond doré. On en retrouve un peu partout, jusque sur les bûches de Noël ! Une ]oyeuseté qui, sur les étiquettes, est pudiquement signalée « shellac » ou « E904 ».

C'est l'une des cachotteries pointées par Foodwatch. L'ONG, poil à gratter de l'agroalimentaire, a eu la bonne idée de sortir un catalogue « spécial arnaques de fêtes », où elle décortique 20 produits qui, du foie gras au saumon en passant par la bisque de homard, composent habituellement le menu des deux réveillons. Une hotte dans laquelle figure donc une bûche de chez Picard café-noisette… enrobée de shellac. La pâtisserie industrielle raffole de la salive de Kerria lacca, tout comme les confiseurs pour le glaçage des macarons, des chocolats et d'une kyrielle de bonbons chocolatés comme les célèbres Smarties.

Grâce à la bave de cochenille, les fruits et les légumes exotiques brillent comme es sous neufs sur les étals de nos supermarchés. Avant d'embarquer sur les porte-conteneurs, avocats, ananas, papayes ou mangues sont souvent enduits de shellac. Un film protecteur moins cher que la cire d’abeille. En dehors de notre assiette, le E9O4 sert, pêle-mêle, à enrober les médicaments, à traiter le bois, à fabriquer les vernis à ongles et les laques à cheveux.

On comprend maintenant pourquoi, les soirs de réveillon, après avoir englouti la bûche ou pioché dans les boîtes de chocolats, l’envie nous prend parfois de faire la danse de la (co)chenille…

Dans le Canard enchaîné du 6 décembre 2017.

Il ne manquait que le froid glacial au pauvre, au malheureux, au miséreux tribunal de Bobigny, qui aura décidément tout connu : pannes de lumière, fuites d’eau, WC hors d’usage… Et maintenant le chauffage, qui a rendu l’âme il y a dix jours, a obligé le président à annuler des audiences, le 4 décembre. La faute aux canalisations qui fuient mais qui, prises dans le béton et recouvertes d’amiante, ne sont pas faciles à réparer… Ô merveille de l’architecture !

« On va nous installer des souffleries à chaleur, raconte Cyril Papon, greffier et délégué CGT, mais, pas de bol, au tribunal pour enfants, l’armoire électrique ne le permet pas, ils vont continuer de se les geler… ».

Le deuxième tribunal de France peut aussi s’enorgueillir d’un système d’archivage sans pareil, à voir les milliers de cartons empilés qui ornent les murs, menacent de dégringoler ou s’affaissent carrément (voir la photo). Dans la salle d’attente des juges pour enfants, il arrive souvent que les gens qui s’ennuient fouillent dedans et lisent les dossiers, dans le respect de la sacro-sainte confidentialité !

Tant qu’ils ne s’en servent pas pour faire un petit feu et s’y réchauffer…

Wooh, quand même… Quand on te dit que la Justice n'a pas de moyens, ce n'est pas forcément de l'éxagération…

Dans le Canard enchaîné du 6 décembre 2017.