GuiGui's Show

Désactiver l'enregistrement de la consommation horaire d'éléctricité sur un compteur Linky + effacer l'historique.

Attention : le reste du flicage reste actif et intact, seul l'enregistrement de la conso horaire cesse.

Le PRM (nouveau nom du PDL avec le passage à Linky) est indiqué sur les factures et sur l'afficheur du Linky (il faut simplement faire défiler le menu avec les touches + et -). Aucune autre info est demandée. Ça veut dire que l'on peut désactiver le flicage horaire sur tous les compteurs situés dans les parties communes (ce que j'ai fait, ne sachant pas sur quel compteur je suis). Je me demande s'il y a une notification SMS / email / autre (je ne suis pas le détenteur du contrat, je ne peux pas vérifier). À la fin, un PDF confirmant l'enregistrement du refus est proposé au téléchargement.

Concernant les enjeux derrière Linky, j'ai écrit ça : Linky : et si nous utilisions les bons arguments contre lui ? Réduction des coûts, chômage, risques pour la vie privée et guerre de l'énergie entre riches et pauvres.

Via https://ecirtam.net/links/?AMlOCg .

Je tente de prendre la main à distance sur plusieurs serveurs winwin en utilisant le protocole RDP.

Que ce soit avec vinagre ou remmina sur un Debian GNU/Linux Buster, ça ne fonctionne pas : le logiciel me présente le certificat x509 du serveur, je l'accepte puis, pouf, le logiciel se ferme sans afficher un quelconque message d'erreur.

Il suffit de lancer vinagre en ligne de commande pour obtenir la cause du problème :

[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - The host key for <nom_serveur>:3389 has changed
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - @    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - Someone could be eavesdropping on you right now (man-in-the-middle attack)!
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - It is also possible that a host key has just been changed.
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - The fingerprint for the host key sent by the remote host is c0:09:d0:6c:0e:89:00:d9:05:c3:99:a3:02:f1:c9:3d:31:a5:76:ff
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - Please contact your system administrator.
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - Add correct host key in /home/guigui/.config/freerdp/known_hosts2 to get rid of this message.
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - Host key for <nom_serveur> has changed and you have requested strict checking.
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - Host key verification failed.
[19:50:00:388] [23196:23196] [WARN][com.freerdp.crypto] - The VerifyChangedCertificate callback is deprecated, migrate your application to VerifyChangedCertificateEx
[19:50:01:574] [23196:23196] [ERROR][com.freerdp.crypto] - certificate not trusted, aborting.
[19:50:01:574] [23196:23196] [ERROR][com.freerdp.core] - freerdp_set_last_error ERRCONNECT_CONNECT_CANCELLED [0x0002000B]

OK, l'empreinte de la clé publique du serveur a changé. Pourtant, j'ai validé le certificat x509…

Au final, étant certain qu'aucune attaque était en cours et n'ayant pas envie de me faire ennuyer par des serveurs winin dont je ne suis pas l'admin, j'ai rm /home/guigui/.config/freerdp/known_hosts2.

Reste à comprendre pourquoi la clé de plusieurs serveurs winwin a changé. Je me connecte très rarement sur ces serveurs, donc il est très probable que la clé + le certificat x509 ont été renouvelés automatiquement… mais dans ce cas, freerdp, la bibliothèque de fonctions utilisée en sous-main par vinagre et remmina devrait prendre en compte mon acceptation du certificat x509 présenté. Ça sent le bug dans la remontée de l'info jusqu'à la bibliothèque.

[refrain] Il est liiiibéral, néoliiiibéral, y'en a même qui disent qu'on l'a vu nous voler.

Le blabla à la fin n'est pas mal non plus :) :

[…] Peut-on lui en vouloir ? Telle est la question. Après tout, pourquoi s'intéresserait-il aux communs ? Pourquoi participerait-il aux communs ? C'est un homme qui s'est fait tout seul, le néolibéral. Il est né dans la jungle, au milieu des loups. Personne ne l'a jamais torché, personne ne l'a jamais soigné, personne ne l'a jamais éduqué. Il s'est fait tout seul. Il n'a donc pas besoin des communs, je ne vois pas pourquoi il participerait aux communs, c'est bien naturel.

[…] Le néolibéral ne voit en toute humaniste qu'un jaloux. […] C'est parce que tu n'as pas ton yatch. Parce que tout le monde rêve de yatch, tout le monde. Moi, tous les gens que je connais, la première chose qu'ils me disent c'est « ha si j'avais un yatch ! ».

[…] Dans leur religion, ils créent de l'emploi. Ils créent pas de l'emploi. Ton boulanger, tu ne vas pas dire qu'il crée de la farine ! Il achète de la farine, c'est la matière première, il la travaille, il en fait quelque-chose et il en tire un bénéfice. […] L'employeur achète du travail, il ne crée pas de l'emploi !

Nouvelle reprise de jcfrog qui publie désormais sur PeerTube. :)

J'aime beaucoup la chanson Il est libre Max de Hervé Cristiani, donc, forcément, une reprise basée dessus me rend tout joyeux. :)

Réponse : oui si le système de fichiers peut être élargi / agrandi, non sinon.

Notre supervision nous alerte : bien qu'il y ait assez d'espace libre sur un système de fichiers ext4, le nombre d'inodes libres vient de passer en dessous de 20 %. Après vérification, l'apparition soudaine de plein de petits fichiers est légitime. Peut-on avoir plus d'inodes sans détruire les données ?

Je l'ai déjà écrit : un fichier se résume à un identifiant que l'on nomme inode (le numéro d'inode d'un fichier s'obtient avec la commande stat). Dans un système de fichiers, on a donc une table des inodes. Plus d'inodes permet de stocker plus de fichiers, mais cela nécessite une table des inodes plus grande, ce qui réduit l'espace disque réellement utilisable pour le stockage des fichiers. Moins d'inodes = moins de fichiers = une table plus petite = plus d'espace libre.

Le nombre d'inodes est fixé à la création d'un système de fichiers. Il ne peut pas être modifié par la suite. Il est automatiquement calculé en fonction de la taille totale du système de fichiers (un inode par tranche de xxxx octets disponibles sur le support de stockage ‒ mais attention, cela ne signifie pas qu'un inode gère / est responsable d'un fichier d'une taille inférieur à xxxx octets, non, il est l'identifiant de tout un fichier, peu importe sa taille ‒), voir le manuel de mkfs.ext4. Il est possible de le forcer avec le paramètre « -T » de mkfs.

Donc, le nombre d'inodes varie en fonction de la taille du système de fichiers. Sur un disque de 2 To, un ratio largefile (un inode par tranche de 1 Mo) procure environ 1 907 324 inodes. Sur un disque de 142 Go, ce paramètre procure environ 145 000 inodes.

Pour avoir plus d'inodes, et si c'est possible, il suffit d'agrandir la partition et le système de fichiers.
Si ce n'est pas possible, il y a rien à faire, un formatage sera nécessaire.

Pour retrouver le ratio octets/inode d'un système de fichiers déjà créé : df => prendre le nombre de blocs de 1 ko. Multiplier ce nombre par 1024 (on a donc le nombre de blocs de 1 octet). Récupérer le nombre total d'inodes avec df -i. Diviser le premier nombre par le deuxième. Attention : il ne faut pas mélanger ce ratio avec la taille d'un inode que l'on récupère avec tune2fs -l. Un espace de stockage plus grand pour chaque inode permet de stocker des métadonnées supplémentaires concernant un fichier, comme des attributs étendus.

Ma gonzesse, celle que j'paye avec, j'l'confesse, tes impôts de prolos, wohohoho
Ma gonzesse, celle que j'paye avec, j'l'confesse, tes impôts de cocos, wohohoho

À propos de l'affaire Fillon. :D
Toute façon, tu me mets une chanson de Renaud et je suis en transe. :D

Quand je voulais corriger un conflit entre la révision locale et distante d'un dépôt git, je faisais git stash, je solutionnais le conflit, git commit, git push puis je ré-appliquais mes modifs avec mon éditeur de texte / un cp. Pour commit uniquement une correction en oubliant les fichiers pas prêts, je faisais git commit <fichier_1> <fichier_2>, etc.

Bref, pour moi git stash servait uniquement à annuler toutes les modifications locales. Erreur.

Depuis, un collègue m'a appris l'existence de git stash list, git stash show, git stash apply, git stash clear. Voir la liste des modifications cachées, voir le contenu d'une modif' cachée, ré-appliquer une modif cachée sur le contenu courant, vider la liste des modifs cachées. Waahou. :)

Merci Seb'. :)

Résumé : ne met pas uniquement un exit 0 dans un script /usr/share/libpam-script/pam_script_auth. JAMAIS.

Sur un serveur Debian GNU/Linux auquel peuvent se connecter, en SSH, tous les membres de notre organisation, nous avons besoin d'effectuer des actions à l'ouverture des sessions.

Pour ce faire, j'utilise le module pam-script pour PAM (paquet logiciel libpam-script dans Debian).

Je crée un script /usr/share/libpam-script/pam_script_ses_open. Je teste dans tous les sens : ça fait le boulot sans introduire de vulnérabilité.

Je modifie rien dans /etc/pam.conf / /etc/pam.d (des fichiers sont modifiés lors de l'installation du paquet libpam-script).

Dans /var/log/auth.log, je constate des erreurs :

pam-script[29537]: can not stat /usr/share/libpam-script/pam_script_auth
pam-script[29601]: can not stat /usr/share/libpam-script/pam_script_acct
pam-script[29587]: can not stat /usr/share/libpam-script/pam_script_ses_close

Je n'aime pas laisser des erreurs lors de la mise en œuvre de quoi que ce soit, car on finit toujours par oublier et, plus tard, en plein debug, on se demande toujours si de telles erreurs sont normales (sic !), leur origine, leur ancienneté, etc.

À l'arrache, je crée donc trois scripts ayant pour seul code exit 0. Je ne teste pas. Erreur.

Voilà comment j'ouvre un accès sans mot de passe à ce serveur durant trois mois. Il suffit de connaître un identifiant valide, de taper n'importe quoi comme mot de passe et hop, on est connecté et on accède aux données personnelles de la personne (montées en NFS)… y compris celles de membres de la direction (qui n'utilisent pas ce serveur). Évidemment, nos identifiants sont dérivés du prénom+nom, donc prédictibles et connus de tous. Oups.

La configuration par défaut dans /etc/pam.d/common-auth fait que pam-script est le premier module exécuté pour valider une authentification et qu'il est suffisant pour le faire. Comme le script exécuté lors de l'authentification, /usr/share/libpam-script/pam_script_auth sort toujours sans erreur (effet de exit 0), l'authentification est toujours validée, quel que soit le mot de passe.

Comme je n'ai pas envie de changer la pyramide des appels dans /etc/pam.d, j'ai remplacé exit 0 par exit 1 dans /usr/share/libpam-script/pam_script_auth et /usr/share/libpam-script/pam_script_acct. J'ai laissé un exit 0 dans pam_script_ses_close car une fermeture de session se déroule toujours bien, il y a rien à faire.

Morale ? PAM est complexe, donc ne pas modifier sa configuration à l'arrache sans tester tous les cas (vrai mot de passe, faux mot de passe, sudo root, sudo autre utilisateur, su root, su autre utilisateur, etc.).