openssl - SSL certificate problem : certificate has expired - Stack Overflow
▻https://stackoverflow.com/questions/69387175/git-for-windows-ssl-certificate-problem-certificate-has-expired/69400014#69400014
La méthode sous Debian pour forcer la désactivation du certificat racine DST_Root_CA_X3.crt de LetsEncrypt expiré au 30/09/2021
Symptôme typique : les requêtes curl retournent
Notice: SSL certificate problem: certificate has expired
New Debian 11 Features That Makes it an Excellent Release #linux #opensource #debian
▻https://www.debugpoint.com/2021/05/debian-11-features
List of All Default Debian Official Wallpapers [HD Gallery with Download Links] #linux #debian #opensource
▻https://www.debugpoint.com/2021/04/default-debian-wallpapers-gallery
Linux 5.11: Support für Intel SGX, neue Treiber und kleinere Verbesserungen
▻https://www.heise.de/news/Linux-5-11-Support-fuer-Intel-SGX-neue-Treiber-und-kleinere-Verbesserungen-505
How to check the installed Linux kernel version on Debian?
▻https://unix.stackexchange.com/questions/583091/how-to-check-the-installed-linux-kernel-version-on-debian#583092
How to get Linux kernel 5.8 and 5.9 in Debian 10
▻https://www.addictivetips.com/ubuntu-linux-tips/linux-kernel-5-8-and-5-9-debian-10
Linux-Distribution Debian 11 Bullseye: Termin für Freeze bekanntgegeben
▻https://www.heise.de/news/Linux-Distribution-Debian-11-Bullseye-Termin-fuer-Freeze-bekanntgegeben-495165
Bullseye Freeze Timeline and Policy
▻https://release.debian.org/bullseye/freeze_policy.html
Debsecan – Trouvez les paquets vulnérables de votre distribution Linux – Korben
▻https://korben.info/debsecan-cve.html
un outil capable de lister les vulnérabilités présentes dans les paquets en place sur votre machine, à partir des CVE disponibles (rapports de vulnérabilités découvertes)
Le repo Gitlab : ▻https://gitlab.com/fweimer/debsecan
debian - How to install Python 3.6? - Unix & Linux Stack Exchange
▻https://unix.stackexchange.com/questions/332641/how-to-install-python-3-6/332658#332658
Utiliser python 3 par défaut (python 2.7 n’est plus supporté)
Élection du #Debian Project Leader 2020 #DPL Jonathan Carter
▻https://linuxfr.org/news/election-du-debian-project-leader-2020-dpl-jonathan-carter
Jonathan Carter a été élu responsable du projet Debian (Debian Project Leader, DPL). Il succède à Sam Hartman, qui ne s’est pas représenté cette année.
(photo tirée de son programme de 2019)
La suite de cette dépêche retrace le déroulement des élections. lien n°1 : L’annonce des résultatsSommaire
Annonce des élections Le DPL sortant ne se représente pas et fait son bilan
Les candidats et leurs programmes Jonathan Carter Sruthi Chandran Brian Gupta
Autres thèmes abordés lors de la campagne Vote et résultats
Annonce des élections
Comme chaque année, le secrétaire du Projet Debian a annoncé le calendrier des élections pour le rôle de responsable du Projet Debian.
Les élections se déroulent en trois phases :
la période de nomination (du 8 au 14 mars), pendant laquelle les candidats se font connaître et préparent (...)
Élection du #Debian Project Leader 2020 #DPL
▻https://linuxfr.org/news/election-du-debian-project-leader-2020-dpl
Jonathan Carter a été élu responsable du projet Debian (Debian Project Leader, DPL). Il succède à Sam Hartman, qui ne s’est pas représenté cette année.
(photo tirée de son programme de 2019)
La suite de cette dépêche retrace le déroulement des élections. lien n°1 : L’annonce des résultatsSommaire
Annonce des élections Le DPL sortant ne se représente pas et fait son bilan
Les candidats et leurs programmes Jonathan Carter Sruthi Chandran Brian Gupta
Autres thèmes abordés lors de la campagne Vote et résultats
Annonce des élections
Comme chaque année, le secrétaire du Projet Debian a annoncé le calendrier des élections pour le rôle de responsable du Projet Debian.
Les élections se déroulent en trois phases :
la période de nomination (du 8 au 14 mars), pendant laquelle les candidats se font connaître et préparent (...)
nftables - #Debian Wiki
▻https://wiki.debian.org/nftables
NOTE: Debian #Buster uses the #nftables framework by default.
Starting with Debian Buster, nf_tables is the default backend when using #iptables, by means of the iptables-nft layer (i.e, using iptables syntax with the nf_tables kernel subsystem). This also affects ip6tables, arptables and ebtables.
netfilter/iptables project homepage - The #netfilter.org “nftables” project
▻https://www.netfilter.org/projects/nftables/index.html
Unified and consistent #syntax for every support protocol family, contrary to #xtables utilities, that are well-known to be full of #inconsistencies
nftables - nft command line tool
▻http://git.netfilter.org/nftables
nft command line tool
Moving from iptables to nftables - nftables wiki
▻https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables
This page gives information on moving/migrating from the old iptables/xtables (legacy) world to the new nftables framework.
A common situation is the #need_to_move from an existing iptables ruleset to nftables. The Netfilter team has created some tools and mechanisms to ease in this move.
Debian 10 (Buster qui est sorti cet été) est compatible avec le Secure Boot (!!! c’est pas trop tôt !!!).
Mais contrairement à Ubuntu, il faut faire une manip soit même.
▻https://www.it-connect.fr/debian-10-et-secure-boot-comment-sadapter-au-demarrage-securise
Il est vrai que l’ensemble de la procédure peut s’avérer longue et rébarbative. Mais, je ne doute pas que la communauté Linux mette rapidement en œuvre une solution intégrée et adaptée à ce nouveau mode de démarrage.
Ouais alors vu que la phase 1 a pris 9 ans (entre l’introduction de l’UEFI sur le marché et la première version qui a su l’utiliser), je n’irais pas parier sur le rapidement .
#uefi #secureboot #debian #linux
Debian — Actualités — Publication de Debian 10 « Buster »
▻https://www.debian.org/News/2019/20190706
Après 25 mois de développement, le projet #Debian est fier d’annoncer sa nouvelle version stable n° 10 (nom de code « Buster »), qui sera suivie pendant les cinq prochaines années grâce à l’effort combiné de l’équipe de sécurité de Debian ainsi qu’à celui de l’équipe de gestion à long terme de Debian.
Est-ce que quelqu’un a une version de la config Varnish pour SPIP, telle qu’on la trouve par exemple là :
►http://zzz.rezo.net/Interfacer-Varnish-SPIP.html
mais qui fonctionnerait avec un Varnish récent (VCL 4.0) ?
Ah zut:
Error:
Message from VCC-compiler:
Invalid return "fetch"
('/etc/varnish/default.vcl' Line 391 Pos 14)
return(fetch);
-------------#####--
...in subroutine "vcl_hit"
('/etc/varnish/default.vcl' Line 366 Pos 5)
sub vcl_hit {
----#######--
...which is the "vcl_hit" method
Legal returns are: "deliver" "miss" "pass" "restart" "synth"
Running VCC-compiler failed, exited with 2
VCL compilation failed
Sauf erreur : en remplaçant les return(fetch) par des return(miss), ça fonctionne.
Bon, la grosse galère, c’était (sur une Debian toute neuve) de trouver pourquoi Varnish ne répondait pas sur le port 80. C’est parce que l’habituel fichier /etc/default/varnish n’est pas utilisé : la config de lancement de Varnish se fait dans /lib/systemd/system/varnish.service
Doc ici :
▻https://docs.varnish-software.com/tutorials/configuring-systemd-services
Encore fête : une mise à jour qui a cassé le démarrage de Varnish…
Quand il y a plusieurs ports indiqués dans varnishd séparés par une virgule, il faut maintenant remettre -a à chaque fois :
varnishd … -F - a :80, :443 -T localhost:6082…varnishd … -F - a :80, -a :443 -T localhost:6082…Trouvé ça en réponse à l’erreur de démarrage « Unknown protocol » :
▻https://varnish-cache.org/lists/pipermail/varnish-bugs/2015-March/007053.html
lien propre :
▻https://www.zdnet.com/article/russian-military-moves-closer-to-replacing-windows-with-astra-linux
[...]
RusBITech initially developed the OS for use in the Russian private market, but the company also expanded into the local government sector, where it became very popular with military contractors.
A few years back, the OS received certifications to handle Russian government information labeled as “secret” and “top secret” —two data secrecy levels situated underneath “special importance” according to Russian law.
Since then, Astra Linux has slowly made its way into government agencies and is currently in use at the Russian National Center for Defence Control, among various other government and military agencies.
Already used by the Russian military
In January 2018, the Russian Ministry of Defence announced plans to transfer military systems from the Windows OS to Astra Linux, citing fears that Microsoft’s closed-source approach might hide Windows backdoors that can be abused by US intelligence to spy on Russian government operations.
Since then, RusBITech has been going through the Russian government’s certification process to get a “special importance” classification for Astra Linux — which it did, on April 17, according to two local media reports.
In addition to the FSTEC certification, Astra Linux also received certificates of conformity from the FSB, Russia’s top intelligence agency, and the Ministry of Defense, opening the door for full adoption by Russia’s top military and intelligence agencies.
The certification was granted for Astra Linux Special Edition version 1.6, also known as the Smolensk release, per local reports. This is a commercial (paid) release.
The news comes after earlier this week it was reported that the Chinese military was taking similar steps to replace the Windows OS on military systems amid fears of US hacking. The Chinese military didn’t go for a Linux distro but instead alluded to plans of developing a custom OS instead.
[finis]
#Russie #sécurité #militaire #défense #Debian #Linux #Windows
Failed to fetch ▻http://ftp.debian.org/debian/dists/jessie-updates/main 404 Not Found - Jesús Amieiro
▻https://www.jesusamieiro.com/failed-to-fetch-http-ftp-debian-org-debian-dists-jessie-updates-main-4
Executing #apt update in a #Debian 8 I get the error... This occurs because of Debian removes Wheezy and #Jessie (except LTS) from mirrors.
YunoHost est un outil qui vous permet d’installer et d’utiliser facilement votre propre serveur. • YunoHost
►https://yunohost.org
Une distrib Linux (basée sur Debian) spécifique pour de l’auto-hébergement. Avec une interface graphique, AMP + letsencrypt, un serveur de mail, gestion LDAP des users...
Le but de YunoHost est de rendre accessibles au plus grand nombre l’installation et l’administration d’un serveur, sans délaisser la qualité et la fiabilité du logiciel.
Tous les efforts sont faits pour simplifier le déploiement sur le plus d’appareils possible et dans toutes les conditions (chez soi, sur son serveur dédié ou sur un VPS).
J’utilise yunohost depuis un peu plus d’un an, sur un raspberry pi, c’est vraiment bien foutu. J’ai installé Nextcloud (qui remplace dropbox), freshRSS (un aggrégateur de flux RSS) et Wallabag (qui remplace pocket) et quelques autres trucs. Il suffit d’appuyer sur bouton pour que ça s’installe.
Je conseille cette conférence donnée au Capitole du Libre en 2018 pour une bonne intro, plus politique que technique :
▻https://cinema.yunohost.support/videos/watch/b8b5cfd5-1830-4283-a866-5f74e7d68db6
How To Install Memcached on Debian 9 - idroot
▻https://idroot.us/linux/install-memcached-debian-9
Pour plus de détails : voir la doc officielle de Memcached ▻https://github.com/memcached/memcached/wiki
C’est une impression ou ce tutoriel propose d’ouvrir memcached sur le reste du monde ?
firewall-cmd —permanent —zone=public —add-port=11211/tcp
firewall-cmd —reload
Quelle bizarrerie...
j’avoue qu’utilisant iptables je n’ai pas fait très attention à ce point du tuto... et effectivement l’ouverture du port ne devrait être faite que pour la seule IP 127.0.0.1 !
Colorer son less
▻http://namok.be/blog/?post/2018/09/21/colorer-son-less
Ce matin, je faisais une recherche dans une page de man et je ne voyais pas le mot cherché. Ma page de manuel était blanche sur noir. Triste. Ajoutons des couleurs.
Pour info, lorsque l’on consulte une page de manuel, #linux lance un pager par défaut. Ce programme permet de visualiser un fichier page par page (page par page, pager, tu l’as ?) et y faire des recherches. Les principaux sont : less, more et most. Par défaut, c’est souvent less qui est installé.
La première manière de colorer ses pages de manuel est d’utiliser un pager qui gère les couleurs. Lapalissade. most est coloré par défaut, il s’active en ajoutant dans son .bashrc.
export PAGER=most
Si, par contre, vous avez l’habitude avec less et que vous ne voulez pas changer, vous pouvez lui apprendre les couleurs et ajouter dans votre (...)
Aujourd’hui, débat et approbation d’une loi spéciale en Bolivie : ce sera la première loi 100% numérique, depuis son élaboration jusqu’à son approbation (avec utilisation de la signature électronique par exemple).
Quelques anecdotes :
– l’Assemblée utilise Debian, pas un système d’exploitation privatif
– la majorité des députés sont des députées
– des députés de toutes les couches de la société : des mineurs, des employées domestiques, des paysans, des ouvriers...
Suite à l’upgrade d’un serveur de #debian wheezy vers #jessie, je rencontrais des erreurs avec le plugin #facteur pour #SPIP. Le problème est bien documenté dans le wiki de la classe #PHPMailer cf :
PHP versions since 5.6 verify certificates on SSL connections. If there’s a problem relating to the certificate, you will get an error like this:
Warning: stream_socket_enable_crypto(): SSL operation failed with code 1.
OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
▻https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting#certificate-verification-failure
Ce que confirme openssl avec le test suivant openssl s_client -connect domaine.net:443 qui renvoyait l’erreur Verify return code: 21 (unable to verify the first certificate).
Pour corriger ça, j’ai simplement ajouté le certificat de GANDI (puisque le domaine est chez eux) sur le serveur :
cd /usr/local/share/ca-certificates/
wget https://www.gandi.net/static/CAs/GandiStandardSSLCA2.pem
mv GandiStandardSSLCA2.pem GandiStandardSSLCA2.crt
update-ca-certificatesCette fois, le test avec openssl renvoie bien Verify return code: 0 (ok) et l’envoie de mail depuis le plugin facteur fonctionne de nouveau.
PS : pour supprimer un certificat ajouté manuellement, il faut supprimer son fichier .pem et lancer la commande update-ca-certificates --fresh
J’allais citer la source en ligne, mais je vois qu’elle est référencée ici ▻https://seenthis.net/messages/610192, c’est beau seenthis :)
#Spectre et #Meltdown : deux grosses failles de sécurité sur les processeurs dans nos machines
Quasi toutes les machines à base de processeurs Intel (donc Mac et PC) sont affectés pour Meltdown, ainsi que les AMD et ARM pour Spectre.
Meltdown et Spectre : 7 questions pour comprendre les failles critiques sur les processeurs
▻https://www.numerama.com/tech/318576-meltdown-et-spectre-7-questions-pour-comprendre-les-failles-critiqu ?
Meltdown and Spectre
Bugs in modern computers leak passwords and sensitive
data
Microsoft issues emergency Windows update for processor security bugs
▻https://www.theverge.com/2018/1/3/16846784/microsoft-processor-bug-windows-10-fix
Meltdown, Spectre : The password theft bugs at the heart of Intel CPUs
▻http://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability
Failles des processeurs : Intel, AMD et ARM prévenus par Google
▻https://www.generation-nt.com/faille-processeur-google-intel-amd-arm-mletdown-spectre-actualite-194
Un début d’analyse en français
▻https://twitter.com/fenarinarsa/status/948697105996156928
Et une version plus étoffée en anglais
▻https://twitter.com/gsuberland/status/948907452786933762
Deux failles critiques : Meltdown et Spectre - LinuxFr.org
▻http://linuxfr.org/news/deux-failles-critiques-meltdown-et-spectre
Ces derniers jours, les rumeurs allaient bon train sur les réseaux sociaux suite à l’intégration en urgence d’un gros correctif dans la RC-6 du noyau Linux. Cela allait à l’encontre de toutes les habitudes de #Linus_Torvalds, ce qui laissait penser que les conditions étaient vraiment particulières.
[SECURITY] [DSA 4078-1] linux security update
▻https://lists.debian.org/debian-security-announce/2018/msg00000.html
This specific attack has been named Meltdown and is addressed in the Linux kernel for the Intel x86-64 architecture by a patch set named Kernel Page Table Isolation, enforcing a near complete separation of the kernel and userspace address maps and preventing the attack. This solution might have a performance impact, and can be disabled at boot time by passing `pti=off’ to the kernel command line.
Deux failles critiques : Meltdown et Spectre - LinuxFr.org
▻http://linuxfr.org/news/deux-failles-critiques-meltdown-et-spectre#comment-1725951
J’aurai tendance à dire que #Linus a entièrement raison.
Check if/inhowfar you’re affected with InSpectre
▻https://www.ghacks.net/2018/01/16/gibson-releases-inspectre-vulnerability-and-performance-checker
Eucalyptus - Debian Wiki
▻https://wiki.debian.org/Eucalyptus
With #Debian we are already good in preparing software packages in a way that others can install - and optionally recompile - it easily. The #Amazon AWS Cloud services brought us Infrastructure as a Service (IaaS), mostly sold as an increase in flexibility for public or other services with variable loads. To the Open Source enthusiasts it is more the immediate access to readily configured environments and the exchange of those in the community. And AWS has pioneered also the sharing of public data, which for today’s data-driven research may be more critical than compute time. The Eucalyptus euca2ools are a free way to communicate through the Amazon API. And the eucalyptus package allows for the installation of your #very_own #cloud installation.
Depuis ▻https://seenthis.net/messages/568682 il y a eu des évolutions pour le plugin #alternc-borgbackup pour #alternc.
Pour les vielles distributions #Debian, un paquet compatible de #borgbackup est proposé. Ce paquet reprend les binaires officiels pour linux et propose donc une retro-compatibilité avec les paquets officiels des versions récentes.
De plus comme pour #alernc-certbot un dépôt est proposé pour télécharger les dernières versions du plugin compatible à partir de #wheezy
N’hésitez pas à tester et à faire vos retours, la documentation est encore fraîche :)
Bon tests
Migration distribution Debain en RAID
▻http://chrtophe.developpez.com/tutoriels/migrer-debian-raid
Tutoriel complet pour passer un système Debian en RAID 1