Ta vie on s’en fout!

Il ne faut PAS utiliser ntpdate sur un serveur Dovecot, qu’on se le dise. Dovecot déteste ça. Et quand on embête Dovecot, il s’arrête, tout simplement. Il part bouder au fond du disque dur.

En fait ce que Dovecot n’aime pas c’est qu’on recule l’horloge du serveur. C’est d’ailleurs bien expliqué sur le wiki de Dovecot. Alors pourquoi j’avais utilisé ntpdate au lieu du bon vieux ntp qui va bien? Ben j’en sais rien.

GnuPG (ou GPG) est un logiciel de cryptographie complet qui implémente la norme OpenPGP. Les possibilités de GnuPG dépassent largement le cadre de ce billet, ceux qui veulent approfondir le sujet se réjouiront de la doc officielle.

GnuPG est préinstallé sous Debian et Ubuntu ainsi qu’avec la majorité des distributions Linux je crois. Le projet Gpg4win fournit un programme d’installation pour Windows qui inclus GnuPG et différents modules complémentaires. Les commandes de gpg sont les mêmes dans les différents environnements. GnuPG est avant tout un logiciel de cryptage asymétrique (clé publique - clé privée) et son domaine de prédilection est la transmission sécurisée d’information entre utilisateurs. Mais on peut aussi s’en servir pour faire du cryptage simple, c’est ce qu’on va voir ici.

Le problème à résoudre est le suivant :

Un utilisateur gère sur son poste de travail des informations confidentielles. L’accès au poste de travail étant protégé, on estime la sécurité suffisante sur le poste (ça pourrait se discuter mais c’est pas le sujet). Par contre les sauvegardes sont effectuées sur un serveur dont l’accès est public. On ne peut donc pas y sauvegarder les données confidentielles en l’état.

La solution va être de crypter les données avant de les sauvegarder, voilà comment :

Génération d’un paire de clés :


C:\>gpg –gen-key
gpg (GnuPG) 1.4.7; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

Please select what kind of key you want:
(1) DSA and Elgamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
Your selection? 1
DSA keypair will have 1024 bits.
ELG-E keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"

Real name: Michel
Email address: michel@martin.com
Comment:
You selected this USER-ID:
“Michel <michel@martin.com>”

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
You need a Passphrase to protect your secret key.

We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
+++++++++++++++.+++++.+++++.+++++.+++++..+++++.+++++++++++++++++++++++++..++++++
+++>++++++++++>+++++>..+++++....................................................
.............................................+++++^^^
gpg: key 62757D49 marked as ultimately trusted
public and secret key created and signed.

gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0 valid: 2 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 2u
pub 1024D/62757D49 2007-11-12
Key fingerprint = 9B05 2259 683C 70CC D73C 3E47 816C 06FE 6275 7D49
uid Michel <michel@martin.com>
sub 2048g/5589D5F6 2007-11-12

Ca y est on a notre paire de clés. Attention à ne pas oublier la “passphrase”, il n’y a aucun moyen de la récupérer. Elle n’est pas nécessaire pour crypter, mais sera demandée au décryptage. On peut mettre une passphrase vide, mais la sécurité est moindre.

L’étape suivante est de sauvegarder la clé privée, et la conserver en lieu sûr!!! :

C:\>gpg --export-secret-keys -a michel > michel.sec

Crypter le fichier confidentiel.doc :

C:\>gpg gpg -e -r Michel confidentiel.doc

Cette commande crée le fichier crypté confidentiel.doc.gpg qui peut être stocké sans crainte sur des serveurs publics, tant que la clé privée n’est pas compromise.

Pour décrypter sur le poste qui contient les clés (la passphrase est demandée) :

C:\>gpg confidentiel.doc.gpg

Pour décrypter sur un autre poste il faut d’abord importer la clé privée :

C:\>gpg --import michel.sec

Voilà, c’est juste un aperçu rapide d’une application pratique du cryptage avec gpg.

Les administrateurs linux savent bien comme c’est galère d’envoyer un mail avec pièce jointe dans un fichier batch, par exemple pour joindre un fichier de log à un message d’erreur. Les programmes classiques mail et sendmail ne gèrent pas directement les attachements mime et il faut passer par des programmes externes qui compliquent sérieusement la vie.

J’en était là lorsque la Providence, qui par chance n’avait rien à faire aujourd’hui, m’a mis le nez sur nail. Exactement ce que je cherchais depuis des mois : simple, efficace, puissant, c’est du tout bon.

exemple:

$ nail -s "Sujet du message" -a /chemin/fichier_a_joindre destinataire < fichier_message

c’est pas beautiful ça?

Les fonctionnalités de nail ne s’arrêtent pas là, c’est un programme de mail complet qui peut être utilisé aussi bien pour l’envoi que pour la réception de messages, avec gestion IMAP, POP, SMTP, S/MIME, mais là faut lire la man page.

home sourceforge : http://sourceforge.net/projects/nail/

debian/ubuntu :

$ apt-get install nail

Le Master Boot Record ou MBR est situé sur le premier secteur d’un disque dur “bootable”. Il est précieux car il contient la table des partitions et le “boot loader”. Dès qu’on utilise plusieurs systèmes sur la même machine, Windows et Linux par exemple, il est prudent de conserver une sauvegarde du MBR. Si on utilise Grub comme gestionnaire de boot et qu’on doit réinstaller Windows, celui-ci remplacera le MBR par le sien sans tenir compte des autres systèmes présents sur le disque. Dans ce cas c’est commode de pouvoir restaurer le boot loader. Voilà comment faire :

Attention : ces explications sommaires sont destinées aux personnes qui savent ce qu’elles font, une mauvaise manip peut rendre le disque inutilisable. Vous voilà prévenus.

Pour sauvegarder le MBR du disque hda dans le fichier mbr.sav :

dd if=/dev/hda of=mbr.sav bs=512 count=1

Pour restaurer le MBR du disque hda à partir du fichier mbr.sav :

dd if=mbr.sav of=/dev/hda bs=512 count=1

Les 64 derniers octets du MBR contiennent la table des partitions
Si on ne veut pas sauvegarder/restaurer la table des partition mais juste le boot loader, les commandes deviennent :

dd if=/dev/hda of=mbr.sav bs=446 count=1
dd if=mbr.sav of=/dev/hda bs=446 count=1

Kubuntu 7.04 Feisty Fawn

Pour pouvoir graver les images audio APE/CUE avec K3B il faut installer le plugin K3B qui va bien. Il n’est pas inclus dans Ubuntu Feisty et il faut le compiler à la main. Il y a pas mal de dépendances nécessaires à la compilation. Voilà les paquets que j’ai du installer, en plus de l’environnement de compilation standard :

kdebase-dev
nasm
libk3b-dev
libhal-dev
libdvdread-dev

Téléchargement du plugin (ici v 3.1) sur le site de K3B :

Un lien direct vers la version 3.1 du plugin

Décompactage de l’archive :

$ tar -xjf k3bmonkeyaudioplugin-3.1.tar.bz2

compilation :

$ cd k3bmonkeyaudioplugin-3.1
$ ./configure
$ make install