Dimanche 26 février 2017

https partout

Pour suivre la ligne https partout et pour continuer à déployer mes certificats Let's Encrypt, j'ai déployé le protocole HTTPS sur tous mes sites. J'en ai profité pour essayer d'améliorer la sécurité mais aussi les performances des différents sites du point de vue des visiteurs.

Lire la suite...

mardi 1 décembre 2015

Un beau certificat ssl sur toutes les pages

Depuis quelques jours, on peut naviguer sur ce blog en https, en version TLS 1.2. Au départ, j'avais oublié de créer un certificat pour mon sous-domaine static qui me sert à livrer les fichiers statiques, en particuler les images. Du coup la page n'était pas considérée comme sûre par la plupart des navigateurs car le contenu était mixte : page en https mais certaines ressources en http (sans le s).

Les certificats délivrés par Let's Encrypt ne sont valides que 90 jours. Il faut donc penser à les renouveler. Comme je ne suis pas une machine, je vais forcément oublier et donc j'ai ajouté une tâche automatique pour faire ça automatiquement. Ma tache est lancé tous les jours et je renouvelle le certificat s'il a moins de 30 jours.

J'ai cloné et installé le dépôt d'outils fourni par Let's Encrypt et j'ai mis la configuration de mon certificat dans un fichier .ini qui ressemble à ça :

domains = www.nikrou.net,static.nikrou.net
rsa-key-size = 4096
server = https://acme-v01.api.letsencrypt.org/directory
email = YOUR_MAIL@YOUR.DOMAIN
authenticator = webroot
webroot-path = PATH/TO/DOCUMENTROOT

Je peux alors lancer la mise à jour de mon certificat en faisant simplement :

$ ./letsencrypt-auto -c path/to/cli.ini

Du coup pour que la mise à jour se fasse automatiquement, il suffit de créer une nouvelle entrée dans le répertoire /etc/cron.daily avec le contenu suivant, par exemple :

#!/bin/sh

DAY_LIMIT=30
TIMESTAMP_LIMIT=$(($DAY_LIMIT*86400))

OPENSSL=/usr/bin/openssl
SSL_PEM=PATH_TO_PEM_CERTIFICATE

MAIL=/usr/bin/mail -s "[ssl] Update" YOUR_EMAIL@YOUR.DOMAIN

PATH_LETSENCRYPT=PATH_TO_LETSENCRYPT_INSTALLATION

if $OPENSSL x509 -checkend $TIMESTAMP_LIMIT -noout -in $SSL_PEM
then
    echo "Certificate is valid for more than $DAY_LIMIT days. Do not update." | $MAIL
else
    cd $PATH_LETSENCRYPT  && ./letsencrypt-auto -c /etc/letsencrypt/cli.ini
    if [ $? -ne 0 ];then
	echo "Something goes wrong. Cannot update ssl certificate. Need to validate it manually" | $MAIL
    else
        echo "Certificate has been updated" | $MAIL
    fi
fi


exit 0

Il faut renseigner l'adresse mail, le chemin vers votre certificat (fichier PEM) et le répertoire où letsencrypt est installé. Il ne faut pas oublier de rendre ce fichier exécutable. J'ai créé un dépôt git avec ce script si vous avez des corrections ou des idées d'amélioration.

mercredi 18 novembre 2015

Le blog sécurisé

Depuis quelques jours, ce blog qui n'en est pas réellement un peut-être lu en https. Mon certificat est signé par Let's Encrypt. Let's Encrypt fournit des certificats gratuitement. Tout cela n'est pas encore ouvert pour tout le monde. Mon nom de domaine est en beta privé. Normalement la beta publique devrait être ouverte en décembre.

Mon certificat est valide 90 jours. Je n'ai pas encore fait le nécessaire pour le renouveler automatiquement. En attendant si vous lisez cet article, dans la barre du navigateur vous pouvez voir quelque chose comme ça : 

https.png

  Pour que l'on puisse regarder le site aussi bien en http qu'en https, il faut aller dans les paramètres du blog et enlever le protocole, c'est-à-dire mettre //www.nikrou.net/ au lieu de https://www.nikrou.net

Dimanche 8 novembre 2015

Comment relancer chrome sans perdre les onglets déjà ouverts ?

J'utilise le navigateur google chrome pour plein de mauvaises raisons mais pour au moins deux bonnes, parce qu'il est rapide et qu'il répond à mon besoin.

Je ne le laisse pas se mettre à jour tout seul et je le mets à jour en utilisant le système de mise à jour de mon système d'exploitation. Je ne redémarre que très rarement mon ordinateur et je garde de très nombreux onglets ouverts pour des pages que je veux lire plus tard mais pas que je veux nécessairement mettre en favoris. Mais lorsque je veux mettre à jour mon navigateur sans perdre tous ces onglets j'obligeais chrome à s'arrêter en faisant un kill -TERM suivi du processus père. chrome offre, comme d'autres navigateurs, la possibilité de récupérer la dernière session en cas de crash, cela me permettait de récupérer mes chers onglets.

Mais il y a bien plus simple, il suffit de taper dans la zone d'adresse : chrome://restart.

mercredi 20 mai 2015

J'aime dotclear - j'y contribue

J'utilise dotclear pour motoriser ce blog depuis de très nombreuses années. dotclear, c'est aussi une association et du coup on peut y adhérer en cottisant. J'ai renouvellé ma cottisation mais je pense qu'il ne faudrait surtout pas hésiter à faire passer le message pour relancer les adhérents non à jour de leur cottisation !

Comme le dit Anne, il peut y avoir des effets de bords, devoir manger des crêpes, faire un séminaire au Guilvinec et le plaisir de rencontrer de nombreuses personnes toutes plus sympathiques les unes que les autres.

Du coup, si vous utilisez dotclear, que vos poches ne sont pas complètement vide et que vous voulez contribuer un peu à dotclear, adhérer à l'association.

p.s: Vous pouvez aussi tout simplement faire un don à dotclear.

samedi 29 novembre 2014

Je n'entends pas le bruit bizarre !

Il y a quelques semaines j'ai laissé ma voiture à mon garage habituel. Le matin, je passe au garage, je donne les "consignes". Une personne me dépose à la gare et vient me chercher le soir après ma dure journée de labeur pour que je reprenne possession de mon véhicule.

Comme d'habitude, je dépose donc mon véhicule en précisant que j'entends un bruit étrange, pour ne pas dire bizarre. En roulant doucement mais aussi à l'arrêt. Le patron me dit qu'il va regarder ou écouter !!

Lire la suite...

samedi 18 octobre 2014

Et encore une migration kimsufi

Non non je n'ai pas fait de grossière erreur d'orthographe dans le titre de mon billet ! Comme en 2010, je suis en train de migrer mon serveur dédié (un kimsufi) pour bénéficier de la mise à jour matérielle, de plus de mémoire, de plus d'espace disque et pour un prix moindre. Mais cette fois c'est un peu plus compliqué car il n'y a plus de possibilité d'IP en fail-over sur les nouveaux serveurs. 

J'ai décidé de faire plus simple qu'il y a 4 ans :

  • J'ai configuré mon nouveau serveur avec tous les services identiques. 
  • J'ai déplacé toutes mes données.
  • J'ai récupéré le contenu des bases de données que j'ai réimporté dans les nouveaux serveurs de base de données sur le nouveaux serveur.

Il me restera à me débarrasser du serveur mysql en migrant ma galerie photos de piwigo à Phyxo. Et le dicton se vérifie toujours : les cordonniers sont les plus mal chaussés. En utilisant Phyxo, ma galerie photos utilisera PostgreSQL.

Après avoir vérifié que tout fonctionnait sur le nouveau serveur, il fallait indiquer au monde entier que je changeais de serveur. Enfin de manière plus modeste, il fallait mettre à jour les DNS. Je voulais éviter l'interruption de service et sans IP supplémentaires, la solution la plus simple est de faire tourner tous les services sur les deux machines. Ensuite sur l'ancien serveur dans la configuration DNS de mon nom de domaine j'indique l'adresse IP du nouveau serveur. Normalement avec tout cela il ne devrait pas y avoir d'interruption.

Si vous lisez ce billet c'est que la propagation s'est déjà faite sur le DNS que vous interrogez.

mercredi 20 août 2014

Une version de maintenance de dotclear

Une version de maintenance de dotclear est sortie avant-hier. Elle corrige deux failles potentielles. La mise à jour du package debian a été faite, a été uploadé sur les serveurs et devrait être disponible rapidement. 

vendredi 8 novembre 2013

Les jours de la semaine

Lundi, les canards vont à la mare, mare, mare ...

Mardi, ils s'en vont jusqu'à la mer, mer, mer ...

Mercredi, ils organisent un grand jeu, jeu, jeu ...

Jeudi, ils se promènent dans le vent, vent, vent ...

Vendredi, ils se dandinent comme ça, ça , ça ...

Samedi, ils se lavent à ce qu'on dit, dit, dit ...

Dimanche, ils se reposent et voient la vie en rose. La semaine recommencera demain, COIN COIN.

Dimanche 13 octobre 2013

Mise à jour de PostgreSQL

Mon serveur PostgreSQL était encore en version 8.4 depuis un moment et j'ai décidé de faire la mise à jour. Rien de plus simple :

# apt-get install postgresql-9.3
# pg_dropcluster 9.3 main --stop
# pg_upgradecluster 8.4 main

Le changement de port se fait aussi pendant la migration. A la fin du script de mise à jour l'ancien cluster est arrêté. On peut le relancer mais il faudra se rappeler qu'il sera accessible sur le port 5433 au lieu de 5432 (par défaut évidemment). 

mardi 13 août 2013

Bon anniversaire dotclear

Aujourd'hui dotclear fête ses 10 ans. En effet, le 13 août 2003, un certain Olivier a publié une première version de son CMS, dotclear. 

Je l'utilise avec bonheur depuis de nombreuses années. Le projet, comme tout projet, a connu des hauts et des bas. Depuis quelques temps, j'essaie de contribuer et de me rapprocher (sans leur faire peur) de l'équipe qui conçoit ce formidable outil. C'est avec un réel plaisir que je découvre l'envers du décors.

Longue vie à dotclear et à dans 10 ans !

mardi 9 juillet 2013

Il faut sauver le soldat dotclear

dotclear, la plateforme de blog a fêté ses 10 ans mais sous assistance respiratoire. Sans chef, le bateau peut-il encore avancé ? Mais le bateau ressemble peut-être trop à un bateau fantôme. Des chantiers ont été mené dans l'ombre (utilisation de twig comme moteur de template, refonte de l'initerface,...) mais peut-être pas assez visible côté public.

J'utilise dotclear pour ce blog qui n'en est pas réellement un depuis début 2004. J'en co-maintiens le package debian. Cela ne peut pas s'arrêter comme ça.

Dimanche 20 janvier 2013

Filtrer efficacement le spam

Pendant des années, je me suis contenté de filtrer le spam avec les filtres natifs de dotclear : listes blanches, listes noires, filtre par IP (bloquées par blog ou globalement). J'ai même essayé akismet pendant un moment mais je n'en étais pas complètement satisfait et je n'aimais pas dépendre d'un service externe. On peut aussi en interdisant certains mots.

Tous ces filtres ont leur limite. Depuis quelques semaines et notamment sur le billet précédent j'ai été spammé très régulièrement. J'ai décidé de sortir l'artillerie lourde. En fait même pas. Le plugin Spamplemouse qui s'installe très simplement via l'installeur DotAddict. Spamplemouse est plugin de dotclear qui utilise un filtrage bayésien.

Pour utiliser Spamplemouse, il suffit d'aller dans Extension > Antispam puis d'éditer la configuration pour que le système apprenne à partir des anciens messages. Ne supprimer pas vos spams. Le système s'enrichie aussi bien des messages légitimes que des spams. Depuis plus aucun spam ... 

mardi 1 novembre 2011

Zooplus - un simulacre de commerçant

Le 25 septembre dernier, j'ai commandé chez zooplus un filtre d'aquarium. J'ai choisi cette entreprise qui essaie de faire du commerce car le prix était intéressant et il n'y avait pas de frais de port. Cela semblait intéressant et je ne me suis pas méfié. J'aurai dû. C'était trop beau pour être vrai...

Lire la suite...

samedi 12 février 2011

Qu'est-ce qu'un logiciel libre ?

Pour reprendre la définition de wikipedia, un logiciel libre est un logiciel dont l'utilisation, la modification, la duplication (pour le diffuser) sont permises aussi bien légalement que techniquement. Sans rentrer dans les détails d'une licence ou d'une autre, les termes sont parfaitement clairs. 

Ce n'est visiblement pas aussi clair pour tout le monde... 

Lire la suite...

vendredi 8 octobre 2010

Que le monde est petit !

Comme le dit si bien Thierry, le Monde est petit, tout petit. Nous ne sommes pas anonymes, nulle part. La théorie selon laquelle le Monde serait un immense réseau social est peut-être vraie !

Lire la suite...

Lundi 4 octobre 2010

Le marronnier du mois d'octobre

Comme tous les mois d'octobre (et d'ailleurs comme tous les mois de mars) nous allons effectuer un changement d'heure. Comme d'habitude, on va entendre son ou ses voisins râler. 

Lire la suite...

Dimanche 22 août 2010

Migration vers un nouveau kimsufi : étape ultime

Normalement, j'avais terminé la migration vers mon nouveau serveur mais c'était sans compter sur une erreur humaine !

Lire la suite...

vendredi 2 juillet 2010

Migration vers un nouveau Kimsufi - dernière étape

Aujourd'hui, j'ai basculé sur le nouveau serveur. C'est la dernière étape de la migration.

Lire la suite...

mardi 29 juin 2010

Migration vers un nouveau Kimsufi - deuxième étape

La deuxième étape de la migration de mon nouveau serveur, après les déclaration DNS sur l'ancien serveur, est l'installation de tous les services sur le nouveau serveur.

Lire la suite...

- page 1 de 3

Haut de la page