Dimanche 26 février 2017
Par Nicolas le Dimanche 26 février 2017, 13h48
Pour suivre la ligne https partout et pour continuer à déployer mes certificats Let's Encrypt, j'ai déployé le protocole HTTPS sur tous mes sites. J'en ai profité pour essayer d'améliorer la sécurité mais aussi les performances des différents sites du point de vue des visiteurs.
mardi 1 décembre 2015
Par Nicolas le mardi 1 décembre 2015, 13h53
Depuis quelques jours, on peut naviguer sur ce blog en https, en version TLS 1.2. Au départ, j'avais oublié de créer un certificat pour mon sous-domaine static qui me sert à livrer les fichiers statiques, en particuler les images. Du coup la page n'était pas considérée comme sûre par la plupart des navigateurs car le contenu était mixte : page en https mais certaines ressources en http (sans le s).
Les certificats délivrés par Let's Encrypt ne sont valides que 90 jours. Il faut donc penser à les renouveler. Comme je ne suis pas une machine, je vais forcément oublier et donc j'ai ajouté une tâche automatique pour faire ça automatiquement. Ma tache est lancé tous les jours et je renouvelle le certificat s'il a moins de 30 jours.
J'ai cloné et installé le dépôt d'outils fourni par Let's Encrypt et j'ai mis la configuration de mon certificat dans un fichier .ini qui ressemble à ça :
domains = www.nikrou.net,static.nikrou.net
rsa-key-size = 4096
server = https://acme-v01.api.letsencrypt.org/directory
email = YOUR_MAIL@YOUR.DOMAIN
authenticator = webroot
webroot-path = PATH/TO/DOCUMENTROOT
Je peux alors lancer la mise à jour de mon certificat en faisant simplement :
$ ./letsencrypt-auto -c path/to/cli.ini
Du coup pour que la mise à jour se fasse automatiquement, il suffit de créer une nouvelle entrée dans le répertoire /etc/cron.daily avec le contenu suivant, par exemple :
#!/bin/sh
DAY_LIMIT=30
TIMESTAMP_LIMIT=$(($DAY_LIMIT*86400))
OPENSSL=/usr/bin/openssl
SSL_PEM=PATH_TO_PEM_CERTIFICATE
MAIL=/usr/bin/mail -s "[ssl] Update" YOUR_EMAIL@YOUR.DOMAIN
PATH_LETSENCRYPT=PATH_TO_LETSENCRYPT_INSTALLATION
if $OPENSSL x509 -checkend $TIMESTAMP_LIMIT -noout -in $SSL_PEM
then
echo "Certificate is valid for more than $DAY_LIMIT days. Do not update." | $MAIL
else
cd $PATH_LETSENCRYPT && ./letsencrypt-auto -c /etc/letsencrypt/cli.ini
if [ $? -ne 0 ];then
echo "Something goes wrong. Cannot update ssl certificate. Need to validate it manually" | $MAIL
else
echo "Certificate has been updated" | $MAIL
fi
fi
exit 0
Il faut renseigner l'adresse mail, le chemin vers votre certificat (fichier PEM) et le répertoire où letsencrypt est installé. Il ne faut pas oublier de rendre ce fichier exécutable. J'ai créé un dépôt git avec ce script si vous avez des corrections ou des idées d'amélioration.
mercredi 18 novembre 2015
Par Nicolas le mercredi 18 novembre 2015, 09h55
Depuis quelques jours, ce blog qui n'en est pas réellement un peut-être lu en https. Mon certificat est signé par Let's Encrypt. Let's Encrypt fournit des certificats gratuitement. Tout cela n'est pas encore ouvert pour tout le monde. Mon nom de domaine est en beta privé. Normalement la beta publique devrait être ouverte en décembre.
Mon certificat est valide 90 jours. Je n'ai pas encore fait le nécessaire pour le renouveler automatiquement. En attendant si vous lisez cet article, dans la barre du navigateur vous pouvez voir quelque chose comme ça :
Pour que l'on puisse regarder le site aussi bien en http qu'en https, il faut aller dans les paramètres du blog et enlever le protocole, c'est-à-dire mettre //www.nikrou.net/ au lieu de https://www.nikrou.net
Dimanche 8 novembre 2015
Par Nicolas le Dimanche 8 novembre 2015, 19h18
J'utilise le navigateur google chrome pour plein de mauvaises raisons mais pour au moins deux bonnes, parce qu'il est rapide et qu'il répond à mon besoin.
Je ne le laisse pas se mettre à jour tout seul et je le mets à jour en utilisant le système de mise à jour de mon système d'exploitation. Je ne redémarre que très rarement mon ordinateur et je garde de très nombreux onglets ouverts pour des pages que je veux lire plus tard mais pas que je veux nécessairement mettre en favoris. Mais lorsque je veux mettre à jour mon navigateur sans perdre tous ces onglets j'obligeais chrome à s'arrêter en faisant un kill -TERM suivi du processus père. chrome offre, comme d'autres navigateurs, la possibilité de récupérer la dernière session en cas de crash, cela me permettait de récupérer mes chers onglets.
Mais il y a bien plus simple, il suffit de taper dans la zone d'adresse : chrome://restart.
mercredi 20 mai 2015
Par Nicolas le mercredi 20 mai 2015, 20h13
J'utilise dotclear pour motoriser ce blog depuis de très nombreuses années. dotclear, c'est aussi une association et du coup on peut y adhérer en cottisant. J'ai renouvellé ma cottisation mais je pense qu'il ne faudrait surtout pas hésiter à faire passer le message pour relancer les adhérents non à jour de leur cottisation !
Comme le dit Anne, il peut y avoir des effets de bords, devoir manger des crêpes, faire un séminaire au Guilvinec et le plaisir de rencontrer de nombreuses personnes toutes plus sympathiques les unes que les autres.
Du coup, si vous utilisez dotclear, que vos poches ne sont pas complètement vide et que vous voulez contribuer un peu à dotclear, adhérer à l'association.
p.s: Vous pouvez aussi tout simplement faire un don à dotclear.
samedi 29 novembre 2014
Par Nicolas le samedi 29 novembre 2014, 19h11
Il y a quelques semaines j'ai laissé ma voiture à mon garage habituel. Le matin, je passe au garage, je donne les "consignes". Une personne me dépose à la gare et vient me chercher le soir après ma dure journée de labeur pour que je reprenne possession de mon véhicule.
Comme d'habitude, je dépose donc mon véhicule en précisant que j'entends un bruit étrange, pour ne pas dire bizarre. En roulant doucement mais aussi à l'arrêt. Le patron me dit qu'il va regarder ou écouter !!
samedi 18 octobre 2014
Par Nicolas le samedi 18 octobre 2014, 18h34
Non non je n'ai pas fait de grossière erreur d'orthographe dans le titre de mon billet ! Comme en 2010, je suis en train de migrer mon serveur dédié (un kimsufi) pour bénéficier de la mise à jour matérielle, de plus de mémoire, de plus d'espace disque et pour un prix moindre. Mais cette fois c'est un peu plus compliqué car il n'y a plus de possibilité d'IP en fail-over sur les nouveaux serveurs.
J'ai décidé de faire plus simple qu'il y a 4 ans :
Il me restera à me débarrasser du serveur mysql en migrant ma galerie photos de piwigo à Phyxo. Et le dicton se vérifie toujours : les cordonniers sont les plus mal chaussés. En utilisant Phyxo, ma galerie photos utilisera PostgreSQL.
Après avoir vérifié que tout fonctionnait sur le nouveau serveur, il fallait indiquer au monde entier que je changeais de serveur. Enfin de manière plus modeste, il fallait mettre à jour les DNS. Je voulais éviter l'interruption de service et sans IP supplémentaires, la solution la plus simple est de faire tourner tous les services sur les deux machines. Ensuite sur l'ancien serveur dans la configuration DNS de mon nom de domaine j'indique l'adresse IP du nouveau serveur. Normalement avec tout cela il ne devrait pas y avoir d'interruption.
mercredi 20 août 2014
Par Nicolas le mercredi 20 août 2014, 11h38
Une version de maintenance de dotclear est sortie avant-hier. Elle corrige deux failles potentielles. La mise à jour du package debian a été faite, a été uploadé sur les serveurs et devrait être disponible rapidement.
vendredi 8 novembre 2013
Par Nicolas le vendredi 8 novembre 2013, 10h49
Lundi, les canards vont à la mare, mare, mare ...
Mardi, ils s'en vont jusqu'à la mer, mer, mer ...
Mercredi, ils organisent un grand jeu, jeu, jeu ...
Jeudi, ils se promènent dans le vent, vent, vent ...
Vendredi, ils se dandinent comme ça, ça , ça ...
Samedi, ils se lavent à ce qu'on dit, dit, dit ...
Dimanche, ils se reposent et voient la vie en rose. La semaine recommencera demain, COIN COIN.
Dimanche 13 octobre 2013
Par Nicolas le Dimanche 13 octobre 2013, 20h19
Mon serveur PostgreSQL était encore en version 8.4 depuis un moment et j'ai décidé de faire la mise à jour. Rien de plus simple :
# apt-get install postgresql-9.3
# pg_dropcluster 9.3 main --stop
# pg_upgradecluster 8.4 mainLe changement de port se fait aussi pendant la migration. A la fin du script de mise à jour l'ancien cluster est arrêté. On peut le relancer mais il faudra se rappeler qu'il sera accessible sur le port 5433 au lieu de 5432 (par défaut évidemment).
mardi 13 août 2013
Par Nicolas le mardi 13 août 2013, 10h39
Aujourd'hui dotclear fête ses 10 ans. En effet, le 13 août 2003, un certain Olivier a publié une première version de son CMS, dotclear.
Je l'utilise avec bonheur depuis de nombreuses années. Le projet, comme tout projet, a connu des hauts et des bas. Depuis quelques temps, j'essaie de contribuer et de me rapprocher (sans leur faire peur) de l'équipe qui conçoit ce formidable outil. C'est avec un réel plaisir que je découvre l'envers du décors.
Longue vie à dotclear et à dans 10 ans !
mardi 9 juillet 2013
Par Nicolas le mardi 9 juillet 2013, 20h58
dotclear, la plateforme de blog a fêté ses 10 ans mais sous assistance respiratoire. Sans chef, le bateau peut-il encore avancé ? Mais le bateau ressemble peut-être trop à un bateau fantôme. Des chantiers ont été mené dans l'ombre (utilisation de twig comme moteur de template, refonte de l'initerface,...) mais peut-être pas assez visible côté public.
J'utilise dotclear pour ce blog qui n'en est pas réellement un depuis début 2004. J'en co-maintiens le package debian. Cela ne peut pas s'arrêter comme ça.
Dimanche 20 janvier 2013
Par Nicolas le Dimanche 20 janvier 2013, 19h47
Pendant des années, je me suis contenté de filtrer le spam avec les filtres natifs de dotclear : listes blanches, listes noires, filtre par IP (bloquées par blog ou globalement). J'ai même essayé akismet pendant un moment mais je n'en étais pas complètement satisfait et je n'aimais pas dépendre d'un service externe. On peut aussi en interdisant certains mots.
Tous ces filtres ont leur limite. Depuis quelques semaines et notamment sur le billet précédent j'ai été spammé très régulièrement. J'ai décidé de sortir l'artillerie lourde. En fait même pas. Le plugin Spamplemouse qui s'installe très simplement via l'installeur DotAddict. Spamplemouse est plugin de dotclear qui utilise un filtrage bayésien.
Pour utiliser Spamplemouse, il suffit d'aller dans Extension > Antispam puis d'éditer la configuration pour que le système apprenne à partir des anciens messages. Ne supprimer pas vos spams. Le système s'enrichie aussi bien des messages légitimes que des spams. Depuis plus aucun spam ...
mardi 1 novembre 2011
Par Nicolas le mardi 1 novembre 2011, 12h03
Le 25 septembre dernier, j'ai commandé chez zooplus un filtre d'aquarium. J'ai choisi cette entreprise qui essaie de faire du commerce car le prix était intéressant et il n'y avait pas de frais de port. Cela semblait intéressant et je ne me suis pas méfié. J'aurai dû. C'était trop beau pour être vrai...
samedi 12 février 2011
Par Nicolas le samedi 12 février 2011, 22h33
Pour reprendre la définition de wikipedia, un logiciel libre est un logiciel dont l'utilisation, la modification, la duplication (pour le diffuser) sont permises aussi bien légalement que techniquement. Sans rentrer dans les détails d'une licence ou d'une autre, les termes sont parfaitement clairs.
Ce n'est visiblement pas aussi clair pour tout le monde...
vendredi 8 octobre 2010
Par Nicolas le vendredi 8 octobre 2010, 14h03
Comme le dit si bien Thierry, le Monde est petit, tout petit. Nous ne sommes pas anonymes, nulle part. La théorie selon laquelle le Monde serait un immense réseau social est peut-être vraie !
Lundi 4 octobre 2010
Par Nicolas le Lundi 4 octobre 2010, 09h24
Comme tous les mois d'octobre (et d'ailleurs comme tous les mois de mars) nous allons effectuer un changement d'heure. Comme d'habitude, on va entendre son ou ses voisins râler.
Dimanche 22 août 2010
Par Nicolas le Dimanche 22 août 2010, 21h54
Normalement, j'avais terminé la migration vers mon nouveau serveur mais c'était sans compter sur une erreur humaine !
vendredi 2 juillet 2010
Par Nicolas le vendredi 2 juillet 2010, 22h59
Aujourd'hui, j'ai basculé sur le nouveau serveur. C'est la dernière étape de la migration.
mardi 29 juin 2010
Par Nicolas le mardi 29 juin 2010, 22h43
La deuxième étape de la migration de mon nouveau serveur, après les déclaration DNS sur l'ancien serveur, est l'installation de tous les services sur le nouveau serveur.
« billets précédents - page 1 de 3