PROJET AUTOBLOG


De l’épice pour la pensée

Site original : De l’épice pour la pensée

⇐ retour index

Mise à jour d'owi : OpenBSD Wifi manager

samedi 17 juin 2017 à 07:09

Je met à jour le gestionnaire de connexion wiFi pour OpenBSD après y avoir ajouté quelques éléments et simplifié le code :

aperçu de owi

Utiliser son smartphone comme modem sous OpenBSD (USB tethering) et autres surprises libres

mardi 13 juin 2017 à 17:04

Voilà bientôt un an que pour des raisons professionnelles (merci MEN), je dois vivre la semaine dans un petit appartement. Lorsque je l'ai su, j'ai du trouver une solution pour avoir un accès internet, abolument indispensable pour ma survie ^^ (et aussi pour bosser à la maison en fait).
Pour ça, j'avais deux possibilités : prendre un abonnement ADSL classique qui aurait pris plusieurs mois sachant que l'appart n'a pas de ligne active ou bien me servir d'un smartphone comme point d'accès WiFi.
Bien que peu confiant dans les smartphones, c'est ce second choix que j'ai suivi tout simplement parce que c'était plus pratique. À partir de ce moment là, mis à part le prix exorbitant de l'abonnement et de l'espionnage GOOGLE/Android, tout fonctionne bien, mon téléphone se transforme en "mini-*box".
Cependant, ce système fonctionne moyennement bien, des déconnexions surprises arrivent... Et surtout, la batterie est mise à mal ! :s

Dernièrement, PengouinBSD a fait part sur le forum obsd4* d'une solution qui règle ce souci et qui en plus permet d'avoir une connexion nettement plus fiable. Il suffit de relier le smartphone à l'ordinateur via un cable USB et accéder à internet au travers du téléphone, sans se servir de la carte WiFi du téléphone.
Non seulement :

Pour s'en servir, il faut brancher le smartphone à l'ordinateur puis aller dans les paramètres activer le "Modem USB" :

On observe dans OpenBSD que le téléphone est détecté comme périphérique "urndis0".
Ne me reste plus qu'à créer un fichier /etc/hostname.urndis0 contenant :

up
dhcp

Et hop, un petit coup de doas sh /etc/netstart et mon ordinateur a accès à internet au travers du téléphone. Je n'en aurait pas besoin éternellement, je vire ce smartphone dès que possible, mais en attendant, c'est chouette.

Bon en vrai, comme je me déplace beaucoup, que je peux être connecté avec un cable ethernet (jme0) à la maison, en WiFi (rtwn0) dans la chambre ou avec le portable (urndis0) quand je bosse, j'ai rassemble toutes les configurations dans un fichier /etc/hostname.trunk0 qui permet à OpenBSD de basculer sur la connexion disponible selon où je me trouve :)


$ cat /etc/hostname.urndis0
up

$ cat /etc/hostname.trunk0
trunkproto failover trunkport jme0
trunkproto failover trunkport urndis0
trunkproto failover trunkport rtwn0
trunkport jme0
trunkport urndis0
trunkport rtwn0
dhcp
rtsol

Encore une fois... J'adore OpenBSD !!!

Merci PengouinBSD pour la découverte ;)

Sinon, rien à voir, j'ai découvert qu'on pouvait répondre aux interventions sur framagit (issues, commentaire sur commit) juste en répondant par mail à la notification reçue. C'est beau le mail décidément ^^

Mon serveur

samedi 10 juin 2017 à 13:03

Ce serveur auto-hébergé sert au CHATONS mais aussi :

Voilà à quoi ça ressemble, maintenant que j'ai un onduleur grâce à l'aide de trefix ;) :

mon serveur

C'est le serveur le plus petit ^^
Le reste, c'est un disque dur de sauvegarde, un gros onduleur et un petit ventilo récupéré sur une vieille station d'accueil pour portable. Rien d'essentiel en fait.

Bilan mensuel libre du mercredi (7)

mercredi 7 juin 2017 à 12:12

Comme je l'annonçais la dernière fois, voici un nouveau point sur ce que j'ai pu réaliser depuis un mois dans le monde du libre.
Il a fallu faire face à plusieurs contraintes personnelles et de temps... Cela dit, je suis assez satisfait :

Rendez-vous le mois prochain pour de nouvelles aventures de libriste, en espérant croiser vos contributions en attendant ;)

ps : si vous n'avez pas le temps et trop de sous, vous pouvez passer par le service liberapay pour soutenir les libristes ;)

Comment je suis devenu un CHATONS ?

mercredi 31 mai 2017 à 10:30

Vous avez peut-être entendu parler des CHATONS, le Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires.
Alors que vos données et la plupart des sites webs consultés sont hébergés par les GAFAM (google, amazon, facebook, apple, microsoft), l'initiative CHATONS est à mon avis déterminante. On l'a vu lors de la vague de cyberattaques récente, ou si vous regardez la série M. Robot : les bombes ça fait mal, un reset numérique aussi. Êtes-vous tranquilles sur qui héberge vos données?
Tout ces éléments m'ont motivé pour devenir, à mon niveau, membre des CHATONS.

Cependant, cela demande un peu de temps, sinon de la disponibilité. Heureusement, quelques copains sont partants pour suivre cette aventure :)
Vous l'avez peut-être déjà lu, nous avons lancé notre service d'hébergement sur 3hg.fr.

Dans cet article, je souhaite expliquer comment j'ai mis en place un serveur qui sert de CHATONS pour peut-être inspirer d'autres initiatives de ce genre.

Les contraintes
Les services proposés de doivent pas nécessiter trop de bande passante ni d'espace de stockage car le serveur sera auto-hébergé. Si nécessaire, selon le succès de l'opération, du matériel plus performant sera investit.

Oui, le service sera auto-hébergé. Sinon, comment assurer aux "clients" que leurs données sont bien effacées s'ils en font la demande si elles sont enregistrées sur un serveur loué ?

L'espace de stockage limité est quelque chose que les autres CHATONS n'ont pas, ou en tout cas dans une moindre mesure. Cependant, il y a un service trop rarement proposé qui pourtant s'affranchi très bien des contraintes ci-dessus : le mail.

Ce sera donc le service principalement proposé : une messagerie.

La mise en place
Le serveur doit être efficace, sécurisé et le plus simple possible à administrer. Sans surprises, j'ai fait le choix d'utiliser OpenBSD. Voici les étapes que j'ai suivies :

Les inscriptions
Ce code PHP va proposer un formulaire où l'utilisateur demande un identifiant. Un captcha est fait maison (merci le code de blogotext :)) pour limiter les abus.
Une fois envoyé, ce formulaire envoie un mail aux administrateurs du site indiquant l'identifiant demandé et l'endroit où enregistrer le mot de passe pour le communiquer à l'utilisateur.

Une URL aléatoire est donnée à l'utilisateur pour récupérer ses identifiants lorsqu'ils seront prêt. Cela affiche en réalité le contenu du fichier rempli par l'administrateur lors de l'inscription et le supprime aussitôt.

Il est plus sûr de protéger avec la configuration du démon httpd le dossier contenant les identifiants.

Configuration /etc/httpd.conf :

location "/inscription/data*"   { block }

Formulaire d'inscription PHP
Si vous voulez l'utiliser, pensez à changer l'emplacement du formulaire d'inscription dans la variable "$GLOBALS['subscribe_dir']". Ce fichier est nommé "index.php" dans un dossier prévu pour l'inscription.


<?php
# *** LICENSE ***
# You can redistribute it under the terms of the MIT Licence.
# *** LICENSE ***
# File to subscribe to an account

/*

!!! Le dossier /data doit être interdit dans la config du serveur !!!

Si aucun argument : 
- Afficher un formulaire de contact qui propose le nom d'utilisateur, donne une adresse mail de contact en cas de problème
    - adresse mail souhaitée
    - mot de passe souhaité pour récupérer les identifiants
    - captcha

- Le formulaire est envoyé au sysadmin avec une url aléatoire
- Le script renvoie vers une page indiquant l'URL à suivre pour obtenir les informations sur le nouveau compte.

Si argument : 
- Vérifier si le fichier en argument existe dans /data
- Si oui, on affiche son contenu qui contient les identifiants avec un beau template, puis SUPPRIMER le fichier contenant les identifiants
- Si non, indiquer que la création du compte n'est pas encore prête ou périmée.
*/

session_start();

$GLOBALS['mail_domain'] = '3hg.fr';
$GLOBALS['mail_admin'] = 'notreal@3hg.fr'; 
$GLOBALS['subscribe_dir'] = '/chatons/inscription/';
$GLOBALS['subscribe_page'] = $GLOBALS['subscribe_dir'] . 'index.php';
$GLOBALS['nbname'] = array(
// Chiffres 0 à 16 pour captcha
'0' => 'zéro',
'1' => 'un',
'2' => 'deux',
'3' => 'trois',
'4' => 'quatre',
'5' => 'cinq',
'6' => 'six',
'7' => 'sept',
'8' => 'huit',
'9' => 'neuf',
'10' => 'dix',
'11' => 'onze',
'12' => 'douze',
'13' => 'treize',
'14' => 'quatorze',
'15' => 'quinze',
'16' => 'seize',
);
?>

<html>
<head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <meta name="author" content="3hg team">
    <meta name="description" content="3hg.fr propose des services d'hébergement sur le modèle des CHATONS https://chatons.org/">
    <title>3hg.fr | Vos mails pour des humains par des humain.</title>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <link rel="icon" href="/favicon.png" type="image/png">
    <link rel="stylesheet" href="/css/style.css">
    <link rel="stylesheet" href="/css/fontello/css/fontello.css">
    <link rel='stylesheet' href='//cdn.jsdelivr.net/font-hack/2.020/css/hack.min.css'>
</head>
<body>
    <ul id="menu">
        <li><a href="/">3hg.fr</a></li>
        <li><a href="/chatons/index.html">CHATON-3HG</a></li>
    </ul>

    <div id="main">
        <h1 id="header">
            <a href="#">
                <img src="favicon.png" alt=".:: Inscription ::." id="logo"/>
            </a>
        </h1>


<?php

function random_str($length, $keyspace = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ')
# https://stackoverflow.com/questions/4356289/php-random-string-generator/31107425#31107425
{
    $keyspace = str_shuffle($keyspace );
    $str = '';
    $max = mb_strlen($keyspace, '8bit') - 1;
    for ($i = 0; $i < $length; ++$i) {
        $str .= $keyspace[random_int(0, $max)];
    }
    return $str;
}

function captcha() 
/* Invent captcha 
    return calculus string
    store expected result in _SESSION */
{
    $v1 = rand(0,16);
    $v2 = rand(0,100);
    $_SESSION['captcha'] = $v1 + $v2;

    $str = $GLOBALS['nbname'][strval($v1)] . " + " . $v2 . " = ";

    return $str;
}

function show_form()
{
    echo '<h2 id="inscription">Créer une adresse mail @3hg.fr</h2>';
    echo '<div id="contact_form">';
    echo '<form id="contact" class="formstyle" method="post" action="'.$GLOBALS['subscribe_page'].'">';
    echo '<ul>';
    echo '<li>';
    echo '<label for="user">Email </label>';
    echo '<input type="text" required id="user" name="user" pattern="[a-zA-Z0-9]+" placeholder="batman" maxlength="42"/> @'.$GLOBALS['mail_domain'];
    echo '<span>Adresse mail souhaitée</span>';
    echo '</li>';

    echo '<li>';
    echo '<label for="captcha">Capte-chat</label>';
    echo captcha() ;
    echo '<input type="number" required id="captcha" name="captcha" min="0" step="1" />';
    echo '<span>Êtes-vous humain ?</span>';
    echo '</li>';
    echo '<input type="submit" name="subscribe" value="Envoyer ✓" />';
    echo '</ul>';
    echo '</form>';
    echo '</div>';
}




/* Inscription demandée, on affiche la réponse */
if (!empty($_POST["subscribe"])) {
    if ( $_SESSION['captcha'] != $_POST['captcha'] ) {
        echo "Erreur de calcul ?";
    }
    else
    {
        $user = '';
        $admin_email = $GLOBALS['mail_admin'];

        // formulaire envoyé, on récupère tous les champs.
        if (!empty($_POST["user"])) {
            $user = trim($_POST["user"]);
        }

    
        if ($user != '') {

            $random_file = random_str(rand(10,75));
            $random_page = $GLOBALS['subscribe_page'] . "?patate=" . $random_file;

            $headers  = 'MIME-Version: 1.0' . "\r\n";
            $headers .= 'From: <noreply@3hg.fr>' . "\r\n" .
                    'Reply-To: <noreplay@3hg.fr' . "\r\n" .
                    'Content-Type: text/plain; charset="utf-8"; DelSp="Yes"; format=flowed '."\r\n" .
                    'Content-Disposition: inline'. "\r\n" .
                    'Content-Transfer-Encoding: 7bit'." \r\n" .
                    'X-Mailer:PHP/'.phpversion();

            $message = "Une nouvelle demande d'inscription a été faite.\r\n";
            $message .= "- Nom d'utilisateur demandé : ".$user . "\r\n";
            $message .= "- Identifiants à enregistrer dans /chatons/data/".$random_file.".txt\r\n";
            $message .= "\r\n";
            $message .= "Commandes à lancer :\r\n";
            $message .= "$ doas ajoutemailer 3hg.fr ".$user."\r\n";
            $message .= "$ doas infomailer ".$random_file.".txt\r\n";

        
            // Envoi du mail
            if (mail($admin_email, 'Demande de nouvelle inscription', $message, $headers)) {
                echo "<p>Votre demande est bien envoyée, des humains vont s'en occuper.</p>";
                echo "<p>Vous pourrez récupérer vos identifiants via: ";
                echo '<a href="'.$random_page.'">ce lien</a>.';
            } else {
                echo "<p>Une erreur est survenue lors de l'envoi du message</p>";
            };
        }
    }
}
else {
    if ( isset($_GET["patate"])) {
    $fichier =  $_GET["patate"]; 
    if ( ! ctype_alnum($fichier)){
        echo "You are a bad guy!";
        die();
    }

    $path = './data/'.$fichier.'.txt';
        if (file_exists($path)) {
            // On récupère le contenu et supprime le fichier
            $content = file_get_contents($path);
            unlink($path);

            echo "<p>Bienvenue sur 3hg.fr ☺.</p>";
            echo "<p>Vos identifiants sont : </p>";
            echo "<pre><code class='codevoid'>";

            echo $content;

            echo "</code></pre>";

            echo "<p>Ces informations sont déjà détruites, prenez-en note!</p>";
        }
        else{
            echo "<p>Il semble que votre compte ne soit pas encore prêt, ou bien le lien suivi est erroné ou périmé.</p>";
            echo "<p>Dans le premier cas, réessayez plus tard, des humains traitent votre demande.</p>";
        }

        
    }
    else {
        show_form();
    }
}
?>

<hr>

<p>Pour soutenir ce projet, n'hésitez pas à <a href="/chatons/index.html#donate" title="donate">faire un petit don</a> 😉</p>


</div>
<div id="footer">
    <em>3hg.fr &copy; 2016-2017 3hg team - <a href="./LICENCE" alt="Licence">LICENCE</a></em>
    <p class="center"><a href="http://3hg.fr" title="collectif 3hg" ><img src="/bouton3hg.gif" alt="3hg" /></a></p>
</div>

</body>
</html>

Les mots de passe
En l'état, c'est l'administrateur qui attribue le mot de passe pour l'utilisateur. Ça ne va pas.
On peut alors se tourner vers les solutions classiques d'outils PHP qui vont communiquer vers un dictionnaire ldap. Ça fonctionne sûrement très bien mais je n'ai pas trouvé de solution en laquelle j'avais vraiment confiance. Je choisis alors de me tourner vers une solution fiable d'un point de vue sécurité pour l'admin et l'utilisateur : SSH.

Lorsque l'utilisateur est créé, on le met dans un groupe particulier, par exemple "mailers".
On modifie la configuration de ssh pour que tous les utilisateurs de ce groupe n'aient accès qu'à une seule commande : "passwd", ceci afin de changer leur mot de passe :

/etc/ssh/sshd_config :

Match Group mailers
        X11Forwarding no
        AllowTcpForwarding no
        ForceCommand /usr/bin/passwd

Lorsque l'utilisateur tente de se connecter en SSH, il lui est alors proposé de modifier son mot de passe directement, sans la possibilité de faire autre chose.

$ ssh -p222 notreal@3hg.fr
notreal@3hg.fr's password:
Changing password for notreal.
Old password:
...
...

Quelques quotas
Je ne peux pas proposer un espace de stockage illimité pour les utilisateurs. Heureusement, OpenBSD a tout de prévu par défaut : je vais mettre des quotas pour les utilisateurs appartenant au groupe "mailers" :

# cat /etc/fstab : 
	782f1ddb783cdd13.b /mnt/bigstorage ffs rw,noexec,nodev,nosuid,softdep,noatime,groupquota 1 2
# edquota -g mailusers
	Quotas for group mailusers:
	/mnt/bigstorage: KBytes in use: 0, limits (soft = 750000, hard = 1000000)
			inodes in use: 0, limits (soft = 0, hard = 0)
quotaon -a

Simplifier la vie des admins
C'est bien connu, il faut prendre soin de ses admins :)
Ah, et en plus, je suis fainéant, donc dès qu'il y a plus de 3 commandes à taper, j'en fais un script :D .
Vous avez peut-être vu dans le code PHP un message qui indique aux admins les commandes à lancer pour ajouter un utilisateur. Il s'agit de deux scripts qui permettent de créer un utilisateur et le placer dans le bon groupe d'utilisateurs avec un dossier personnel situé sur un espace de stockage dédié. L'autre script permet d'enregistrer les identifiants de l'utilisateur pour qu'il puisse les consulter et que le serveur http puisse supprimer ces identifiants lorsqu'ils sont affichés (permissions).


#!/bin/sh

if [ "$(whoami)" != "root" ]; then
	echo "You have to be root"
	exit 1
fi
if [ $# -ne 2 ]; then
	echo "usage:"
	echo "addmailuser domain.net user"
	exit 1
fi

/usr/sbin/useradd -m -d /dossier/contenant/les/mails/"$1"/"$2" -s /bin/sh -G mailers "$2"
if [ $? -eq 0 ]; then
	echo "Entrez le mot de passe pour ce nouvel utilisateur"
	/usr/bin/passwd "$2"

	echo "$2@$1    $2" >> /etc/mail/virtuals
	rcctl restart smtpd
else
	echo "Pseudo déjà pris"
fi

exit 0
#!/bin/sh
if [ "$(whoami)" != "root" ]; then
	echo "You have to be root"
	exit 1
fi

if [ $# -ne 1 ]; then
	echo "usage:"
	echo "inscriremailuser fichier.txt"
	exit 1
fi

FPATH="/dossier/contenant/le/site/mail/inscription/data/$1"
echo "Création de $FPATH"

/usr/bin/touch $FPATH

/usr/local/bin/vim $FPATH

if [ $? -eq 0 ]; then
	echo "Merci, l'utilisateur peut maintenant consulter ses identifiants"
fi

/usr/sbin/chown www:daemon $FPATH

exit 0

Conclusion
Je crois avoir réussi à mettre en place un truc assez simple à utiliser sans tomber dans l'utilisation d'un tas d'éléments qui seraient difficiles à sécuriser. L'avenir nous dira si c'est aussi gérable que je l'imagine. Il y a déjà 27 utilisateurs inscrits et nous cherchons à améliorer la communication avec ces derniers (forum créé) qui ne lisent pas toutes les instructions. La récupération de compte est un élément à envisager aussi.
J'encourage quiconque à se lancer dans l'aventure d'un CHATONS. Si vous avez encore des doutes, vous savez où me trouver ;)