Bonjour à toutes et tous,

2017-10-27 : Pas de pack pour le moment pour Recalbox 4.1, j’attend de récupérer tous les BIOS au complet

Vous êtes nombreux a me contacter par le truchement du blog, par mail, par twitter concernant le pack de BIOS pour Recalbox 4.1 J’ai fait comme vous la mise à jour et sur RaspberryPi2 je n’ai pas constaté de nouveautés de ce côté là.

J’imagine donc que pour les différentes autres plateformes ce n’est pas le cas et qu’il vous manque des BIOS, j’ai récupéré quelques BIOS pour les nouvelles plateformes émulés :

Je ne sais pas trop si ces BIOS fonctionnent correctement/si c’est les bons. En ce qui concerne la PSP si vous avez plus d’infos (un hash?) je suis preneur.

Si j’en oublie signalez en commentaire !

Pour l’usage en déplacement/depuis l’étranger/sur des Wi-Fi pourris, il est intéréssant de disposer d’une connexion VPN.

J’utilise pour cela l’intéressant script « OpenVPN road-warrior », certes très vindicatif dans le titre, néanmoins très efficace : https://github.com/Nyr/openvpn-install

Le setup est le suivant :

Depuis quelques temps j’ai pris gout à utiliser Shorewall afin de maîtriser simplement la configuration firewall de ce serveur.

L’utilisation concurrente de Shorewall + OpenVPN est possible il faut tout de même prendre soin de paramétrer tout cela correctement

Fichier /etc/shorewall/interfaces

Rien de transcendant, juste déclarer l’interface vpn

Fichier /etc/shorewall/masq

Il faut indiquer à Shorewall qu’il faut effectuer un masquerade du traffic venant du sous-réseau 10.8.0.0/24 (réseau VPN) vers l’interface eth0 (patte Internet sur le serveur)

Fichier /etc/shorewall/policy

Autoriser le traffic provenant du VPN vers eth0 dans le fichier policy

Fichier /etc/shorewall/rules

Autoriser le service OpenVPN à écouter sur le port que vous utilisez. A noter que 1194 est parfois filtré, préférez-y un port plus standard (443/80/53/…) ( voir https://memo-linux.com/openvpn-sur-le-port-443-partage-avec-un-serveur-web/)

Fichier /etc/shorewall/tunnels

Dernier fichier a ne pas oublier sinon ça ne peut pas fonctionner, déclarer le tunnel. Adapter avec le port UDP ou TCP choisit et l’IP publique de votre serveur

Test de connexion

Tout est prêt, plus qu’a tester si tout fonctionne.

Tester la connexion OpenVPN. Si connexion OK on passe à la suite.

Lancer un ping vers une IP, si shorewall n’a pas été redémarré ça ne doit pas passer. Relancer shorewall en mode safe (rollback vers ancienne configuration automatique)

Le ping doit maintenant passer > la connexion sort bien par eth0 vous avez un OpenVPN qui roule pour vous connecter de n’importe ou!

Nouveau RPi reçu j’essaye des choses, je voulais depuis quelques temps installer une solution permettant de jouer de la musique sur les enceintes du salon et contrôlable à distance depuis smartphone/tablette/laptop.

Pour ça j’ai installé la solution Mopidy sur une base Raspbian (Debian compilé ARM pour RaspberryPi)

Comment faire ? Aller on y va

Télécharger et installer Raspbian (Lite) sur une carte microSD, utiliser Etcher pour ça, c’est intuitif.

Brancher le RPi sur un écran + clavier, par defaut le clavier est en qwerty donc on va faire en sorte que le machin soit correctement configuré pour avoir du réseau et que votre clavier azerty soit correctement mappé

Hint : les identifiants par défaut sont pi/raspberry  (tapez rqspberry donc)

On se cale en root parce qu’on est grand, et on règle la timezone

Modifier l’agencement du clavier en utilisant la commande

Fichier de configuration réseau (vide par défaut) : /etc/network/interfaces

Il manque quelques outils de base pour diagnostiquer deux trois choses

Un petit reboot et on passe à l’installation de Mopidy. Ajouter le dépôt de paquet Mopidy

Installer mopidy + python-pip + les paquets supplémentaires (Spotify, SoundCloud, Youtube, Interface Iris)

Voila le machin est installé. Mais il va falloir configurer la chose. Explications

  • Mopidy en standalone va chercher le fichier de configuration dans ~/.config/mopidy/.. bref c’est de la merde.
  • Mais! Mopidy est prévu pour tourner en tant que service, c’est mieux.
  • Et en tant que service, il va taper dans /etc/mopidy/mopidy.conf. AH!
  • Mopidy ne balance rien à l’affichage, il ne sort que du son sur HDMI ou sortie jack du RPi.
  • Mopidy écoute par défaut sur les ports 6680 (interface web) et 6600 (interface MPD) mais uniquement en localhost. Je garde ça par défaut, défois que je voudrais coller un service web un jour sur le RPi.

Le fichier de configuration /etc/mopidy/mopidy.conf doit ressembler à quelque chose comme ça.

Pour la plupart des paramètres c’est « classique » pour un fichier de conf, ip, port, description, truc. J’ai déplacé le dossier de media par défaut dans /var/www/media ça m’emmerdai de laisser ça dans /var/lib/mopidy

Attention : Pour pouvoir utiliser le streaming Spotify il faut un compte Spotify Premium

  • Pour la partie Spotify, les valeurs a renseigner sont vos identifiants/mot de passe + un id/secret à récupérer depuis le site https://www.mopidy.com/authenticate/#
  • Idem pour Soundcloud : https://www.mopidy.com/authenticate/#

Ok une fois que c’est bon pour la configuration on peut lancer le serveur

Pour voir si tout se lance bien

Si le module Spotify à bien réussi à s’authentifier :

Sinon

Et comment utiliser ça maintenant ? http://<ip raspberrypi>:6680 dans un navigateur et on récupère la liste des interface web disponibles

Oui je n’ai pas trouvé mon bonheur tout de suite. Après plusieurs essais je conseille Iris + Musicbox. Iris ressemble à ça sur laptop

Sur téléphone dans un navigateur (à gauche) il existe aussi une application dédiée Mopidy Mobile (via protocole MPD)

Quelques notes :

  • La fonctionnalité Spotify permet de jouer de la musique depuis votre compte Spotify Premium sur le RPi en le controllant depuis une interface web (laptop/tablette/mobile). Elle ne permet pas d’utiliser la fonctionnalitée « Spotify Connect » donc n’est pas contrôllable depuis l’application Spotify directement.
  • Pour la locale je viens de me rendre compte qu’il me crois en Nouvelle Zélande, doit y’avoir une merde quelque part
  • La fonction recherche permet de recherche dans Spotify+SoundCloud+Localement. C’est puissant
  • Sur RPi3 le son est clean en sortie HDMI, crado en sortie jack. Dunno why
  • L’interface Iris est très orienté Spotify, pour être complet je laisse l’interface Musicbox qui permet de balancer du Youtube/SoundCloud/Local/Podcast plus simplement
  • J’ai coller RasperryCast en plus sur le même RPi ça ne rentre pas en conflit, les deux sont compatibles.

Voilà amusez vous bien, c’est simple à mettre en place (avec un minimum de techskilz), ça peut être sympa comme solution de musique partagée en soirée ou au bureau (avec ses risques et périls), vraiment efficace avec un compte Spotify Premium.

 

 

 

 

Quel dilemme que celui de déployer Mozilla Firefox correctement en entreprise/collectivité.

À l’opposé de Google Chrome, qui propose un installer MSI ainsi qu’un modèle d’administration ADMX très complet, Mozilla Firefox ne propose en tout et pour tout qu’un maigrichon Mozilla Firefox ESR (pour Extended Support Release) et pas de modèle d’administration du tout.

Des solutions existent, CCK2 ou encore FrontMotion Firefox, qui emulent le comportement de GPOs pour forcer des paramètres dans les confs de Firefox, c’est bien mais pas optimal (manque d’information en cas d’échec d’installation, pas assez souple).

Alors que faire ?

Se résigner à utiliser un navigateur qui remonte moultes informations à ses concepteurs ? Non, continuons d’utiliser Firefox mais déployons le correctement et configurons le de manière pérenne et sécurisée.

Vous l’aurez peut être deviné, on utilise à cet effet WAPT, la solution open-source de déploiement logiciel.  Et coup de chance Mozilla Firefox ESR est déjà packagé !

Voyons un peu ce qui est fait dans le paquet Firefox :

On peut voir que Mozilla Firefox est installé selon les recommandations de la documentation officielle, des paramétrages par défaut sont appliqués dans ce paquet :

  • Désactivation de la mise à jour automatique
  • Désactivation de la migration depuis Internet Explorer)
  • Application de préférences par défaut (mozilla.cfg et local-settings.js) :

local-settings.js – indiquer le fichier de personnalisation

mozilla.cfg – indiquer les préférences du navigateur

Dans ce paquet, l’installation et la configuration sont effectuée d’un seul tenant.

Problème pour ma structure, le proxy est définit spécifiquement dans la configuration de Firefox (absence de proxy.pac / wpad). Voici rapidement ce qu’il faut modifier dans le fichier mozilla.cfg

Ainsi la préférence est bloquée dans la configuration de Firefox et les utilisateurs ne pourront pas la modifier.

Pour plus de sécurité, j’installe l’extension uBlock, le paquet existe déjà : paquet WAPT uBlock

On décline l’installation de Firefox comme ceci :

  • Paquet Mozilla Firefox sans personnalisation
  • Paquet extension uBlock
  • Paquet de configuration Firefox

En utilisant le principe de dépendance de WAPT, je suis assuré d’avoir déployé correctement ces trois éléments.

Simon des Fourmis du Web a déjà fait ce travail de séparation de la configuration et de l’installation :

Modifiez le paquet de configuration à votre convenance et à vous Mozilla Firefox déployé correctement !

Sources :

Un outil que tous les sysadmin de France et de Navarre devrait connaître et utiliser, c’est WAPT.

WAPT

Le site officiel : https://www.wapt.fr/fr/

What is WAPT ?

WAPT c’est une solution open-source de déploiement de logiciels, sous forme de paquets. Ca fonctionne en mode client-serveur et ça a l’énorme avantage de tourner en service système avec les droits administrateur et tout ça s’il vous plait silencieusement. S’pas beau la vie ?

Ça permet quoi :

  • Installer les logiciels silencieusement
  • Désinstaller les logiciels silencieusement
  • Mettre à jour <idem>
  • Reporting dans une console GUI de gestion
  • Packager ses propres applis
  • Servir d’outil d’inventaire

Si on compare avec les solutions de déploiement de base type scripts batchs / GPO / MSI etc., c’est beaucoup plus léger et souple. J’utilise des paquets pour l’utilisation classique (Firefox, VLC, etc..) mais aussi des paquets un peu plus tordus (Office 2016, Trend Micro OfficeScan, SolidWorkds).

Mis en place chez ex-job, la première utilitée que j’y ai trouvé c’est la mise à jour de Flash et Java, qui me prenait un temps fou, alors qu’avec WAPT, suffit d’importer le paquet déjà fourni par Tranquil IT Systems (les créateurs de WAPT) et bazinga Flash et Java à jour !

Derrière c’est quoi ?

  • Un serveur d’inventaire qui recolte passivement les données remontées des agents
  • Un serveur web qui sert les paquets pour les agents (sur la même machine que précédemment)
  • Une console de management GUI
  • Du Python essentiellement, c’est puissant, efficace, ça roxx
  • Du Lazarus pour la console, c’est efficace
  • De la sécurité, les paquets sont signés et les agents vérifient les paquets avec installation
  • Plein de paquets existants, pas besoin de réinventer la roue : https://store.wapt.fr/

Et c’est utilisé par qui ?

  • Par beaucoup d’Etablissements Scolaire, Ecoles, Universités
  • Par des BTS SIO en sujet de stage, je vous vois 😉
  • Par pas mal de Municipalités/Agglomérations/Com-Com
  • Par des Industries
  • Par des Ministères
  • Par tous ceux la : https://www.wapt.fr/fr/#references
  • Bientôt par ta boite aussi 😉

Si tu veux rendre service autour de toi, dis a ton sysadmin que pour qu’il arrête d’être emmerdé par les mises-à-jour de Flash et Java sur les postes de laboite, WAPT est la pour lui faire gagner du temps.

On a fait une chouette documentation en ligne, tout y est, profitez en : https://www.wapt.fr/fr/doc/

Si jamais vous avez des questions n’hésitez pas, en commentaire ou sur Twitter : @K3nnyfr

Va savoir pourquoi ça voulait pas, il faut tout d’abord créer l’arborescence suivante

Dans ce fichier mustang.vim collez-y ceci

Enfin on créer son fichier de propriétés perso

Le contenu de votre fichier perso

Et voila ça roxx

 

 

recalbox

Recalbox 4.1 : https://www.k3nny.fr/2017/10/bios-recalbox-4-1/

Vous avez eu pour Noël un Raspberry Pi et vous y avez installé Recalbox pour pouvoir jouer a des super jeux arcade/console !

Alors tu as chopé un pack de ROMs super trop cool, tu as tout mis sur le RPi sauf que patatra ça marche pas, c’est la mierda et tu découvres qu’il faut ajouter les BIOS…

Sauf que les BIOS pour les trouver c’est pire que pour les ROMs, a moins de s’appeler Sherlock Holmes et de surfer avec 3 anti-pubs et 4 blockeurs de scripts, t’attrapes les pires merdes du monde.

Du coup ce que j’ai fait c’est que j’ai réuni l’intégralité des BIOS nécessaires pour Recalbox dans un ZIP et j’ai calé un lisezmoi.nfo qui t’explique comment faire, tu vas voir c’est très simple.

 

Pour celles et ceux qui veulent faire ça rapide

Configuration utilisée :

  • Debian 7.9
  • Apache 2.2.22
  • LetsEncrypt à jour du 04/12/2015

Je suppute que :

  • vous ayez déjà téléchargé LetsEncrypt depuis le repo Github
  • vous ayez un fichier de conf de vHost par domaine déjà existant.
  • vous n’êtes pas un gros pinpin

Soit.

Allons-y Christian !!

1 – Copier le vHost actuel et le modifier

2 – Modification du vHost en prévision de ce que va nous sortir LetsEncrypt

  • Le port d’écoute pour https c’est 443 je ne vous apprend rien donc on change le port d’écoute
  • On doit activer l’engin de la mort SSLEngine
  • Et on doit mettre tout ça dans un fichier de log distinct

Grosso merdo vous devriez obtenir un fichier dans ce genre là :

Le gros bloc de CipherSuite ce sont les recommandations de SSL-Labs, rapport a HeartBleed etc.

Vous noterez le bloc qui défini les clés utilisées :

J’ai tout simplement anticipé pour la suite, étant donnée que ce sont les chemins utilisés par Let’sEncrypt pour sortir les clés.

3 – Génération des clés avec LetsEncrypt

Générons maintenant les clés en automatique, c’est tout simple

Hop Hop il se débrouille pour générer les clés tout le toutim et tadaaaaaa

On active ce vHost, on regarder si la configuration est correcte, on redémarre Apache2 pour vérifier tout ça et on test voir si le navigateur nous chie pas dans les bottes

Chez moi ça s’est déroulé sans encombre pour mes différents domaines/sites

Pour monitorer ProFTPd il faut bidouiller un tantinet, le plugin n’étant plus très à jour.

Pré-requis, installer logtail

Première étape, télécharger les fichiers du plugin

Deuxième étape, ajouter le plugin a munin

Dans la configuration des plugins munin il faut ajouter la configuration pour proftpd

Si le plugin était à jour et maintenu on pourrait se dire c’est bon ça roule. Non ça foire pour proftpd_count et proftp_bytes

Deux raison à cela :

  1. Le chemin indiqué dans le plugin pour xferlog est erroné
  2. Le dossier plugin-state ne contient pas le fichier offset voulu par le plugin

Pour proftpd_bytes voici ce qu’il faut obtenir

Le fichier ne se créer pas de lui même on va l’aider

Pour proftpd_count voici ce qu’il faut obtenir

Le fichier ne se créer pas de lui même on va l’aider aussi

On test voir si la configuration fonctionne (pas de message d’erreur)

Voilà tout devrait fonctionner maintenant !