Dans l'épisode et la conférence il explique la mise en place d'un serveur proxy ACME relié a une PKI existante, afin de permettre à des clients internes d'effectuer
des demandes de certificats simplement et automatiquement, tous les bénéfices de LetsEncrypt mais en interne sur le LAN!
Lors de la conférence, Christophe Brocas évoque pour la partie serveur l'utilisation de Serles ACME, solution complète mais que je trouve un peu rustre pour ce que je veux en faire, j'avais déjà bidouillé sans grand succès avec Step-CA, et finalement je suis tombé sur le projet
LabCA (repo GitHub), qui à l'avantage de présenter une interface Web simple et une installation rapide
sous forme de Containers.
Pré-requis
Une VM pour installer ça
Un serveur DNS interne, ça aide, genre Samba AD par ex.
Deux bras, deux jambes, un cerveau
Installation
La préconisation est de l'installer sur une VM dédiée, c'est pas plus mal et j'ai un Proxmox sous la main donc c'est ce que j'ai fait.
La procédure d'installation est plutôt complète, sur une VM fresh, j'ai pris la technique rapide et dégueu :
Bon, bah ça marche, ça démarre, on suis les étapes de création de la CA, identifiants/mot de passe tout ça et hop la belle Web-UI.
Déploiement CA
Un pré-requis après la première installation est de déployer la racine de certificats sur les serveurs qui seront clients de ce serveur ACME, logiquement tous donc, pour du Debian par ex. :
Si tout est bien paramétré (CA à importée sur la VM cliente + certbot), ça fonctionne directement c'est magnifique.
Il existe bien d'autres clients ACME, certbot étant le client de base pour LetsEncrypt, ça permet de mettre les même routines de renouvellement en place si vous les avez déjà sur des serveurs publics, c'est pratique.
L'avantage de LabCA à mon gout, c'est les différentes vues dans l'interface Web qui permettent de voir les certificats.
Certificats générés :
Certificats révoqués :
Et la CRL fonctionne ! (enfin... ça dépends du navigateur et du cache et de Mercure en rétrograde 🙃)
Conclusion
Quelques conclusions rapides :
C'est simple et rapide à mettre en place
Ca marche.
Idéal pour un HomeLab
Egalement pour des établissements scolaire, stages de BTS SIO 😉
A l'echelle je ne sais pas si c'est pertinent, il doit exister des solutions entreprise "plus complètes"
J'ai récemment eu en cadeau une Creality Ender3v2, et je dois dire que c'est une belle surprise !
Beaucoup d'échos par le passé de difficultés à opérer des imprimantes 3D trop onéreuses,
buses qui se bouchent tout le temps, qualité d'impression pas au rendez-vous, etc.
Désormais il faut dire que ces machines sont beaucoup beaucoup beaucoup plus accessibles (~200€), fiables
, techniquement finies (plateau chauffant, moteurs silencieux, carte-mère extensible) et surtout avec une qualité d'impression bluffante.
Je partage dans cet article les modifications apportées à cette imprimante, j'espère que ce sera utile à certain(e)s.
Toutes les pièces mentionnées sont disponibles dans une collection Thingiverse : Collection Ender3
Petites améliorations
Quelques petites améliorations de base sans grand matériel, il vous faudra acheter des roulements à bille 608ZZ (les mêmes que les roulements de Skate) - prenez en un pack il en faudra d'autres pour d'autres pièces
Guide tige filetée pour Axe-Z avec roulement à bille
Une fois reçue, montée et calibrée, la première chose qui m'a un peu deçu est l'absence de guide pour la tige filetée de l'axe Z et d'une molette pour tourner cet axe.
C'est utile quans vous voulez remonter le chariot d'extrusion, surtout quand vous foirez une impression.
Une autre amélioration très simple à imprimer est un guide filament, il permet de guider le fil vers le moteur d'extrusion sans qu'il aille s'entortiller sur l'axe Z ou se coincer dans le chariot.
En fouinant sur Thingiverse en rédigeant l'article, je viens de voir qu'il existe maintenant un modèle qui combine
support pour l'axe Z + support pour guide filament :
Afin de pouvoir effectuer des modifications électriques, j'ai dû surélever les pieds de l'imprimante avec ces extensions, elles reprennent les patins caoutchouc d'origine.
Octoprint est un logiciel libre écrit en Python qui permet de piloter l'imprimante 3D via une interface Web. Je ne vais pas m'étaler sur cette partie il y'a plein de vidéos et tutoriels disponibles partout
C'est un indispensable.
Modifications électroniques
On passe aux choses sérieuses, les modifications éléctroniques.
DISCLAIMER : Elles sont à faire en ayant conscience du risque éléctrique, faites vous aider si vous n'êtes pas sûr de ce que vous faites.
Ca fait un peu de matériel mais pour un résultat satisfaisant il faut ça.
J'ai fait un schéma de cablage global pour tenter d'illustrer tout ça :
Remplacement du ventilateur de l'alimentation (8h d'impression)
Le ventilateur de l'alimentation n'est pas silencieux, ce n'est pas le pire mais il participe au bruit ambiant.
Attention 1 : par défaut, la tension d'alimentation des ventilateur Creality est 24V DCC, les ventilateurs Noctua sont en 12V c'est pourquoi il faut installer entre l'alimentation du ventilateur et celui-ci un "buck converter" qui va abaisser la tension à 12V DCC.
Il faudra régler à l'aide d'un tournevis et d'un multimètre la tension de sortie, pour faire ça j'ai triché j'ai utilisé une ligne d'alimentation disponible supplémentaire qui sort 24V DCC en permanence.
Attention 2 : lors de vos tests, si vous allumez l'imprimante, le ventilateur de l'alimentation ne se mettra pas en marche directement, en effet il ne se déclenche qu'a partir d'une certaine puissance utilisée par l'alimentation.
Cette modification nécessite de remplacer le capot de protection de l'imprimante par un capot imprimé en 3D
Remplacement du ventilateur de la carte mère (8h d'impression)
Même topo, le ventilateur de la carte mère participe aussi au bruit ambiant de l'imprimante.
Il faudra pour ça :
1x convertisseur-abaisseur en tension
Quelques remarques
Idem la tension en entrée doit être de 12V DCC > convertisseur abaisseur en tension à régler.
Idem pour calibrer le buck converter : utiliser une ligne d'alimentation supplémentaire sur l'alim
Idem le ventilateur de la carte mère ne se lance que lorsque vous lancez une impression.
Idem : il faut remplacer le capot de l'imprimante pour y insérer le ventilateur. Ce capot servira aussi de lieu d'acceuil pour les autres composants à venir
Remplacement du ventilateur de la tête d'extrusion (30min)
Celui-ci c'est celui qui fait le plus de bruit, c'est celui à remplacer en priorité.
Il faudra pour ça :
1x convertisseur-abaisseur en tension
Quelques remarques
Idem la tension en entrée doit être de 12V DCC > convertisseur abaisseur en tension à régler.
Celui-ci se lance directement au démarrage de l'imprimante
Pas de pièce supplémentaire à imprimer
Tips : les cables fournis par Noctua permettent de faire un câblage propre en conservant la connectique DuPont/Molex du ventilateur
Pilotage de l'alimentation à partir d'Octoprint (1h30)
La touche finale à tout ça c'est le pilotage de la partie puissance de l'imprimante 3D à partir d'OctoPrint.
Initiallement lorsque vous démarrez votre imprimante, tout se met en route, les ventilateurs tournent dans le vide pour pas grand chose. Avec cette modification l'imprimante se met en route uniquement lorsque on à décidé de lancer une impression via Octoprint et surtout elle se coupe toute seule lorsqu'elle à terminé son impression !
Il faudra pour ça :
1x relais
1x convertisseur-abaisseur en tension
Du cablage electronique et des connecteurs DuPont
Du cablage electrique et des cosses à sertir
Electronique / Electricité :
Il y'a une partie cablâge électrique à réaliser afin d'alimenter le relais lorsque l'imprimante n'est pas en marche, pour ça il faudra tirer une ligne d'alimentation supplémentaire pour alimenter un convertisseur abaisseur de tension qui alimentera le relais de commande.
Il y'a une partie cablâge éléctronique à réaliser afin de relier la masse + sortie GPIO de pilotage vers le relais de commande.
Quelques remarques
Ce montage nécessite d'installer plusieurs plugins dans Octoprint pour que ce soit fonctionnel
Si le Raspberry Pi est alimenté par une source exterieure à l'imprimante (un convertisseur secteur-USB), il faudra relier les masses du RPi et de sortie de convertisseur de tension, afin d'avoir la même référence et la même différence de tension sur le relais pour la broche de pilotage.
TODO List
Dans la ToDo List :
Installation d'un BL-Touch
Amélioration de l'intégration du RapsberryPi et des composants
Ajout de connecteurs XT60 pour le pilotage d'alimentation
C'est un ingénieur Canadien à l'origine de beaucoup de choses chez Intel, notamment sur AMT qui permet de gérer à distance des serveurs avec l'outil MeshCommander
MeshCentral permet depuis un navigateur web de prendre le contrôle d'un système Windows/MacOSX/Linux/Android à distance, au moyen d'un *.exe portable ou en installant l'agent MeshAgent.
C'est simple, léger, efficace, libre, c'est magnifique.
Ce que ça permet de faire :
Contrôle complet à distance
Transfert de fichiers up/down
Mode console shell à distance
ACL sur des groupes de postes
Partage de prise en main à un tiers
Authentification 2FA (TOTP + U2F)
etc, etc, etc..
J'ai une instance MeshCentral personnelle depuis plusieurs mois pour dépanner la famille c'est vraiment génial.
Je me suis acheté un clé USB RTL-SDR récemment pour faire du SDR ( Software Defined Radio ). C'est une clé USB qui à l'origine est destiné à la réception des chaines TNT sur PC. Des gens intéressants se sont aperçu que la puce utilisée pouvait être, moyennant le bon driver, utilisée pour recevoir/écouter d'autres fréquences (AM/FM/VHF/etc). Désormais des marques vendent des clés directement adaptées à cet usage avec des puces optimisées. Pour la référence j'ai commandé une clé RTL2832U de la marque Nooelec avec antenne.
Objectif de la manœuvre : voir les avions qui passent au dessus de nos têtes.
Une fois tout ça installé, driver qui fonctionne, SDRSharp qui arrive à recevoir de la FM ou tout autre chose, on lance RTL1090 puis Virtual Radar et tadaaaaaam les avions apparaissent !
C'est simple et marrant de voir tout ce qu'on peut capter comme signaux (coucou les électrosensibles).
Edit 2019-09-01 : j'ai mis le rafraîchissement en place toute les heures, c'est efficace a en juger les graphes Fail2ban.
--
Récemment j'ai pu faire la découverte d'ipset, une extension kernel Linux qui permet de faire des listes d'adresses ipv4/ipv6 et sous-réseaux utilisables avec iptables (et donc shorewall)
C'est très pratique quand vous en avez ras le bol de vous faire poutrer des services (SSH/FTP/Mail/etc) par des robots, fail2ban c'est bien mais si on peut bloquer le gros des méchants déjà connus c'est mieux.
Pour faire simple et à la main, il faut créer une liste en définissant son type (net/ip) puis l'alimenter :
## creation des sets
ipsetcreateblacklist_net-existhash:netfamilyinethashsize16777216maxelem16777216
ipsetcreateblacklist_ipv4-existhash:ipfamilyinethashsize16777216maxelem16777216## alimentation d'une liste
ipsetaddblacklist_ipv48.8.8.8
ipsetaddblacklist_net192.168.12.0/24
Exemples idiots mais vous voyez ou je veux en venir. Une fois la liste créé on peut l'utiliser dans une règle shorewall dans le fichier /etc/shorewall/rules par exemple :
DROP net:+blacklist_ipv4 $FW
DROP net:+blacklist_net $FW
DROP $FW net:+blacklist_net
DROP $FW net:+blacklist_ipv4
Pour être plus efficace, et parce qu'alimenter ip par ip c'est pas l'objectif, il existe un projet open-source très bien fourni, Firehol, qui regroupe pour les besoins de sa solution un ensemble de listes d'adresses IP mises à jour régulièrement, toutes les heures voir toutes les minutes pour certaines.
Note : d'un point de vu technique, l'ajout des ip/subnet par une boucle python ou bash est beaucoup trop long, ipset permet l'import massif en utilisant la restauration de fichier, c'est cette méthode qui est utilisé (voir le script : https://git.k3nny.fr/Tools/ipset_updater/src/branch/master/ipset_update.sh )
Avec les listes incluses ça fonctionne déjà assez bien, je constate moins de tentative de connexion ssh intempestives, à vous de faire votre choix de blocage en fonction de vos besoins (blocage par pays, listes de blocages).
Je ne suis pas encore passé à Debian Buster, ni à nftables, visiblement nftables implémente les listes directement sans passer par une extension comme ipset.
J'ai commencé à modifier le script pour prendre en charge les listes ipv6 mais j'ai eu la flemme
Pour l'usage en déplacement/depuis l'étranger/sur des Wi-Fi pourris, il est intéréssant de disposer d'une connexion VPN.
J'utilise pour cela l’intéressant script "OpenVPN road-warrior", certes très vindicatif dans le titre, néanmoins très efficace : https://github.com/Nyr/openvpn-install
Le setup est le suivant :
utlisateur<===vpn===>Serveur+OpenVPN<--->Internet
Depuis quelques temps j'ai pris gout à utiliser Shorewall afin de maîtriser simplement la configuration firewall de ce serveur.
L'utilisation concurrente de Shorewall + OpenVPN est possible il faut tout de même prendre soin de paramétrer tout cela correctement
Fichier /etc/shorewall/interfaces
Rien de transcendant, juste déclarer l'interface vpn
Il faut indiquer à Shorewall qu'il faut effectuer un masquerade du traffic venant du sous-réseau 10.8.0.0/24 (réseau VPN) vers l'interface eth0 (patte Internet sur le serveur)
eth010.8.0.0/24
Fichier /etc/shorewall/policy
Autoriser le traffic provenant du VPN vers eth0 dans le fichier policy
################################################################################SOURCE DEST POLICY LOG LEVEL LIMIT:BURST[...]
vpnnetACCEPT
Dernier fichier a ne pas oublier sinon ça ne peut pas fonctionner, déclarer le tunnel. Adapter avec le port UDP ou TCP choisit et l'IP publique de votre serveur
#TYPE ZONE GATEWAY GATEWAY_ZONE
openvpn:1194netIP_SERVEUR
Test de connexion
Tout est prêt, plus qu'a tester si tout fonctionne.
Tester la connexion OpenVPN. Si connexion OK on passe à la suite.
Lancer un ping vers une IP, si shorewall n'a pas été redémarré ça ne doit pas passer. Relancer shorewall en mode safe (rollback vers ancienne configuration automatique)
shorewallsafe-restart
Le ping doit maintenant passer > la connexion sort bien par eth0 vous avez un OpenVPN qui roule pour vous connecter de n'importe ou!
Nouveau RPi reçu j'essaye des choses, je voulais depuis quelques temps installer une solution permettant de jouer de la musique sur les enceintes du salon et contrôlable à distance depuis smartphone/tablette/laptop.
Pour ça j'ai installé la solution Mopidy sur une base Raspbian (Debian compilé ARM pour RaspberryPi)
Comment faire ? Aller on y va
Télécharger et installer Raspbian (Lite) sur une carte microSD, utiliser Etcher pour ça, c'est intuitif.
Brancher le RPi sur un écran + clavier, par defaut le clavier est en qwerty donc on va faire en sorte que le machin soit correctement configuré pour avoir du réseau et que votre clavier azerty soit correctement mappé
Hint : les identifiants par défaut sont pi/raspberry (tapez rqspberry donc)
On se cale en root parce qu'on est grand, et on règle la timezone
sudosu
dpkg-reconfiguretzdata
Modifier l'agencement du clavier en utilisant la commande
raspi-config
Fichier de configuration réseau (vide par défaut) : /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
auto wlan0
iface wlan0 inet dhcp
Il manque quelques outils de base pour diagnostiquer deux trois choses
aptinstallvimhtopscreen
Un petit reboot et on passe à l'installation de Mopidy. Ajouter le dépôt de paquet Mopidy
Voila le machin est installé. Mais il va falloir configurer la chose. Explications
Mopidy en standalone va chercher le fichier de configuration dans \~/.config/mopidy/.. bref c'est de la merde.
Mais! Mopidy est prévu pour tourner en tant que service, c'est mieux.
Et en tant que service, il va taper dans /etc/mopidy/mopidy.conf. AH!
Mopidy ne balance rien à l'affichage, il ne sort que du son sur HDMI ou sortie jack du RPi.
Mopidy écoute par défaut sur les ports 6680 (interface web) et 6600 (interface MPD) mais uniquement en localhost. Je garde ça par défaut, défois que je voudrais coller un service web un jour sur le RPi.
Le fichier de configuration /etc/mopidy/mopidy.conf doit ressembler à quelque chose comme ça.
Pour la plupart des paramètres c'est "classique" pour un fichier de conf, ip, port, description, truc. J'ai déplacé le dossier de media par défaut dans /var/www/media ça m'emmerdai de laisser ça dans /var/lib/mopidy
Attention : Pour pouvoir utiliser le streaming Spotify il faut un compte Spotify Premium
Pour la partie Spotify, les valeurs a renseigner sont vos identifiants/mot de passe + un id/secret à récupérer depuis le site https://www.mopidy.com/authenticate/#
Idem pour Soundcloud : https://www.mopidy.com/authenticate/#
Ok une fois que c'est bon pour la configuration on peut lancer le serveur
systemctlenablemopidy
systemctlstartmopidy
Pour voir si tout se lance bien
tail-f/var/log/mopidy/mopidy.log
Si le module Spotify à bien réussi à s'authentifier :
Et comment utiliser ça maintenant ? http://\<ip raspberrypi>:6680 dans un navigateur et on récupère la liste des interface web disponibles
Oui je n'ai pas trouvé mon bonheur tout de suite. Après plusieurs essais je conseille Iris + Musicbox. Iris ressemble à ça sur laptop
Sur téléphone dans un navigateur (à gauche) il existe aussi une application dédiée Mopidy Mobile (via protocole MPD)
Quelques notes :
La fonctionnalité Spotify permet de jouer de la musique depuis votre compte Spotify Premium sur le RPi en le controllant depuis une interface web (laptop/tablette/mobile). Elle ne permet pas d'utiliser la fonctionnalitée "Spotify Connect" donc n'est pas contrôllable depuis l'application Spotify directement.
Pour la locale je viens de me rendre compte qu'il me crois en Nouvelle Zélande, doit y'avoir une merde quelque part
La fonction recherche permet de recherche dans Spotify+SoundCloud+Localement. C'est puissant
Sur RPi3 le son est clean en sortie HDMI, crado en sortie jack. Dunno why
L'interface Iris est très orienté Spotify, pour être complet je laisse l'interface Musicbox qui permet de balancer du Youtube/SoundCloud/Local/Podcast plus simplement
J'ai coller RasperryCast en plus sur le même RPi ça ne rentre pas en conflit, les deux sont compatibles.
Voilà amusez vous bien, c'est simple à mettre en place (avec un minimum de techskilz), ça peut être sympa comme solution de musique partagée en soirée ou au bureau (avec ses risques et périls), vraiment efficace avec un compte Spotify Premium.
WAPT c'est une solution open-source de déploiement de logiciels, sous forme de paquets. Ca fonctionne en mode client-serveur et ça a l'énorme avantage de tourner en service système avec les droits administrateur et tout ça s'il vous plait silencieusement. S'pas beau la vie ?
Ça permet quoi :
Installer les logiciels silencieusement
Désinstaller les logiciels silencieusement
Mettre à jour \<idem>
Reporting dans une console GUI de gestion
Packager ses propres applis
Servir d'outil d'inventaire
Si on compare avec les solutions de déploiement de base type scripts batchs / GPO / MSI etc., c'est beaucoup plus léger et souple. J'utilise des paquets pour l'utilisation classique (Firefox, VLC, etc..) mais aussi des paquets un peu plus tordus (Office 2016, Trend Micro OfficeScan, SolidWorkds).
Mis en place chez ex-job, la première utilitée que j'y ai trouvé c'est la mise à jour de Flash et Java, qui me prenait un temps fou, alors qu'avec WAPT, suffit d'importer le paquet déjà fourni par Tranquil IT Systems (les créateurs de WAPT) et bazinga Flash et Java à jour !
Derrière c'est quoi ?
Un serveur d'inventaire qui recolte passivement les données remontées des agents
Un serveur web qui sert les paquets pour les agents (sur la même machine que précédemment)
Une console de management GUI
Du Python essentiellement, c'est puissant, efficace, ça roxx
Du Lazarus pour la console, c'est efficace
De la sécurité, les paquets sont signés et les agents vérifient les paquets avec installation
Plein de paquets existants, pas besoin de réinventer la roue : https://store.wapt.fr/
Et c'est utilisé par qui ?
Par beaucoup d'Etablissements Scolaire, Ecoles, Universités
Par des BTS SIO en sujet de stage, je vous vois ;)
Par pas mal de Municipalités/Agglomérations/Com-Com
Si tu veux rendre service autour de toi, dis a ton sysadmin que pour qu'il arrête d'être emmerdé par les mises-à-jour de Flash et Java sur les postes de laboite, WAPT est la pour lui faire gagner du temps.
On active ce vHost, on regarder si la configuration est correcte, on redémarre Apache2 pour vérifier tout ça et on test voir si le navigateur nous chie pas dans les bottes
De plus en plus de personnes viennent me voir à propos de la sauvegarde de données, soit en amont en préventif, soit après.
Il est de bon ton de s’en inquiéter en amont, car une fois le support de stockage endommagé il devient difficile de l’exploiter afin d’en extraire les données.
Petit guide à destination de toutes et tous et à diffuser autour de vous si vous le voulez.
Rappel 1 : Les disques durs externes sont fragiles
Rappel 2 : Les clés USB ne sont pas éternelles
Rappel 3 : Durée de vie d'un disque dur d’ordinateur portable \~= durée de vie d'un disque dur externe
Rappel 4 : Un disque dur d’ordinateur fixe = 8 ans GRAND MAXIMUM
Identifier et quantifier les données à sauvegarder
Première chose à faire, identifier les données à sauvegarder. On peut penser à :
On veillera a bien définir le volume-la taille de ces données, cela peut varier de quelques Mega octets (Mo) à plusieurs Giga-octets (Go)
Rappel de quantification octets: 1024 Ko = 1 Mo / 1024 Mo = 1 Go / 1024 Go = 1 To
Un document Word : de 400 Kilo octets à + 10 Mo
Une photo de bonne qualité ou une chanson : 5 Méga octets
Une vidéo de quelques minutes : de 120 Méga octets a + 2 Giga octets
Un film en qualité standard : 700 Mo
Un film en qualité HD 720p : 4.7 Go
Un film en qualité HD 1080p « full HD » et 3D : 4 à 21 Go
Il existe plusieurs types de sauvegarde :
Sauvegarde complète : une sauvegarde complète de tous les dossiers/medias indiqués sera faite sur le support de destination. On conseille de prévoir 10x l’espace de stockage initial. (100Go pour 10Go a sauvegardé)
Sauvegarde incrémentielle/différentielle : une sauvegarde complète est faite puis on ne va sauvegarder quotidiennement uniquement les fichiers modifiés, on a donc besoin de moins d’espace de stockage et on réduit le temps de sauvegarde.
En termes de périodicité de sauvegarde, les préconisations que j'applique sont :
Une sauvegarde annuelle complète – N années conservées.
Une sauvegarde mensuelle complète – 3 à 12 mois conservés
Une sauvegarde hebdomadaire complète – 2 à 4 semaines conservées
Une sauvegarde journalière incrémentale – 7 jours conservés
Choisir un/des support(s) de destination
Pour chaque type de donnée un choix de support de destination peut être fait.
Disque dur externe (entre 250Go et 1To – de 65€ à 95€)
Economiques et d’une bonne capacité de stockage
Durée de vie limitée (entre 3 et 5 ans maximum)
Limités à un poste informatique
NAS - Unité de Stockage réseau (entre 1To et 12To voir+ – de 150€ à 500€)
Coup important à l’achat, de grande capacité de stockageDurée de vie bien plus longue (de 5 à 8 ans)
Les données sont dupliquées entre les disques (fonctionnement en RAID) si un disque meurt, l’autre prend le relais et les données ne sont pas perdues
Partageable avec d’autres postes (fonctionne en réseau)
Stockage sur Internet
Ex : CozyCloud
- Offre gratuite de 5 Go puis payant (offres de 100Go/500Go/1To pour –de 10€/mois)
- Economique et fiable, stockage dupliqué également
- Partageable entre plusieurs postes (fonctionne sur Internet)
- Dépend de la vitesse de connexion pour les transferts..
Différents cas de figure
Cas 1 : J’ai seulement des documents à sauvegarder (entre 100Mo et 5Go de donnée)
Sauvegarde sur disque dur externe
+ sauvegarde sur Internet avec un service Cloud gratuit (en France : CozyCloud / étranger : Dropbox)
Cas 2 : J’ai des photos de vacances + des documents (entre 5Go et 200Go de donnée) :
Sauvegarde sur disque dur externe
+ sauvegarde sur Internet avec un service Cloud payant (en France : CozyCloud)
Cas 3 : J’ai beaucoup de photos et de vidéos (entre 100Go et 1To) :
Sauvegarde sur une unité de stockage (NAS) + sur disque dur externe si possible
+ sauvegarde sur Internet avec un service de Cloud payant (en France : CozyCloud)
Le plus sûr est de diversifier les supports de destination avec un même logiciel de sauvegarde.
Quel logiciel utiliser ?
Windows - Gratuit :
Au choix selon les affinités avec le logiciel, ils remplissent tous la même tâche.
Acronis est une référence en logiciel de sauvegarde, il va plus loin car il peut sauvegarder le disque dur en entier pour une restauration brute du système.
Je ne pleure plus car j’ai suivi ce guide à la lettre et j’ai mes données sauvegardées quelque part sur un disque externe, ou sur mon NAS, ou dans le Cloud.
Cas 2 :
Je pleure
Je n’ai pas suivi ce guide parce que « merde pas le temps informatique blablabla »
Je pleure une deuxième fois
Je me demande comment je vais faire pour récupérer toutes ces données…
Il existe des sociétés spécialisés en récupération de données, certaines équipées de salles blanches afin d’opérer les disques ou supports endommagés. Il vous en coutera entre 150 et 600€ et plus selon la gravité et la quantité de donnée à récupérer.
La méthode utilisée dans ces sociétés est une suite de récupération spécialisée qui va copier l’intégralité du disque ou du support flash endommagé secteur par secteur pour en créer un fichier image disque brute.
Ce fichier sera exploité par un second logiciel qui va extraire les fichiers qu’il pourra tenter de retrouver dans le fichier de récupération. Les chances de réussite de recouvrement de photos et documents avec cette méthode sont de l’ordre de 50%.
La meilleur des méthodes étant bien évidement de sauvegarder en amont !
J'ai installé une solution osTicket et le grand atout de cet outil est de pouvoir automatiser l'envoi d'emails de confirmation pour les utilisateurs et d'emails d'alerte pour les techniciens.
Pour ça on devrait en temps normal paramétrer un serveur Sendmail ce qui est fastidieux, en regardant la doc sur le Wiki de debian on rigole un coup en voyant ça :
[caption id="attachment_1080" align="alignnone" width="775"] C'est une doc... radicale ![/caption]
Donc! On va installer ssmtp !
Attention les yeux, c'est super dur :
aptitude install ssmtp
on édite l'unique fichier de config de ce programme - ici avec utilisation d'une adresse GMail :
Tonight I took up as a challenge to create a language file for Notepad++ designed to highlight Counter-Strike Global Offensive configuration files (.cfg files). It becomes pretty handy to see syntax error and if keywords are correctly spelled to avoid further problems.
It took me half an hour to do so, based on the works of \@gustavnikolaj, he posted on Reddit his works for SublimeText 2. I took his work, especially lists of keywords and a similar color scheme, to achieve mine.
[J'ai fait l'installation sur un serveur dédié VPS chez OVH - Debian 7.0 wheezy. Il faut installer Java Runtime, télécharger le paquet .deb OpenFire et installer la chose, let's go]{style="line-height: 1.5;"}
On créer une database dans MySQL, sinon on peut stocker tout ça dans une db sqlite, a votre convenance..
mysql-uroot-p
createdatabaseopenfire;exit
Voilà c'est tout ce qu'il y'a a faire pour installer la chose en cli, on passe en web.
Connectez vous sur l'interface web d'administration :
https://ipduserv:9090
On vous pose alors plein de question habituelles, c'est assez facile a remplir. Pour la base MySQL il faut juste editer la ligne connector avec l'adresse de connexion correcte à votre base.
On demande la base d'identification, si c'est du local ou sur du LDAP ou encore sur un bidule chouette J2EE, ici sur ce serveur je suis sur du local, au boulot on a fait l'intégration LDAP depuis un ActiveDirectory, ça fonctionne super bien !
Un administrateur doit être créer on peut terminer l'installation. Suite a ça on peut se connecter a l'interface d'administration avec le compte admin
On peut régler quelques options, ajouter des plugins etc etc...
Mais le plus important c'est de savoir si cela fonctionne ! Je vous conseille d'utiliser le client Jitsi qui est libre et gratuit également et "multi-protocole" (GTalk - Facebook - Yahoo - ICQ - MSN - qui pour la plupart utilisent le protocole XMPP).
Il n'y a pas de formulaire d'inscription en ligne, l'inscription se fait via le logiciel Jitsi ou autre client XMPP (Spark, Pidgin, liste de clients XMPP), il y'a juste a préciser que le serveur est k3nny.fr, de choisir un identifiant et un mot de passe et voila !
Pour la vidéo ça fonctionne impeccablement bien, pour l'audio également, c'est décentralisé et encrypté AES 128bits. Comme on dit par ici, "dans ton cul la NSA".
J'espère vous avoir éclairé sur l'installation de la chose!
Afin de peupler un nouveau domaine en remplacement d'un ancien, j'ai été confronté au soucis de ne pas avoir sous la main d'outil permettant la création massive de comptes utilisateurs avec tous les attributs, dossiers, partages, droits, etc..
Il existe bien des outils vieillissants tels que Gestion5, mais largement dépassé vu les nouvelles versions de serveurs (Win2008R2 dans mon cas).
Voici donc un script que j'ai réalisé en Powershell, language que je ne connaissait pas jusqu'a peu, qui reprend des commandes batch - .net et qui s'apparente parfois a du bash linux.
C'est un language très puissant que je vous invite a découvrir au plus vite !
Fonctionnalités du code :
- Import d'un fichier CSV
- Détection des noms en double (cn basé sur le nom)
- Création d'un mot de passe numérique de 4 digits
- Création des dossiers correspondants
- Création des partages associés aux dossiers
- Droits de sécurité sur les dossiers
- Création du script de logon pour chaque utilisateurs
- Jonction au groupe classe
- Création d'un dossier pour chaque classe
- Fichier de log avec les identifiants et mot de passe
Il reste de nombreuses choses a voir et a faire encore avec ce script mais pour le moment il est fonctionnel dans mon établissement.
Ce travail est soumis à licence Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported (CC BY-NC-SA 3.0)
(plus d’infos ici : https://creativecommons.org/licenses/by-nc-sa/3.0/)