Exile on Keyboard St. - Blog sur Linux et Debian

Aller au contenu | Aller au menu | Aller à la recherche

lundi 30 janvier 2017

Le Tor Browser Launcher ne fonctionne plus sur Debian ?

La dernière fois que j'ai utilisé le Tor Browser sur Debian, installé avec le paquet torbrowser-launcher, tout fonctionnait parfaitement.

Mais depuis, lors du lancement, le Tor Browser veut télécharger la dernière version du bundle et à la fin ce processus échoue en disant que la signature du fichier téléchargé est incorrecte:

Capture-Tor_Browser.png

J'ai essayé plusieurs fois et j'ai toujours le même message: "SIGNATURE VERIFICATION FAILED".

Dans la configuration du Tor Browser, on peut spécifier si le téléchargement s'effectue avec Tor ou non.

Capture-Tor_Browser_Launcher_Settings.png

Mais que la mise à jour soit faites par Tor ou non ne change rien au problème.

J'aimerai bien pouvoir utiliser ma version 6.0.8 bien qu'elle soit obsolète mais cela semble interdit ... C'est dommage, je le trouvais très commode ce paquet torbrowser-launcher pour utiliser Tor :-(

Je vais donc creuser la piste qui consiste à forcer l'utilisation de la version actuelle ou essayer d'utiliser les autres miroirs mais je pense qu'il y a une régression dans le code de vérification de la somme de contrôle du fichier.

Enfin, désinstaller complètement le paquet et le ré-installer n'a rien donné non plus.

jeudi 21 janvier 2016

Générer une paire de clés SSH pour Git sous Linux

Si vous avez un compte chez Bitbucket ou Github avec des projets sous Git, il y a deux façons de s'authentifier:

  • HTTPS: qui nécessite un nom d'utilisateur et un mot de passe que vous devrez fournir à chaque commande Git nécessitant un accès réseau au serveur Bitbucket ou Github
  • SSH: qui utilise une paire de clés RSA pour sécuriser les échanges entre vous et le serveur Git

Comme l'authentification HTTPS est fatigante à l'usage, on va voir rapidement comment utiliser les clés SSH.

Si vous n'avez pas encore généré de clé SSH sur votre machine cliente, vous devriez avoir un répertoire .ssh vide ou inexistant:

ls -al .ssh/
total 8
drwx------  2 myuser myuser 4096 janv.  1 10:20 .
drwxr-xr-x 41 myuser myuser 4096 janv.  1 10:05 ..

On va donc générer une clé SSH avec la commande ssh-keygen:

myuser@mymachine:~$ ssh-keygen -t rsa -b 4096 -C "myuser@mymachine"
Generating public/private rsa key pair.
Enter file in which to save the key (/home/myuser/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/myuser/.ssh/id_rsa.
Your public key has been saved in /home/myuser/.ssh/id_rsa.pub.
The key fingerprint is:
ff:86:99:a9:fb:96:5d:55:c3:1b:91:20:c7:2b:8a:de myuser@mymachine
The key's randomart image is:
+--[ RSA 4096]----+
| oo. .           |
| .E o.           |
|...B. .          |
| .X.+ .o         |
| . = = .S        |
|  .   * .        |
|     o o         |
|    . .          |
|     .           |
+-----------------+

On a précisé que l'on souhaite une clé RSA, on n'est pas obligé de le faire puisque c'est la valeur par défaut, et aussi le nombre de bits de la clé et un commentaire identifiant la clé.

On a bien généré un couple clé privée/clé publique:

myuser@mymachine:~$ file .ssh/*
.ssh/id_rsa:     PEM RSA private key
.ssh/id_rsa.pub: OpenSSH RSA public key

Il nous faut maintenant ajouter notre identifiant RSA à l'agent SSH.

On vérifie dans un premier temps que celui-ci est bien actif:

 ps aux | grep ssh-agent
1000      3424  0.0  0.0  12468   332 ?        Ss   10:56   0:00 /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-with-session gnome-session
1000      3692  0.0  0.0   7852   884 pts/0    S+   10:56   0:00 grep ssh-agent

S'il n'est pas actif, on le démarre:

myuser@mymachine:~$ eval "$(ssh-agent -s)"
Agent pid 3812
myuser@mymachine:~$ ssh-add 
Identity added: /home/myuser/.ssh/id_rsa (/home/myuser/.ssh/id_rsa)

Si on a plusieurs clés, on peut aussi passer la clé privée en paramètre:

ssh-add ~/.ssh/id_rsa

Maintenant notre clé est mise en mémoire par l'agent SSH:

myuser@mymachine:~$ ssh-add -l
4096 ff:86:99:a9:fb:96:5d:55:c3:1b:91:20:c7:2b:8a:de .ssh/id_rsa (RSA)

Pour supprimer cette identité de l'agent en cours:

myuser@mymachine:~$ ssh-add -d
Identity removed: /home/myuser/.ssh/id_rsa ( myuser@mymachine)

Dans un prochain billet, nous verrons comment utiliser notre clé publique SSH pour accéder à Bitbucket.

jeudi 25 juin 2015

Supprimer le mot de passe d'un utilisateur sous Linux

Pour changer le mot de passe d'un utilisateur Linux, il suffit d'utiliser la commande passwd comme suit:

myuser@my-machine:~$ passwd
Changement du mot de passe pour myuser.
Mot de passe UNIX (actuel) : 
Entrez le nouveau mot de passe UNIX : 
Retapez le nouveau mot de passe UNIX : 
passwd : le mot de passe a été mis à jour avec succès

Cette commande passwd est lancée par l'utilisateur Linux lui même. On peut aussi changer le mot de passe de myuser en étant connecté en tant que root. Dans ce cas, l'ancien mot de passe n'est pas demandé.

Maintenant comment faire si l'utilisateur myuser désire pouvoir se connecter sans mot de passe ?

Pour supprimer le mot de passe d'un utilisateur sous Linux, il faut utiliser la commande passwd avec le flag -d en étant connecté en root comme suit:

root@my-machine:/home/myuser# passwd -d myuser
passwd : expiration du mot de passe modifiée.

L'utilisateur myuser n'a maintenant plus de mot de passe à fournir pour se connecter.

Attention, cette dernière commande ne peut pas être passée par l'utilisateur lui même:

myuser@my-machine:~$ passwd -d myuser
passwd : permission refusée.

mercredi 12 novembre 2014

Enregistrer les mots de passe dans le navigateur avec Mozilla Firefox

Quand on navigue sur Internet en utilisant des services sur lesquels on est authentifié, on passe son temps à saisir des mots de passe: par exemple un agrégateur de flux, le mail, etc ...

Utiliser le même mot de passe partout est, rappelons le, très fortement déconseillé et pas vraiment applicable en raison de la diversité des règles de choix d'un mot de passe (password policies) d'un site à l'autre.

Noter ses mots de passe sur un petit papier à coté de l'écran est encore pire :-(

Il reste alors la solution du gestionnaire de mots de passe, logiciel avec lequel on entre nos mots de passe avec les identifiants correspondants. Le gestionnaire de mots de passe nous demandera alors ... un mot de passe pour protéger le tout.

Les gestionnaires de mots de passe peuvent être classés d'une part dans deux catégories selon qu'ils sont:

  • locaux - les données restent sur votre machine,
  • en ligne - les données vont sur le 'cloud' (par exemple LastPass ou Firefox Sync)

Et d'autre part selon qu'ils sont:

  • externes au navigateur comme: KeePassX, KeePass2, ...
  • intégrés au navigateur comme la fonctionnalité d'enregistrement des mots de passe dans Firefox

En principe, je me méfie des gestionnaires de mots de passe en ligne et préfère utiliser le 'cloud' pour des données moins sensibles et de préférence que j'aurai cryptées préalablement.

Les gestionnaires externes comme KeePassX sont très bien faits, sécurisés, avec beaucoup d'options mais au final on passe son temps à Copier/Coller les mots de passe vers le navigateur.

D'où l'intérêt d'utiliser le système d'enregistrement de mots de passe de Firefox, à condition d'utiliser un mot de passe maître.

ATTENTION: Sans mot de passe maître, tout utilisateur de votre navigateur pourra voir les mots de passe enregistrés et aussi les exporter avec un Plugin adéquat.

Concrètement:

  • le mot de passe maître est demandé lorsque vous naviguez sur le premier site qui requiert un mot de passe,
  • cela complète les champs identifiants et mot de passe de l'authentification,
  • il n'y a plus qu'à s'authentifier sur le site en question

De plus, le fait de saisir le mot de passe maître au démarrage ne permet pas pour autant de voir la liste des mots de passe: cette opération requiert de saisir le mot de passe maître A CHAQUE FOIS et c'est heureux !

Enfin Firefox propose s'enregistrer chaque nouveau mot de passe, on peut confirmer ou infirmer cette action, et même avoir une liste de sites pour lesquels on n'enregistre jamais de mots de passe.

dimanche 24 août 2014

Protégez vos fichiers importants de la suppression accidentelle sous Linux

Il nous arrive à tous un jour ou l'autre de chercher un fichier sous Linux et de ne plus le retrouver ...

Ainsi récemment j'ai malheureusement supprimé un fichier contenant tout un tas de commandes pratiques dont je ne me souviens pas forcément :-(

Afin de ne pas refaire la même erreur par la suite, j'ai cherché quelle solution mettre en place pour éviter que cela se reproduise.

En ligne de commande, dès lors qu'on a défini un alias sur la commande rm comme suit dans .bashrc ou dans .bash_aliases:

alias rm='rm -i'

On est prévenu lorsqu'on tente de supprimer le fichier:

user@machine:~/Bureau$ rm Important.txt 
rm: remove regular empty file `Important.txt'? 

Et si on ne saisit pas "Yes" celui-ci n'est pas supprimé.

C'est bien mais le gestionnaire de fichiers, Thunar sous Xfce dans mon cas, n'en a que faire de l'alias de la commande rm et le fichier part à la corbeille. Certes, avec la corbeille tout n'est pas encore perdu.

Une solution toute simple consiste à placer tous vos fichiers importants dans un répertoire donné et dans un deuxième temps à enlever les droits d'écriture de ce dernier. En effet, comme sous Linux et sous Unix les droits de suppressions d'un fichier sont ceux du répertoire qui le contient, on ne pourra supprimer aucun fichier du répertoire contenant nos documents importants.

Attention, cette méthode n'empêche pas d'ouvrir le fichier avec un éditeur et donc de supprimer tout ou partie de son contenu (par exemple par Ctrl-A puis Ctrl-X), puisqu'on a les droits de lecture et d'écriture sur le fichier !

Une autre contrepartie de cette solution est que pour créer un nouveau fichier, il faudra temporairement remettre les droits d'écriture sur le répertoire en question. Mais, si on oublie ensuite d'enlever ces droits d'écriture après la création du nouveau fichier on perd évidemment la protection recherchée sur nos fichiers ... On peut par exemple pour éviter ce problème créer plusieurs fichiers vides dès le début et que l'on éditera ensuite.

- page 1 de 2