Pire qu’avant

La carte Intel HD3000 est encore récente. Inclue dans la plateforme Sandy Bridge, elle équipe tous les laptops récents et pourtant elle a mauvaise réputation sous Linux : son driver supporte très mal le Vsync.

Sur mon nouveau laptop, j’ai décidé de passer à Linux Mint parce que j’en avais marre de la maintenance et complexité de Gentoo. Par contre, déçu par Gnome Shell je suis en train de tester Cinnamon, un fork de Gnome3 pour qu’il ressemble plus à Gnome2.

Mais sous Cinnamon, basé je crois sur compiz et donc reposant sur le compositing, j’ai de très graves problèmes de Vsync ! Dans certains films je peux voir trois bandes de tearing de temps en temps, vraiment pas agréable.

Une simple variable d’environement

Qui l’eut cru? De toutes les techniques que j’ai testées (mises à jour de driver, modifier Xorg, des paramètres OpenGL, …) c’est une simple variable d’environnement qui m’a donné des résultats !

J’ai simplement ajouté dans /etc/environment :

J’ai ensuite relancé X (ce qui recharge l’environnement adéquat) et voilà, à moi les vidéos sans tearing ! Je n’ai pas non plus remarqué de déchirements dans les effets et déplacements de mon WM.

Autre piste

Comme je le disais cette variable d’environnement me suffit mais vous pouvez aussi tenter d’ajouter ces paramètres dans votre Xinitrc et lancer votre lecteur vidéo avec son module de sortie OpenGL :

Tenez-moi au courant si ça apporte des résultats. De plus, si vous utilisez une carte graphique NVidia, il est recommandé d’avoir ces lignes :

Conclusion

Je suis heureux de pouvoir regarder mes vidéos correctement et ce grâce à une simple variable d’environnement. Je me demande pourquoi elle n’est pas activée par défaut dans la plupart des distributions… Mes performances à GLXgears n’ont pas changé.

Source de ma solution

Quand je suis tombé sur cette pince dans un Mall américain je suis tombé amoureux…

Présentation

Cette pince est vendue en tant que « Pince à dénuder auto-ajustable ». À l’utilisation c’est juste magique : on place le fil, on serre et hop, c’est dénudé !

Pas besoin de régler le diamètre du fil, la pince s’adapte automatiquement et ne découpe que le plastique. C’est vraiment magique J’ai essayé sur mon tout fin fil d’électronique, du AWG-22 (0,64 mm) ça marche vraiment comme par magie. Ça marche bien entendu tout aussi bien sur du gros câble électrique standard, la pince étant spécifiée pour AWG-10 à 24 (11.7 à 0.51 mm).

Il y a aussi quelques bonus : une petite calle permet de dénuder toujours la même taille pour un travail zuper zoli. Il y a aussi évidemment une zone permettant simplement de couper, et une autre zone pour fixer des terminaisons aux fils.

Vidéo du constructeur

Parce que je suis un mec génial je vous ai dégoté la pub sur YouTube :

Dans mon immense bonté je vous ai aussi fait un plan rapproché :

Conclusion

Je suis très content de mon achat à 20$. On verra si elle tient la distance mais je suis presque sûr que ce sera le cas pour cette pince dont tous les composants essentiels sont en acier et garantie à vie par une marque réputée.

Principe de la persistance de vision

Vous connaissez sans doute le principe de la persistance de vision : en faisant clignotter rapidement des LEDs qui se déplacent on peut imprimer des images dans l’oeil qui ne sait pas distinguer de si courts clignottements.

Grâce à mon Arduino j’ai donc fait un petit script qui fait clignotter les 5 LEDs selon un schéma me permettant d’afficher des images ou des textes.

Résultat

Code Arduino

Critères

• Décentralisé : pour résister aux attaques et autres aléas techiniques, chaque node a autant/aussi peu d’importance que les autres. Pas d’index ou de master node donc ;
• Répliqué : dans la même optique de résistance aux downtimes, chaque fichier doit être copié sur plusieurs des nodes ;
• Adaptatif : les fichiers plus demandés doivent être plus accessibles.

Après quelques heures de recherche (très intéressante d’ailleurs), j’en suis arrivé à la conclusion qu’aucun projet cummulant toutes ces caractéristiques n’existait. Alors pourquoi pas le créer?

LegionFS

J’ai donc entamé un débat très intéressant qui, je pense, pourrait rapidement mener à un logiciel fonctionnel !

L’idée est un logiciel p2p interfacé en FUSE et reprenant toutes les caractéristiques que j’ai citées plus haut. Un peu plus de réflexion m’a mené à écrire des spécifications plus précises, par exemple en termes de sécurité.

Contributeurs bienvenus

Je vous invite donc à regarder ce qu’il en est sur le GitHub du projet et son wiki.

Aucun des développeurs actuellement impliqué n’a encore travaillé avec des systèmes peer to peer donc on cherche des contributeurs intéressés par un projet qui pourrait enfin mettre un terme à la centralisation du web.

Je pense que ce projet de file system a un énorme potentiel au jour où les services en cloud se développent et la difficulté de stocker de grandes quantités de données fiablement inquiète. Ce projet peut potentiellement révolutionner ce web centralisé.

Join us : irc://#LegionFS@irc.geeknode.org ! We are LegionFS. Expect us.

J’ai beaucoup cherché un Firewall applicatif qui m’aurait permis d’autoriser les applications au cas par cas mais malheureusement il n’y a pas de solution digne de ce nom sous Linux. J’ai donc opté pour du bas niveau : de bonnes vieilles règles iptables !

Le script

Avec iptables, on établit des règles pour l’INPUT d’une part et l’OUTPUT d’autre part :

• INPUT désigne les connexions entrantes. Cela désigne donc les connexions que votre machine n’a pas initiées elle-même mais aussi les retours de paquets UDP. Je lui ai assigné la politique par défaut DROP c’est-à-dire ne rien laisser passer sauf mes exceptions.
• OUTPUT désigne les connexions sortantes. Cela désigne donc les connexions initiées par votre machine mais aussi les retours de paquets UDP. Je lui ai assigné la politique par défaut ACCEPT c’est-à-dire tout laisser passer sauf mes exceptions.
/etc/fw.sh
#!/bin/sh

# Flush previous rules for clean firewall
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F INPUT
iptables -F OUTPUT

# Don't fuck with already established or related connections (even UDP will pass if it was locally initiated)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# MY RULES BEGIN

    # Input with default policy drop : exception = ACCEPT
    iptables -A INPUT -p tcp -s 192.168.0.0/16 --dport 22 -j ACCEPT # SSH from LAN
    iptables -A INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT  # Avahi/ZeroConf
    iptables -A INPUT -p tcp --dport 6881:6999 -j ACCEPT            # Bittorrent
    iptables -A INPUT -p tcp --dport 50210 -j ACCEPT                # Tomahawk
   
    # Output with default policy accept : exception = DROP
    iptables -A OUTPUT -p udp ! -d 192.168.0.0/16 --sport 17500 -j DROP    # Block Dropbox broadcasts except on LAN
   
    # Microsoft filesharing shit (Samba/CIFS) only accepted on 192.168.0.0/16.
    iptables -A INPUT -p udp -d 192.168.0.0/16 --sport 137 -j ACCEPT
    iptables -A INPUT -p udp -d 192.168.0.0/16 --sport 138 -j ACCEPT
    iptables -A OUTPUT -p udp ! -d 192.168.0.0/16 --sport 137 -j DROP
    iptables -A OUTPUT -p udp ! -d 192.168.0.0/16 --sport 138 -j DROP
    iptables -A OUTPUT -p tcp ! -d 192.168.0.0/16 --sport 139 -j DROP
    iptables -A OUTPUT -p tcp ! -d 192.168.0.0/16 --sport 445 -j DROP

# MY RULES END

# Allow all ICMP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

# Trusted interfaces
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Set default rule (policy)
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

echo "Firewall up!"

Dans ce script vous pourrez clairement distinguer la zone à adapter selon vos besoins (partie « MY RULES« ). Les règles sont assez explicites et ne nécessitent pas d’autres précisions si ce n’est la consultation de la manpage d’iptables.

Surveiller les règles

Une petite commande vous permettra de surveiller où passe/est bloqué votre trafic :

# iptables -Z && watch iptables -L -v

Cela affichera une règle par ligne, avec la première colonne spécifiant le nombre de paquets concernés par la règle.

Persistance au reboot

Après avoir exécuté le script et testé que tout fonctionne bien, le plus simple sous Gentoo est d’exploiter l’init script dédié à iptables :

# /etc/init.d/iptables start
# /etc/fw.sh
# /etc/init.d/iptables save
# rc-update add iptables

Ainsi vos règles seront réétablies au reboot de votre machine. N’oubliez pas de refaire un /etc/init.d/iptables save à chaque fois que vous modifiez vos règles de firewall.

Mode paranoïaque : OUTPUT en DROP

Personnellement je trouve que sur une machine personnelle, bloquer la sortie est un peu poussé et souvent chiant. Mais pour des applications plus importantes comme un serveur il vous faudra sans doute envisager de changer la politique de l’OUTPUT et autoriser les ports au cas par cas.

Mais comme je le disais, je trouve ça chiant sur une machine personnelle et je ne le documenterai pas.

Je suis ouvert aux suggestions

J’ai écrit ces règles de firewall hier et les teste donc depuis moins de 24 heures. Si vous pensez à une règle que j’aurais oubliée, merci de me le faire savoir en commentaire

]]> http://blog.webtito.be/2012/01/16/firewall/feed/ 0 http://blog.webtito.be/2012/01/16/firewall/ http://feedproxy.google.com/~r/TitosGeekingLogs/~3/4Qr1tEgpwsU/ http://blog.webtito.be/2012/01/16/routes-permanentes-networkmanager/#comments Mon, 16 Jan 2012 01:54:49 +0000 Tito http://blog.webtito.be/?p=222 Pour accéder à Internet je route tout mon traffic dans un tunnel VPN. Malheureusement à mon kot j’ai deux access points WiFi et passer de l’un à l’autre fait disparaître certaines routes nécessaires au bon fonctionnement de ce tunnel.

Je me suis rendu compte que ces routes pourraient être présentes en permanence sur mon ordinateur et les ai donc scriptées dans NetworkManager.


/etc/NetworkManager/dispatch.d/

Tous les scripts que vous mettrez dans le dossier /etc/NetworkManager/dispatch.d/ seront exécutés à chaque fois qu’une interface se connecte.

/etc/NetworkManager/dispatch.d/02-EthylixRoutes.sh
#!/bin/sh
GATEWAY=$(/sbin/ip route | awk '/default/ { print $3 }')
ip route add 42.42.144.113 via $GATEWAY
ip route add 42.42.153.16 via $GATEWAY

À noter que si vous avez besoin de l’interface qui vient d’être up, elle est récupérable en premier argument (variable $1).
N’oubliez pas de chmod +x le script.

DNS Google

J’en ai profité pour forcer l’utilisation des DNS Google. Je suis conscient que cela peut poser problème dans certains environnements étranges (comme par exemple un hotspot) mais ça vaut le coup :

/etc/NetworkManager/dispatch.d/03-DNS.sh
#!/bin/sh
echo "nameserver 8.8.8.8
nameserver 8.8.4.4
nameserver 2001:4860:4860::8888
nameserver 2001:4860:4860::8844" > /etc/resolv.conf

Conclusion

Je vous laisserai savoir à l’usage l’efficacité de ces routes mais pour l’instant ça m’évite de relancer OpenVPN au moindre changement d’AP WiFi !

]]> http://blog.webtito.be/2012/01/16/routes-permanentes-networkmanager/feed/ 0 http://blog.webtito.be/2012/01/16/routes-permanentes-networkmanager/ http://feedproxy.google.com/~r/TitosGeekingLogs/~3/rWgXPz8QWHQ/ http://blog.webtito.be/2012/01/15/petit-script-de-powersave/#comments Sun, 15 Jan 2012 21:10:49 +0000 Tito http://blog.webtito.be/?p=212 J’en avais un peu marre de démarrer powertop pour activer des règles de powersave à chaque fois que je suis sur batterie. En plus, l’utilitaire laptop_mode n’a pas l’air de vouloir fonctionner avec mon kernel 3.1.5.

J’ai opté pour une solution très simple, indépendante de divers outils et légère : un script bash en crontab.


Le script

Après avoir vérifié qu’on n’est pas branché sur secteur, le script va activer trois optimisations : l’économie d’énergie du PCI, de l’USB et des disques.

/etc/powersave.sh
#!/bin/sh
cat /proc/acpi/ac_adapter/AC/state |grep off-line >> /dev/null
if [[ $? == 0 ]]
then
    for i in $(ls /sys/bus/{pci,i2c}/devices/*/power/control);do echo auto > $i; done
    for i in $(ls /sys/bus/usb/devices/*/power/level);do echo auto > $i; done
    for i in $(ls /sys/class/scsi_host/host*/link_power_management_policy);do echo min_power > $i; done
fi

Remarquez que j’ai ignoré d’autres commandes sur sysctl (comme vm.dirty_writeback_centisecs ou kernel.nmi_watchdog car ACPI s’en charge correctement.

Crontab

Le script étant assez léger je n’hésite pas à le lancer toutes les minutes grâce à la ligne crontab suivante (crontab -e) :

* * * * * /etc/powersave.sh

Voilà, c’est basique mais ça marche et étend encore un peu plus mon autonomie (je descends à 12W pour le surf en wifi, luminosité à 80%).

]]> http://blog.webtito.be/2012/01/15/petit-script-de-powersave/feed/ 0 http://blog.webtito.be/2012/01/15/petit-script-de-powersave/ http://feedproxy.google.com/~r/TitosGeekingLogs/~3/_yMSRrSVNOI/ http://blog.webtito.be/2012/01/15/cles-ssh-avec-passphrase/#comments Sat, 14 Jan 2012 23:07:19 +0000 Tito http://blog.webtito.be/?p=203 Pour la nouvelle année j’ai pris la bonne résolution de sécuriser un peu plus mon ordinateur. Être sous Linux, même si c’est un préalable, n’est pas suffisant pour avoir un poste bien sécurisé.

J’ai commencé par quelque chose de simple : sécuriser mes clés SSH avec une passphrase.


Nouvelles clés

Puisque j’ai toujours utilisé des clés sans passphrases (je sais, c’est pas bien) j’ai décidé de créer entièrement des nouvelles clés et de me débarrasser des anciennes. J’ai tout de même sauvegardé mes anciennes clés :

$ mv ~/.ssh ~/.ssh.bak

Génération des clés

Ensuite j’ai généré ma paire de clés RSA 4096bits pour plus de sûreté.

$ ssh-keygen -t rsa -b 4096

C’est à cette étape qu’il faudra entrer la passphrase. Essayez d’utiliser une passphrase assez longue avec des caractères spéciaux pour vous prémunir des attaques bruteforce ou par dictionnaire.

Connexion aux serveurs

Ensuite, copiez toute le contenu de ~/.ssh/id_rsa.pub dans le fichier ~/.ssh/authorized_keys de vos différents serveurs SSH.

Relancez maintenant ssh-agent et essayez de vous connecter à votre serveur :

$ ssh-agent -k
$ ssh user@server.tld

À noter que si vous utilisez Gnome il est aussi nécessaire de relancer gnome-keyring-daemon :

$ gnome-keyring-daemon -r

Si maintenant vous arrivez à vous connecter à votre serveur, profitez-en pour supprimer l’ancienne clé publique dans ~/.ssh/authorized_keys

Le petit bonus d’être sous Gnome

Si vous faites confiance à Gnome-Keyring*, il va remplacer SSH-agent pour se souvenir de la passphrase.

Vous pouvez décider de la durée du déverouillage. Personnellement j’ai décidé de déverouiller si mon compte utilisateur est déverouillé, ce qui n’est pas le top pour la sécurité mais qui est suffisant pour moi.

*Regardez, ils m’ont empêché de prendre un screenshot pendant une étape de sécurité! On dirait l’interdiction de prendre en photo les agents de la TSA…

Changer de passphrase

Si vous souhaitez juste remplacer votre passphrase (je vous conseille de le faire quelques fois par an, tout comme n’importe quel mot de passe), la commande est simple :

$ ssh-keygen -p
]]> http://blog.webtito.be/2012/01/15/cles-ssh-avec-passphrase/feed/ 0 http://blog.webtito.be/2012/01/15/cles-ssh-avec-passphrase/ http://feedproxy.google.com/~r/TitosGeekingLogs/~3/sNE1USxJJFs/ http://blog.webtito.be/2012/01/13/transfert-ou-miroir-dun-ftp/#comments Fri, 13 Jan 2012 22:03:23 +0000 Tito http://blog.webtito.be/?p=195 Dans le cadre du transfert d’un site web d’un hébergeur à un autre, j’ai dû faire un miroir d’un site, d’abord du FTP distant vers ma machine puis de ma machine vers le nouvel hébergeur.

Voici les deux commandes LFTP qui permettent de faire ça, pour mémoire.


Distant -> Local

$ lftp ftp://user:pass@oldsite.tld -e "mirror --only-newer / ./MonSuperSite"

Copiera tout ce qui est trouvé sur le FTP (/) vers le répertoire local ./MonSuperSite. Éventuellement penser à mettre des paramètres plus restrictifs.

Local -> Distant

$ lftp ftp://user:pass@newsite.tld -e "mirror --reverse --only-newer ./MonSuperSite/web ./www"

Copiera tout le répertoire web local (./MonSuperSite/web) vers le répertoire FTP ./www.

]]> http://blog.webtito.be/2012/01/13/transfert-ou-miroir-dun-ftp/feed/ 0 http://blog.webtito.be/2012/01/13/transfert-ou-miroir-dun-ftp/