import des derniers articles et commentaires depuis pluxml

content/Réseaux/sonde-ripe-atlas.clignote-ou-pas.md

@@ -0,0 +1,52 @@
+Title: Sonde RIPE Atlas :
+subtitle: ça clignote ou ça clignote pas ?
+Date: 2016-01-18 22:52
+Modified: 2016-01-18 22:52
+Tags: linux, ripe atlas
+keywords: linux, ripe atlas
+Slug: sonde-ripe-atlas.clignote-ou-pas
+Authors: Victor
+Status: published
+
+[TOC]
+
+## La sonde RIPE Atlas
+
+<p>Depuis quelques mois, je participe au programme <a href="https://atlas.ripe.net/">RIPE Atlas</a>, un programme extrêmement intéressant du RIPE NCC qui consiste à installer chez des particuliers ou des professionnels des petites sondes permettant de tester la qualité du réseau, effectuer des tests de connectivité, etc.</p>
+
+<p>L'objectif est de construire un réseau pour collecter des données sur la qualité de la connexion dans le monde entier, et ainsi avoir une carte détaillée à l'échelle de la planète de l'état du réseau Internet.</p>
+
+<p>A peu près n'importe qui peut adhérer à ce programme, même si en France il devient difficile d'en avoir vu la quantité de participants...</p>
+
+<p>Ici nous allons discuter de comment réparer une sonde Atlas de 3eme génération qui ne veut plus se connecter. Cette astuce me vient du support RIPE Atlas, et est publiée avec leur aimable accord :-)</p>
+
+## Diagnostic
+
+<p>Il y a quelques temps, ma sonde s'est mise à refuser de se connecter sans raisons évidentes.</p>
+
+<p>(Bon, réellement suite à une coupure de courant nocturne, mais bon, passons ^^)</p>
+
+<p>Quoiqu'il en soit, un diagnostic basique montrait que la sonde démarrait, qu'elle récupérait bien une adresse IP en DHCP, IPv4 et IPv6, elle effectuait même des requêtes DNS.</p>
+
+<p>Mais, elle ne se connectait pas jusqu'aux serveurs RIPE Atlas, qui la voyait comme absente, et le clignotement des diodes sur le dessus ne correspondait à aucun des schémas recensés dans la <a href="https://atlas.ripe.net/about/faq/#what-do-the-lights-on-the-side-of-the-probe-mean">FAC</a>.</p>
+
+<p>A partir de là, n'ayant aucun accès possible à la sonde, il devient difficile d'aller plus loin, mais heureusement le support RIPE est là. Et il est très efficace, même en période de fêtes !</p>
+
+## L'astuce
+
+<p>L'astuce est en fait assez simple pour remettre à zéro la sonde et lui permettre de se reconnecter comme si rien ne s'était passé :</p>
+
+<ol>
+	<li>Éteindre la sonde</li>
+	<li>Retirer le plug USB qui est enfiché dans la sonde</li>
+	<li>Démarrer la sonde et connectez là comme habituellement</li>
+	<li>Attendez pendant 5 à 6 minutes</li>
+	<li>Remettez en place le plug USB à chaud, sans éteindre la sonde</li>
+	<li>Au bout d'une dizaine de minute, la sonde a détecté de nouveau le plug et lancés les scripts adéquats.</li>
+	<li>Le clignotement revient à la normale, et la sonde se reconnecte</li>
+	<li>Et voila</li>
+</ol>
+
+<p>Simple et efficace.</p>
+
+<p>Merci au RIPE pour ce projet et pour l'astuce !</p>

content/Système/use-letsencrypt-haproxy.md

@@ -1,13 +1,12 @@
 Title: Use Haproxy with Let's Encrypt
-subtitle: (FR/EN)
+subtitle: [EN]
 Date: 2015-12-18 09:33
 Modified: 2015-12-18 09:33
 Tags: haproxy, hébergement, reverse proxy, sécurité, système
 keywords: haproxy, hébergement, reverse proxy, sécurité, système
-Slug: utiliser-letsencrypt-haproxy
+Slug: use-letsencrypt-haproxy
 Authors: Victor
 Status: published
-lang: en
 
 [TOC]
 

content/Système/utiliser-letsencrypt-haproxy.md

@@ -1,5 +1,5 @@
 Title: Utiliser Let's Encrypt avec Haproxy
-subtitle: (FR/EN)
+subtitle: [FR]
 Date: 2015-12-18 09:33
 Modified: 2015-12-18 09:33
 Tags: haproxy, hébergement, reverse proxy, sécurité, système
@@ -13,7 +13,7 @@ lang: fr
 
 ## De quoi parle-t-on donc ?
 
-<p><strong>Note: </strong>This is the French version of the post. English version <a href="/utiliser-letsencrypt-haproxy-en.html">here.</a></p>
+<p><strong>Note: </strong>This is the French version of the post. English version <a href="/2015/12/use-haproxy-letsencrypt.html">here.</a></p>
 
 ### Haproxy :
 

content/comments/culture-jardin-potager-lasagnes/0.md

@@ -0,0 +1,6 @@
+email: contact@cote-cloture.fr
+date: 2016-09-22T11:11+01:00
+author: cote cloture
+website: http://www.cote-cloture.fr/
+
+Rien que deux mois après vous avez de jolis résultats :)

content/comments/culture-jardin-potager-lasagnes/1.md

@@ -0,0 +1,8 @@
+email: courriel+blog@victor-hery.com
+date: 2016-09-22T11:24+01:00
+author: Victor
+website: https://blog.victor-hery.com/
+replyto: 0md
+
+Oui, et c'est la première fois que je vois des plants de tomates survivre au mildiou :)  
+Malgré que j'ai du trancher quelques plants et branches, ils sont tous repartis, et actuellement je ramasse assez de tomates pour nourrir toute la famille et une partie des voisins !

content/comments/sonde-ripe-atlas.clignote-ou-pas/0.md

@@ -0,0 +1,9 @@
+email: contact@tropicdreams.net
+date: 2016-04-16T08:08+01:00
+author: Nico S.
+website:
+
+J'avais exactement le meme problème sur ma sonde.   
+On voyait avec un tcpdump qu'elle faisait des requete DNS vers une adresse en NO-USBxxxxx.sos.atlas.ripe.net
+
+Au final ton astuce fonctionne nickel. Merci !

content/comments/use-letsencrypt-haproxy/0.md

@@ -0,0 +1,10 @@
+email: meijer.jwm@gmail.com
+date: 2016-03-03T12:17+01:00
+author: Jeroen
+website:
+
+Hi, thank you for this post. I have implemented this a while ago, but have one issue you might have solved. When I have reissued the certificates these need to be reloaded by haproxy (I run 1.5) but a
+
+... haproxy -f ... -p pidfile -sf pidfile
+
+does not seem to (always) reload the certificates.

content/comments/use-letsencrypt-haproxy/1.md

@@ -0,0 +1,19 @@
+email: courriel+blog@victor-hery.com
+date: 2016-03-05T12:29+01:00
+author: Victor
+website: https://blog.victor-hery.com/
+replyto: 0md
+
+Hi Jeroen,
+
+I never hit this problem for the moment.  
+It's possible you hit the Haproxy feature that do not stop directly the haproxy process, but instead spam a new one and let the older(s) continue to deals with opened connections.
+
+If you use Haproxy with TCP connections (such as handling pop, smtp or imap, ftp, etc) haproxy could potentially never ends its older processes. Perhaps it is the cause of your problem ?
+
+I advice to check if your haproxy process has really restarted with
+    ps faux | grep haproxy
+
+And try to restart haproxy instead of simply reloading it.
+
+Good luck

content/comments/utiliser-letsencrypt-haproxy/0.md

@@ -0,0 +1,6 @@
+email: arnaud@arnaudb.net
+date: 2015-12-18T10:10+01:00
+author: Arnaud
+website: https://dooby.fr/links
+
+Wha super article

content/comments/utiliser-letsencrypt-haproxy/1.md

@@ -0,0 +1,32 @@
+email: ppb@itgreen.fr
+date: 2016-03-02T20:55+01:00
+author: Pierre-Philippe
+website:
+
+Bonjour,  
+Je ne comprend pas le principe, en gros Let's Encrypt génère une clef pour un site http qui n'existe pas, et quand une demande de redirection sur un site géré par Haproxy une authentification https géré   avant le redirection vers un des sites redirigé par haproxy ?
+
+Dans mon cas haproxy identifie des sous domaines et redirige en fonction des réglés ecl sur des backends (adresse de sites).  
+J'aurai aimé pouvoir avoir une authentification https unique puis redirection sur un des sites.  
+
+Donc je ne comprend pas comment identifier le serveur haproxy (domaine) pour qu'il soit reconnue par Let's Encrypt.  
+Car le serveur haproxy n'a pas de nom de sous domaine identifier sur le net, il ne sert que d’aiguillage vers des serveurs http qui ont un nom de sous domaine identifié sur le net.  
+quand je lance le scrypt de génération de certificat la réponse est:  
+
+Domain: xxx.ndm.dl ndm.dl est mon domaine    
+xxx est un des sous domaine   
+
+    Type:   unauthorized  
+    Detail: Error parsing key authorization file: Invalid key  
+    authorization: 9 parts  
+    To fix these errors, please make sure that your domain name was  
+    entered correctly and the DNS A record(s) for that domain  
+    contain(s) the right IP address.  
+    - Your account credentials have been saved in your Let's Encrypt  
+    configuration directory at /etc/letsencrypt. You should make a  
+    secure backup of this folder now. This configuration directory will  
+    also contain certificates and private keys obtained by Let's  
+    Encrypt so making regular backups of this folder is ideal  
+
+donc je nage un peut   
+Merci pour le tuto

content/comments/utiliser-letsencrypt-haproxy/2.md

@@ -0,0 +1,22 @@
+email: courriel+blog@victor-hery.com
+date: 2016-03-02T21:56+01:00
+author: Victor
+website: https://blog.victor-hery.com/
+replyto: 1md
+
+Hello Pierre Philippe,
+
+Le concept de Let's Encrypt est de créer un certificat tout ce qu'il y a de plus classique. Ici, l'astuce est que normalement, tes DNS pointent sur ton haproxy, puisque c'est lui qui route ensuite via les  ACL vers les backend.  
+C'est donc lui qui doit posséder le certificat HTTPS pour le servir aux visiteurs. En l'occurence, haproxy va déchiffrer le flux avec le certificat, puis envoyer le flux non chiffré vers les backend. (Il est possible de rechiffrer le flux avant de l'envoyer, mais ce n'est pas le sujet)
+
+Donc normalement, tu dois utiliser comme nom de domaine celui pour lequel tu veux un certificat, et lancer let's encrypt depuis le serveur en question. Il faut également (si tu as plusieurs adresses IP sur le haproxy), que haproxy écoute sur l'adresse où Let's encrypt va envoyer la requête de vérification.  
+
+Voila pour le concept :)
+
+Ensuite pour ton problème plus précisément, à première vue ta configuration semble correct. Le invalid key semble montrer que let's encrypt n'est pas content de la clef généré, mais pourtant c'est lui même qui la génère.  
+Est ce que tu as modifié la configuration de Let's Encrypt pour générer une clef plus petite que 1024bits ?  
+Egalement, quelle version d'openSSL utilise-tu ? Il est possible avec les différentes failles de sécurité sorties ces derniers temps que Let's Encrypt ait certain critères à ce propos même si je ne l'ai pas remarqué.  
+
+N'hésite pas à me préciser plus comment tu utilise Let's Encrypt, je pourrais peut être t'en dire plus :) (sur quel OS, la ligne exacte que tu lances, en cachant le domaien bien sur, la version d'openssl, etc)
+
+Bon courage !

content/comments/utiliser-letsencrypt-haproxy/3.md

@@ -0,0 +1,77 @@
+email: ppb@itgreen.fr
+date: 2016-03-03T08:59+01:00
+author: Pierre-Philippe
+website:
+replyto: 1md
+
+Bonjour et merci pour ta réponse aussi rapide.
+
+J'ai déjà un serveur Haproxy qui redirige en fonction des sous domaines vers les serveurs appropriés.  
+J'ai donc une autre machine ou je test Haproxy pour le certificat.
+
+Le bute est d'avoir un seul certificat par domaine pour un ensemble de sous domaine et Haproxy me parais la solution.  
+D'autant plus que mes appli web ne tournent pas sur Apache ou Nginx et donc pas facile pour les certificats.
+
+    HAPROXY config
+    global
+            log /dev/log    local0
+            log /dev/log    local1 notice
+            chroot /var/lib/haproxy
+            stats socket /run/haproxy/admin.sock mode 660 level admin
+            stats timeout 30s
+            user haproxy
+            group haproxy
+            daemon
+
+            # Default SSL material locations
+            #ca-base /etc/ssl/certs
+            #crt-base /etc/ssl/private
+
+            # Default ciphers to use on SSL-enabled listening sockets.
+            # For more information, see ciphers(1SSL). This list is from:
+            #  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
+            #ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
+            #ssl-default-bind-options no-sslv3
+
+    defaults
+            log     global
+            mode    http
+            option  httplog
+            option  dontlognull
+            timeout connect 5000
+            timeout client  50000
+            timeout server  50000
+            errorfile 400 /etc/haproxy/errors/400.http
+            errorfile 403 /etc/haproxy/errors/403.http
+            errorfile 408 /etc/haproxy/errors/408.http
+            errorfile 500 /etc/haproxy/errors/500.http
+            errorfile 502 /etc/haproxy/errors/502.http
+            errorfile 503 /etc/haproxy/errors/503.http
+            errorfile 504 /etc/haproxy/errors/504.http
+
+
+frontend http-in
+    acl app_letsencrypt  path_beg   /.well-known/acme-challenge/
+
+    use_backend bk-letsencrypt if app_letsencrypt
+
+backend bk-letsencrypt
+    log global
+    mode http
+    server srv_letsencrypt 127.0.0.1:63443
+
+
+La commande  Let's Encrypt  
+    letsencrypt-auto certonly --domains xx-mydomaine.fr --renew-by-default --http-01-port 63443 --agree-tos
+
+le fichier conf de  Let's Encrypt
+
+    rsa-key-size = 4096
+    email = ppb@itgreen.fr
+    authenticator = standalone
+    standalone-supported-challenges = http-01
+
+Par contre Let's Encrypt génère bien 2 clefs une csr et une keys.  
+ Je peut aussi envoyer un schéma format svg de l'instal.  
+Bonne et Belle journée   
+Pierre-Philippe  

content/comments/utiliser-letsencrypt-haproxy/4.md

@@ -0,0 +1,15 @@
+email: courriel+blog@victor-hery.com
+date: 2016-03-05T12:35+01:00
+author: Victor
+website: https://blog.victor-hery.com/
+replyto: 1md
+
+Bonjour Pierre Philippe,
+
+Mmh, j'ai peut être une idée pour ton problème, notamment à propos du fait que pour que la chaine de certification fonctionne, il faut que la ligne let's encrypt soit lancée sur la machine qui porte l'adresse IP du site que tu veux certifier (car les serveurs de let's encrypt vont essayer de contacter le domaine répondant dans les DNS)
+
+Je veux bien t'aider à tester, est ce que ça te convient si on continue cette discussion par courriel plutôt ? Ça me semble plus pratique pour échanger rapidement et facilement que mon système de commentaire (qui a malheureusement ses limites avec des gros commentaires ^^)
+
+N'hésite pas à me contacter via le formulaire de contact, ou à me dire si tu souhaite en discuter via commentaires :)
+
+A plush' !