Tag

clés

Browsing
Activer SSH sous CPanel photo 4

Lors d’une connexion SSH sur le serveur d’un client chez WPEngine, je suis tombé sur le message d’erreur suivant:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for '/Users/matt/.ssh/id_ed25519.pub' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "/Users/matt/.ssh/id_ed25519.pub": bad permissions

Voici la commande que j’avais entré:

ssh -i ~/.ssh/id_ed25519.pub -o IdentitiesOnly=yes EXAMPLE@wEXAMPLE.ssh.wpengine.net

Au lieu d’utiliser ma clé privée, j’ai utilisé ma clé publique (id_ed25519.pub) qui – comme elle est publique – bénéficie de droits plus large que la clé privée.

Il faut donc relancer la commande en retirant l’extension .pub du chemin de la clé, pour que la clé privée soit prise en compte:

ssh -i ~/.ssh/id_ed25519 -o IdentitiesOnly=yes EXAMPLE@wEXAMPLE.ssh.wpengine.net

Dès lors, plus de problème de connexion et la connexion sur le serveur WPEngine se fait sans souci:

  ____  _____  _____
 ╱   ▕ ▕    ▕ ▕    ▕
▕    ▕ ▕    ▕ ▕    ▕
▕____▕  ╲___╱  ╲___▕                                      ▫
 ____           ____     ▃  ▃  ▃  ▃▃▃    ___   __    __      __   ___
▕    ▕    _    ╱   ▕     █  █  █ ▕█▀▀▙  ▕___) |  ▕  ╱  ▕ ▕  |  ▕ ▕___)
▕    ▕   ( )  ▕    ▕      ██ ██  ▕███▛  ▕     |  ▕ ▕   ▕ ▕  |  ▕ ▕
▕____╱    ‾    ╲___▕       █ █   ▕█      ╲__╱ |  ▕  ╲__▕ ▕  |  ▕  ╲__╱
 ____    ___   ___                                  ___╱
▕    ╲  ╱   ╲ ▕    ╲
▕    ▕ ▕    ▕ ▕    ▕
▕____╱ ▕____▕ ▕____▕

WP Engine Shell - PHP 7.3

De temps en temps, il arrive qu’en faisant un apt update, on obtienne quelques erreurs de clés GPG, soit parce qu’elles ont changé, soit parce qu’elle n’ont pas été ajoutées en même temps que les dépôts auxquels elles sont associées.

Voici une petite compilation des situations que j’ai connu jusqu’à présent.

La clé publique n’est pas disponible : NO_PUBKEY

Le message d’erreur habituel, dont voici un exemple :

W: GPG error: http://ppa.launchpad.net maverick Release: Les signatures suivantes n'ont pas pu être vérifiées car la clé publique n'est pas disponible : NO_PUBKEY 632D16BB0C713DA6

Edit : voici une simple commande Shell qui permet de récupérer la clé et l’ajouter au trousseau directement, en une seule ligne de code:

sudo apt-get update 2>&1 | 
sed -ne 's?^.*NO_PUBKEY ??p' |
xargs -r -- sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys

Si vous souhaitez faire cela manuellement, voici la méthode manuelle :

Ce qui est important ici, c’est le code de la clé : 632D16BB0C713DA6. Nous avons besoin des 8 derniers caractères de cette clé pour taper notre commande. Ces 8 caractères sont 0C713DA6 donc dans le terminal, on entre :

gpg --keyserver hkp://keyserver.ubuntu.com:11371 --recv-key 0C713DA6

puis:

gpg -a --export 0C713DA6 | sudo apt-key add -

On relance enfin la mise à jour :

apt-get update

La clé ayant été ajoutée, le message d’erreur disparaît.

Sur mon serveur, j’ai fait le choix de ne pas installer de serveur FTP.

Pourquoi ? Et bien tout simplement parce que le protocole FTP n’est pas du tout sécurisé : les mots de passe sont envoyés en clair sur le réseau, il n’y a aucun chiffrement appliqué sur la connexion et il existe 1001 manières d’en forcer l’accès.

Du coup, je me dis que l’on peut très bien s’en passer. Comme il faut bien que je mette des fichiers sur le serveur ou mettre à jour le site, nous allons utiliser SSH qui est un protocole sécurisé.

Sommaire de la série Monter un serveur dédié de A à Z

  1. Serveur dédié : installation d’Apache, PHP, MySQL et Webmin
  2. Serveur dédié : créer la base de données MySQL et importer WordPress
  3. Serveur dédié : créer et activer un Virtual Host sous Apache
  4. Serveur dédié : changer les DNS du nom de domaine et le faire pointer vers le serveur
  5. Serveur dédié : sécurisation des services avec iptables et fail2ban
  6. Serveur dédié : sécurisation de la couche TCP/IP
  7. Serveur dédié : création d’un serveur mail Postfix (sécurisé avec Saslauthd et certificat SSL) et Courier (accès POP et IMAP) utilisant une base MySQL d’utilisateurs/domaines virtuels
  8. Serveur dédié : sécuriser Apache 2 avec ModSecurity
  9. Serveur dédié : CHMOD récursif sur des fichiers ou répertoires en ligne de commande
  10. Serveur dédié : installer APC comme système de cache et configurer Varnish comme reverse-proxy pour Apache pour améliorer les performances
  11. Serveur dédié : afficher la véritable IP derrière un reverse-proxy comme Varnish
  12. Serveur dédié : intégrer SSH à WordPress pour mettre à jour le core, les plugins et les thèmes
  13. Serveur dédié : installer la dernière version d’APC par SVN
  14. Serveur dédié : analyse des performances du serveur
  15. Serveur dédié : mettre à jour le noyau Debian de la Kimsufi
  16. Serveur dédié : sauvegarde automatique des fichiers avec Backup Manager sur le serveur de sauvegarde OVH
  17. Serveur dédié : configurer la limite mémoire pour PHP et Suhosin
  18. Bash : supprimer tous les fichiers et sous-répertoires d’un répertoire
  19. Serveur dédié : impossible de se connecter à un port distant
  20. Rsync: rapatrier les fichiers du serveur à la maison
  21. Bash : réparer les tables MySQL en cas de crash
  22. Serveur dédié : création d’une seedbox avec Transmission
  23. Serveur dédié : des paquets LAMP à jour sous Debian
  24. Serveur dédié : mise à jour vers Debian 7 Wheezy
  25. Serveur dédié : activer X11 forwarding pour SSH
  26. Serveur dédié : optimiser toutes les images JPG et PNG avec OptiPNG et JpegOptim
  27. Postfix : résoudre l’erreur “fatal: www-data(33): message file too big”
  28. Serveur dédié : mise en place de l’IPv6
  29. WordPress : accorder les bonnes permissions aux fichiers et dossiers avec chown et chmod
  30. WordPress : héberger les images sur un sous-domaine
  31. Serveur dédié : ajouter l’authentification SPF, Sender-ID et DKIM à Postfix et Bind9 avec opendkim
  32. Apache : lorsque le domaine seul (sans WWW) renvoie une erreur 403
  33. Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy
  34. Serveur dédié : passer WordPress en HTTPS (TLS/SSL)
  35. Serveur dédié : configurer Webmin en TLS avec un certificat SSL
  36. Serveur dédié : configurer Transmission pour accéder au WebUI via TLS-SSL
  37. Serveur dédié : installer et configurer Varnish 4
  38. Serveur dédié : passage au mod FastCGI et PHP-FPM avec Apache MPM Worker
  39. Récupérer un serveur Kimsufi après un plantage de kernel avec le mode rescue OVH
  40. Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy
  41. Serveur dédié : retirer Varnish, devenu inutile avec HTTPS
  42. Serveur dédié : installer la dernière version d’OpenSSL sous Debian
  43. Serveur dédié : activer l’IP canonique du serveur sous Apache
  44. Serveur dédié : mise à jour vers PHP 5.6
  45. MySQL : convertir les tables MyISAM au format InnoDB
  46. Serveur dédié : optimiser toutes les images GIF avec GIFsicle
  47. Serveur dédié : migration de MySQL vers MariaDB
  48. BASH : lister, bloquer et débloquer des adresses IP avec iptables
  49. Serveur dédié : produire une meilleure réserve d’entropie avec haveged
  50. Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine
  51. Serveur dédié : mise en place du protocole DANE
  52. 8 règles d’or pour bien déployer DNSSEC et DANE
  53. Serveur dédié : installer PHP7 FPM avec FastCGI sous Debian
  54. Serveur dédié : réduire les connexions TIME_WAIT des sockets et optimiser TCP
  55. Fail2Ban: protéger Postfix contre les attaques DoS de types AUTH, UNKNOWN et EHLO
  56. Serveur dédié : mettre à jour Apache et configurer le mod_http2 pour HTTP/2
  57. Serveur dédié : ajouter le domaine à la liste HSTS preload
  58. Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND
  59. Serveur dédié : à la recherche de l’inode perdue ou comment résoudre le problème “no space left on device”
  60. Serveur dédié : installer NginX avec support HTTP2 et certificat SSL, PHP, MariaDB sous Debian

Le problème : une clé bluetooth nécessitant des drivers

dongle_bluetooth_orangeL’année dernière, j’ai acheté une clé USB Bluetooth chez Orange pour que ma chère maman puisse se connecter tranquillement au réseau en WiFi.

Bien entendu, placer “tranquillement” et “Orange” dans la même phrase tient de l’exploit rhétorique. Lors du déballage de la clé, point de CD de drivers. Cela ne choque plus vraiment aujourd’hui car on en a très rarement besoin désormais. Par contre, le dongle Bluetooth Orange nécessite son CD de pilotes, même sous Windows XP.

ClésChaque matin je prends le bus pour aller au collège. C’est pratique et cela m’évite de sortir la voiture pour aller m’enferrer dans les embouteillages parisiens. Figurez-vous que je rencontre les mêmes gens chaque matin dans le bus. C’est assez effrayant, cela donne l’impression de revivre la même scène perpétuellement. Les places changent mais les acteurs restent les mêmes. Et en particulier le joueur de clés. C’est un homme entre 20 et 30 ans dont l’activité principale consiste à faire rebondir son trousseau de clés quand je monte dans le bus. Ne me demandez pas pourquoi mais j’ai l’impression qu’il commence à jouer de ses clés dès que je trouve ma place. Prodigieux.

Ce ne serait pas aussi grave si cela était un one-off. Non, c’est visiblement une habitude bien ancrée puisque cela dure depuis quelques mois maintenant. J’ai donc le droit à un cliquetis acide et grinçant 12 minutes tous les matins. Et je semble être le seul dans le bus à tiquer dès qu’il s’y met. Je pense avoir pas mal de patience mais là j’arrive à bout.

Le post d’aujourd’hui n’a pas grand chose à voir avec la bouse éponyme de Baffie mais le thème reste similaire. J’ai passé l’après-midi à chercher mon trousseau de clés, sur lequel se trouvent les clés de mes salles de classe, mes clés de voiture ainsi que les clés de mon appartement. Autant dire que lorsque le fameux trousseau est introuvable, je suis dans de beaux draps, la perspective de devoir dormir à l’école ne me tentant que très moyennement…

Mais commençons l’histoire par le commencement : j’arrive à l’école, dépose mes affaires et mes clés sur une des tables de la salle des professeurs. Je discute avec quelques collègues puis prend mon cartable pour aller discuter avec mon tuteur de mes préparations de cours et du fonctionnement du Conseil d’Adminitration (CA) de l’établissement. Ayant les mains pleines, je décide alors de laisser mes clés sur la table des profs. Une fois la concertation terminée, je retourne alors dans la salle des profs où je trouve la table vide. Moment d’incompréhension : n’avais-je point laissé mes clés sur cette table ?! Je regarde alors dans mon cartable puis dans mon blouson. L’incompréhension se transforme alors en panique : plus de clés ! Comment vais-je bien pouvoir retourner chez moi ?

Une idée me traverse comme une flèche : et si c’était un coup de Jean ? Il avait lorgné sur mes clés la semaine dernière lorsqu’elles traînaient (déjà) au même endroit. Je me mets alors à sa recherche et une fois trouvé il m’apprend qu’il n’a touché à aucun trousseau. God dammit ! Ma panique se transforme alors en colère noire. La cloche sonne, j’ai un cours à donner et je n’ai toujours pas mes clés.

Le cours passé, je me jette comme une furie dans la salle des professeurs, bien décidé à trouver le coupable kleptomane. Je fais une annonce publique, demandant à tous mes collègues de regarder qu’ils n’ont pas embraqué le maudit trousseau dans leurs affaires. On me conseille alors d’aller dans la salle fumeur, l’un des profs de maths ayant des tendances klepto notoires. J’ouvre la porte et reconnaît instantanément les barrettes de métal m’assurant du retour au bercail tant attendu. Je lève lentement les yeux vers le prof de maths qui me lance d’un ton décontracté, cigarette aux lèvres :

– “Tu sais à qui elles sont ces clés ?”
– “Un peu mon neveu, ça fait deux heures que je coure pour trouver le petit ?!#2& qui me les a chouravé !”
– “ah bon ? je les ai trouvées près de la photocopieuse.”

Cela m’aura appris une chose : il faut tout mucher quand tu rentres dans la salle des profs. Tout ce qui n’entre pas dans le casier doit rester dans le cartable. Surtout les clés.

Record de la semaine : 983 kilomètres avec un plein de gasole – et la petite loupiote rouge ne s’était même pas allumée. Je crois que c’est la première fois que je fais autant de kilomètres avec un plein. Les routes vendéennes seraient-elles plus adaptées à ma voiture ? ^_^