Tag

entropie

Browsing

Du besoin de changer de fond d’écran

J’aime bien que mon fond d’écran change de temps en temps. Cela permet de ne pas avoir un bureau trop fixe, de ne pas avoir toujours la même image sous les yeux. Ce qui est drôle, c’est que ce n’était pas le cas avant – je pouvais garder le même fond d’écran pendant des mois, voire même des années pour certains.

Sous linux, j’ai utilisé plusieurs programmes pour varier les fonds d’écrans comme Drapes ou Wallch mais, au fur et à mesure des nouvelles moutures de mon système d’exploitation et/ou des mises à jours des paquets et dépendances, ces programmes ont cessé de fonctionner. D’abord Drapes puis, récemment Wallch.

Je suis donc parti en croisade pour chercher une nouvelle alternative et suis tombé sur Variety, qui tourne sous tous les linux dérivés de Debian, comme Ubuntu ou Linux Mint.

Variety

Variety est donc un changeur de fond d’écran (wallpaper changer, c’est plus chic et ça sonne mieux en anglais) léger, très exhaustif en fonctionnalités et ultra-simple à prendre en main. Il peut automatiquement télécharger de nouvelles images depuis des sources diverses, changer le fond d’écran à un intervalle donné ou à la demande et permet de trier les images pour garder les meilleures. On peut également ajouter de nouvelles sources d’images.

Voilà à quoi ressemble l’interface :
Linux : installer Variety pour changer votre fond d'écran automatiquement photo

Comme vous pouvez le voir, vous pouvez récupérer tous les fonds d’écran pour bâtir votre propre collection, tout en respectant certaines limites en espace disque. Très utile !

Ce qui est drôle, c’est qu’avant ce programme je n’utilisais que mes propres images, bien rangées dans un dossier sobrement appelé “wallpapers”. Et depuis que j’ai installé Variety, je n’utilise que de nouvelles images qui viennent du net. C’est bien, cela donne un petit vent de fraîcheur et d’entropie supplémentaire, étant donné que l’on ne sait vraiment ce qui sera affiché.

Sur notre serveur dédié, nous avons parfois besoin de générer des nombres aléatoires avec une forte entropie, par exemple lorsque l’on génère une clé SSH, un certificat SSL/TLS ou une clé pour DNSSEC.

Aujourd’hui, je vous propose donc un article un petit peu plus théorique, qui nous permettra d’améliorer la qualité des données aléatoires et l’entropie générale de notre serveur.

On commence donc par la théorie et on enchaîne sur la partie technique.

Serveur dédié : générer de l'entropie additionnelle avec Haveged photo

L’entropie ou le caractère aléatoire sous Linux

Le chiffrement est basé sur deux facteurs principaux : les nombres premiers et les nombres aléatoires.

Sous Linux, les nombres aléatoires sont générés par le pseudo random number generator (PRNG) qui génère des données aléatoires depuis les interruptions matérielles (clavier, souris, accès disque, accès réseau…) et depuis d’autres sources provenant du système d’exploitation.

Serveur dédié : générer de l'entropie additionnelle avec Haveged photo 1

Une interruption matérielle (en anglais Interrupt ReQuest ou IRQ) est une interruption déclenchée par un périphérique d’entrée-sortie d’un microprocesseur ou d’un microcontrôleur.

Ce caractère aléatoire ou aléa, que l’on désigne sous le terme entropie, est utilisé principalement pour le chiffrement comme SSL/TLS mais peut aussi avoir plein d’utilisations pratiques (génération de mots de passe, de clés, de chaînes de caractères aléatoires…).

Par exemple, prenons un jeu de dés virtuels : l’entropie permettrait d’améliorer la qualité de l’aléa pour ne pas tomber toujours sur les mêmes nombres.

Serveur dédié : améliorer la qualité du chiffrement en générant une réserve d'entropie additionnelle avec haveged photo

Il existe deux grands outils aléatoires sous Linux : /dev/random et /dev/urandom.

/dev/random est un fichier spécial qui sert de générateur de nombres aléatoires (ou éventuellement de générateur de nombres pseudo-aléatoires). Il utilise comme source d’aléa les interruptions matérielles recueillies auprès de pilotes de périphériques et d’autres sources, et les traite à l’aide de fonctions de hachage cryptographiques. La lecture du fichier est bloquée quand l’activité du système (entropie) n’est pas suffisante, quitte à provoquer un temps de latence.

/dev/urandom fonctionne de façon analogue en dehors du fait que la lecture n’est pas bloquante : il continue de produire des données “aléatoires” même lorsque la réserve d’entropie se vide ; l’aléa produit est donc moins aléatoire. En résulte une qualité médiocre des données générées, qui pourraient être des redites des données précédentes. Apparaissent ainsi d’importants risques de sécurité sur un serveur de production, surtout s’il nécessite des fonctions cryptographiques.

Serveur dédié : générer de l'entropie additionnelle avec Haveged photo 2

Les dangers d’une entropie trop faible pour les services d’un serveur

Prenons un serveur qui utilise des services chiffrés avec SSL/TLS comme un serveur HTTPS, un serveur de mails entrants/sortants, SSH, SFTP, un client bittorrent

Si l’un de ces services a besoin de générer de l’aléa alors que toute la réserve d’entropie a été épuisée, il devra faire une pause pour attendre que cette réserve se reconstitue, ce qui peut provoquer un temps de latence excessif dans les applications.

Pire, la plupart des applications récentes définissent leur propre graine aléatoire (random seed) au moment de l’installation ou recourent à /dev/urandom pour éviter le blocage et risquent de pâtir de la mauvaise qualité des données aléatoires générées.

La graine aléatoire (random seed) est un nombre utilisé pour l’initialisation d’un générateur de nombres pseudo-aléatoires. Toute la suite de nombres produite par le générateur découle de la valeur de la graine de façon déterministe.

Le choix d’une graine aléatoire est une étape cruciale en cryptologie et en sécurité informatique puisqu’elle est souvent générée à partir des composants matériels du système ou bien d’un matériel cryptographique spécifique.

Serveur dédié : générer de l'entropie additionnelle avec Haveged photo 3

Sommaire de la série Monter un serveur dédié de A à Z

  1. Serveur dédié : installation d’Apache, PHP, MySQL et Webmin
  2. Serveur dédié : créer la base de données MySQL et importer WordPress
  3. Serveur dédié : créer et activer un Virtual Host sous Apache
  4. Serveur dédié : changer les DNS du nom de domaine et le faire pointer vers le serveur
  5. Serveur dédié : sécurisation des services avec iptables et fail2ban
  6. Serveur dédié : sécurisation de la couche TCP/IP
  7. Serveur dédié : création d’un serveur mail Postfix (sécurisé avec Saslauthd et certificat SSL) et Courier (accès POP et IMAP) utilisant une base MySQL d’utilisateurs/domaines virtuels
  8. Serveur dédié : sécuriser Apache 2 avec ModSecurity
  9. Serveur dédié : CHMOD récursif sur des fichiers ou répertoires en ligne de commande
  10. Serveur dédié : installer APC comme système de cache et configurer Varnish comme reverse-proxy pour Apache pour améliorer les performances
  11. Serveur dédié : afficher la véritable IP derrière un reverse-proxy comme Varnish
  12. Serveur dédié : intégrer SSH à WordPress pour mettre à jour le core, les plugins et les thèmes
  13. Serveur dédié : installer la dernière version d’APC par SVN
  14. Serveur dédié : analyse des performances du serveur
  15. Serveur dédié : mettre à jour le noyau Debian de la Kimsufi
  16. Serveur dédié : sauvegarde automatique des fichiers avec Backup Manager sur le serveur de sauvegarde OVH
  17. Serveur dédié : configurer la limite mémoire pour PHP et Suhosin
  18. Bash : supprimer tous les fichiers et sous-répertoires d’un répertoire
  19. Serveur dédié : impossible de se connecter à un port distant
  20. Rsync: rapatrier les fichiers du serveur à la maison
  21. Bash : réparer les tables MySQL en cas de crash
  22. Serveur dédié : création d’une seedbox avec Transmission
  23. Serveur dédié : des paquets LAMP à jour sous Debian
  24. Serveur dédié : mise à jour vers Debian 7 Wheezy
  25. Serveur dédié : activer X11 forwarding pour SSH
  26. Serveur dédié : optimiser toutes les images JPG et PNG avec OptiPNG et JpegOptim
  27. Postfix : résoudre l’erreur “fatal: www-data(33): message file too big”
  28. Serveur dédié : mise en place de l’IPv6
  29. WordPress : accorder les bonnes permissions aux fichiers et dossiers avec chown et chmod
  30. WordPress : héberger les images sur un sous-domaine
  31. Serveur dédié : ajouter l’authentification SPF, Sender-ID et DKIM à Postfix et Bind9 avec opendkim
  32. Apache : lorsque le domaine seul (sans WWW) renvoie une erreur 403
  33. Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy
  34. Serveur dédié : passer WordPress en HTTPS (TLS/SSL)
  35. Serveur dédié : configurer Webmin en TLS avec un certificat SSL
  36. Serveur dédié : configurer Transmission pour accéder au WebUI via TLS-SSL
  37. Serveur dédié : installer et configurer Varnish 4
  38. Serveur dédié : passage au mod FastCGI et PHP-FPM avec Apache MPM Worker
  39. J’ai planté le serveur… ou comment récupérer un serveur Kimsufi après un plantage de kernel avec le mode rescue OVH
  40. Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy
  41. Serveur dédié : retirer Varnish, devenu inutile avec HTTPS
  42. Serveur dédié : ajout de mod_spdy pour accélérer la connexion TLS-SSL sous Apache
  43. Serveur dédié : installer la dernière version d’OpenSSL sous Debian
  44. Serveur dédié : activer l’IP canonique du serveur sous Apache
  45. Serveur dédié : mise à jour vers PHP 5.6
  46. MySQL : convertir les tables MyISAM au format InnoDB
  47. Serveur dédié : optimiser toutes les images GIF avec GIFsicle
  48. Serveur dédié : migration de MySQL vers MariaDB
  49. BASH : lister, bloquer et débloquer des adresses IP avec iptables
  50. Serveur dédié : produire une meilleure réserve d’entropie avec haveged
  51. Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine
  52. Serveur dédié : mise en place du protocole DANE
  53. 8 règles d’or pour bien déployer DNSSEC et DANE
  54. Serveur dédié : installer PHP7 FPM avec FastCGI sous Debian
  55. Serveur dédié : réduire les connexions TIME_WAIT des sockets et optimiser TCP
  56. Fail2Ban: protéger Postfix contre les attaques DoS de types AUTH, UNKNOWN et EHLO
  57. Serveur dédié : mettre à jour Apache et configurer le mod_http2 pour HTTP/2
  58. Serveur dédié : ajouter le domaine à la liste HSTS preload
  59. Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND
  60. Serveur dédié : à la recherche de l’inode perdue ou comment résoudre le problème “no space left on device”
  61. Serveur dédié : installer NginX avec support HTTP2 et certificat SSL, PHP, MariaDB sous Debian

pentacle woodyLundi dernier, j’ai allumé mon micro comme tout les matins, afin de lire mes mails et vérifier mes flux RSS. Sauf que là, au démarrage, le PC s’est curieusement bloqué. Pas le temps de chercher, ni une ni deux, j’appuie sur le bouton reset. C’est bon, il démarre. Sauf que mon thème Windows est redevenu bleu et vert. Horrible.

Je lance Firefox. Tous les sites me redemandent de m’identifier… décidément, si ça continue je vais arriver en retard à l’école ! Je vérifie les messages importants puis éteint la machine. Le soir, je rentre et la rallume. Je remets mon thème XP en place, lance une ou deux applications. Et là, enfer et damnation, je constate que Windows a été réinitialisé !

Scandisk Windows XP startupCe week-end, j’ai fait un petit ménage de printemps sur ma machine principale. Tests anti-spyware, antivirus (plus de 13h de test juste pour l’antivirus !), defrag et scandisk.

Sous Windows XP, il n’est plus possible de faire un scandisk sous Windows : il faut rebooter et cela s’exécute sous DOS au démarrage. Le petit problème, c’est que mon PC commence à dater et qu’il est assez capricieux au démarrage et complétement lunatique au redémarrage.

Cela fait quelques temps que j’ai envie d’écrire sur… mon ordinateur. Tiens, en tapant cette phrase je viens de me rendre compte que cela fait une drôle de mise-en-abîme : écrire (un article) sur son ordinateur en écrivant sur un ordinateur. La boucle est bouclée, nous venons de toucher l’absurdité puisque le moyen de vient objectif, signe avant-coureur d’une aliénation certaine.

Boîtier PC Plexiglass & néon bleuMon micro-ordinateur est différent de tous les autres et tout d’abord parce que c’est le mien. Ce n’est évidemment pas sa seule caractéristique, cela serait bien trop facile, réducteur et finalement égocentrique. Il se compose de différentes pièces achetées aux quatre coins de l’Europe. Oui, il y a du vécu dans cette petite tour en aluminium brossé et il faut avouer qu’il a profité allégrement et très régulièrement des bénéfices des accords de Shengen ces dernières années. Cette machine a évolué en fonction de mes besoins – bien évidemment – mais également en fonction de ma position géographique : de la carte-mère et mémoire importée d’Angleterre jusqu’au boîtier aluminium/plexiglas allemand, en passant par le ventilateur au néon bleuté (méfiez-vous des sites web qui n’affichent pas de photo – le néon bleu vous empêche de fermer l’oeil la nuit !) acheté en France… oui, on peut dire qu’il est unique.

RantanplanMais au-delà de l’aspect purement esthétique, artificiel, issu du paraître et non de l’être – souvenez-vous des cours embrumés de votre prof. de philo – il existe un autre aspect que je nommerai l’esprit de la boîte. Ma machine possède la capacité d’anticiper ce que je pense afin de tenter de s’y opposer. C’est un peu mon Rantanplan finalement. Prenons un exemple tout simple : vous installez un logiciel qui nécessite un reboot : ce micro va vous faire croire qu’il reboote mais restera dans les nimbes de l’écran sombre, sans aucune action possible, jusqu’à temps que vous l’éteignez. Et lorsque vous rappuierez sur le bouton pour le redémarrer, il ne se rallumera pas. Ni cette fois, ni les suivantes. En fait, lui et moi nous connaissons tellement bien que l’on finit par anticiper le prochain coup de l’autre.

Théorie du chaosDébranchement de la prise électrique, reboot de l’alimentation… aujourd’hui il n’a démarré que lorsque j’ai retiré le câble réseau. Cela l’a vexé que je réussisse si rapidement. Du coup il m’a supprimé le clavier en arrivant sur le bureau Windows. C’est de bonne guerre. Lorsque je songe à tous ces utilisateurs de matériels en parfait état de marche, sans surprises, qui fonctionnent exactement comme prévu, je ne peux m’empêcher de réprimer un sourire amusé… Un bon PC devrait toujours être taquin, générant plus d’entropie dans notre modeste quotidien qu’il nous est possible d’imaginer. C’est notre capacité à y faire front qui nous différencie alors de la machine. La néguentropie peut donc prendre le dessus et nous sauver de l’aliénation totale.

Spelling error report

The following text will be sent to our editors: