Dans ce billet, je parlerai d'une expérimentation en cours que j'ai qui est d'utiliser YunoHost comme serveur de mails.

Mon instance YunoHost est un petit serveur autohebergé : comprendre un PC physiquement branché derrière ma Freebox (qui me sert de routeur et de connexion à Internet, en ADSL).

Introduction

YunoHost intègre les services Dovecot pour la gestion de l'IMAP et Postfix pour la gestion de la réception / envoi des mails. Ces services sont automatiquement configurés en fonction des domaines et des utilisateurs de ces domaines créés sur YunoHost, au niveau du serveur. Par défaut, avec les noms de domaines qui sont associés à l'instance YunoHost, pour chaque utilisateur, YunoHost crée un compte mail.

Dans le mail, il faut distinguer la réception de mail et l'envoi.
Réception de mail : j'écris à utilisateur@mondomaine.com, il faut que les serveurs de mails qui envoient les mails sachent où trouver la boite mail de réception. Pour ce faire, ils interrogent le champ MX des entrées DNS du domaine mondomaine.fr, ce qui donnent l'adresse IP du serveur à qui adresser les mails.
Envoi de mail : j'écris un mail depuis un client (Thunderbird) ou un webmail, le logiciel se connecte au serveur d'envoi (ici le service Postfix sur l'instance YunoHost) et envoie le mail au destinataire, en se basant sur le domaine indiqué dans le mail.
Dans les deux cas, c'est

Mise en place

Comme indiqué en introduction, la majorité de la configuration est déjà faite J'ai suivi les 3 pages de documentation suivantes de la documentation de YunoHost,à savoir :
Messagerie électronique
Configuration de la zone DNS
Configurer la redirection des ports

Modification et validation des DNS

J'ai modifié le champ MX de mon nom de domaine, loué chez Gandi, pour que l'adresse ne soit plus chez Gandi mais sur mon domaine.

Remarque : Gandi n'autorise pas l'usage de ses serveur de mail en tant que MX secondaire, il n'est pas possible d'avoir un autre serveur de secours le mail de Gandi lié au domaine.

Avant modification, si on fait la commande

On a en résultat

Ce sont les serveurs mails de Gandi qui gèrent la réception des mails envoyés depuis l'extérieur

Après modification du DNS et propagation (1h à 3h ou plus, tout dépend de la configuration initiale)

La machine derrière mondomaine.fr est devenue la machine de réception des mails.

Ouverture des ports

Dans la configuration de la Freebox, j'ai du ajouter la redirection des ports suivants vers le serveur YunoHost :
25 - SMTP : nécessaire pour que les serveurs Postfix parlent entre eux (cf un peu plus bas dans
587 - SMTP authentifié : nécessaire pour la connexion et l'envoi de mail depuis Thunderbird par exemple, via une connexion "depuis Internet"
993 - IMAP

Remarque : dans la configuration de ma Freebox, dans mon espace abonné Free, j'ai bien le blocage du SMTP sortant d'actif (blocage du port 25)

Pas de soucis car lors de l'envoi d'un mail, on peut voir que le port sortant est le port 587.

Avec 192.168.0.1 l'IP locale de mon serveur YunoHost, 587 le port utilisé en sortie sur ce serveur et 192.168.0.254 l'IP locale de la Freebox qui est le point de sortie.

Pour la réception des mails, envoi d'un mail depuis free.fr sur compte@mondomaine.fr

Avec
192.168.0.1:25 : requête sur le port 25 (postfix) du serveur de mail YunoHost
212.27.42.2:51185 : la machine smtp2-g21.free.fr (le test a été fait depuis un mail free.fr)

On a donc bien le serveur SMTP de Free qui a parlé à mon serveur de mails.

Autre test de réception, envoi d'un mail depuis mon adresse framasoft.org vers mon compte@domaine.fr

Avec
192.168.0.1:25 : le serveur de mail YunoHost
138.201.XXX.XXX:37907 : l'IP du serveur SMTP de Framasoft

On a donc bien le serveur mail de Framasoft qui parle là aussi sur le port 25.

Testé et fonctionnel

Envoi et réception à une adresse correct : monutilisateur@mondomaine.fr reçoit bien des mails envoyés depuis une autre adresse mail
Envoi et réception à une adresse incorrect : si on écrit à exitepas@mondomaine.fr, l'expéditeur reçoit par mail un message d'erreur lui indiquant que l'adresse n'existe pas
Réception en double dans une boite mail de secours : dans la partie gestion des comptes YunoHost, il est possible de définir un mail de secours. Les mails reçus sur le compte sont retransmis en copie sur ce compte de secours. Remarque : cela nécessite que le serveur soit fonctionnel vu que c'est lui qui fait le renvoi.

Webmail

L'application Roundcube s'installe comme n'importe quelle application et permet l'envoi, la consultation, le classement des mails, comme n'importe quel webmail.

Configuration d'un client mail comme Thunderbird

Depuis la version 3.1 (version stable mineure), YunoHost apporte Autoconfiguration des clients mails (e.g. Thunderbird) (#495 7)

Pour la configuration dans Thunderbird, il suffit donc d'indiquer son adresse mail utilisateur@mondomaine.com, son mot de passe YunoHost, et Thunderbird interroge le serveur et sait faire automatiquement sa configuration pour l'IMAP et le SMTP en utilisant les bons ports et les bons noms de serveurs. Pratique.

Non testé, à faire et en projet

Ce seront des sujets de billets de blog à venir je pense.
Regarder les entêtes des mails reçus (envoyés via le serveur YunoHost) pour voir les métadonnées du mail
Configuration DKIM, DMarc, SPF... : n'autoriser / ne certifier les mails envoyés via une adresse mondomaine.fr que les mails étant envoyés depuis le serveur YunoHost.
Envoi d'un mail sur des mails de GAFAM (Gmail, Hotmail - Microsoft, Yahoo) : normalement les mails sont reconnus à défaut comme SPAM.
Avoir un serveur mail de secours : si mon serveur ne marche plus pendant plusieurs jours, il faut qu'un serveur de mail autre soit un serveur temporaire qui puisse accueillir les mails.
Vérifier la bonne configuration du serveur postfix : valider qu'il ne peut pas être utilisé comme relais smtp
Surveillance et supervision des logs

Les dernières versions de Yunohost tournent sous Debian 9. Avec cette version de Debian, la version de nginx est la version 1.10. Cette version supportant le protocole http2, je me suis posé la question de est-ce que c'est activé ou activable et sinon, pourquoi ?

Quelques rappels sur http2

Http2 est une nouvelle version du protocole Http qui date de quelques années.

Http2 apporte les optimisations suivantes :
Compression des headers des requêtes et des réponses : cette optimisation conduit à la réduction de la bande passante lorsque les headers sont similaires.
le multiplexage des requêtes au serveur : de multiples informations passent alors via un seul tuyau de transmission.
Les requêtes sont effectuées simultanément par le navigateur

Http2 et Yunohost

Les différents fichiers de configuration nginx, que ce soit pour les domaines ou les sous domaines, se trouvent dans le dossier /etc/nginx/conf.d/

Dans les différents fichiers du type domaine.conf, j'ai commenté les lignes correspondant au http et ajouter des lignes pour http2.

Une fois les différents fichiers modifiés, on vérifie que l'on n'a pas fait d'erreur

Et on relance nginx

# service nginx restart

Amélioration à faire : pour pouvoir modifier tous les fichiers de configuration en même temps, un script à base de sed qui modifie les lignes.

Avec le protocole http 1.1, dans les logs, on peut voir des lignes du type

Avec le protocole http 2,

Ce qui permet de valider également que le protocole http2 est bien en place.

Limitation - problème connu

Comme indiqué en réponse à une question que j'ai posé dans le forum Yunohost.org There is just one known problem : curl installation. Indeed, http2 is incompatible with curl (at least we don't know any solution). So, you can't install wordpress if http2 is enable for example. But ofc, after installation, if you reenable is, it will work (same for upgrade).

Http2 est incompatible avec curl et il n'y a pour l'instant pas de solution. On ne peut donc installer Wordpress (ce qui nécessite curl) si http2 est activé dans la configuration de nginx. La solution est de créer un sous-domaine, ce qui générera une configuration nginx par défaut pour ce sous-domaine (sans http2 d'activé donc), d'installer l'application sur ce sous-domaine et ensuite, d'activer http2.

A voir ce qu'il en est lors des mises à jour des applications : les packages d'applications Yunohost utilisent curl (voir le contenu du script install.sh dans les applications) pour récupérer le code source officiel de l'application, il doit donc être nécessaire de repasser en mode http dans la configuration avant la mise à jour.

Gain de performance mais pas de benchmark

J'ai donc activé http2 dans les différents fichiers de configuration Nginx de Yunohost. J'ai utilisé rapidement avec les outils de développement web de Firefox pour voir les performances, mais par manque de temps et de motivation, je n'ai pas noté et fait un ensemble de tests et de métriques de type benchmark. Les quelques consultations du site et comparaisons avant / après, avec vidage de cache, montrent une amélioration / un peu plus de rapidité dans le chargement / affichage des pages. A voir avec le temps et l'usage, mais les premiers ressentis sont que les performances sont améliorées. Légèrement. A machine égale (un PC avec un Atom 1.6 Ghz, 2 Giga de Ram, autohébergé), les pages se chargent plus vite.

Thomas Limoncelli, comme beaucoup de personnes ayant un peu de notoriété, a une page Wikipedia en anglais qui permet d'en savoir un peu plus sur cette personne. Administrateur système depuis 1987, il est l'auteur de plusieurs livres sur l'administration système, dont 1 publié en première édition en 2001, dont la 3 ème réédition actualisée est sortie en 2016.

Thomas Limoncelli se base sur plus de 20 ans de carrières pour faire des livres de conseils et de retour d'expérience, généraliste et atemporel, que beaucoup recommandent. Ces livres, en anglais sont donc :
The Practice of System and Network Administration : Volume 1 : DevOps and other Best Practices for Enterprise IT4 novembre 2016
de Thomas A. Limoncelli et Christina J. Hogan
( The Practice of Cloud System Administration : DevOps and SRE Practices for Web Services, Volume 2 (Anglais) Broché – 3 septembre 2014
de Thomas Limoncelli
Time Management for System Administrators by Thomas A. Limoncelli (O'Reilly), 2005. Disponible en français sous le titre "Admin'sys : Gérer son temps... et interagir efficacement avec son environnement"

Des supports de ses conférences et des vidéos sont disponibles en ligne et reprennent synthétisent ces livres :
Tom Limoncelli's Top 5 Time Management Tips for SysAdmins/DevOps/Devs
Radical ideas from the book : The Practice of Cloud System Administration
Stealing the Best Ideas from DevOps : A Guide for Sysadmins without Developers

Avant de commencer ma critique, je voudrais citer l'introduction des cours d'Administration de réseaux de Marc Baudoin, enseignant à l'ENSTA ParisTech :

L'administration réseau, de même que l'administration système d'ailleurs, est une discipline qui ne s'enseigne pas. Ceci peut paraître paradoxal puisque ce document est le support d'un cours d'administration réseau, justement. Relativisons les choses, si l'administration réseau ne s'enseigne pas, en revanche, elle s'apprend et le but de ce cours est de donner aux élèves un minimum d'éléments leur permettant par la suite d'orienter leur apprentissage dans la bonne direction.

Pourquoi l'administration réseau ne s'enseigne-t-elle donc pas ? Tout d'abord, parce c'est un domaine bien trop vaste et qui évolue trop rapidement pour que quiconque puisse le dominer de la tête et des épaules. De plus, le nombre de matériels et de logiciels est trop important pour qu'on puisse en faire une étude sérieuse. De toute façon, chaque entreprise a fait ses choix dans ce domaine et les jeunes ingénieurs auront généralement à s'y plier.

En ayant ces idées clef en tête, on peut aborder sereinement la lecture de livres de Thomas Limoncelli. Et en effet, dans ces livres, aucune commande, aucun nom de logiciel ou presque. Ce ne sont pas des tutoriaux. Les technologies, les outils, sont présentés en tant que concept et sont donc logiciels agnostiques. Ainsi, les conseils sur les sauvegardes, la virtualisation, la gestion d'un serveur, des utilisateurs etc. De nombreux exemples détaillés et partage d'expérience, viennent répéter les propos : on a des redites régulières, mais c'est plus pour enfoncer le clou, être sûr d'avoir compris.

Étant donné l'état dans lequel je suis arrivé cet été, la lecture des ces livres pendant mes congés m'a beaucoup aidé. Ces livres sont très long à lire. 1200 pages par volume. Ca prend du temps. Mais celà m'a permis de voir qu'il y a des choses que je faisais bien et correctement en terme d'organisation. Et j'ai appris / eu des conseils. Sur comment gérer les interruptions régulières en cours de journées qui me perturbent dans mon travail quotidien d'administrateur système. Il y a beaucoup de choses qui sont des évidences, mais j'ai aussi beaucoup appris. Il y a pas mal de choses, des pratiques, des descriptions, des situations dans lesquelles j'ai reconnu ce que je vivais au quotidien et ai trouvé des solutions.

Chaque chapitre se termine par un résumé du type "qu'avons nous appris dans ce chapitre" suivi d'une série d'exercices /questions permettant la mise en place / d'appliquer les conseils donnés en se faisant sa propre opinion, expérience, analyse de l'existant... Et de vérifier les acquis / compréhensions.

Dans le cas du livre Time Management, les conseils sont très proches du lifehacking, avec les principes de Todo-liste etc., des méthodes pour s'organiser. Certains des conseils sont résumés dans un chapitre du volume 1 du livre. Là encore, des choses que je connaissais et mettais en pratique et des nouvelles méthodes et choses apprises qui me seront utiles.

Je cherchais un livre sur l'état de l'art de l'administrateur système, je l'ai trouvé. Je le redis : aucune commande, pas de noms de technologies de références, mais plus des conseils et une expertise, un partage d'expérience enrichissant.

Merci à Emmanuel Seyman pour la recommandation. MERCI.

Ce billet fait suite au billet publié début juillet Silence sur ce blog en juin.

Sur ce blog, parfois, je publie des billets qui sont très personnels, intimistes. Et à coté de ça, il y a des choses que je n'évoquerai jamais sur ce blog. Je sais qu'Internet n'oublie pas. Et pourtant, je voudrais parler de ma situation actuelle qui a fait que pendant tout l'été, ce blog est resté assez silencieux. De la même façon que des tutoriaux informatiques m'aident à progresser techniquement, le partage des expériences de vie m'aide à m'enrichir, à progresser, à me faire des avis et opinions sur des sujets, à réaliser certaines choses. De ce fait, je publie le présent billet pour partager, pour aider d'autres personnes à travers mon témoignage personnel. Car il faut en parler. Et ce dont il faut parler, c'est le burn-out.

Une ébauche de billet qui aurait dû m'alerté

J'ai retrouvé dans un coin, des notes, les débuts d'un brouillon de billet de blogs, écrit je ne sais quand, la date n'est pas exacte car remanié, synchronisé, la date du fichier n'est plus valable.

J'y avais écrit : Les semaines passent à un rythme bien chargé. Pas facile tous les jours mais ça me plaît. Le week-end, je passe à autre chose. Je n'ai plus le temps en semaine de faire autre chose que le travail. Je n'ai que peu de temps le week-end. Mes activités publiques comme les conférences s en ressentent. Le blog a moins de parution, des billets plus spécialisés (pas encore très technique) Le partage d expérience je l ai toujours fait alors je continue en témoignant sur ma progression avec ma série de billets sur comment je deviens sysadmin... Je prends les choses toujours autant avec passion mais je prends aussi du temps pour partager l'expérience apprise. Je prends ainsi du recul.

Côté personnel aussi il y a des petites choses que je n aborderai pas sur le blog. Pas mal de réflexions et évolutions personnelles, des choses que j ai pu comprendre en ce début d'année ; l'approche des 40 ans l année prochaine, la famille qui prend de l'âge avec les complications que cela entraîne. Autant de choses qui font que l on redéfinie ses priorités personnelles. C'est ça aussi la vie.

Côté réseau sociaux. Moins de temps. Pas envie de parler et de raconter ma vie (même si c est ce que je fais par le présent billet).

Le lifehacking continue mais à un niveau plus modéré. Plus pour les choses techniques. Pour le reste je prends le temps de vivre. Je prends du temps pour moi. Je n'ai toujours pas le temps de lire. Les transports sont mes moments de bulles avec les podcasts que je suis depuis des années. Le soir ce sont les séries télé que je suis année après année avec les marathons de saisons les une après les autres.

Cela tient plus du journal intime, mais montre différents constats, des réflexions à creuser, des préoccupations, une routine...

Burn-out

Je l'abordais dans ma conférence donnée à Passage en seine, fin juin 2018, le mois de juin a été une succession de ce que l'on appelle des burn-out. Des craquages nerveux, nécessitant que je m'isole, sur mon lieu de travail, à l'abri des regards, pour pleurer. J'ai discuté avec plusieurs personnes sur le pourquoi et les raisons, la principale étant abordé dans les billets de blog le métier passion et Tout intellectualiser écrit à la mi-mars lors du premier craquage nerveux. Et j'ai continué de travailler... Durant de long mois. Jusqu'en juin et un craquage par semaine. Comme dit dans ma conférence... dans ma conférence donnée à Passage en seine. Je ne referai pas ma conférence par écrit ici.

Je n'ai pas pris d'arrêt de travail, Juillet a été 4 longues semaines de remise en question, avec deux nouvelles phases de craquage. Je ne me suis pas fait aidé, je ne suis pas allé chez un médecin pour me faire arrêter. Tout le contraire de ce qu'il faut faire quand on est en burn-out.

Cette phase de malt-être dans ma vie c'est aussi ressentie sur ce blog : absence de publication hormis quelques billets rédigés en avance. Grande phase de vide sur l'été. Quand je n'écris pas, c'est généralement signe que je suis fatigué ou dans une mauvaise phase (je reviendrai sur le sujet en abordant celui de la cyclothymie dans un prochain billet en cours de rédaction), j'aurai du le voir. Je ne l'ai pas vu. Pas voulu le voir.

Quand le corps lâche

Un premier signe que j'aurai du voir, du fait que mon corps me lâchait, est l'accident suivant. Je prends le même chemin tous les jours. Et un jour de mai, j'ai buté, je suis tombé dans la rue. En avant. Je me suis complètement étalé. Pas de vertiges, rien. J'ai juste buté. Portant des lunettes, je me suis ouvert la peau sur le nez. J'étais sur le chemin de la gare, pas loin de l'hôpital de la ville. Je préviens mon employeur, passage par la case des urgences. On me soigne, coupure de la peau arrachée, deux semaines de pansement sur le nez. J'avais un arrêt de travail de deux jours mais je suis allé au travail. De cet accident, j'en ai gardé une cicatrice, discrète, mais qui chaque matin me rappelle dans le miroir que je suis tombé, je me suis relevé et que j'ai continué comme si de rien n'était.

Le signe de trop

Chez moi, extériorisation de ma colère est de taper du poing dans un mur ou dans une porte. Je m'isole, je pleure, et je tape dans un mur. Une à plusieurs fois. Je frappe sans me faire mal, je retiens mon coup, je ne veux pas me blesser. Aucune volonté d'automutilation, juste une extériorisation de la colère. Et je ne veux pas que ça laisse de trace sur moi, qu'on sache que je ne suis pas bien. J'ai déjà fait ça dans des phases difficiles de ma vie, durant mes craquages de juin, une fois par semaine, j'ai eu la même réaction : je m'isole, les escaliers de secours de l'immeuble sont bien pour ça...

Et en juillet, quand je pensais que ça allait mieux, 10 jours que je n'avais pas craqué, j'ai eu une nouvelle phase où ça n'a pas été. Rite devenu habituel, je m'isole, je ferme le poing, je tape. Quand l'index de ma main a gonflé et est devenu violet, j'ai compris que c'était le signe que mon corps me lâchait une fois de plus. J'avais cassé quelque chose. Passage par l'infirmerie du bâtiment, glace, le doigt bouge et dégonfle. Discussion avec l'infirmière sur le suivi nécessaire, l'urgence d'arrêter tout et de me faire soigner physiquement et psychologiquement. Mon doigt bouge, dégonfle, est bandé. C'est presque la fin de journée. Au lieu de prendre mes affaires et partir, je suis retourné travailler comme si de rien n'était, de même pour le lendemain. Mon doigt est gonflé, deux fois plus que la normal, mais bouge, je sens une gène mais ça va. J'ai continué de travailler jusqu'à mes vacances début août.

Dans les jours et semaines qui ont suivi, et encore aujourd'hui, quand j'écris ces lignes durant mes vacances, quand je plis le doigt, je sens une légère douleur qui me rappelle jusqu'où je suis allé.

Vacances - Retour aux sources

Peu de personnes le savent, je ne sais pas si j'ai déjà abordé le sujet. Ma mère est Polonaise et j'ai donc passé tout mes été d'enfance et d'adolescence dans un tout petit village au milieu de nulle part dans la campagne polonaise. Quand je parle à des Polonais de la région où je vais, au Nord de la capitale et au sud de de la région des grands lacs, tous me disent "Mais il n'y a rien là-bas". J'aurais plein de choses à raconter sur ma vie là-bas, l'évolution entre le Pologne des années 80 et celles d'aujourd'hui, le passage des frontières et du rideau de fer, la pauvreté, l'alcoolisme, la vie dans un petit village avec les commérages, les rumeurs, la vie au rythme des saisons des paysans... Tout ça a fait une partie de celui que je suis. Mais tout ça ce sont plein d'autres histoires...

Adulte, je retourne donc en Pologne dans le village où est ma famille maternelle, tous les 3-4 ans, tandis que mes parents continuent d'y aller chaque été depuis 40 ans. Quand les vacances sont venues, comme j'avais prévu de partir quelques jours avec mes parents, je suis parti avec eux. J'avais besoin, du fait de mon burn-out, de faire un retour aux sources. De revenir aux fondamentaux.

Sur la route

Deux jours de voyages, 2 fois 10 heures de route. 1700 km. Deux jours passer à essayer de me vider l'esprit. Chaque kilomètre d'autoroute absorbe un peu du stress cumulé ces derniers mois. Ma mère lit un livre, mon père conduit (et refuse de laisser quelqu'un autre conduire). Moi je regarde la route et me vide la tête. Je pense à mes souvenirs d'enfance, aux personnes que j'ai connu, à tous ces cousins - du côté de ma mère, chaque génération précédent la mienne a eu en moyenne 5 enfants et donc j'en ai des cousin.e.s... Au village qui se vide, où disparaissent peu à peu les personnes âges, à ma grand-mère passée dans la génération des arrières grand-parents, à mes parents que mes neveux nièces appellent "djadek" et "babtcha", volonté de se rappeler d'où on vient. Je me vide la tête. L'asphalte se déroule sous les pneus et c'est une sorte d'exutoire.

Sur place

Sur place, modernité oblige et vive le roaming, j'ai Internet en 3G sur le smartphone, je ne me déconnecte pas. Je garde un lien avec ce que j'aime, l'actualité informatique, les réseaux sociaux pour avoir des nouvelles des copains.copines des Internet...

Mais enfin, je me déconnecte du boulot. Je pense de moins en moins au boulot. Je ne regarde pas mes mails. Je me le suis interdits. Et je tiens. J'ai été et je suis un workoolic (contraction de work et alcoolic en anglais) : tel un alcoolique qui ne boit plus et ne touchera pas de verre, même pas un, je ne regarderai pas un mail, pas une seule fois.

Le retour aux sources, c'est aussi pour moi de revenir à qui est Genma. Le Genma qui s'est fait mangé par sa passion. Là, j'ai du temps pour me poser, réfléchir. Le temps s'est arrêté. On vit à un rythme différent : lever au son du coq avec le soleil, coucher à la nuit tombée avec les poules (ce ne sont pas que des expressions), la sortie du jour étant d'aller en ville faire quelques courses et d'aller voir de la famille. Ballade dans un village désertifié. Le vide dans les journées passées avec la famille, pendant des heures à parler de tout et de rien. Et mon esprit se vide.

Vacances

J'ai donc passé 3 semaines en vacances - qui aurait du être trois semaines d'arrêt maladie. Plusieurs fois par jour, j'ai pensé au boulot, à ce qui pouvait se passer. Quand je me suis connecté depuis un PC pour aller sur Internet, j'ai dû résister à l'envie d'aller jeter un coup d'oeil à l'outil de supervision aux mails, à celle d'allumer le téléphone pro pour regarder si je n'avais pas des messages urgents. Mais j'ai tenu bon.

Et pourtant, je sais l'addiction au travail, le stress, ne sont pas loin. J'ai eu plusieurs fois où je me suis réveillé la nuit avec une phase d'insomnie. Signe qu'à tout moment je pouvais replonger et ces trois semaines de coupure étaient on ne peut plus nécessaire. Et signe que comme je le dis, j'ai passé 3 semaines en vacances qui aurait dû être trois semaines d'arrêt maladie pour ensuite avoir de vraies vacances.

Conclusion

Quand ce billet sera publié, j'aurai repris le travail. Avec mon recul des 3 semaines, toutes ces heures passés à réfléchir, mon sevrage, j'espère pouvoir repartir sur de bonnes bases. Mais je sais aussi qu'au moindre nouveau signe, je me ferai aider. J'irai voir mon médecin. La prise de recul m'a permis de prendre aussi le courage de savoir que, si je ne suis pas bien, je dois me faire aider. Pas de honte, pas de tabou. Juste un humain qui a besoin de se préserver.

Après mes trois articles Comment vérifier l'intégrité d'un fichier que l'on télécharge ?, Comment vérifier l'intégrité de Firefox quand on le télécharge ?, et Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?, voici des petites explications sur comment cela marche au niveau du gestionnaire de paquets sous Debian/Ubuntu.

Rq : ce billet est une vulgarisation (et donc une simplification) ; il se veut accessible à tous et peut de ce fait contenir des approximations.

Vérification d'authenticité des paquets

Pour cette partie, je citerai le Cahier de l'administrateur Debian et plus précisément cette page http://debian-handbook.info/browse/fr-FR/stable/sect.package-authentication.html

Debian offre un moyen de s'assurer que le paquet installé provient bien de son mainteneur et qu'il n'a subi aucune modification par un tiers : il existe un mécanisme de scellement des paquets.

Cette signature n'est pas directe : le fichier signé est un fichier Release placé sur les miroirs Debian et qui donne la liste des différents fichiers Packages (y compris sous leurs formes compressées Packages.gz et Packages.bz2 et les versions incrémentales), accompagnés de leurs sommes de contrôle MD5, SHA1 et SHA256 (pour vérifier que leur contenu n'a pas été altéré). Ces fichiers Packages renferment à leur tour une liste de paquets Debian et leurs sommes de contrôle, afin de garantir que leur contenu n'a pas lui non plus été altéré.

La gestion des clés de confiance se fait grâce au programme apt-key, fourni par le paquet apt. Ce programme maintient à jour un trousseau de clés publiques GnuPG, qui sont utilisées pour vérifier les signatures des fichiers Release.gpg obtenus depuis les miroirs Debian. Il est possible de l'utiliser pour ajouter manuellement des clés supplémentaires (si l'on souhaite ajouter des miroirs autres que les miroirs officiels) ; mais dans le cas le plus courant, on n'a besoin que des clés officielles Debian, qui sont automatiquement maintenues à jour par le paquet debian-archive-keyring (qui installe les trousseaux de clés dans /etc/apt/trusted.gpg.d).

On voit donc ici que GPG est utilisé pour valider la signature des différents paquets. Quand on ajoute un nouveau dépôt (de backport par exemple), c'est pour celà qu'il faut également télécharger la clef publique du dépôt, car elle est utilisée pour valider et vérifier l'intégrité des paquets .deb qui sont téléchargés.

Si quelqu'un modifie les fichiers sans modifier la signature et la clef fournie, le fichier sera considéré comme corrompu. Ce n'est pas une sécurité ultime, mais cela apporte un peu plus de sécurité qu'un simple téléchargement sans qu'aucune vérification ne soit faite.

Debsum

debsums Vérifie les fichiers des paquets Debian installés grâce à une liste des sommes de contrôle MD5 de /var/lib/dpkg/info/*.md5sums. debsums peut générer des listes de sommes de contrôle à partir des archives deb pour les paquets n'en possédant pas.

Autre programme, debsums. Intéressant, mais comme il est précisé dans la page de man debsums est d'une utilité limitée en tant qu'outil de sécurité, à moins que le programme et tous les outils apparentés (dpkg, perl, Digest::MD5, etc.) soient lancés d'un média reconnu comme sûr (comme un cédérom de secours bootable, voir l'option —root) et que les sommes de contrôle aient étés calculées à partir des fichiers .deb (—generate=all) présents sur ce média ou certifiées en utilisant l'option —md5sums."

C'est un peu le serpent qui se mort la queue : il faut lancer une version déjà vérifié de debsums et des outils Debian associés pour pouvoir valider les autres paquets déjà installés... Or les outils Debian sont eux-même installés par des paquets... Le plus simple est lors de l'installation, d'avoir validé/vérifié l'intégrité du support d'installation (iso, dvdrom...) et ensuite, on utilisera Debsum pour les paquets nouvellement installés (par installation à la demande ou mise à jour).