PROJET AUTOBLOG


Le blog de Genma

Site original : Le blog de Genma

⇐ retour index

Mettre à jour le firmware de sa Nitrokey FIDO2

jeudi 1 janvier 1970 à 01:00

Introduction

En juillet 2020 je publiais un article sur lesNitrokey, clefs USB opensource comme 2nd facteurs d'authentification. Depuis cet article, je continue de suivre l'actualité autour des Nitrokey, j'utilise depuis ma clef Nitrokey FIDO2 comme second facteur d'authentification pour certaines de mes instances Nexctcloud.

Une nouvelle version du firmware

Une nouvelle version du firmware est sortie et a été annoncée sur le site de Nitrokey Nitrokey FIDO2 Firmware 2.0 Update ainsi que sur le dépôt Githun dans la section correspondant : Github de Nitrokey - nitrokey-fido2-firmware.


Afin de pouvoir utiliser encore mieux le Nitrokey FIDO2, nous avons développé un nouveau firmware 2.0 avec les nouvelles fonctionnalités suivantes :
- Meilleure intégration avec Microsoft Azure Active Directory, en utilisant AAGUID dans le certificat d'appareil.
- Prise en charge d'OpenSSH (à partir de la version 8.3), par ex. pour l'administration des serveurs Linux.
- Gestion du code PIN et des clés via Google Chromes Security Manager.

Vous trouverez plus de détails techniques dans nos notes de publication https://github.com/Nitrokey/nitrokey-fido2-firmware/releases/tag/2.0.0.nitrokey

Un message d'avertissement figure aussi sur le site :
Note : this update clears all the resident keys saved on the device. While FIDO U2F and FIDO2 registrations were tested to work after the update, please make sure you have alternative way of confirming identity on all registered services before making the update.

que je traduirai par


Remarque : cette mise à jour efface toutes les clés résidentes enregistrées sur l'appareil. Bien que les enregistrements FIDO U2F et FIDO2 aient été testés pour fonctionner après la mise à jour, veuillez vous assurer que vous disposez d'un autre moyen de confirmer l'identité de tous les services enregistrés avant d'effectuer la mise à jour.

Par précaution, j'avais désactivé la clef de mes instances Nextcloud comme 2nd facteur avant de le réactiver suite à la mise à jour du firmware.

Procédure de mise à jour

C'est assez simple. Il faut se rendre sur le site update.nitrokey.com, suivre les instructions (uniquement en anglais). Je mets ci-dessous quelques captures d'écrans des étapes les plus marquantes de cette mise à jour de firmware.

On branche la clef, on la touche quand elle clignote (conformément aux instructions), on attend sans rien faire sur le PC et on voit la progression de la mise à jour.

Si on rebranche la clef et qu'on relance la mise à jour, la clef étant à la dernière version, il ne se passe rien.

L'interface web propose également des informations techniques complémentaires :

Disponibilités des codes sources

Opensource oblige (le concept du produit), le code source du firmware est disponible sur Github https://github.com/Nitrokey/nitrokey-fido2-firmware/.

Le code source de l'application qui fait les mises à jour derrière l'adresse https://update.nitrokey.com est également disponible sur Github Nitrokey - Github - nitrokey-webupdate.

Yunohost - Les mails ne marchent plus d'un seul coup

jeudi 1 janvier 1970 à 01:00

Depuis Thunderbird ou depuis un webmail (application Roundcube ajoutée à mon Yunohost), d'un seul coup, je ne pouvais pas accéder à mes mails. Erreur de mot de passe, alors que le mot de passe me permet de me connecter via le SSO et d'accéder aux différentes applications.

Dans les logs, dans le fichier /var/mail/log, je trouve la ligne :

imap-login: Disconnected (auth failed, 2 attempts in 8 secs): user=, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, TLS, session=

Dans l'interface d'administration de Yunohost (interface graphique), une fois que je me rends sur la fiche de mon utilisateur, en haut, dans la zone d'affichage des messages, j'ai le message suivant :

"La boîte aux lettres est désactivée pour l'utilisateur genma"

Je cherche un peu sur la fiche de mon utilisateur, dans le champ Quota de la boite aux lettres, le quota n'est pas à 0 (ce qui est une condition qui désactive la boite mail).

Je regarde donc en ligne de commande pour changer le quota :

# yunohost user update genma -q 1000M
Success! User info changed
Warning: E-mail turned off for user genma
firstname: Genma
fullname: Genma Kun
lastname: Kun
mail: genma@XXXXXXXXXX
mail-aliases:
- root@XXXXXXXXXX
- admin@XXXXXXXXXX
- webmaster@XXXXXXXXXX
- postmaster@XXXXXXXXXX
- root@XXXXXXXXXX
mail-forward: genma@XXXXXXXXXX
mailbox-quota:
limit: 1000M
use: ?
username: genma

La ligne importante

Warning: E-mail turned off for user genma

Recherche sur le forum

Je recherche dans la documentation, le forum de Yunohost : rien de concluant. Aucun message lié ou correspondant à mon problème.

En comparant avec une autre instance, j'ai pu trouvé la source du problème...

La cause du problème et la solution

Une fausse manipulation avait enlevée la permission "e-mail" sur mon utilisateur. Je l'ai rajouté et ça marche de nouveau. Cf la capture d'écran ci-dessous :

C'était tout bête mais il faut le savoir !

Documentations complémentaires

- Sur la partie permission liées aux utilisateurs et aux applications
- D'une façon générale sur les mails

Amber Pro - Conclusions 6/6

jeudi 1 janvier 1970 à 01:00

Reste à faire, à venir un peu plus tard

Il faudra que je rédige un article dédié sur Nextcloud en conteneur Docker, avec une vision auto-hébergement, redirection de port... Cela va me prendre un peu de temps et ce sera donc publié ultérieurement, en dehors de cette publication régulière de 6 premiers articles. Il est probable que dans quelques semaines ou mois, je publie un ou plusieurs billets liés à des expérimentations de cet appareil, un retour d'expérience après un un usage quotidien (sur plusieurs semaines / mois).

Conclusions

Cette série de billet est finie. Je pense qu'elle est assez longue et présente bien le produit et que j'ai tenu mon engagement de rédiger une série de billets de blog en contrepartie de pouvoir garder un appareil d'une certaine valeur (plusieurs centaines d'euros, prix du marché). J'aurai pu écrire encore plus de pages et de billets, mais je ne le ferai pas de suite.

Pour aller plus loin et si cet appareil vous intéresse, sachez qu'il y a beaucoup d'informations dans la FAQ, qui est très riche et complète (uniquement en anglais). Cet appareil est cher, mais il faut comprendre qu'il cumule les fonctionnalités de plusieurs appareils : NAS, Routeur, mini-serveur. Il n'est pas destiné à un marché de particulier mais plutôt des professionnels de type PME, qui n'ont pas un informaticien geek bidouilleur sous la main.

LatticeWork une startup avec une volonté de bien faire les choses

J'écrivais dans mon tout premier billet que LatticeWork une startup.

Le produit physique est abouti, la partie logicielle l'est tout autant. La liste des actions à faire, dans la FAQ How do I keep my data safe with Amber ?

Il existe plusieurs façons de protéger vos données avec Amber:
Évitez d'enregistrer les mots de passe de connexion pour accéder à Amber
Utiliser des mots de passe forts et complexes pour tous vos utilisateurs
Mise à jour constante de votre mot de passe
Crypter le volume pour une protection supplémentaire
Activer la protection DoS à partir du panneau de configuration
Créer des règles de pare-feu

montre la volonté omni-présente d'avoir un élément différenciant.

Pour finir, leur promesse "Host your own cloud for both Business and Private use" soit "Hébergez votre propre cloud pour un usage professionnel et privé" me semble tenu !

Amber Pro - faire tourner des conteneurs docker dont Nextcloud 5/N

jeudi 1 janvier 1970 à 01:00

Ce billet est le cinquième de la série dédiée à l'appareil AmberPRO.

Introduction

Sur le site Internet, Amber Pro est présenté ainsi :

Hébergement d'applications avec Docker : Étendez les capacités d'Amber avec vos propres applications conteneurisées ou des milliers d'applications existantes disponibles sur dockerhub.com.
Passez d'Amber à AmberPRO
AmberPRO est un service optionnel qui permet d'activer Docker sur votre Amber.
Avec Docker sur AmberPRO, vous pouvez installer des applications de conteneurs avec vos spécifications.

L'interface d'AmberPRO

AmberPro se présente comme une application intégrée dans AmberOS, avec ses propres écrans. Ces écrans présentent les fonctionnalités relatives aux conteneurs dockers et nécessaires à leurs mises en place et paramétrages : téléchargement de l'image, lancement / arrêt d'un conteneur, stockage associé au conteneur, configuration réseau du conteneur pour un accès depuis le réseau local.

Des vidéos Youtube ?

Des vidéos Youtube présentent en moins de deux minutes l'interface et les fonctionnalités liées à AmberPRO :
- AmberPRO - Edge Computing for Everyday Business
- AmberPRO install Nextcloud in minutes
- Amber Anywhere in seconds

Cas concret - lancement d'un conteneur Nextcloud dans Docker

Les étapes sont très simples :
1. Lancez AmberPRO pour créer un nouveau conteneur.
2. Nommez votre conteneur.
3. Mappez les ports et les dossiers du conteneur.
4. Nextcloud est prêt sur le réseau local.

En effet, l'application a alors une IP dédiée (fournie par le routeur par défaut, l'appareil en lui-même si il est en mode routeur, le routeur du réseau si l'appareil est en mode Bridge/Pont).

Des vidéos Youtube ?

Des vidéos Youtube présentent en moins de deux minutes l'interface et les fonctionnalités liées à AmberPRO :
- AmberPRO - Edge Computing for Everyday Business
- AmberPRO install Nextcloud in minutes
- https://www.youtube.com/watch?v=j25kMc6fDtw&feature=youtu.be

Lors de l'événement Nextcloud Conference 2020, 2 ème journée, JJ (mon contact au sein de la société qui m'a fourni l'appareil en contre-partie de cette série de billets de blog) est intervenu dans un lightning talk intitutlé "Edge Computing Solutions to Streamlinge your HomeOffice Workflow". Il est possible de visionner son intervention en ligne ici Livestream of the Nextcloud Conference 2020 Day 2 A partir de 7:08:00 jusqu'à 7:14:27 (7 ème heure).

Remarque : sur l'usage de Nextcloud en tant que conteneur Docker, les possibilités et limites, la réactivité etc. je ferai un billet dédié sur le sujet.

Amber Anywhere

Pour accéder à ces conteneurs en dehors du réseau local et de façon plus simple que via une adresse IP du réseau local (rappel, on est derrière le routeur), Amber présente des fonctionnalités dédiées.

La fonctionnalité Amber Anywhere permet aux applications Docker exécutées sur Amber local d'obtenir une URL publique sécurisée gérée par les serveurs OnAmber.cloud (URL publique : une entrée DNS avec un sous-domaine sur le domaine géré par la société derrière Amber).

La promesse d'Amber Anywhere, est de pouvoir accéder à AmberPRO depuis n'importe où.
1. Sans tracas - Aucune configuration de réseau local nécessaire.
2. Éliminez la DMZ, le DNS et la redirection de port.
3. Connectez AmberPRO en tant que serveur Home Office avec un tunnel sécurisé

Dans le billet dédié sur l'auto-hébergement, je verrai s'il est possible de passer outre l'usage de ce service, payant. Ce service est une valeur ajoutée et une offre clef en main de la solution.

Amber Pro - la fonctionnalité routeur 4/N

jeudi 1 janvier 1970 à 01:00

Ce billet est le quatrième de la série dédiée à l'appareil AmberPRO.

3 prises réseaux

L'appareil est doté de trois prises réseaux : une dite WAN (pour brancher vers Internet) et deux dites LAN : pour un réseau local ; l'appareil sera alors de "switch" pour brancher d'autres appareils.

Interface d'administration du routeur

L'administration de la partie routeur de l'appareil se fait via une interface dédiée, séparée de la partie AmberOS, que ce soit au sein de l'application mobile ou de l'accès via un navigateur. Les configurations réseaux avancées (comme le parefeu par exemple) se font toutefois dans AmberOS. L'interface est en français, assez simple mais complète, comme en témoigne les captures d'écran ci-dessous.

Un mode routeur par défaut

L'appareil est mode routeur par défaut. Comme expliqué dans le premier billet d'introduction, ce type d'appareil est avant tout destiné à simplifier la création d'un réseau local. On le branche derrière un modem ADSL ou fibre, via la connexion WAN. Le routeur crée alors un réseau local sur les prises LAN, fait office de serveur DHCP pour les appareils du réseau local. Ce, en filaire (prise LAN) et via le réseau Wifi créé par l'appareil.

Désactiver le mode routeur

Pour avoir une machine vu comme un périphérique réseau local, il y a la possibilité de désactiver le mode routeur

Go to WAN, change connection mode to Bridge Mode and click Apply.
Note: Once bridge mode is switched router will reboot and DHCP will be done by the primary router.

Dans l'application ou sur l'interface d'administration dans la partie configuration du routeur, il faut choisir "Pont" dans l'application en français (paramétrage Wan)

L'appareil et ses deux prises Ethernet LAN servent alors de "switch" pour brancher d'autres appareils, qui sont alors sur le même réseau local.
Une fois le mode routeur désactivé, l'appareil voit associées à sa carte réseau deux IP, fournies par le DHCP de mon réseau local (la Freebox), pour son interface réseau WAN :
- une pour l'interface de gestion du NAS ;
- une pour l'interface de gestion du Routeur à proprement parler ;

IPv6 ?

Remarque importante : les adresses IP sont des IPv4 locales, il n'y a pas d'adresse IPv6. Je ferai un billet dédié sur son usage dans le cadre de l'auto-hébergement, accès à distance, où je reprendrai ce point.

Le réseau Wifi

Le réseau Wifi se présente sous la forme de deux réseaux, sur deux bandes distinctes 2.4GHz / 5GHz Dual-Band Wi-Fi (802.11 a/b/g/n/ac). Il y a la possibilité de réduire la puissance à 25% de la puissance maximum ; pas de réglage plus fin (si ce n'est que de désactiver l'un des deux réseaux wifi ou les deux).

Il existe également la possibilité de créer un réseau Wifi invité.

WPS

Il y a un bouton poussoir associé à une fonctionnalité à activer dans l'interface d'administration de la partie routeur. Il s'agit d'une fonctionnalité de WPS, Wi-Fi Protected Setup (WPS), qui est un standard de réseau local sans fil destiné à la configuration sécurisée d'un équipement à une borne Wi-Fi. Le but du protocole WPS est de simplifier la phase de configuration de la sécurité des réseaux sans fil[1]. Il permet à des particuliers ayant peu de connaissances sur la sécurité de configurer un accès WPA, supporté par les appareils Wi-Fi.

Je n'ai pas testé (pas encore) cette fonctionnalité au moment de l'écriture du présent billet.

Un vrai routeur

J'écrivais en introduction qu'un appareil tout en un, intégrant une fonctionnalité de routeur dans un environnement où on a déjà un routeur (la box ADSL du FAI), n'apportait pas grand chose. Mais à la réflexion, les possibilités d'avoir un vrai routeur avec un firewall me font réfléchir pour redéfinir et retravailler mon réseau local, en remplaçant ma Freebox. Je verrai pour faire un mini-projet perso sur le sujet et s'il prend forme, un billet de blog ultérieurement.