Category Archives: Technologies

  • 0

Installing PHP 5.6 on CentOS 7 for WordPress 5.2

Category:Linux,Performance,Security,Technologies Tags : 

To install PHP 5.6, you have to install and enable EPEL and Remi repository to your CentOS 7 system using the commands below.

yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm

Next, install yum-utils which is an assortment of utilities that integrate with yum to enhance its default features, giving it more advanced package management options and also making it easier to use.
A few of its important features include manipulating repositories, enabling or disabling packages on the go and lots more, without any manual configurations.

yum install yum-utils

One of the most important program provided by yum-utils is yum-config-manager, which you can use to active Remi repository as the default repository for installing various PHP versions.

yum-config-manager --enable remi-php56

Now that you’ve enabled selected versions of PHP, you can install PHP with all needed modules as follows

yum-config-manager --enable remi-php56
yum install php php-mcrypt php-cli php-gd php-curl php-mysql php-ldap php-zip php-fileinfo

⇒Reboot
Afterwards, double check the installed version of PHP on your system.

php -v

You can upgrade to WordPress 5.2


  • 0

Secure SSH with Google Authenticator Two-Factor Authentication on CentOS 7

Category:Linux,Non classé,Security,Technologies Tags : 

SSH access is always critical and you might want to find ways to improve the security of your SSH access.

In this article we will see how we can secure SSH with simple two factor authentication by using Google Authenticator. Before using it you have to integrate the SSH daemon on your server with Google Authenticator one time password protocol TOTP and another restriction is that you must have your android phone with you all the time or at least the time you want SSH access

First of all we will install the open source Google Authenticator PAM module by executing the following command on the shell.

yum install google-authenticator

The next step is to get the verification code. It’s a very simple command to get the verification code and scratch codes by just answering simple questions of server which he will ask you.

google-authenticator
Do you want authentication tokens to be time-based (y/n) y

You will get an output like the following screenshot which is being displayed to help you step by step as this step is very important and crucial.

Write down the emergency scratch codes somewhere safe, they can only be used one time each, and they’re intended for use if you lose your phone.

Do you want me to update your "/root/.google_authenticator" file? (y/n)y
Do you want
to disallow multiple uses of the same authentication token? This restricts you
to one login about every 30s, but it increases your chances to notice or even
prevent man-in-the-middle attacks (y/n) y
By default, a new token is generated every 30 seconds by the mobile app. In order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. This allows for a time skew of up to 30 seconds between authentication server and client. If you experience problems with poor time synchronization, you can increase the window from its default size of 3 permitted codes (one previous code, the current code, the next code) to 17 permitted codes (the 8 previous codes, the current code, and the 8 next codes). This will permit for a time skew of up to 4 minutes between client and server.
Do you want to do so? (y/n) y
If the
computer that you are logging into isn't hardened against brute-force login
attempts, you can enable rate-limiting for the authentication module. By
default, this limits attackers to no more than 3 login attempts every 30s. Do you want
to enable rate-limiting? (y/n) y

Now download Google authenticator application – or much better Authy – on your Mobile phone, the app exists for Android and Iphone. Well I have Android so I will download it from Google Play Store where I searched it out just by typing « google authenticator » or « Authy ». « Authy » is able to backup your accounts in their Cloud in case you loose your phone…

Scan the code above with your authenticator. The Account Name should be named like root@www.ordi.ch

The next step is to change some files which we will start by first changing /etc/pam.d/sshd.

nano /etc/pam.d/sshd

Add the following line to the bottom of line:

auth required pam_google_authenticator.so 

–> Save the file

Change the next file which is /etc/ssh/sshd_config.

nano /etc/ssh/sshd_config

Add the following line in the file and if its already placed then change the parameter to « yes »:

ChallengeResponseAuthentication yes 

–> Save the file

Now restart the service of ssh by the following command:

service sshd restart

Last step is to test the service by connecting with SSH to the server to see if it will require verification code. You can see the following screenshot which shows the verification code that keeps on changing time after time and you have to login with it:

Maria Perez


  • 0

Une qualité parfaite des vidéos Netflix sous Linux

Category:Linux,Technologies Tags : 

Avertissements: A vos risques et périles Msieursd’ames ;>)

Les vidéophiles l’auront constaté…

Visionner Netflix sur Windows en 1080P est d’une simplicité déconcertante sous Windows: Il suffit d’utiliser Internet Explorer ou Edge. Sous OSX, Safari en fera de même, et si les drivers sont un minimum à jour dans ces environnements, la fluidité sera assurée.

Concernant Linux, c’est bien plus pénible: Firefox ou Chrome sont limités en 720P. De plus, de nombreux problèmes Vsync apparaissent, qui rendent l’image atroce, genre une zone qui apparaît au milieu des scènes rapides et traumatise l’expérience vidéo de la chaîne VDO au point que n’importe quelle personne la moindre cinéphile jurera que l’on ne l’y reprendra plus…

Sans compter que voir une vidéo en 720P sur un écran 1080P natif de 24 pouces est affligeant par rapport à ce que l’œuvre pourrait délivrer dans son format natif.

Et pourtant, tous ceux qui regardent Netflix depuis l’application idoine sur leurs Smart TV utilisent généralement sans le savoir aussi Linux, et ci cela fonctionne dans ce cas, on imagine qu’il doit en être de même sur leurs ordinateurs.

Il est difficile de trouver des solutions à tous les problèmes sous Linux, tant les environnements sont différents et complexes.

D’un côté nous avons les paramètres afférents au noyau, ensuite le serveur graphique utilisé, puis l’environnement de présentation, et enfin des paramètres sur le compositeur vidéo.

Donc, je vais vous indiquer ce qui a fonctionné pour moi, et peut être cela sera t’il utilisable sur d’autres environnements. Sauvegardez votre système préalablement !

Configuration Linux

OS Kubuntu 18.04 LTS
Kernel 4.17 RC5
Environnement graphique KDE Plasma
Carte vidéo GeForce GTX 1070
RAM 8192 MB
Ecran 1 DELL U2415 1920 X 1200
Ecran 2 Fujitsu P24W-5 ECO 1920 X 1200
Driver Nvidia Propriétaire 396.24

Détecter son matériel

Détecter le modèle de sa carte ainsi que les drivers recommandés

root@Linux-All-Series:~# ubuntu-drivers devices
== /sys/devices/pci0000:00/0000:00:01.0/0000:01:00.0 ==
modalias : pci:v000010DEd00001B81sv00001043sd00008598bc03sc00i00
vendor   : NVIDIA Corporation
model    : GP104 [GeForce GTX 1070]
driver   : nvidia-driver-390 - third-party free
driver   : nvidia-driver-396 - third-party free recommended
driver   : xserver-xorg-video-nouveau - distro free builtin

Installation des drivers Nvidia propriétaire

Ajouter le repository officel de Nvidia

sudo add-apt-repository
ppa:graphics-drivers/ppa

Update du repository et installation des drivers Nvidia

sudo apt update

sudo apt install nvidia- et presser sur <TAB> pour afficher les différentes versions disponibles

Choisissez par exemple la version de driver nvidia-396, donc

sudo apt install nvidia-396

Au redémarrage, vous devrez trouver l’utilitaire Nvidia disponible sur votre système Linux.

Paramètres matériel / Affichage et écran

Paramètres standards

Paramètres matériel / Compositeur

Vitesse d’animation : Ultra-rapide

Méthode de mise à l’échelle : Précise

Moteur de rendu : OpenGl 3.1

Prévention de déchirement VSYNC : Rafraîchissement de tout l’écran

Conserver les vignettes des fenêtres : Toujours

Avec cela, on a déjà réglé une partie du problème, mais ce n’est pas terminé.

Passer en mode super-utilisateur

sudo -s

Créer le fichier suivant :

nano /etc/profile.d/Tearing.sh file

Le contenu doit être

export KWIN_TRIPLE_BUFFER=1

Rendre le fichier exécutable

chmod +x /etc/profile.d/Tearing.sh

Redémarrer

Note : Si cela n’apporte pas d’amélioration, il est possible de remplacer le contenu du fichier par une autre commande, à essayer donc :

export __GL_YIELD="USLEEP"

Naviguateur Chrome

Comme indiqué, Chrome limite la vidéo à 720P, mais cela est contournable avec une extension qui indique un useragent particulier, CrOS (On imagine bien qu’il s’agit de Chrome OS…) ainsi que quelques paramètres spécifiques.

Donc sous Chrome, installer l’extension suivante :

Netflix 1080p

Important : Ensuite, il faut entièrement vider le cache de Chrome, puis redémarrer Chrome.

Et cette fois, le contenu Netflix apparaîtra en 1080P, sans aucuns problème d’affichage ou de rafraîchissement. Aussi bien, voir mieux que dans Edge;>)

En pressant sur les touches

<SHIFT>+<CTRL>+<ALT>+<D>

On devra avoir la confirmation que nous sommes bien en 1920X1080

C’est gagné ! Plus besoin de rebooter sous Windows pour regarder Netflix.

Notez que ces paramètres corrigeront également les problèmes pouvant survenir sous d’autres plates-formes vidéos, comme YouTube par exemple.

Pour la 4K, il faudra encore attendre un peu, cela n’est possible que sous Edge, avec les processeurs Intel Génération 8 ou supérieur. Tout a un temps.

Maria PEREZ


			
		

  • 0

ATTENTION aux bases de données ISAM & accès fichiers par le réseau

Category:SMB,Technologies Tags : 

Parmi les logiciels de développement, on trouve couramment une vieille casserole connue ayant eu autrefois son heure de gloire, appelée Visual FoxPro.

Ce RAD inclut aussi un gestionnaire de base de données utilisant la technologie ISAM.

Dans un système de base de données ISAM, c’est le client qui gère ses propres accès aux tables de la base données en accédant directement aux tables ainsi qu’aux index.

Le client se repose donc sur un mécanisme de verrouillage des fichiers pour maintenir l’intégrité et la consistance du jeu de données global.

Cette méthode est simple et efficace en termes de vitesse, et permet de se passer d’un gestionnaire de base de données centralisé comme SQL Server ou Oracle.

Toutefois, par la nature même de cette technologie, la protection des données est très inférieure à un système SGBD centralisé, qui deviennent ainsi extrêmement sensibles aux différentes erreurs d’écritures, pouvant facilement corrompre l’entier des données.

Au début, Windows NT, à travers son protocole réseau SMB 1, mettait en jeu un certains nombres de mécanisme permettant d’accélérer les écritures en réseau au travers de différentes techniques de cache, dont la plus connue appelée Opportunistic locking or oplocks.

Le problème de oplocks est que si plusieurs demande d’accès avaient lieu sur un même fichier, le cache était relâché et les données écrites sur le disque, et potentiellement des corruptions pouvaient se produire dans le dit fichier.

Cette optimisation étant quelquefois non souhaitée, il était possible de la désactiver dans SMB1 (Q219022).

Par la suite, la couche réseau de Windows a passablement évolué. Depuis Windows Vista, le protocole est passé à la version SMB2, et avec Windows 8, SMB3.

L’inconvénient est que dans ses dernières versions SMB2 et SMB3, oplocks ne peut plus être désactivé, et les bases de données reposant sur la technologie ISAM ne fonctionnent plus correctement sans avoir continuellement des problèmes de corruption.

Selon Microsoft (Voir plus bas l’article original en anglais) oplocks ne permet plus de faire fonctionner en toute sécurité des bases de données utilisant la technologie ISAM, et une solution est de désactiver les protocoles récents SMB2 et SMB3 dans Windows 8 ou Windows 10, ainsi que sur le serveur Windows 2016, solution préconisée d’ailleurs par certains éditeurs sur leur site Internet, et de n’utiliser que SMB1.

Cette solution est extrêmement dangereuse, car le protocole SMB1 contient un grand nombre de problèmes de sécurité qui ne sera plus corrigé par Microsoft, au point même que l’éditeur désactive SMB1 dans ses dernières versions de Windows. De plus, cela rend plus lent le fonctionnement du réseau entre les postes clients et le serveur.

La seule solution que nous recommandons est dès lors de ne plus accéder directement aux données d’une base ISAM en passant par le réseau, mais de confiner le programme et ses données dans une session de type Services Bureaux à Distances sur un serveur.

Ainsi, en ne déportant que l’affichage sur les postes clients du logiciel, les informations de la base de données ne transitent plus par le réseau entre le programme et ses fichiers, ce qui élimine les risques de corruption.

La seconde recommandation que nous faisons est claire: Ne plus acquérir de logiciels utilisant la technologie de base de données de type ISAM. Les outils permettant de développer des programmes sur ce modèle, comme Visual Foxpro, sont maintenant totalement dépassés (Visual Foxpro n’est même plus supportés par Microsoft…), car ils n’ont plus la possibilité de suivre les évolutions de Windows.

Avant d’acquérir une solution informatique, il est de votre devoir de connaitre avec quel outil elle a été conçue, ce qui vous donnera une idée sur sa pérennité et son évolutivité,

Des éditeurs créant encore des logiciels avec des RAD utilisant la technologie ISAM prétendent faussement que si leurs solutions connaissent des problèmes de fonctionnement, il s’agit de « problèmes réseaux », mettant ainsi la faute sur les infrastructures des clients, ce qui est évidemment malhonnête, ou pour le moins démontre une méconnaissance totale de l’architecture des systèmes modernes.

“If a multiuser or single user database application accesses a common data store on a Windows NT file server using opportunistic locks (or OPLOCKS), it is possible for a given user to cache partial transactions on the client systems hard drive. This is a performance enhancement to the Windows client redirector to reduce network file I/O between the client and server. The data being cached on the client redirector is later written back to the server. However, in some cases, a client system may stop responding (hang), do a hard reboot, lose its network connection to the server, or experience any number of other technical difficulties. In such cases, the content of the local cache that has not yet been written to the server can be lost. As a result, the transaction integrity of the database structures on the server is compromised and the data on the file server can become corrupted.” (see Q224992)

The only thing that developers utilizing ISAM database systems can do to help mitigate the problem posed by network communications issues and optimistic locking, is to perform more regular flushes (writes of buffered information) to disk.  This process will both lessen performance, but may also still not resolve the issues that can arise from optimistic locking and network communications failures.

Our recommended solution is to place the data access inside a safe environment where file access and requests are not handled over the network at all.  We recommend accessing our software via Remote Desktop Services and to have the data stored directly on the server managing the remote access.  If file access is handled locally, and no network access is handled, the cache / locking / race conditions that can occur during read/write over the network are veritably eliminated.

If network file access is required, following Microsoft suggestion to downgrade to SMB 1.0 and disabling optimistic locking is the recommended solution.  There are known side effects with performance and file access is going to generally be slower after doing this.  This solution may still not eliminate all potential network file access issues, and has no effect on mitigating communications problems or failures leading to data corruption.

Maria Perez


Merci de partager cette page !