Autoblog de korben.info

Vous connaissez le duo Prometheus et Grafana ? C'est le grand classique pour surveiller ses serveurs, mais configurer tout ce bazar et le garder propre, c'est vite l'enfer. Alors pour ceux qui veulent juste garder un oeil sur leur homelab plutôt que de perdre le peu de cheveux qu'il leur reste à configurer Grafana durant des heures, j'ai trouvé pour vous Beszel .

Beszel est un outil de monitoring de serveurs ultra-léger et surtout super simple à mettre en place. Le projet est tout récent et développé en Go, ce qui permet d'avoir des binaires minuscules et une consommation de ressources ridicule

Donc si vous cherchez un outil de monitoring Linux self-hosted aussi simple à prendre en main que Kula dont je vous ai déjà parlé, ça vaut le coup d'aller jeter un oeil.

La mécanique de Beszel repose sur deux morceaux, à savoir le hub et l'agent. Le hub, c'est l'interface web construite au-dessus de PocketBase, qui sert de tableau de bord centralisé quant à l'agent, lui, il tourne discrètement sur chaque machine à surveiller et remonte les métriques au hub. "Discrètement", ça veut dire qu'il consomme à peine 10 à 15 Mo de RAM donc c'est parfait pour le faire tourner sur une vieille machine ou un tout petit Raspberry Pi sans que ça tousse-tousse !

Le truc vraiment cool aussi, c'est la gestion native des conteneurs Docker. Au lieu de simplement suivre l'état général comme avec un outil de suivi des processus classique (je pense à pstop par exemple), il liste chaque conteneur et affiche sa consommation individuelle en CPU, mémoire et réseau. Donc pour tous ceux qui auto-hébergent des dizaines de services, c'est un pur bonheur.

Côté métriques, y'a aussi tout ce qu'il faut pour ne rien louper. L'outil permet de suivre la consommation CPU, la mémoire (incluant le swap et le ZFS ARC), l'espace disque, les entrées/sorties réseau, la moyenne de charge et même la température des composants. En 15 secondes, tout s'affiche proprement.

Il gère aussi des trucs plus poussés comme la santé des disques via les données S.M.A.R.T., l'état de la batterie et même la consommation de vos cartes graphiques Nvidia, AMD ou Intel. Attention, pour le S.M.A.R.T. et le GPU par contre, il faudra que vous installiez les utilitaires système correspondants sur la machine hôte (smartmontools, nvidia-smi...) pour que l'agent puisse remonter les infos.

Et la configuration ? Hé bien c'est un simple fichier docker-compose.yml et voilà c'est plié !

Lors du premier lancement du hub, vous devrez vous créer un compte administrateur, puis cliquer sur "Ajouter un système", et l'interface vous génèrera une clé publique. Il suffira ensuite de filer cette clé à votre agent via sa variable d'environnement (dans son docker-compose.yml, par exemple) et les deux copains commenceront à causer. C'est pas plus compliqué que ça ! Même un notaire pourrait le faire ^^.

Le hub intègre également une gestion multi-utilisateur bien foutue puisque chaque utilisateur peut avoir accès à ses propres machines, tandis que l'administrateur peut décider de partager certains systèmes. Si vous voulez sécuriser le tout, l'outil supporte aussi de nombreux fournisseurs OAuth2 et OIDC comme Google, GitHub ou Keycloak, et vous pouvez même couper complètement la connexion par mot de passe.

Beszel s'occupe aussi des sauvegardes automatiques de vos données de surveillance, en local ou directement sur un stockage compatible S3. Et pour les alertes, pas de panique, car l'outil est compatible avec Shoutrrr . Cela vous permettra de configurer des notifications par Discord, Telegram, Teams ou mail si le CPU s'affole ou si un disque commence à saturer.

Par contre, si vous cherchez un outil d'analyse de logs complet ou de détection de bug réseau ultra-précis, laissez tomber car c'est pas la "mission de vie" de Beszel. Sauf si bien sûr, vous le couplez avec un autre outil. Après pour le reste, c'est parfait.

Vous pouvez tester la version v0.18.7 en vous rendant sur le site officiel .

eMule ? Sérieusement ?

Hé bien oui les amis, le célèbre mulet du P2P n'est pas encore mort de sa belle mort et en ce moment y'a un petit revival de cette bestiole du début des années 2000. C'est logique car les abonnements de streaming se fragmentent de plus en plus et coûtent un bras, les forums de torrents ferment les uns derrière les autres, alors c'est tout naturellement que certains dinosaures du partage de fichiers s'offrent un petit lifting.

Prenez aMule , le célèbre clone multiplateforme d'eMule. Hé bien le projet vient de sortir en version 3.0.0 après 5 ans de silence radio. Et c'est pas une petite mise à jour esthétique puisque les développeurs ont réécrit entre autres toute la gestion des entrées/sorties sur le disque pour sortir ça du thread principal. Résultat, sur un Mac Studio Apple Silicon, le débit de téléchargement P2P explose !

Côté Windows, le client d'origine bouge encore lui aussi, puisque la communauté maintient le navire avec des versions comme eMule 0.70b Community et prépare la suite avec la bêta 0.72a. Ces moutures corrigent la compatibilité avec Windows 11, intègrent TLS 1.3 pour l'interface d'administration et supportent l'architecture ARM64. J'ai testé, ça trace mais la vraie nouveauté qui va vous plaire les fans d'eMule, c'est Mularr .

Ce projet open-source qui s'installe via Docker permet de "supercharger" le mulet. Ça permet d'avoir une interface web responsive au look nostalgique très Windows XP (ou Windows 11 pour les p'tits jeunes), tout en proposant des APIs compatibles qBittorrent et des indexeurs Torznab. Du coup, vous pouvez connecter l'âne directement à vos outils d'automatisation comme Sonarr ou Radarr. Il gère même les notifications de fin de téléchargement via Telegram et s'intègre avec le VPN Gluetun. C'est la classe à Arras comme disent les ch'ti.

Je sens que j'ai touché votre corde sensible avec tout ça. Je vous rassure, à moi aussi parce j'ai commencé ce blog justement parce que j'étais à fond dans le milieu du P2P à l'époque.

Alors si vous voulez relancer la machine (les nostalgiques apprécieront également macMule ), quelques règles de sécurité s'imposent.

Tout d'abord, les listes de serveurs par défaut sont souvent blindées de mouchards et de faux serveurs malveillants qui vous balancent des contenus bourrés de virus. Pensez donc à nettoyer tout ça et à récupérer un fichier de serveurs server.met propre chez emule-security.org ou peerates.net . Activez aussi Kademlia, le fameux réseau décentralisé Kad, pour vous passer de serveurs centralisés. Ah et puis gaffe à Hadopi hein... lol, ça va, j'rigole !

Et même après tout ce temps, la règle d'or reste la même : ne lancez jamais un fichier suspect de 700 Mo qui prétend être un film mais se termine par une extension d'exécutable genre un bon vieux .exe ou .scr, hein ^^. Pensez aussi à configurer un IP filter (comme celui d'emule-security ) pour bloquer les serveurs hostiles et tout ira bien.

Voilà, si vous cherchiez des fichiers rares introuvables sur Torrent, c'est le moment de relancer l'âne car au pire, vous choperez de vieux fichiers nostalgiques et au mieux, vous monterez une Seedbox de l'espace.

Amusez-vous bien et bon courage avec votre Low-ID ^^.

ReactOS, le système d'exploitation libre qui recopie Windows brique par brique, fait désormais tourner Half-Life ( et oui, décidément c'est la journée ! ), le jeu de tir que Valve a sorti en 1998 et qui a propulsé toute une génération de joueurs dans les couloirs du complexe de Black Mesa. Et là, fini l'écran-titre figé qui narguait les développeurs depuis des années. La partie démarre. On y joue.

Pour mesurer l'exploit, il faut savoir ce qu'est ReactOS, parce que ce n'est ni Linux, ni un émulateur, ni une surcouche posée par-dessus un vrai Windows. C'est une réécriture intégrale de Windows, repartie de la page blanche, sans une seule ligne du code source de Microsoft, dans le seul but de faire avaler les programmes .exe et les pilotes pensés pour Windows comme s'ils tournaient sur l'original.

Le terme exact, c'est la compatibilité binaire. Vous prenez un logiciel conçu pour Windows, vous le lancez, il s'exécute, point final. Le premier commit remonte à 1996, à l'époque sous le nom de FreeWin95, et le projet vient tout juste de souffler ses trente bougies.

Half-Life qui s'initialise sur ReactOS, ce n'est pas tout à fait neuf. Dès 2018, une vidéo montrait déjà la séquence d'entraînement, le fameux Hazard Course, jouable sur la version 0.4.8, en rendu logiciel, c'est-à-dire avec chaque image calculée par le processeur faute de carte graphique reconnue pour s'en occuper à sa place.

Sauf que voilà. Jusqu'ici ça toussait, ça plantait, ça s'affichait trois secondes avant de rendre l'âme. Cette fois, les développeurs montrent une vraie partie qui tient la distance, sur la dernière mouture 0.4.15 publiée il y a peu.

Et c'est là que le bât blesse. Trente ans. Le projet en est toujours à une version 0.4, un numéro qui hurle "ce n'est pas fini", pour faire enfin tourner un jeu qui affiche lui-même vingt-huit ans au compteur.

Réécrire Windows à l'identique sans en avoir la recette, c'est un travail de dingue où la moindre application un peu gourmande réclame des centaines de fonctions système reproduites au détail près, et Half-Life, avec son moteur GoldSrc qui va fouiller jusque dans les entrailles de la machine, fait précisément partie de ces logiciels qui ne pardonnent pas la moindre approximation.

L'année a quand même été dense pour l'équipe. ReactOS gère maintenant les puces ARM64, a musclé l'accélération 2D et 3D sur les cartes NVIDIA GTX, et lorgne le support de l'UEFI et de machines plus récentes. Reste un détail qui calme l'enthousiasme : tout ça respire surtout à l'aise dans une machine virtuelle, beaucoup moins sur un vrai PC posé sur le bureau.

Bref, personne ne va troquer son Windows contre ReactOS pour bosser demain matin. La cible est ailleurs : ressusciter de vieux logiciels et de vieux jeux sur un socle libre, gratuit, débarrassé de la laisse tenue par Microsoft.

En tout cas, trente ans pour lancer Half-Life, c'est pas rapide. Mais un Windows entièrement libre qui exécute un vrai jeu culte, ça force le respect.

Source : Phoronix

BitLocker, je le rappelle c'est quand même le truc censé protéger vos données en cas de vol de votre bécane. Sauf que voilà, la théorie et Redmond, ça fait parfois deux... Le chercheur en sécurité Chaotic Eclipse (déjà à l'origine de BlueHammer ) vient de balancer une nouvelle vulnérabilité zero-day baptisée GreatXML , qui réduit cette promesse en miettes.

Le truc tourne autour de la façon dont Windows Recovery Environment (WinRE) traite les fichiers de configuration lors du démarrage. Plus précisément, la faille exploite des résidus laissés par l'outil d'analyse hors ligne de Microsoft Defender.

Cela signifie que si vous avez déjà lancé un scan Defender Offline, votre machine conserve des artefacts sur la partition de récupération. C'est là que le piège se referme car en manipulant des fichiers XML de configuration (notamment unattend.xml) sur la partition de récupération, un attaquant peut forcer le système à ouvrir un terminal avec les privilèges SYSTEM lors du passage en mode WinRE. Le tout sans avoir besoin de se connecter à la session, bien sûr...

Le résultat ?

Un accès complet et sans restriction au volume protégé par BitLocker. Pas besoin de fer à souder ou de bidouiller la carte mère avec un Raspberry Pi comme pour d'autres exploits TPM, là c'est une simple faiblesse logique logicielle qui permet de tout déverrouiller.

Alors oui, l'attaque nécessite un accès physique à la machine (ou un autre accès permettant de modifier la partition de récupération). Mais comme le rôle même de BitLocker est de protéger un appareil volé physiquement, c'est une sacrée épine dans le pied des administrateurs système ! D'autant plus qu'aucun correctif officiel n'a encore été publié par Microsoft.

Cette divulgation publique intervient dans un contexte tendu puisque Chaotic Eclipse multiplie les dumps de zero-days Windows suite à un différend avec le programme de bug bounty MSRC de Microsoft. On a déjà eu le droit à YellowKey et RoguePlanet ces dernières semaines et y'a peu de chances que ça s'arrête.

Bref, c'est la guerre ouverte !

Maintenant, même s'il n'y a pas encore de recommandations officielles de Microsoft pour cette faille spécifique, quelques mesures de bon sens permettent de limiter la casse. D'abord, configurer un mot de passe UEFI pour bloquer le boot externe. Ensuite, activer le mode TPM + PIN pour BitLocker car sans ce code pré-boot, la clé de déchiffrement n'est pas libérée, même si l'attaquant arrive à faire pop son shell.

Et si vous voulez couper court à toute exploitation de ce type, il reste l'option de désactiver complètement WinRE via la commande reagentc /disable.

Bref, en attendant que Microsoft sorte un patch, vous savez ce qu'il vous reste à faire.

Source

Netgear vend son Orbi 970 à 1 999 euros le pack de trois ( en promotion, au lieu de 2400 euros ha ha ). Et le tarif a beau faire tousser, ce système maillé en WiFi 7 (la toute dernière norme sans fil, le 802.11be, qui pousse les débits à environ deux fois et demie ceux du WiFi 6) reste l'un des plus rapides que vous puissiez installer chez vous aujourd'hui.

Le plus gros intérêt du produit ? Netgear l'appelle le quad-band. En clair, le système fait tourner quatre bandes à la fois : une bande 2,4 GHz, deux bandes 5 GHz et une bande 6 GHz. Il en sacrifie d'ailleurs une entièrement à la conversation permanente entre le routeur et ses deux satellites. Ce fameux backhaul explique qu'un boîtier planté à l'autre bout du logement garde un débit intéressant au lieu de s'écrouler dès qu'on s'éloigne.

27 Gbps cumulés. C'est le sens du sigle BE27000, un chiffre que personne n'atteindra jamais en vrai puisqu'il additionne bêtement le débit théorique de toutes les bandes, mais qui plante quand même le décor : on parle d'une machine taillée pour avaler 200 appareils en même temps et couvrir jusqu'à 660 m², avec douze antennes et un processeur quadricœur par boîtier.

Chez moi, le module principal est branché sur ma Livebox 7. J'ai ensuite réparti les deux satellites aux endroits qui me servaient vraiment. Le premier dort dans ma chambre, relié en Ethernet, histoire de tirer le maximum de débit quand je lance une partie en streaming sur GeForce Now, le service de Nvidia qui exécute les jeux à distance sur ses propres serveurs et vous renvoie juste l'image à l'écran.

Le second, je l'ai posé sur mon bureau, une pièce pourtant éloignée de la box. Je l'ai relié à un adaptateur 10 Gb/s en Thunderbolt, lui-même accroché à mon dock Thunderbolt 5 UGREEN . Et là, je me retrouve avec un débit particulièrement solide dans la pièce qui ramait le plus jusqu'ici. Alors je ne vais pas entrer dans les détails des débits, c'est tellement fluctuant et différent selon votre logement et vos configurations, mais sur mon Mac, loin de ma box, branché en Thunderbolt 5 à l'adaptateur 10 Gb/s connecté au satellite du bureau, je tape dans les 3 000 Mb/s sans problème. Autant dire que c'est complètement surdimensionné.

Même chose dehors. J'ai du réseau partout dans mon jardin et mes extérieurs, là où mes anciens équipements abandonnaient au bout de quelques mètres, avec des débits stratosphériques.

Côté connectique, le routeur aligne un port 10 Gbps en entrée, un second en sortie et quatre ports 2,5 Gbps, alors que chaque satellite embarque son propre port 10 Gbps. Le tout est chapeauté par du WPA3, des mises à jour automatiques et la surveillance Netgear Armor signée Bitdefender, offerte pendant un an d'ailleurs.

Sauf que voilà. Ces ports 10 Gbps ne donnent leur pleine mesure que si le reste de votre installation suit derrière. Si votre NAS, votre fibre ou vos ordinateurs plafonnent à 1 Gb/s, vous vous offrez une autoroute à dix voies pour y rouler en scooter (ce qui est un peu mon cas). Mais ça reste un excellent produit, réservé à ceux qui ont les moyens et veulent le meilleur pour leur matériel. Il est en promo en ce moment , mais ce n'est pas donné pour autant !

Comme c'est un test, je ne sais pas encore si je vais les garder, mais je ne vous cache pas que c'est tentant, même si le prix pique un peu. Notez qu'il est possible de n'en prendre qu'un ou deux, le pack de 2 est déjà moins hors de prix .

Bref, c'est à voir ici sur Amazon si ça vous branche .

Mauvaise surprise pour les utilisateurs d'Asahi Linux, le projet qui fait tourner Linux nativement sur les Mac équipés de puces Apple Silicon (les fameuses M1, M2 et suivantes). La première beta développeur de macOS 27, alias "Golden Gate", distribuée le 8 juin juste après la keynote de la WWDC (la grande conférence annuelle d'Apple), fait disparaître leur partition Linux du menu de démarrage.

Le coupable est un changement dans la façon dont le boot picker (l'écran qui permet de choisir sur quel système démarrer à l'allumage du Mac) et l'application Disque de démarrage détectent les volumes jugés valides. Avec macOS 27, la partition Asahi, c'est à dire la zone du disque où Linux est installé, n'est plus reconnue comme un système amorçable.

Elle est toujours là, intacte, avec toutes vos données. Sauf que voilà. Impossible de démarrer dessus.

L'équipe du projet a publié un avertissement très clair sur Mastodon : ne mettez PAS à jour vers macOS 27 si vous utilisez Asahi. Et pour éviter les accidents, l'installateur a été modifié pour refuser de s'exécuter sur une machine déjà passée sous la nouvelle beta. Ceux qui passent outre sont prévenus, il n'y aura pas de support.

Personne ne crie au complot pour autant. L'équipe Asahi penche pour une modification accidentelle plutôt que pour une volonté délibérée d'Apple de chasser Linux de ses machines, et un rapport de bug a été déposé sous la référence FB22994760.

D'autant que la régression dépasse le seul cas de Linux : des testeurs qui gardent une ancienne version de macOS sur une partition séparée se retrouvent avec le même sélecteur amnésique. C'est donc toute la mécanique du multi-boot qui semble cassée dans cette première beta, pas une attaque ciblée contre Linux.

Une parade existe d'ailleurs pour les plus téméraires. Si une copie de macOS 26 traîne sur un second volume, il suffit de la définir comme disque de démarrage par défaut : le sélecteur se lance alors depuis cette partition, où la logique de détection fonctionne encore, et Asahi réapparaît comme par magie.

Pour rappel, Asahi Linux est né d'un travail de rétro-ingénierie assez dingue. Apple ne documente ni la séquence de démarrage de ses machines, ni le fonctionnement de ses puces graphiques, et l'équipe a tout reconstruit à la main pour aboutir à Fedora Asahi Remix, la distribution de référence quand on veut du Linux sur un Mac récent. Le projet a traversé une année 2025 agitée, avec le départ de son fondateur Hector Martin, mais c'est toujours la meilleure option pour faire vivre Linux sur ces machines.

La version finale de macOS 27 n'arrivera qu'à l'automne, ce qui laisse plusieurs mois à Apple pour corriger le tir. Le bug est signalé, la balle est dans le camp de Cupertino.

Bref, dépendre d'un sélecteur de démarrage qu'Apple peut casser à chaque beta, c'est toute la fragilité du Linux sur Mac résumée en une mise à jour.

Source : The Register