Si vous pratiquez l'assistance informatique pour vos proches, vous devez certainement connaître TeamViewer, c'est la référence dans le genre pour prendre la main à distance sur le poste d'une autre personne car il est simple d'utilisation et qu'il joui d'une certaine réputation avec le temps, donc une majorité de gens le connaissent. Mais ça c'est quand on ne se préoccupe que des fonctionnalités et qu'on oublie les risques de sécurité et d'espionnage industriel, comme certaines entreprises française en ont fait les frais à une époque. D'un autre côté en entreprise il existe les classiques VNC, RDP, Skype Enreprise ou encore assistance à distance Windows, parfois difficiles à mettre en œuvre pour un particulier (envoi de fichiers, trouver l'adresse IP, ouverture de ports sur la box ou que sais-je encore).

Aujourd'hui il semblerait que j'aies trouvé le logiciel qui combine le meilleur des deux mondes : Jitsi Meet Electron.

Jitsi Meet Electron est une application de bureau (pour poste de travail sous Mac OS, GNU/Linux ou Windows) reposant comme son nom l'indique sur le framework open source Electron qui permet de rejoindre une réunion à distance sur n'importe quelle instance de Jitsi Meet publique sur internet (ou en réseau local si vous en auto-hébergez une ainsi). Dans le contexte actuel (confinement dû au covid19, recours accru au télétravail), la réputation de cette solution de Messagerie instantanée, Visioconférence, audioconférence à plusieurs n'est évidemment plus à faire, car d'une extrême simplicité et très performante par ailleurs et sécurisée pour couronner le tout (avec un chiffrement de bout en bout par exemple). Mais Jitsi Meet Electron va un peu plus loin : d'abord parce qu'une application de bureau est souvent plus confortable et fonctionnelle qu'un simple onglet dans un navigateur (meilleure intégration au système d'exploitation, enregistrement de préférences) elle va aussi vous permettre de prendre le contrôle à distance d'un ordinateur qui dispose de celle-ci.

Pour cela, une fois que les participants (au moins 2 évidemment, et il faudra penser à protéger la réunion par mot de passe !) il vous suffira de cliquer sur les trois petits points en bas à gauche de votre interlocuteur puis sur "Start/stop remote control", ce dernier devra alors confirmer en cliquant de son côté sur "Allow".

And voilà !

Le logiciel est en version beta et comporte sans doute encore quelques bugs ou des traductions incomplètes, mais rien de rédhibitoire à mon sens.

MAJ du 10/04/2020 : un bug empêche pour l'instant de prendre la main sur un poste sous GNU/Linux depuis un poste sous Windows par exemple.

MAJ 2 : il faut juste désactiver le bac à sable.

J'utilise ces deux outils au quotidien et ils pourraient être des prérequis dans les prochains tutoriels publiés sur ce blog. Ce billet a simplement vocation à les mettre en lumière, il serait dommage de vous en passer si vous êtes débutant.

FISH

Pour commencer Friendly Interactive Shell (aka Fish) intègre des fonctionnalités telles que la coloration syntaxique, la saisie automatique au fur et à mesure et la possibilité de compléter les commandes de manière sophistiquée ou encore l'insensibilité à la casse quand c'est utile, sans qu'aucune configuration ne soit nécessaire.

Installation de Fish sous Debian/Ubuntu :

sudo apt install fish

chsh -s /usr/bin/fish

TILIX

Tilix quant à lui permet d'avoir plusieurs terminaux dans la même fenêtre voir de créer des groupes de terminaux, de gérer des sessions, de rechercher des commandes déjà utilisées, de configurer des raccourcis claviers, de synchroniser des commandes entre plusieurs terminaux ouverts, etc.

Installation de Tilix sous Debian/Ubuntu :

sudo apt install tilix

Face aux limites imposées aux clients non officiels du réseau social Twitter - pourtant généralement meilleurs que l'officiel - notamment la limite des 200 statut par requête et des 15 requêtes toutes les 15 minutes maximum ou encore la non conservation de la position dans la timeline, j'ai eu l'idée de synchroniser le contenu de la timeline sur celui d'un compte privé Mastodon par l'intermédiaire d'un script, puisqu'en général instances et clients Mastodon son nettement moins limités. Il suffirait ensuite d'appeler de façon régulière ce script sans interaction humaine (car on ne peut pas passer sa vie à récupérer des tweets !).

Voici donc un début de résultat.

Pour l'exploiter à votre tour, il vous faudra au minimum PHP et son extension CURL. Sans oublier de faire le nécessaire pour obtenir vos jetons d'accès développeurs sur votre instance Mastodon et Twitter...

Son utilisation dans crontab sera ensuite on ne peut plus simple :

*/1 * * * * sudo -u www-data php /chemin/twitter_to_mastodon_timeline.php

Le script PHP

<?php // simple-php-twitter-to-mastodon-timeline.php

chdir('/script/path');

    function buildBaseString($baseURI, $method, $params) {
        $r = array();
        ksort($params);
        foreach($params as $key=>$value){
            $r[] = "$key=" . rawurlencode($value);
        }
        return $method."&" . rawurlencode($baseURI) . '&' . rawurlencode(implode('&', $r));
    }

    function buildAuthorizationHeader($oauth) {
        $r = 'Authorization: OAuth ';
        $values = array();
        foreach($oauth as $key=>$value)
            $values[] = "$key=\"" . rawurlencode($value) . "\"";
        $r .= implode(', ', $values);
        return $r;
    }


    $url = 'https://api.twitter.com/1.1/statuses/home_timeline.json'; // or home_timeline.json

    // Custom Twitter data

    $oauth_access_token = " ";
    $oauth_access_token_secret = " ";
    $consumer_key = " ";
    $consumer_secret = " ";

    // Custom Mastodon data

    $mastodon_token = ' ';
    $mastodon_instance_url = 'https://instance.url'; // example : https://framapiaf.org'

    $curl_opt_url = $mastodon_instance_url . "/api/v1/statuses";

    $oauth = array( 'oauth_consumer_key' => $consumer_key,
                    'oauth_nonce' => time(),
                    'oauth_signature_method' => 'HMAC-SHA1',
                    'oauth_token' => $oauth_access_token,
                    'oauth_timestamp' => time(),
                    'oauth_version' => '1.0');

    $base_info = buildBaseString($url, 'GET', $oauth);
    $composite_key = rawurlencode($consumer_secret) . '&' . rawurlencode($oauth_access_token_secret);
    $oauth_signature = base64_encode(hash_hmac('sha1', $base_info, $composite_key, true));
    $oauth['oauth_signature'] = $oauth_signature;

    $header = array(buildAuthorizationHeader($oauth), 'Expect:');
    $options = array( CURLOPT_HTTPHEADER => $header,
                      CURLOPT_HEADER => false,
                      CURLOPT_URL => $url,
                      CURLOPT_RETURNTRANSFER => true,
                      CURLOPT_SSL_VERIFYPEER => false);

    $feed = curl_init();
    curl_setopt_array($feed, $options);
    $json = curl_exec($feed);
    curl_close($feed);

    $twitter_data = json_decode($json);

    $lastid='';

    $lastidfile = 'lastid.txt';
    $current = file_get_contents($lastidfile);
    $content = "";
    $i = 0;

    foreach ($twitter_data as $twt) {
        if ($i == 0) {$lastid = $twt->id_str;}
        if ($twt->id_str == $current OR !isset($twt->id_str)) { break;  } else {

        $headers = [
        'Authorization: Bearer ' . $mastodon_token
        ];

        // You can change twitter API fields here :
        $toots[] = $twt->created_at . " -  " . $twt->user->name . "\r\r " . $twt->text . "\r\r https://twitter.com/" . $twt->user->screen_name . "/stat$

        $i++;
        }

}

if (!isset($toots)) { } else { 

$toots = array_reverse($toots);

foreach ($toots as $toot) {

$status_data = array(
  "status" => $toot,
  "language" => "fre",
  "visibility" => "private"
);

$ch_status = curl_init();
curl_setopt($ch_status, CURLOPT_URL, $curl_opt_url);
curl_setopt($ch_status, CURLOPT_POST, 1);
curl_setopt($ch_status, CURLOPT_POSTFIELDS, $status_data);
curl_setopt($ch_status, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch_status, CURLOPT_HTTPHEADER, $headers);

$output_status = json_decode(curl_exec($ch_status));

curl_close ($ch_status);

}

file_put_contents($lastidfile, $lastid);

}

?>

Les prérequis techniques

Pour ma part j'utilise de longue date Semantic Scuttle, qui me facilite grandement l'enregistrement des URL, notamment grâce à une extension pour Firefox ou le bookmarklet dédié. À défaut vous pourrez facilement adapter ce code avec une source de données en markdown... ou autre.

• SemanticScuttle et donc LAMP — Wikipédia
• dg/rss-php: Small and easy-to-use library for consuming RSS and Atom feeds
• GraphicsMagick Image Processing System
• CutyCapt - A Qt WebKit Web Page Rendering Capture Utility
• Xvfb — Wikipédia

Certes, cela représente beaucoup de dépendances, mais on les trouve facilement sous GNU/Linux et ces composants restent gratuits.

Le script PHP

<?php

// /chemin/script/RevueWeb.php

$uneDate = date('Y-m-d');
$maDate = new DateTime($uneDate);
$dateFormatee = date_format($maDate, 'Ymd');
$dateLisible = date_format($maDate, 'd/m/Y');
$imgDir = "/chemin/script/";
require_once 'src/Feed.php'; // (RSS to PHP)
// Flux RSS des pages enregistrées dans Scuttle dédiés à votre revue de web :
$rss = Feed::loadRss('https://instance.semantic.scuttle/rss.php/frenchhope/tag_de_la_revue_de_web?sort=date_desc&count=2048&privateKey=ma.cle.privee'); 
$versionMarkdown = "## Revue de web du $dateLisible" . PHP_EOL . PHP_EOL; // Titre
// contenu
foreach ($rss->item as $item) {
$versionMarkdown .= "[" . $item->title . "](" . $item->link . ")" . PHP_EOL . PHP_EOL; // on formate le titre et les hyperliens
// on réalise des captures d'écran au format JPEG, c'est plus joli et ça ne tiens pas trop de place.
// pour cela on crée un serveur d'affichage virtuel (serveur X) avec xvfb-run parce qu'en ligne de commande sur un serveur il n'y en a pas !
// Voir la documentation de CutyCapt pour les options.
$hash = hash('sha256',$item->link);
$imgFile = $imgDir . "webScreenShot_" . $hash . ".jpg";
exec('xvfb-run --server-args="-screen 0, 1900x1080x24" cutycapt --min-width=1900 --min-height=1080 --smooth --url="' . $item->link . '" --out="' . $imgFile . '"');
// Recadrage avec GraphicsMagick
exec('gm convert ' . $imgFile . ' -crop 1900x1080+0+0 ' . $imgFile);
// Redimentionnement avec GraphicsMagick
exec('gm mogrify -resize 950x540 -quality 65 ' . $imgFile);
$versionMarkdown .= "![]($imgFile)" . PHP_EOL . PHP_EOL;
$versionMarkdown .= "---" . PHP_EOL . PHP_EOL;
}
// Tout dans un fichier avec la date du jour
file_put_contents("$dateFormatee.md", $versionMarkdown, FILE_APPEND | LOCK_EX);

?>

Affichage de la revue dans une page web

Pour ma part je copie ce fichier Markdown dans mon dossier de données Nextcloud car avec l'application Pico CMS je peux l'afficher directement. Dans ce cas il faut mettre à jour la base Nextcloud :

sudo -u www-data php /var/www/nextcloud/occ files:scan [nom d'utilisateur]"

Mais vous pourriez tout aussi bien créer un script en PHP pour afficher le Markdown dans une page web avec parsedown par exemple.

L'alternative à base de source de fichier Markdown plutôt que Semantic Scuttle et RSS

remplacer :

$rss = Feed::loadRss('https://instance.semantic.scuttle/rss.php/frenchhope/tag_de_la_revue_de_web?sort=date_desc&count=2048&privateKey=ma.cle.privee');

par :

$contenu = file_get_contents('/chemin/du/fichier.md');
$regex = "/\[([^\[\]]*)\](.*)/";
preg_match_all("`$regex`", $contenu, $matches);  

et :

foreach ($rss->item as $item) {
$versionMarkdown .= "[" . $item->title . "](" . $item->link . ")" . PHP_EOL . PHP_EOL; 
$hash = hash('sha256',$item->link);
$imgFile = $imgDir . "webScreenShot_" . $hash . ".jpg";
exec('xvfb-run --server-args="-screen 0, 1900x1080x24" cutycapt --min-width=1900 --min-height=1080 --smooth --url="' . $item->link . '" --out="' . $imgFile . '"');

par :

foreach ($matches as $item) {
$versionMarkdown .= "[" . $item[0] . "](" . $item[1] . ")" . PHP_EOL . PHP_EOL; 
$hash = hash('sha256',$item[1]);
$imgFile = $imgDir . "webScreenShot_" . $hash . ".jpg";
exec('xvfb-run --server-args="-screen 0, 1900x1080x24" cutycapt --min-width=1900 --min-height=1080 --smooth --url="' . $item[1] . '" --out="' . $imgFile . '"');

Utilisation

• En ligne de commande

sudo -u www-data php /chemin/script/RevueWeb.php

• Ou depuis l'URL de la page "RevueWeb.php" si vous la publiez avec un serveur web

http://mon.serveur.web/RevueWeb.php

• Puis téléchargement d'une revue :

http://mon.serveur.web/20200127.md

Automatisation avec cron

Tous les jours à 20h00 par exemple :

00 20 * * *    sudo -u www-data php /chemin/script/RevueWeb.php

Si vous avez plusieurs serveurs serveurs web sur un votre réseau local et que vous souhaitez que plusieurs d'entre eux soient accessibles depuis internet par le même port (au hasard 80 ou 443 par exemple), il est fort probable que vous fassiez appel à un reverse-proxy, qui est un moyen somme toute assez commode pour y parvenir.

De même si vous souhaitez chiffrer le contenu publié en SSL/TLS, certbot est devenu ces dernières années un incontournable, de par sa simplicité et sa gratuité.

Faire que les deux fonctionnent nécessite bien sûr une configuration particulaire, voici donc comment procéder dans le cas ou vous avez créé un sous-domaine (A record) chez votre fournisseur de noms de domaine :

• le nom du sous domaine sera : sous.domaine.com
• l'adresse ip du serveur sur le réseau local : 192.168.1.123
• l'adresse ip du serveur web dans la DMZ : 192.168.1.210
• le port de l'application sur le serveur web local : 9000
• la racine des fichiers du serveur web local : /racine/des/fichiers/de/mon/serveurweb (généralement sous ubuntu ou debian : /var/www ou /var/www/html etc.)

Du côté de la machine qui va servir de proxy inverse (reverse proxy) accessible par internet (en DMZ) :

Créer un nouveau fichier de configuration pour apache :

touch /etc/apache2/sites-available/mon-reverse-proxy1.conf
nano /etc/apache2/sites-available/mon-reverse-proxy1.conf

Et y ajouter :

# Si ce n'est déjà fait (peu probable par défaut...)
# NameVirtualHost *:80
# Listen 80
# NameVirtualHost *:443
# Listen 443
# Surtout :

# Nécessaire pour la validation du certificat électronique
<VirtualHost *:80>
ServerName nom.de.sous.domaine
ServerAdmin mon.adresse@e.mail
    <LocationMatch "/*">
    order allow,deny
    allow from all
    Satisfy any
    ProxyPass http://192.168.1.123
    ProxyPassReverse http://192.168.1.123
    </LocationMatch>
</virtualHost>

<VirtualHost *:443>
ServerName nom.de.sous.domaine
ServerAdmin mon.adresse@e.mail
ProxyRequests Off
ProxyPreserveHost On
SSLEngine on
SSLProxyEngine On
SSLProxyCheckPeerExpire On
SSLProxyVerifyDepth     10
SSLCertificateFile      /etc/letsencrypt/live/videos.espitallier.net/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/videos.espitallier.net/privkey.pem
    <LocationMatch "/*">
    order allow,deny
    allow from all
    Satisfy any
    ProxyPass http://192.168.1.123:9000
    ProxyPassReverse http://192.168.1.123:9000
    </LocationMatch>
</virtualHost>

Enregistrer le fichier puis :

sudo a2ensite mon-reverse-proxy1
sudo service apache2 restart

Du côté du serveur web de l'application (192.168.1.123) pour créer le certificat :

# Si certbot n'est pas encore installé :
# sudo apt install certbot # dans le cas de debian ou ubuntu par exemple
# ensuite
sudo certbot certonly

Répondre aux questions :

• 2: Place files in webroot directory (webroot)
• Please enter in your domain name(s) (comma and/or space separated) (Enter 'c' to cancel): sous.domaine.com
• Input the webroot for sous.domaine.com: (Enter 'c' to cancel): /racine/des/fichiers/de/mon/serveurweb

Automatiser le renouvellement du certificat

Création du script

sudo nano /usr/local/sbin/certbot-renew.sh

Auquel on ajoute

sudo certbot -q renew
# Par clé SSH et à supposer que le dossier 192.168.1.210:/etc/letsencrypt/live/sous.domaine.com/ a été créé
sudo scp /etc/letsencrypt/live/sous.domaine.com/fullchain.pem sudouser@192.168.1.210:/etc/letsencrypt/live/sous.domaine.com/
sudo scp /etc/letsencrypt/live/sous.domaine.com/privkey.pem sudouser@192.168.1.210:/etc/letsencrypt/live/sous.domaine.com/

On le rend exécutable

chmod +x /usr/local/sbin/certbot-renew.sh

Autoriser la copie par SSH sans mot de passe

ssh-keygen -t rsa
cat .ssh/id_rsa.pub | ssh root@192.168.1.100 'cat >> .ssh/authorized_keys'

Planification du script

sudo crontab -e

# Une fois par mois
00   5   *   1   *           /usr/local/sbin/certbot-renew.sh