Introduction

Comme au mois de novembre, je termine mon périple littéraire pour cette année. Pour le mois de décembre, j'ai pris le temps de lire "Un animal doué de raison" de Robert Merle. Comment suis-je arrivé à ce livre, publié en 1967 ? Pas par hasard, non. En fait, il se trouvait dans la bibliothèque de mes grands-parents paternels (la fameuse bibliothèque peuplée de toute une rangée de livres de Charles De Gaulle). Quand j'étais enfant, la couverture m'attirait beaucoup parce qu'il y avait un dauphin dessus. Quand on est enfant, on est forcément attiré par les dauphins.

Muni de ce souvenir, j'avais de grands espoirs dans le contenu de ce livre...

L'histoire courte

Un résumé consiste à dire qu'il s'agit d'une oeuvre mélant à la fois une pincée de science-fiction et un zeste de politique internationale dans un grand verre de lait. Pourquoi du lait ? Parce que le lait, ça délaye bien, pardi !

L'histoire se situe dans le début des années 1970 aux États-Unis d'Amérique. Un professeur américain étudie les dauphins et parvient à en faire parler un. De mots mono-syllabiques, il parvient à lui enseigner l'anglais, non sans mal. Même si une présentation publique des avancées des travaux du professeur a lieu devant toute la presse, l'activité du professeur est fortement espionnée par plusieurs agences américaines de renseignement intérieur.

Un jour, une de ces agences subtilise le couple de dauphins parlants pour les transformer en arme de destruction sous-marine (c'est écrit à la fin). Pendant ce temps, le professeur retravaille en freelance sur d'autres dauphins... M

Un jour, un navire de l'US Navy explose au large des côtes chinoises. Immédiatement la machine de guerre s'emballe et un ultimatum est posé par les USA envers la Chine avec des menaces d'utilisation d'arme atomique. Entre temps, le professeur négocie le retour de ses deux anciens dauphins dans son nouveau laboratoire indépendant. Quelques jours plus tard, sa planque est attaquée par des tueurs payés par un ennemi extérieur. Après une attaque majeure, on retrouve les corps des deux permiers dauphins parlants.

Mais en fait, ils s'étaient planqués. Le professeur les retrouve rapidement et ils se mettent à parler de ce qui leur est arrivé lorsqu'ils ont été subtilisés. Ils racontent leur entraînement militaire qui les conduisit à poser des bombes sous des bâteaux factices. Un jour, on leur a donné l'ordre d'aller de poser une bombe assez loin. On les a transportés dans un sous-marin, non sans mal, avant de les lâcher en mer avec leur mission. Près du bateau, les mines qu'ils transportaient sur des harnais se sont activées et leur harnais qui se décrochait tout seul d'habitude semblait indémontable. A force de mordillement, ils finirent par se libérer du harnais et quelques minutes plus tard, la bombe explosait, coulant le navire. Les dauphines comprirent qu'ils avaient été utilisés pour une mission suicide censée déclencher la 3ème guerre mondiale.

Le professeur a pris soin d'enregistrer les conversations des dauphins. L'histoire se termine avec les dauphins poussant le radeau du professeur et de son assistante, en vue de révéler les enregistrements au président des USA, pour sauver le monde...

Mes impressions sur le livre

Bon, le livre se lit très facilement mais j'ai été assez déçu. En effet, si l'histoire était sans doute un poil novatrice en 1967, ce n'est plus trop le cas 50 ans plus tard. Le concept a déjà vécu et c'est même une réalité encore en 2017. En effet, il existe un programme militaire utilisant des dauphins. Comble de l'histoire, ce programme prend fin cette année 2017 car les animaux seront remplacés par des drones !

D'un point de vue littéraire, je dois dire que je me suis un peu ennuyé. En effet, le style est assez coupé: l'auteur alterne les phases où il raconte l'histoire et où il se passe quelquechose avec d'autres moments où on a droit à des discussions assez ennuyeuses entre les personnages ou dans des dialogues intérieurs assez pénibles à lire. J'avoue, dans les derniers moments, j'ai carrément zappé ces passages sans intérêt aucun pour l'histoire.

Ainsi, lorsqu'on vire toute cette agitation écrite, on obtient une histoire finalement très courte. Elle est certes d'un bon niveau d'intérêt mais ces moments assez longs à lire ont tendance à noyer le poisson (pardon le mammifère marin).

Par ailleurs, la fin abrupte qui devait sans doute faire un effet à l'époque a plutôt mal vécu. Ça fait style mais on a déjà vu un maximum de fin qui n'en sont pas vraiment et on sait maintenant en 2017 que ne pas finir une histoire est un sacrilège (enfin, c'est mon point de vue assumé).

Conclusions sur "Un animal doué de raison"

Pour mon dernier livre de l'année, j'ai finalement été assez déçu. Ce qui est assez paradoxal, c'est que c'est le premier livre qui m'est venu à l'esprit quand j'ai inscrit cet objectif de lire un livre par mois en 2017... Bon, au moins de tout, j'ai enfin lu ce livre qui m'attendait depuis près de 30 ans sur cette bibliothèque aujourd'hui disparue, avec leurs propriétaires...

Conclusions sur l'expérience de lire au moins un livre par mois

Voilà, c'est mon dernier article de revue littéraire de cette année. Il est temps de faire une petite rétrospective...

Alors, quel est mon avis sur cette expérience ? Il est plutôt positif. A l'origine, je trouvais que je ne lisais pas assez. Depuis quelques années, j'étais passé d'un stade d'une dizaine de livres par an à moins de un (celui qu'on commence et qu'on ne finit pas par manque de temps ou d'intérêt). Pourtant, j'ai toujours lu des tas de livres depuis que je sais lire et cet exercice finissait par me manquer.

Le fait de se contraindre à un livre par mois permet de s'assurer un minimum de lecture régulière. En parler dans un article de blog chaque mois me met également la pression pour ne pas lacher le projet. C'est un mécanisme qui se révèle assez efficace car je n'ai pas flanché une seule fois. Je suis d'ailleurs allé plus loin en ajoutant plus d'un livre par mois, surtout au début. C'est la preuve que ma soif littéraire était finalement assez importante.

En guise de matériel, j'ai quasiment utilisé tout le temps ma liseuse électronique qui commence maintenant à dater un peu. Elle se révèle néanmoins très efficace même si, lorsque j'étais en randonnée sur le GR70, j'ai utilisé des livres papiers, plus lourds mais plus robustes. Même s'il s'agit d'un modèle propriétaire (de chez Amazon qui plus est, le mal capitaliste sauvage absolu), je crois que je ne pourrais pas lire autant de livres si je ne disposais pas de ce périphérique. En effet, tout tient dans un petit sac à dos et pèse moins de 250g, le tout pour une bibliothèque entière.

Pourtant, tout n'est pas forcément rose dans cette histoire. A commencer par le temps qu'il faut pour lire. J'ai essayé dans le train et chez moi avant de me coucher. Ce dernier exercice se révèle assez difficile car la lecture a chez moi un rôle apaisant qui finit par m'endormir rapidement. Pas facile de s'accrocher à un livre dans ces conditions. De plus, raconter tous les mois un résumé de ce que j'ai lu est très consommateur de temps. Il faut que j'y consacre entre deux et trois heures par article, ce qui est long. Pour terminer sur ce point, il faut aussi avouer que d'avoir de la pression sur un sujet donne un sentiment d'obligation, de forcing sur mon temps libre qui est une ressource extrêment rare.

Mais finalement, quelle est la qualité de ce que j'ai lu ? Il faut bien avouer que c'était assez hétérogène en matière de contenu: de la littérature moderne américaine, de la science-fiction, du documentaire vulgarisateur, des écrits d'autistes, du manuel d'organisation, etc. Pour autant, je ne regrette pas grand chose. Mes choix initiaux n'étaient pas si mauvais que ça.

Quel est le meilleur livre de cette année ? D'un point de vue littéraire, celui que j'ai le plus apprécié est sans doute l'attrape-coeur de Jérôme Salinger. Je ne saurais dire pourquoi. La Billebaude d'Henri Vincenot a été une vraie surprise d'intérêt pour moi. Il m'en reste une très bonne impression... Enfin, les écrits de Josef Schovanec m'ont particulièrement parlé, une vraie révélation...

Vais-je reconduire cette expérience l'année prochaine ? Je ne saurais dire... Aurais-je autant de temps à y consacrer, rien n'est moins sûr ! Pourtant, je suis tiraillé entre mon désir de lire des choses nouvelles (ma bibliothèque numérique présente encore de nombreux ouvrages que je n'ai pas encore ouverts) et le fait de lire sous la contrainte. Pourtant, je sais que sans cette dernière je n'aurai pas été aussi assidu. Je vais essayer de lire encore 12 livres par an au moins mais en me contentant de faire une revue globale et courte en fin d'année prochaine... C'est le meilleur compromis qui s'offre à moi pour l'instant. A bientôt !

Posted ven. 01 déc. 2017 22:23:39 Tags:

Introduction

Dans mes résolutions de 2017, il y a marqué "Écouter l'intégralité d'un artiste musical par mois"... Pour le mois de novembre ce sera le duo des Carpenters.

Oui, je sais, c'est sans doute une référence trop polie, trop sobre par rapport aux goûts des années 2010 mais, ça fait bien longtemps que je souhaite pouvoir les écouter dans leur intégralité.

Ticket to Ride (1969)

Tout commence par l'année 1969, vous savez celle où les Muscle-Cars américains sont au top de leurs performances, l'époque d'Easy-Rider, du rock contestaire, des hippies, tout ça !

Mais 1969, c'est également l'année où sort le premier album studio des Carpenters, duo formé par Richard Carpenter, le frère ainé, à la composition et aux claviers et Karen Carpenter, la soeur cadette, à la voix si troublante. Loin du rock, loin de la soul, c'est un album bien gentillet qui sort en cette année de rupture pour l'amérique triomphante.

Car dès ce premier album, le style doux et un tantinet neutre des Carpenters s'affirme. Pas de cris, pas de guitare criarde, pas de sons trop forts ou de bruits mécaniques. Juste une douceur parfois trop polie. Néanmoins, la sauce marche car cet album représente un bon début.

A vrai dire, la première piste ressemble à un cantique religieux ("Invocation"). C'est très déstabilisant pour un départ. Si vous n'avez aucune connaissance de ce que les Carpenters ont produit, vous pouvez très bien avoir la tentation de balancer l'album à la poubelle. Pourtant, cette première piste a le mérite de poser ce qui fait la force du duo: la voix de Karen, si douce, si tendre et si posée, si claire.

La deuxième piste s'inspire un peu de ce que peuvent produire les Beattles à l'époque (ils sont au sommet de leur carrière). Elle emprunte un peu de ses codes à certaines pistes des Beach Boys aussi. Car en effet, les Beach Boys sont également bien connus à l'époque. Souvent les introductions de voix ressemblent beaucoup aux phrasés des Beach Boys avec leur décalage harmonieux. Les Carpenters arrivent également à le faire à eux deux et ils en abusent souvent dans de nombreuses pistes de cet album. C'était le signe d'une époque.

Mais c'est bien "Somday" qui marque le plus cet album. On y trouve une certaine forme de sérénité, de calme, de rythme doux, sous forme d'une ballade légère qui agrémente les vocalises de Karen Carpenter. Elle se révèle d'ailleurs bien mature pour son âge (elle n'a que 19 ans), au moins dans son expression vocale. J'aime beaucoup cette interprétation tantôt grave, tantôt plus haut perchée.

Pour autant, tout n'est pas si bien organisé sur cet album. Le morceau "Ticket to Ride" est d'ailleurs une pâle copie de ce que les Beattles ont fait. Bon, vous savez ce que je pense des reprises. C'est d'ailleurs bizarre d'avoir nommé l'album avec ce titre...

Une piste comme "Don't be afraid" sonne comme les Beach Boys mais fait un peu un aplat pas terrible non plus.

Non, à mon sens, l'autre piste d'intérêt de l'album se nomme "Eve". Elle se fait encore plus douce et plus solennelle (et donc mélancolique) que les autres. Vous savez que j'aime ce genre de mélodie même si cette piste me semble porteuse d'espoir et pleins de points positifs.

Pour résumer rapidement, ce premier album, un peu trop grave et chaste à mon goût forme quand même un ensemble organisé et qui s'écoute assez bien finalement. Il y a même quelques pistes vraiment au dessus du lot même si la forme religieuse est trop présente. Un bon début vraisemblablement...

Close to You (1970)

Ah, si vous ne devez retenir qu'une seule chanson des Carpenters, c'est bien "Close to You". C'est sans doute leur morceau le plus emblèmatique.

Pourtant l'album commence aussi avec un hit: "We've only just begun". Douce, calme comme une mer d'huile; tout y respire le bonheur, la paix. Cette chanson reprend également la forme courante de ce que les Carpenters vont produire pendant près d'une décénnie. Je vous la recommande.

Autre chanson d'intérêt, la piste 3 "Maybe it's you" qui repose aussi sur une recette éprouvée: une introduction simple qui démarre tendrement, des paroles bienveillantes, un crescendo qui se termine par un duo vocal d'harmoniques, le tout servi par une mélodie simple qui se termine par un final très instrumenté, fleuron d'instruments à cordes en concert triste.

Bon parfois, certaines pistes s'essayent à autre chose et on retrouve des ensembles assez moyens qui reprennent les codent de la musique country par exemple comme dans "Reason to believe". La reprise de "Help" des Beattles est également une merde, disons-le clairement !

Par la suite, on retrouve "Close to You", un monument à elle seule dont je vous conseille l'écoute. La voix de Karen fait vraiment la différence sur cette piste, le refrain en harmoniques, l'introduction simple au piano jouent également pour beaucoup.

La piste qui suit, "Baby it's you" commence plutôt mal mais son refrain est mélodiquement une excellence. Rien que pour ça, ça vaut le coup d'écouter l'album. D'ailleurs la piste "Crescent Moon" en reprend les mêmes codes et du coup, on peut bien l'écouter aussi.

Au final, grâce à sa paire de tubes, ce deuxième album des Carpenters est une vraie réussite. Leur style s'est enfin relaché de l'aspect religieux et même si on reste dans quelquechose d'hyper-consensuel, les mélodies valent leur lot d'écoute.

Carpenters (1971)

Un an après "Close to You" sort un album qui sera encore plus une réussite pour les Carpenters. En effet, l'album éponyme du groupe est également un bon arrangement, un album à garder dans un coin pour plus tard...

La première piste, "Rainy Days and Mondays", toujours très douce, présente un refrain assez mélodieux. Je finis par croire que c'est ça la force des Carpenters: si la musique reste gentillette, le refrain est toujours entraînant et on a plaisir à le chanter. Il marque ainsi les esprits ce qui permet d'apprécier le contenu de nombreuses pistes.

Si la deuxième piste "Saturday" est décidément trop niaise et mielleuse, les 4 prochains morceaux sont franchement des tubes. En effet, "Let Me be the One", "Hideway" et surtout "For All We Know" et "Superstar" sortent du lot. Ils fonctionnent tous sur la recette du super refrain... et ça marche assez bien. La voix de Karen Carpenter nous transporte véritablement dans un monde rassurant. En écoutant ces pistes au bureau, je me sentais vraiment apaisé et calme. Tout respirait l'amour, la volupté, la bienveillance. C'est sans doute ça la force des Carpenters...

Pour résumer, cet album est encore meilleur que le précédent qui était déjà très bon. Que va-t-il se passer sur les autres ?

A Song for You (1972)

Toujours à un rythme effréné, les Carpenters sortent un album après un an de travaux. Comme sur les autres albums, on prend ce qui marche et on réutilise les bonnes vieilles recettes.

Du coup, l'album est lui aussi plutôt une réussite, d'ailleurs bien introduit par "A Song For You". Toujours un refrain percutant, une mélodie douce, une voix grave mais tendre, agrémentée cette fois d'une touche nostalgique de saxophone.

Comme il s'agit d'un bon album, autant aller à l'essentiel: les meilleures pistes:

  • "Hurting Each Others": elle démarre très doucement mais le refrain prend une cause percutante, dynamique.
  • "It's Going To Take Some Time" se lance assez maladroitement avec quelques note de piano pas terrible mais, on retrouve toujours ce refrain typique.
  • "Goodby To Love", sans doute la meilleure piste de l'album est proche de la perfection d'un "Close to You" (sans l'atteindre). L'introduction est directement très bonne et bien entendu le refrain, simple, nous emporte encore plus loin. Vient enfin l'apothéose, à la guitare électrique; suprenante mais harmonieuse.
  • "Bless The Beasts and Children", toujours pour son refrain criant mais si délicat.

Encore un bon album, un de plus... Mais à la fin, ils finissent par tous plus ou moins se ressembler. Ça peut devenir lassant en faisant une écoute intégrale. Pour autant, pris séparément, ces albums sont très bons...

Now and Then (1973)

Encore une année de plus et un nouvel album. C'est sans doute le plus connu de tous car il abrite deux des trois chansons les plus connues du duo: "Sing" et "Yesterday Once More".

"Sing" qui ouvre l'album est également un monument des Carpenters abusant de la même recette: une introduction simple, un zeste de piano, une mélodie entraînante, la voix de Karen, si claire et un refrain qui tue. Parfois, on s'approche du miracle avec ces ingrédients simples. Tout ça pour la gloire de la chanson...

Plus triste mais plus glamour et jazzy, "This Masquerade" s'écoute plutôt bien après "Sing". Ce rythme un peu différent fait du bien à l'album, une espèce de respiration.

"Heather" est un morceau complètement musical (pas de paroles) plutôt bien arrangé et qui met en avant Richard Carpenter.

En attendant, "Jambalaya" est une pure merde, une masquarade sans intérêt. Franchement, si vous vous attardez dessus, vous finirez par jeter l'album par la fenêtre, ce qui serait dommage.

On arrive enfin à la grande piste: "Yesterday Once More" ! Je suis sûr que vous avez entendu ces Chalalalas ! Claude François en a fait une reprise assez mémorable (qui ne vaut pas l'originale bien sûr mais qui mérite une certaine forme de respect honorable). Avec un brin de nostalgie, les Carpenters signent une grande musique si percutante. Moi, j'aime beaucoup...

En revanche fuyez "Fun, Fun, Fun", une reprise des Beach Boys franchement nulle. En 1973, ça fait presque 10 ans qu'elle est sortie. Même punition pour "Da Doo Ron Ron" qui fait pitié.

Les pistes qui viennent en revanche, marquent le début d'un truc pas terrible: elles sont courtes, beaucoup plus rythmées et les arrangements sont franchement niais au possible. C'est une partie que j'évite comme la peste: ça pourrait me transformer en bisounours !

A la fois le meilleur comme le pire, voilà ce qui pourrait caractériser "Now and Then"... Le début de la chute ?

Horizon (1975)

"Horizon" est sans doute l'album le plus doux produit par les Carpenters. Si vous avez besoin de tendresse et d'affection, je vous le conseille. il prend même parfois des accents jazz très bien faits.

La piste d'introduction "Aurora" fait écho à la piste finale "Eventide". Elles empaquètent l'album pendant 1:33 chacune et annoncent la teneur de l'album: la quiétude.

La deuxième piste, intitulée "Only Yesterday" dispose d'une bonne introduction même si j'apprécie moins son refrain trop country à mon goût. Mais ça reste une bonne chanson.

Je suis désolé mais j'ai déjà entendu "Desperados" chez d'autres groupes (oui, j'ai écoute le groupe The Eagles, je l'avoue) et cette chanson me va mal... "Please Mr Postman" est, on doit bien l'avouer, un monument de niaiseries qui ont vécues... et qui sont devenues rances.

En revanche, j'ai pleinement apprécié "I Can Dream Can't I?". Elle est tellement jazz qu'on aurait pu faire chanter Frank Sinatra dessus sans que ça choque le moins du monde. J'adore ce style et c'est bien dommage que les Carpenters ne se soient pas davantage penchés sur ce registre. Cette voix si claire était sans doute un moyen d'interpréter de bonnes chansons, classiques et classieuses.

"Solitaire" est franchement une excellente piste bien servie par une introduction à la douceur infinie. Le refrain, franc et entier, vous emporte vers les cieux d'un seul battement de cil.

Pour "Happy", le seul truc qui me chiffonne, c'est justement le refrain qui est trop puissant et qui fait tâche dans l'album qui nous a habitué à plus de sérénité.

Toutes les autres pistes sont plutôt d'intérêt et au final, je trouve cet album d'une assez bonne qualité. Il est plus en douceur d'une manière générale et ça va bien au duo.

A Kind of Hush (1976)

Disons-le tout net, l'album commence de manière assez moyenne: la chanson éponyme "A Kind Of Hush" est un mix entre le générique de Benny Hill et un ersatz de synthétiseurs, mélangé avec un zeste de musique country. L'ensemble n'est pas si mal que ça mais j'avoue que je déteste le refrain qui est trop entraînant, trop simpliste.

Heureusement, la deuxième piste, "You", rattrape tout. Elle est une pure production des Carpenters, dans les canons que j'ai décrit plus haut. Toujours le même refrain qui tue, propulsé en amont par une poussée lyrique de Karen Carpenter. Non, vraiment cette piste est sans doute la meilleure de l'album.

L'autre piste d'intérêt de cet album se nomme "I Need To Be in Love", réalisation ultra-classique, dans la lignée des albums précédents. "One more time" et "I have you", un peu en retrait, restent de bons exemples de douceur, avec un soupçon de trop de miel, encore une fois. "I can't smile without you" s'en sort un peu mieux, voire même plutôt bien, si on prend le temps de la savourer.

Mais, pour le reste, c'est plutôt la déception. En effet, les Carpenters essayent tant bien que mal de changer de registre et ça ne se passe pas très bien. Trop de rythme, trop de niaiseries, trop de miel, des rythmes qui ne leur vont pas bien.

Pour résumer, je ne sais pas si c'est l'impression de déjà vu (entendu plutôt), mais cet album commence à me lasser sérieusement. Globalement, je le trouve en dessous des autres. Serait-ce le début de la fin ?

Passage (1977)

Encore une année, un album pour le duo. Quand on sait qu'ils font également des concerts en parallèle, c'est un peu épuisant non ?

A la fin, ça finit par laisser des traces. En effet, "Passage" est un album avec moins de pistes que sur les albums précédents, il n'y en a que 8.

Cet album esquisse un très léger changement dans la politique de production des Carpenters. La recette traditionnelle reçoit en effet un peu d'épices, notamment au niveau des rythmes et des instruments. De ce fait, au final l'album est moins bon, malheureusement.

Les 3 premières pistes font un peu illusions surtout la bien nommée "I just Fall in Love Again". En effet, cette dernière aurait pu intégrer l'album "Now and Then" car elle comporte tout ce qui fait le style Carpenters: de la douceur, une introduction douce et un refrain explosif. C'est la meilleure piste de l'album, à n'en pas douter.

Mais le reste s'avère moins savoureux. La reprise de "Don't Cry For Me Argentina" en est une illustration assez criante. Commencée comme un atelier lyrique, elle fait pâle figure lorsque Karen pose sa voix. Le mélange ne prend tout simplement pas. Pour les autres pistes, le rythme est trop rapide, la voix trop aigue, la mélodie trop entêtante, trop simpliste.

Pour résumer, "Passage" est un album moins bon que les précédents. On sent une certaine baisse de la qualité dans le duo depuis quelques années. Ils arrivent toujours à sortir des tubes mais il manque sans doute une forme de génie créatif perdu quelquepart.

Christmas Portrait (1978)

Bon, vous savez ce que je pense des albums de noël: c'est généralement de l'excrément, un truc tellement mielleux et niais que ça colle aux doigts et ça finit par coller aux oreilles et à les boucher.

Tradition oblige, ce n'est pas mieux pour les Carpenters. Oubliez-donc cet album, ne l'achetez pas sauf pour faire chier vos invités du 25 décembre !

Made in America (1981)

C'est le dernier album studio de la fratrie Carpenters. En effet, Karen Carpenter meure à l'âge de 33 ans, des suites d'une anorexie chronique. Elle était descendue à un poids trop faible pour survivre.

Que peut-donc donner un groupe, qui a démarré dans les années 70 en faisant de la musique des années 50 dans les années 80 et leur sound system bien particulier ?

Hé bien, le moins qu'on puisse se dire c'est que les Carpenters restent fidèles à leur crédo. Après plus de 10 ans de carrière et de très bonnes ventes d'albums, le groupe a trouvé son public. Donc pourquoi changer ?

Ainsi "Made in America" commence par la piste gentille de "Those Good Old Dreams". Calme, dans la lignée pure du style du duo. Sans aucune accroche des années 80 ou d'un autre courant musical.

Pourtant, même dans une bulle, impossible de ne pas s'inspirer de l'ambiance existante. C'est finalement une pointe de synthétiseur qu'on retrouve sur "(Want You) Back In My Life Again" qui nous met la puce à l'oreille. Les choeurs et les voix d'accompagnement s'inspire aussi de ce qui se fait à l'époque. On retrouve aussi ce style sur "Touch Me" avec un solo de saxophone so eighties. Mais c'est tout ce qu'on trouvera comme concession musicale.

Le reste, c'est du pur Carpenters... Mais que donne-t-il, ce dernier album du duo ? Dans l'ensemble, je le qualifierais d'intéressant. Il ne contient pas vraiment de tube ou de hit mais quelques pistes d'intérêt. D'une manière générale, il n'y a d'ailleurs pas grand chose à jeter. Toutes les pistes ont leur intérêt, en dehors de la niaise "BEachwood 4-5789".

J'ai même apprécié "Because We Are in Love (The Weddin Song)" pour sa pureté. Je peux encore citer "Strenght of a woman" qui me fait penser à Whitney Houston dans son expression ou encore "I Believe You", plus solennelle.

Je m'attendais à pire. En général, les derniers albums qui précedent la mort d'un membre du groupe sont plutôt mauvais car la mort est souvent causée par une maladie ou la prise de drogues. Mais là, ce n'est pas le cas.

Ce que je retiendrai des Carpenters

Quand j'étais plus jeune, je pensais que les Carpenters était un groupe des années 50-60. J'étais loin d'imaginer qu'on pouvait adopter un style aussi consensuel pendant les années 70, années soul, années rebelles, années funk.

J'ai finalement pas mal d'admiration pour leur production, dans son ensemble. Dès le premier album, le ton est donné. On sait qu'il sera simple, poli, calme et gentillet. Mais, une fois ce premier constat passé et en tendant un peu l'oreille, on trouve des choses intéressantes. Je me suis surpris plusieurs fois à siffler les airs de quelques morceaux entêtants comme "Sing" ou "For All We Know".

Néanmoins, il me reste un certain malaise à exprimer. En effet, il m'est arrivé de me sentir mal après avoir écouté les dix albums à la suite. Sans doute trop de douceur, de molesse, de miel finissent par engourdir mon encéphale. Pour autant, ce n'était pas un problème de nostalgie ou de mélancolie comme j'ai pu en rencontrer chez d'autres interprètes... C'est sans doute ce que je retiendrai des Carpenters: on peut écouter un album de temps en temps mais avec parcimonie.

Au final, un bon double best-of des familles devrait suffir le plus souvent à faire le tour du duo ces artistes. Mais ça valait bien le coup de vérifier en écoutant toute leur production.

Encore un mois d'écoute pour cette année 2017. Je me suis prévu l'écoute de Stevie Wonder et de ses presques 25 albums studio: ça va faire mal parce que ça va être long... mais ça va me faire du bien à écouter, je le sais d'avance !

Posted mar. 28 nov. 2017 21:09:25 Tags:

Introduction

Depuis la rédaction de mon article sur Enigma, je suis toujours tenté d'aller plus loin avec GnuPG. En effet, une fois qu'on a pris le temps de créer un trousseau de clefs, on a toujours envie de le garnir d'un maximum de clefs différentes, histoire de pouvoir ouvrir le plus de portes possibles sans se prendre la tête.

Dans le monde de l'informatique, c'est pareil. En ce qui me concerne, je tape le plus souvent une phrase de passe lorsque je lance des commandes via ssh. Mais, plutôt que d'avoir un trousseau GPG d'un côté et des clefs privées/publiques pour SSH, ne peut-on pas tout faire avec un seul outil ?

Après quelques recherches, il semble que c'est possible depuis peu. En effet, on peut gérer l'authentification SSH par clef en utilisant GnuPG. Voici comment j'y suis parvenu en utilisant GnuPG en version 2.1, sous Debian Stretch.

Comprendre ce qu'on fait, c'est mieux

Avant de se lancer, il faut toujours prendre le temps de comprendre ce qu'on fait plutôt que de suivre bêtement une suite de commandes. Ça prend plus de temps mais vous deviendrez un meilleur administrateur système en suivant cette voie.

Je ne vais pas rentrer dans la théorie du chiffrement asymétrique mais juste faire quelques rappels sur le fonctionnement de GPG et de SSH.

Commençons par SSH... SSh permet de se connecter de manière sécurisée à une machine distante qui dispose d'un serveur SSH en écoute sur un port précis (le 22 par défaut). Si SSH permet d'ouvrir une session en utilisant un login/mot de passe, il encourage surtout l'authentification par clefs privée/publique. En règle générale, la clef privée est protégée par une phrase de passe (un long mot de passe).

SSH dispose d'ailleurs d'un agent qui gère ces clefs privées/publiques. En effet, si on utilise souvent SSH, on doit taper sans cesse la phrase de passe de la clef privée. L'agent SSH permet de disposer d'une espèce de cache sécurisé de phrase de passe. Cela évite de taper tout le temps la phrase de passe, le tout, avec une méthode sécurisée sur le poste de travail.

En ce qui concerne GPG, il existe également un agent (gpg-agent). Son rôle est de gérer une espèce de cache de clefs (privées et publiques) pour éviter de vous demander de taper votre mot de passe de clef privée sans arrêt. Il permet aussi de transmettre les clefs publiques à d'autres programmes (comme ssh par exemple). Finalement l'agent GPG fait presque la même chose que l'agent SSH sauf que chacun des programmes dispose de son jeu de clefs à lui, avec ses formats spécifiques.

Enfin, comme l'agent GPG a besoin que vous tapiez votre mot de passe de clef privée de temps en temps, il existe un programme qui permet de saisir ce mot de passe (ou cette phrase de passe bien souvent). Ce programme se nomme pinentry et peut être servi par plusieurs binaires selon l'environnement. En effet, si vous avez une session une session Gnome, vous aurez droit à une belle fenêtre adaptée au style de ce gestionnaire de bureau. En revanche, si vous êtes sur un terminal pur, il vous faudra un pinentry capable de s'afficher sur un terminal (pinentry-curses ou pinentry-tty). Pour ma part, comme j'utilise i3-wm et beaucoup de Qt (grâce à QGIS), j'utilise pinentry-qt4.

Création d'une sous-clef pour l'authentification SSH

Bon, le premier truc à faire, c'est de générer une sous-clef (subkey) dédiée à la fonction d'autorisation. En effet, SSH n'accepte pas n'importe quel type de clef et l'agent GPG non plus.

Voici quelles sont les étapes à suivre. Ce n'est pas très compliqué, il suffit d'utiliser la fonction --edit-key de gpg avec l'option --expert qui seule donne accès à la création de clef d'authentification:

gpg --edit-key --expert mon_compte
gpg (GnuPG) 2.1.18; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


La clef secrète est disponible.

sec  rsa4096/1234567890123456
     créé : 2017-07-22  expire : 2018-07-22  utilisation : SC
     confiance : ultime        validité : ultime
ssb  rsa4096/1234567890123456
     créé : 2017-07-22  expire : 2018-07-22  utilisation : E
ssb  rsa2048/1234567890123456
     créé : 2017-07-22  expire : 2018-07-22  utilisation : S
ssb  rsa2048/1234567890123456
     créé : 2017-07-22  expire : 2018-07-22  utilisation : E
[  ultime ] (1). mon_compte

gpg> addkey
Sélectionnez le type de clef désiré :
   (3) DSA (signature seule)
   (4) RSA (signature seule)
   (5) Elgamal (chiffrement seul)
   (6) RSA (chiffrement seul)
   (7) DSA (indiquez vous-même les capacités)
   (8) RSA (indiquez vous-même les capacités)
  (10) ECC (signature seule)
  (11) ECC (indiquez vous-même les capacités)
  (12) ECC (chiffrement seul)
  (13) Clef existante
Quel est votre choix ? 8

Actions possibles pour une clef RSA : Signer Chiffrer Authentifier 
Actions actuellement permises : Signer Chiffrer 

   (S) Inverser la capacité de signature
   (C) Inverser la capacité de chiffrement
   (A) Inverser la capacité d'authentification
   (Q) Terminé

Quel est votre choix ? A
...
Quel est votre choix ? C
...
Quel est votre choix ? S

Actions possibles pour une clef RSA : Signer Chiffrer Authentifier 
Actions actuellement permises : Authentifier 

   (S) Inverser la capacité de signature
   (C) Inverser la capacité de chiffrement
   (A) Inverser la capacité d'authentification
   (Q) Terminé

Quel est votre choix ? Q
les clefs RSA peuvent faire une taille comprise entre 1024 et
4096 bits.
Quelle taille de clef désirez-vous ? (2048) 4096
La taille demandée est 4096 bits
Veuillez indiquer le temps pendant lequel cette clef devrait être
valable.
         0 = la clef n'expire pas
      <n>  = la clef expire dans n jours
      <n>w = la clef expire dans n semaines
      <n>m = la clef expire dans n mois
      <n>y = la clef expire dans n ans
Pendant combien de temps la clef est-elle valable ? (0)
La clef n'expire pas du tout
Est-ce correct ? (o/N) o
Faut-il vraiment la créer ? (o/N) o
...

Vous disposez maintenant d'une clef GnuPG pour l'authentification. Reste à pouvoir l'utiliser correctement dans SSH...

Substitution de ssh-agent par gpg-agent

Depuis quelques versions maintenant, l'agent de gestion des passphrases de GnuPG (v2 pour rappel) peut servir d'agent SSH en lieu et place de celui fourni avec OpenSSH.

Sur un système moderne comme Debian Stretch, il faut juste le configurer dans le fichier de configuration de l'agent GPG pour lui indiquer l'option enable-ssh-support dans son fichier de configuration. Ce dernier se nomme ~/.gnupg/gpg-agent.conf. S'il n'existe pas, vous devrez le créer et lui ajouter une ligne avec enable-ssh-support.

Ensuite, il faut juste recharger l'agent GPG. Néanmoins, il faut également désactiver l'agent SSH. Ce n'est pas une mince affaire parce qu'il est géré par systemd. Le moyen le plus simple et le plus efficace consiste à fermer et rouvrir la session graphique. En effet, l'unité systemd qui gère l'agent SSH se lance uniquement lors de l'ouverture d'une session graphique.

Bien entendu, si vous avez du temps et que vous souhaitez personnaliser un peu plus le comportement de l'agent GPG, je vous conseille de lire la documentation de ce dernier via man gpg-agent.

Modification du fichier sshcontrol

Pour que l'agent GPG transmette bien des clefs d'authentification à ssh, il faut encore lui indiquer quelle clef utiliser. En effet, si vous avez un trousseau GnuPG étoffé, vous ne voudrez sans doute pas autoriser toutes les clefs à être utilisées par ssh. L'agent GPG dispose d'un fichier dédié dans ~/.gnupg/sshcontrol.

Nous allons donc simplement indiquer notre clef d'authentification que nous avons créé auparavant dans ce fichier. Mais attention, ce dernier exige non pas un uid de clef mais un keygrip. Vous pouvez l'obtenir à l'aide de l'option --with-keygrip:

gpg --list-public-keys --with-keygrip mon_compte
/home/mon_compte/.gnupg/pubring.gpg
-------------------------------
pub   rsa4096/879357560768796E 2017-07-22 [SC] [expire : 2018-07-22]
      1C848291661BD7E20B873A27879357560768796E
      Keygrip = 1801833AA0573C2372AD196729C6B004A4BF891B
uid                [  ultime ] mon_compte <mon_compte@example.com>
sub   rsa4096/792D62F3336393FA 2017-07-22 [E] [expire : 2018-07-22]
      Keygrip = F8894EEFCF321067DA881E2AC471C9BACF0B8067
sub   rsa2048/A44D23DA9C451C04 2017-07-22 [S] [expire : 2018-07-22]
      Keygrip = 8582CAA7B033E8B775809BA05ED37B3463CB0F30
sub   rsa2048/B040BDF79DB1058C 2017-07-22 [E] [expire : 2018-07-22]
      Keygrip = 60B08365121D1B34E911C9EA8138946DB1FE8FCA
sub   rsa4096/519BE81D08A417C7 2017-11-11 [A] [expire : 2018-07-22]
      Keygrip = EB994608FCAB196BF0D79602D3A04F043F5DEE9F

Dans mon cas, la sous-clef utilisée est la dernière (elle a l'option [A] pour authentification). Son keygrip est EB994608FCAB196BF0D79602D3A04F043F5DEE9F. Vous avez juste à renseigner cette valeur dans le fichier ~/.gnupg/sshcontrol avec votre éditeur de texte préféré ou une redirection shell.

Pour vérifier que ça fonctionne, la commande ssh-add -l doit maintenant indiquer la clef d'authentification rentrée en amont.

Export de la sous-clef dans les clefs autorisées de SSH

Maintenant que tout est configuré sur la machine qui va se connecter à distance, il faut quand même indiquer à la machine d'en face quelle clef publique doit être acceptée. Dans le temps, il fallait utiliser un programme tiers de la suite monkeysphere mais, depuis GnuPG 2.1, il existe une commande d'export qui permet de le faire assez simplement. Il s'agit de l'option --export-ssh-key. Elle exporte une clef publique au format accepté par SSH. Il n'y a qu'à l'utiliser de la manière suivante:

gpg --export-ssh-key mon_compte >> ~/.ssh/authorized_keys

Par défaut, cette commande exporte la première clef d'authentification au format SSH, directement prêt à être intégrée dans un fichier d'autorisation SSH.

Pour exporter la clef à distance, vous pouvez simplement utiliser la commande ssh dédiée: ssh-copy-id mon_compte@machine_distante. En effet, cette commande utilise le résultat de ssh-add pour envoyer les clefs à distance. Comme ssh-add utilise maintenant GnuPG, il n'y a pas de problème pour l'utiliser.

Que faire si ça plante ?

Déjà, vous devez voir si l'agent SSH est toujours actif. Si c'est le cas, c'est mauvais signe, vous devez trouver le moyen de le gicler. Le plus simple est de lancer une commande du type set | grep SSH. Elle doit vous retourner uniquement la variable SSH_AUTH_SOCK qui contient la socket de l'agent SSH. Ce denier doit être l'agent GPG. C'est facilement reconnaissable dans le contenu de la variable qui doit afficher un truc avec gpg-agent.ssh.

Autre point qui peut poser problème: il manque une sous-clef privée d'authentification ou une clef d'authentification est inutilisable. Ça m'est arrivé assez facilement en exportant une sous-clef d'authentification en oubliant d'incorporer la sous-clef privée. Après l'import dans un autre trousseau sur une autre machine, la commande gpg --list-secret-keys m'indiquait une sous-clefs inutilisable (ssb#). J'ai du procéder à une exportation complète en utilisant l'option --export-secret-subkeys de GnuPG.

Autre symptôme lié au point précédent: si ssh-add -l n'affiche rien ou un message d'erreur, je vous conseille de jeter un coup d'oeil à votre journal système utilisateur (via journalctl --user -xe) pour voir si vous avez des erreurs concernant une clef manquante dans le fichier sshcontrol. En effet, pour le keygrip d'une clef situé dans le fichier sshcontrol soit pris en compte, il faut absolument qu'il y ait le fichier correspondant dans ~/.gnupg/private-keys-v1.d/. Si ce n'est pas le cas, vous avez sans doute un problème avec une sous-clef privée.

Conclusions

Avec cette recette, vous pouvez enfin vous passer des clefs SSH classiques et de son agent. Ce mode de gestion unifié qui passe par GnuPG vous permettra de renforcer le rôle de cette solution de chiffrement qui se révèle finalement assez complète.

De plus, cela vous encouragera à avoir GnuPG un peu partout sur vos machines et à vous organiser pour gérer votre trousseau au mieux.

Prochaine étape ? Peut-être utiliser une clef de sécurité ou une carte OpenPGP pour gérer le trousseau. Ou encore mettre en place Pass qui utilise nativement GnuPG pour sécuriser les autres mots de passe...

Posted lun. 20 nov. 2017 22:05:30 Tags:

Introduction

Comme au mois d'octobre, je continue mon périple littéraire pour cette année et pour le mois de novembre, j'ai enfin pris le temps d'ajouter un Jack London à ma collection politique. En effet, j'avais déjà lu le "Peuple de l'Âbime" il y a quelques années qui est un reportage journalistique engagé sur les "pauvres" dans l'Angleterre industrielle du début du 20ème siècle. Cette fois, je me suis rabattu sur "Le talon de fer", un ouvrage de fiction politico-économique d'un grand intérêt (enfin, pour moi).

L'histoire

Pour faire un "pitch" rapide, le livre est en fait le journal de bord d'Avis Everhard, de sa recontre avec son futur mari Ernest Everhard jusqu'à sa disparition accidentelle, dans la lutte contre l'organisation du Talon de Fer.

Il raconte, de manière fictionnelle, la montée du socialisme dans l'amérique du début du 20ème siècle, en présentant la montée en puissance d'Ernest Everhard, un leader socialiste et en décrivant la lutte politique puis révolutionnaire qui s'en suit.

Au début, le couple se rencontre lors d'une soirée mondaine où le père d'Avis a invité des personnes de bonne compagnie et un invité à part, Ernest Everhard, un ancien ouvrier devenu philosophe socialiste. Dès le premier chapitre, ce dernier démontre que le système politico-économique réduit des hordes de personnes pauvres à une précarité dangereuse dont ils ne peuvent se sortir vivants. Un a un, il démonte les arguments de ses opposants et prédit l'arrivée d'une révolution socialiste, seul moyen de changer le cours des choses.

Car le système capitaliste exposé dans le livre est un capitalisme débridé, comme à notre époque mais sans aucune forme de protection sociale. Il a également la particularité d'être organisé autour d'une oligarchie concentrée autour de quelques trusts emblématiques (chemins de fer, charbon, métallurgie, etc). Cette oligarchie, dénommée Talon de Fer par Jack London s'est donné l'objectif de soumettre la majorité de la population pour en tirer un bénéfice intéressant pour cette petite caste. London, via la voix d'Everhard présente les choses de manière assez crue: le Talon de Fer n'a aucune considération de ses esclaves et pour ces derniers, la survie passe forcément par la rébellion, il n'y a pas d'autre alternative entre la mort et la lutte.

Everhard prédit une révolution socialiste pour renverser les trusts et établir un système qui empêchera toute possibilité de reconcentration du pouvoir et des moyens dans une forme oligarchique.

Petit à petit, les prédictions d'Everhard se réalisent: le Talon de Fer s'organise, mine petit à petit les lois, créé une milice dédiée, traite avec la classe moyenne pour affaiblir encore plus les prolétaires (ceux qui ne possèdent que leur force de travail pour toute richesse, c'est à dire, ceux qui n'ont rien et qui doivent bosser pour ne pas crever de faim).

Le père d'Avis et un évêque, connaissance de la famille, sont attirés par les théories socialistes et tentent de les appliquer mais ils se rendent compte qu'ils sont exclus de plus en plus de la classe dominante. L'évêque finit ainsi à l'asile et le père d'Avis disparaît mytérieusement

Enfin, la révolution éclate lorsque les élections qui ont fait gagner des sièges aux socialistes et aux ruraux (les Grangers) sont annulées: on les empêche tout simplement de siéger. Un attentat préparé par le Talon de Fer éclate au Congrès et les socialistes sont accusés. S'en suit une répression sévère, dans le sang avec un affrontement immense où de nombreuses personnes meurent.

Très vite, la contre-attaque s'organise. Avis se cache, Ernest est mis en prison puis libéré par ses compagnons. S'en suit une scène apocalyptique à Chicago qui est le siège d'une tentative de révolution socialiste durement matée à coup de mitrailleuse par le Talon de Fer.

Le livre se termine de manière abrupte. La dernière note mentionne qu'il s'agit des dernières lignes d'Avis Everhard avant sa disparition fortuite. Ses dernières lignes répetent sa confiance dans la lutte contre le Talon de Fer et son système capitaliste et dans le triomphe irrémédiable du socialisme.

Quelques réflexions

Le livre est franchement bien rédigé. Pendant très longtemps, j'ai cru qu'il s'agissait d'un reportage politique du début du 20ème siècle, contemporain de la fin de vie de Jack London. En effet, tout avait l'air de décrire la montée du socialisme aux États-Unis vers 1912-1916 (oui, je ne maîtrise pas bien l'histoire de ce pays à cette époque cible). Ce n'est qu'à un moment où l'action de rébellion véritable a été lancée que j'ai enfin compris que ce n'était que de la fiction. C'est dire si le récit de London est précis.

Dans le début de sa vie d'adulte, London adhère au parti socialiste et, dans ce livre, il reprend quelques-unes de ses théories déjà esquissées dans le Peuple de l'âbime, à savoir que l'état de pauvreté profond d'un grand nombre de personnes est en fait orchestré par le système politico-économique, dans l'intérêt de quelques-uns. Mais cette fois, plutôt que de simplement dénoncer, London propose un projet de révolution voire tente même de démontrer que cette révolution est incontournable. En effet, dans cette époque, il n'y a aucune loi sociale. Un ouvrier qui a un accident du travail est simplement renvoyé car non opérationnel. Il finit par mourrir de faim, à l'écart de la société, y compris des autres prolétaires tant ces derniers n'ont pas le temps d'avoir une vie sociale. Les enfants sont également incorporés au travail de manière assez radicale et crue.

Les prolétaires ne possèdent rien et vivent de manière misérable. Tout accident ou erreur de leur part est durement sanctionné par la mort de faim qui survient assez vite.

L'hypothèse de London dans le livre est que le système capitaliste tend à concentrer la richesse aux mains d'une oligarchie qui s'accapare tout: l'argent, le pouvoir; et dont l'objectif est la domination totale. Mais il y a une différence avec ce qui s'est réellement passé dans l'histoire économique des États-Unis d'Amérique. En effet, il y a eu une grosse loi anti-trusts. Alors que dans le livre de London, le mal prend justement racine dans les trusts qui finissent par bloquer tout le système politique qui pourrait nuire à leur survie. Ce n'est pas le cas (enfin, pas trop) dans notre société actuelle qui a su, un minimum, déconcentrer le pouvoir de quelques grosses firmes. Évidemment, si on suit la théorie de London, on peut presque dire que le fait d'accorder un pouvoir fort aux trusts est quasiment la source de tout le mal économique.

Ce qui a aussi attiré mon attention, c'est l'ironie de l'Histoire. En effet, Everhard présente le système socialiste comme le seul idéal capable de renverser le capitalisme et de faire en sorte qu'il ne puisse nuire à nouveau, en proposant un système politique complet, fondé sur une société sans classe. Pourtant, si on compare avec l'Histoire réelle, on ne peut qu'être choqué de constater que les systèmes socialistes ou communistes que nous avons connus étaient, pour la majorité d'entre-eux, des oligarchies sévères, constituées de quelques membres qui avaient le pouvoir et les richesses (les datchas, les Volga Gaz, etc.). Je suis sûr que London aurait répondu en disant que ces oligarchies ne sont pas socialistes mais qu'il s'agit de la dernière tentative de survie du Talon de Fer: prendre la forme d'une révolution socialiste pour ne pas mourrir tout en conservant l'oligarchie dans les faits, mais pas dans les principes.

A un moment du passage du livre, Everhard explique comment le Talon de Fer organise la famine pour mieux se débarrasser des prolétaires et de la classe moyenne, en cours de rébellion. Là encore, si on regarde l'Histoire, on se rend compte que les communistes russes et chinois ont utilisé les mêmes méthodes: les grandes famines de 1936 en sont la meilleure illustration; ce qui est assez paradoxal... Bon, de toute manière, si vous croyez que le communisme c'est ce qui s'est passé de 1917 à 1991 en URSS, dites-vous bien que vous vous trompez. Le communisme, c'est juste la propriété commune des moyens de production. Pas d'oligarchie, de concentration de pouvoir, d'autoritarisme, de goulag, de privation de libertés là dedans. Il n'y a qu'à voir ce qui se passe du côté des Kibboutz israéliens pour s'en convaincre...

Néanmoins, ce que dénonce London et qu'il utilise comme argument imparable pour annoncer l'évènement du socialisme et finalement bien ce qui a été compris et incorporé au système capitaliste, sans doute pour assurer sa survie. En effet, aujourd'hui, il existe une protection sociale, certes toujours remise en question mais bien présente. C'est la principale différence entre le système que décrit London qui est, effectivement invivable pour la majorité du peuple, et le monde de 2017 sur la Terre. C'est cet ajout de socialisme dans un système économique tranchant, dur, inégal mais finalement assez stable, difficile à bousculer qui fait toute la différence; qui amène à un monde à peu près vivable pour la majorité. Bon attention, ce n'est pas parce que quelquechose est stable que c'est forcément une bonne chose (vous pouvez rester stable, dans une flaque de merde, sans pouvoir vous en sortir. C'est stable: vous avez tendance à rester au même endroit, mais c'est aussi la merde !) !

Ma réflexion finale, à la lumière du monde que décrit London, sera de dire que tant que le système capitaliste conservera une bonne part sociale, il ne trouvera guère de système alternatif, il saura conserver un intérêt de la majorité pauvre, privée de pouvoir. Espérons que les politiques n'oublient jamais cet élément sinon, l'horreur du Talon de Fer ne saurait que se reproduire. A partir de maintenant, je désignerai par "Talon de Fer", cette forme de capitalisme sauvage, débridé, complètement non adapté à la survie d'un grand groupe humain sur cette planète !

Conclusions

Le livre se lit très facilement et il est bien écrit. Il dispose de nombreuses notes de bas de page (que j'ai consultées). Ces notes apportent une véritable impression de réalité historique au récit. En effet, la manière dont elles sont rédigées laisse penser qu'elles sont des résumés de situations qui se sont réellement déroulées dans les faits. Néanmoins, vers la moitié du livre, on se rend compte qu'il n'en est rien. Je vous conseille de toutes les lires, on se dirait dans Wikipédia.

Par ailleurs, en homme du monde occidental capitaliste "triomphant", je n'ai pas vraiment eu accès à de la fiction socialiste de cette nature dans ma jeunesse. C'est très frais de lire un livre où on tente de démontrer que la lutte des classes a une véritable explication, une origine sérieuse. Le récit permet d'imaginer un autre monde, bien différent de celui que nous avons l'habitude de cotoyer. Ainsi, c'est une histoire bien disruptive, à mi chemin entre la fiction et une réalité possible. Mais j'aimerais que cette réalité ne prenne jamais forme !

Bon, encore un livre, un mois et mon projet de lire au moins un livre par mois pour l'année 2017 sera rempli et achevé. Je dois donc terminer au moins le livre "Un animal doué de raison" de Robert Merle. Souhaitez-moi bon courage camarades...

Posted sam. 18 nov. 2017 17:23:39 Tags:

Introduction

Bon, vous le savez, nous vivons dans un monde où la surveillance des communications devient quasiment totale. Différents acteurs comme la Stasi (la sécurité de l'État) ou encore Google ou Facebook veulent absolument savoir ce que vous vous racontez entre-vous sous couvert de différents motifs.

Alors que nombre de pays ont instauré depuis très longtemps le secret de la correspondance, il vous faudra recourrir à des mesures techniques plus complexes pour assurer que moins de personnes ne lisent vos précieux courriers électroniques.

L'informatique a depuis longtemps réglé ce problème en utilisant le chiffrement asymétrique. Néanmoins ce dernier a l'inconvénient de ne pas être si trivial à employer.

Et si finalement, ce n'était plus si complexe que ça ? Comment faire pour chiffrer et signer facilement ses courriers électroniques avec un minimum de sécurité ?

La réponse (en fait une des nombreuses réponses) se trouve dans l'extension Enigma de Roundcube. Je présente dans cet article, la manière dont j'ai pu le déployer sur mon serveur Debian Stretch.

Principes d'Enigma

Je ne vais pas revenir sur le fonctionnement du chiffrement asymétrique; c'est un pré-requis à la lecture de cet article.

Ce qui est plus important à retenir, c'est qu'Enigma vous propose de stocker vos clefs GPG privées et publiques directement sur le serveur qui héberge Roundcube. De cette manière, vous disposez d'un moyen simple pour toujours avoir votre clef sous la main, lorsque vous souhaitez l'utiliser pour votre courrier électronique.

Enigma n'est qu'une encapsulation de GnuPg. Son fonctionnement permet de transférer tout ce qui est sensible à l'environnment de GnuPg (en version 2.1 sous Debian Stretch) qui est fait pour ça.

A mon sens, cela permet de faire de ces fonctions de chiffrement/signature quelquechose de simple à utiliser au quotidien plutôt qu'un truc de crypto-anarchiste.

Sachez que si vous importez votre clef privée avec un mot de passe de protection, Enigma vous demandera de renseigner ce mot de passe dès qu'il en aura besoin. Votre clef privée est donc potentiellement à l'abri d'un vol immédiat (mais d'un crackage par force brute ou dictionnaire).

Installation des paquets

Pour faire simple, il vous faut installer au moins le paquet roundcube-plugins. Ce paquet suggère d'utiliser php-crypt-gpg. Néanmoins, ce paquet n'est pas diponible dans Debian Stretch, la version stable de Debian au moment de la rédaction de cet article. Ce paquet est indispensable pour faire fonctionner le plugin Enigma.

Vous pourriez tout simplement attendre que la prochaine version stable de Debian entre en production mais voilà, vous avez lu mon introduction et vous avez décidé de protéger un peu plus vos communications. Comment faire ?

Bon, par bonheur, le paquet php-crypt-gpg est disponible dans Debian Buster, la version testing de Debian. De plus, dans sa version actuellement disponible, il peut parfaitement s'installer dans Debian stable. Donc, un simple téléchargment suivi d'une installation manuelle suffit à rendre le plugin opérationnel:

# apt install --no-install-recommends gnupg2 php-console-commandline
# wget http://ftp.fr.debian.org/debian/pool/main/p/php-crypt-gpg/php-crypt-gpg_1.6.0-1_all.deb
# dpkg -i php-crypt-gpg_1.6.0-1_all.deb  

Oui, vous allez me dire que j'aurais pu utiliser l'apt-pinning. Mais, vous le savez, j'administre mes machines personnelles sur mon temps libre qui est ultra compté. Je vais au plus court et j'assume totalement...

Configuration

Voilà, vous avez tout ce qu'il faut pour activer Enigma. Reste encore à le configurer correctement. Voyons comment faire en détails.

Vous devez d'abord ajouter le plugin Enigma dans la liste des plugins autorisés. La liste est disponible dans le fichier /etc/roundcube/config.inc.php:

// List of active plugins (in plugins/ directory)                                                                                                                       
$config['plugins'] = array(
'archive',
'calendar',
'carddav',
'emoticons',
'managesieve',
'zipdownload',
'enigma'
);

Le principe d'Enigma est de stocker votre clef privée (et publique) sur le serveur qui héberge Roundcube, de manière à pouvoir signer et déchiffrer à volonté. Enigma vous impose de déclarer un répertoire pour stocker les clefs. Nous allons utiliser le répertoire /var/local/enigma. Attention, ce répertoire doit être accessible en écriture à l'utilisateur de Roundcube, c'est à dire www-data:

# mkdir -p /var/local/enigma
# chown www-data:www-data /var/local/enigma

Enfin, vous devez simplement configurer le plugin en rédigeant son fichier de configuration dédié, situé dans /etc/roundcube/plugins/enigma/config.inc.php. Ce fichier permet d'imposer certains paramètres à tous les utilisateurs de votre instance Roundcube (oui, un webmail, c'est fait généralement pour plusieurs comptes). En voici un exemple commenté.

<?php
// Enigma Plugin options
// --------------------

// Le pilote utilisé pour PGP
$config['enigma_pgp_driver'] = 'gnupg';

// Le pilote utilisé pour le contenu S/MIME
$config['enigma_smime_driver'] = 'phpssl';

// Activer le debug dans les journaux
$config['enigma_debug'] = false;

// Répertoire de stockage des clefs (privées et publiques) 
$config['enigma_pgp_homedir'] = '/var/local/enigma';

// Emplacement du binaire gpg (auto-détecté par défaut)
$config['enigma_pgp_binary'] = '';

// Emplacement de gpg-agent (auto-détecté par défaut)
$config['enigma_pgp_agent'] = '';

// Activer la vérification des signatures par défaut
$config['enigma_signatures'] = true;

// Activer le déchiffrement des messages
$config['enigma_decryption'] = true;

// Autoriser le chiffrement et la signature
$config['enigma_encryption'] = true;

// Activer la signature par défaut
$config['enigma_sign_all'] = false;

// Activer le chiffrement des messages par défaut
$config['enigma_encrypt_all'] = false;

// Activer l'envoi de la clef publique dans chaque courriel
$config['enigma_attach_pubkey'] = true;

// Durée par défaut de stockage des mots de passe de clefs privées (en
// minutes). 0 indique que le mot de passe est stocké pendant toute la
// session. 
$config['enigma_password_time'] = 5;

// Interdire la génération de clef privée sur le serveur
$config['enigma_keygen_server'] = false;

// Forcer la configuration de certains paramètres
// (Rien dans notre cas)
$config['enigma_options_lock'] = array();

Avec ces éléments, Enigma est prêt à fonctionner.

Utilisation

Ok, Enigma est prêt, il ne reste qu'à le remplir avec vos clefs. Pour cela, vous devez les extraires au format asc par exemple à l'aide de la commande gpg. N'oubliez pas qu'il faut la clef privée et la clef publique:

$ gpg --armor --export-secret-keys my_account@example.com > privkey.asc
$ gpg --armor --export my_account@example.com > pubkey.asc

Ensuite, ouvrez Roundcube et allez dans la page des paramètres, dans l'onglet Préférences: la section "Chiffrement" doit apparaître:

Préférences Enigma

Vous devriez retrouver tous vos paramètres du fichier de configuration. Néanmoins, en fonction des options de verrou, certains paramètres ne peuvent pas forcément être modifiés ici.

Ensuite, vous devez importer au moins une clef privée et une clef publique (vous pouvez faire les deux en même temps). Pour cela, rendez-vous toujours dans l'onglet "Clés GPG" et cliquez sur le bouton "Importer" situé en haut à gauche:

Import des clefs

Choisissez les fichiers .asc précédemment générés et le tour est joué. Vous devriez voir une référence dans la liste des clefs. Cliquer sur cette référence affichera une page complète d'information sur la dite clef.

Passons maintenant aux opérations de chiffrement et de signature. Composez un nouveau courriel et vous devriez voir apparaître une nouvelle option de sécurité avec un cadenas:

Options de chiffrement/signature des messages

Lorsque vous cochez l'option, joindre ma clef publique, elle sera systématiquement envoyée en pièce-jointe de votre message. Chez moi, elle est cochée par défaut, de manière à ce que les gens puissent la récupérer à moindre frais.

Conclusions

Finalement, l'installation du plugin est assez simple. La méthode que je propose pose quand même un certain problème, principalement au niveau de la sécurité sur la maintenance du paquet php-crypt-gpg. Ne l'oubliez pas !

Néanmoins, le plugin est fonctionnel et il vous permettra de signer vos courriels et de déchiffrer ce que vos correspondant équipés d'une solution de chiffrement asymétrique auront envoyé et ce, de manière assez simple, dès que vous aurez accès à votre instance Roundcube.

Cela vous donnera enfin l'impression de rejoindre une communauté de gens sérieux avec la sécurité de leurs communications. L'étape d'après consiste à convertir tous vos correspondants à utiliser le chiffrement asymétrique pour leur correspondance. Ce n'est pas gagné mais pas impossible !

Posted sam. 18 nov. 2017 08:34:23 Tags:

Introduction

Lors de mon dernier travail sur Cockpit, je me suis rendu compte que ce dernier reposait beaucoup sur systemd. En effet, en essayant l'interface Web de Cockpit, je me suis rendu compte qu'on pouvait ajouter pas mal de renseignements sur la machine via systemd. Vu la quantité d'informations disponibles, un article s'imposait pour présenter l'ensemble des modifications de mon système.

De même, ayant adopté systemd, il m'a semblé plus intéressant d'essayer de gérer la configuration de mes machines en utilisant les mécanismes systemd qui semblent maintenant assez bien éprouvés.

Bon, je sais que systemd est un sujet encore épineux en 2017 mais, je crois qu'en utilisant ses mécanismes de configuration le plus possible, on arrive à une méthode de configuration un peu plus universelle. En effet, sous réserve que d'autres distributions reposent sur les services systemd présentés dans cet article, un administrateur système qui changerait d'environnement serait moins perdu (il y a de grandes différences entre un système RedHat et un système Debian) et, de fait, serait beaucoup plus efficace.

Mais voyons plutôt ce que nous pouvons faire avec systemd.

L'ensemble de ce qui suit a été réalisé sur plusieurs machines sous Debian Stable (Stretch au moment de la rédaction de cet article).

Informations sur la machine via /etc/machine-info

hostnamectl est une commande systemd qui permet de customiser plusieurs éléments:

  • l'emplacement physique de la machine
  • l'environnement de la machine (production/dev/test/etc).
  • le type de machine (chassis).
  • Un nom élégant.
  • l'icône de la machine (dont le nom est au format XDG).

Ces informations sont stockées dans le fichier /etc/machine-info. On peut également les modifier avec hostnamectl.

Gestion du temps via systemd-timesyncd

J'utilisais depuis des temps immémoriaux l'antique ntpdate pour synchroniser l'heure de mon serveur public. Attention, cette option est ultra importante car mon serveur public n'a pas d'horloge temps réel indépendante. Donc, dès qu'il boote, il lui faut récupérer l'heure via le réseau, histoire d'avoir les bonnes dates dans les logs.

Mais avec systemd, il y a un outil pour faire ça: timedatectl. Si je peux virer un paquet de mon système, autant le faire non ? Par ailleurs, la documentation de timedatectl indique que ce dernier stocke la date et l'heure sur disque ce qui permet de reprendre à une date moins vieille que epoch lors du reboot de la machine.

La configuration de timedatectl est assez simple, vous devez simplement renseigner le fichier /etc/systemd/timesyncd.conf avec la bonne liste de serveurs, dans le cadre d'une machine à configuration statique.

#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See timesyncd.conf(5) for details.

[Time]
NTP=0.debian.pool.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org

Dans le cas, d'une machine servie par DHCPv4, je vous conseille de ne pas configurer ce fichier mais d'utiliser la directive UseNTP dans la configuration du service networkd et de servir la liste des serveurs NTP via votre serveur DHCP: votre configuration sera alors centralisée correctement.

Ensuite, n'oubliez pas de supprimer le paquet ntpdate, ce qui supprime aussi l'unité systemd associée. Enfin, vous devrez activer le service systemd-timesyncd.service tout en ayant pris soin de recharger le démon systemd.

Gestion des interfaces réseaux via systemd-networkd

Bon ça fait des années que j'utilise le système ifup de Debian qui marche assez bien finalement. Donc pour moi, NetworkManager est un peu "overkill". Néanmoins, systemd présente un mécanisme intéressant pour la gestion des interfaces réseau: il s'agit de systemd-networkd.

Globalement la logique est un peu la même que celle de ifup:

  • On définit un fichier .network de définition d'un périphérique réseau.
  • On y indique les différentes options disponibles dedans.
  • Au démarrage de la bécane, systemd se charge "d'allumer" les différents périphériques réseau.

Voici quelques fichiers que j'utilise au boulot et à la maison, pour vous montrer différentes utilisations possibles et que networkd sait être versatile...

Connexion de l'interface filaire ethernet de base via DHCP

Dans ce qui suit, l'interface réseau ethernet se nomme eno1. Pour savoir ce que vous avez, un simple ip link vous donnera la liste des interfaces repérées par le noyau.

Vous devez créer un fichier se terminant par .network dans le répertoire /etc/systemd/network/ (ex: /etc/systemd/network/ethernet.network) et contenant les lignes à suivre:

[Match]
Name=eno1

[Network]
Description="Primary Ethernet card"
DHCP=yes

Comme vous le voyez, c'est très simple ! Le principe est d'inscrire une directive de match qui permettra de repérerer la carte réseau concernée par le fichier .network. Puis, on indique qu'on souhaite utiliser le DHCP.

Connexion de l'interface filaire ethernet de base via DHCP avec IPv6

Dans le cas qui suit, on souhaite récupérer une adresse IPv4 via DHCP mais utiliser les mécanismes IPv6 d'allocation automatique d'adresses.

[Match]
Name=eno1

[Network]
Description="Primary Ethernet card"
DHCP=ipv4
LinkLocalAddressing=ipv6
IPv6AcceptRA=true

[DHCP]
UseDNS=true
UseDomains=true
UseNTP=true
UseRoutes=true
UseTimezone=true
ClientIdentifier=mac

Pour la directive DHCP, on souhaite:

  • Configurer le DNS via DHCP.
  • Configurer le domaine par défaut via DHCP.
  • Configurer les serveurs NTP utilisés par DHCP.
  • L'authentification DHCP se fera par adresse mac.

Connexion de l'interface filaire ethernet de base via DHCP filtrant

Au bureau, j'ai un serveur DHCP filtrant sur les adresses MAC et qui s'attend à avoir des machines Windows. Pour cela, on va indiquer qu'on souhaite identifier le client DHCP via l'adresse MAC de la carte réseau et on va ajouter un identifiant de vendeur qui aura pour contenu MSFT 5.0 (un truc qui dit que c'est un MS-Windows):

[Match]
Name=eno1

[Network]
Description="Primary Ethernet card"
DHCP=ipv4
LinkLocalAddressing=no

[DHCP]
UseDNS=true
ClientIdentifier=mac
VendorClassIdentifier="MSFT 5.0"

Connexion Wifi avec WPA

C'est la connexion classique sur une borne wifi. Ici, il y a une petite astuce: nous allons utiliser wpa_supplicant (le classique) et créer une "fausse" unité systemd pour indiquer à systemd-networkd qu'il faut utiliser wpa_supplicant.

D'abord, la configuration de la carte réseau Wifi (wlp1s0 chez moi) dans /etc/systemd/network/wlp1s0.network:

[Match]
Name=wlp1s0

[Network]
Description="Primary WiFi card"
DHCP=ipv4
LinkLocalAddressing=ipv6
IPv6PrivacyExtensions=true
IPv6AcceptRA=true

[DHCP]
UseDNS=true
UseNTP=true
UseDomains=true
ClientIdentifier=mac

Dans cette configuration, on configure IPv4 par DHCP, IPv6 par les mécanismes d'annonce de routeur et, bien sûr, on active les extensions de vie privée sur IPv6. Rien que du classique.

Ensuite, il vous faut un fichier de configuration pour wpa_supplicant, nommé de la bonne manière, c'est-à-dire en tenant compte du nom de l'interface. Dans notre cas, ce sera /etc/wpa_supplicant/wpa_supplicant-wlp1s0.conf:

ctrl_interface=/var/run/wpa_supplicant
eapol_version=1
ap_scan=1
fast_reauth=1

network={
    ssid="Foobar1"
    psk="password1"
    priority=1
}
network={
    ssid="Foobar2"
    psk="password2"
    priority=2
}

Enfin, il reste à créer une "fausse" unité systemd et à l'activer:

# systemctl enable wpa_supplicant@wlp1s0.service
# systemctl start wpa_supplicant@wlp1s0.service

Normalement, ça devrait bien fonctionner...

Connexion filaire statique avec une route supplémentaire

Pour la maison, j'ai une bécane qui sert de pont "Wifi" pour le réseau 192.168.1.0. Voici la configuration spécifique de sa carte ethernet:

[Match]
Name=eno1

[Network]
Description="Primary Ethernet card"
DHCP=no
LinkLocalAddressing=no
IPForward=ipv4

[Address]
Address=192.168.1.7/24
Broadcast=192.168.1.255

Bien entendu, vous devez utiliser un mécanisme de forwarding IPv4 via nftables pour que ça fonctionne complètement (mais ça, c'est hors-sujet pour aujourd'hui).

Création d'un pont pour des machines virtuelles sur DHCP filtrant

Au boulot, j'ai besoin d'avoir un pont ethernet pour mes machines virtuelles sous KVM. Pour faire simple, j'utilise un pont via networkd. Mais il y a un peu de magie dans l'histoire: n'oublions pas que mon serveur DHCP est filtrant sur l'adresse MAC. Du coup, je suis obligé d'affecter l'adresse MAC de la carte réseau ethernet au pont et de mettre une fausse adresse MAC pour la carte réseau. C'est chiant mais sinon, ça ne fonctionne pas du tout !

Vous devez créer 3 fichiers:

  • Un fichier de périphérique réseau virtuel pour le pont (br0.netdev).
  • Un fichier de configuration réseau pour le pont (br0.network).
  • Un fichier qui va inscrire la carte ethernet physique dans le pont.

Contenu de /etc/systemd/network/br0.netdev:

[NetDev]
Description="Network Bridge for KVM"
Name=br0
Kind=bridge

Contenu de /etc/systemd/network/br0.network:

[Match]
Name=br0

[Link]
MACAddress=88:51:fc:4e:8a:91

[Network]
Description="Network configuration for Bridge"
DHCP=ipv4
LinkLocalAddressing=no

[DHCP]
UseDNS=true
UseMTU=true
UseDomains=true
ClientIdentifier=mac
VendorClassIdentifier="MSFT 5.0"

Contenu de /etc/systemd/network/ethernet-slave.network:

[Match]
Name=eno1

[Link]
MACAddress=88:51:fc:4e:8a:92

[Network]
Description="Primary Ethernet card (bridged)"
Bridge=br0

Ensuite, relancez le service:

# systemctl restart systemd-networkd.service

Un peu de ménage

Une fois que votre configuration est effective, vous pouvez supprimer les anciens paquets (oui, je sais, ça fait bizarre de supprimer un paquet aussi essentiel que ifupdown mais, vous n'en avez plus besoin):

# apt purge isc-dhcp-client isc-dhcp-common bridge-utils ifupdown
# apt autoremove

Gestion du résolveur DNS via systemd-resolved

Bon, c'est une opération assez simple qui consiste simplement à activer le service systemd-resolved et à remplacer le fichier /etc/resolv.conf par un lien symbolique vers le fichier maintenu par systemd:

# systemctl enable systemd-resolved.service
# systemctl start systemd-resolved.service
# ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf

Une fois opérationnel, le service se charge de gérer la résolution de noms. Plus besoin de gérer le resolv.conf à la main ou via ifupdown.

Gestion des logs

Après quelques mois de fonctionnement correct, je me suis résolu à passer à journald en totalité. En effet, je trouve que ce dernier, qui est installé si vous utilisez systemd remplit bien son rôle. En maitrisant les commandes de consultation, on arrive finalement à s'en sortir assez facilement.

J'en ai donc profité pour configurer son stockage permanent et virer les résidus de syslog. Voici le contenu de mon fichier /etc/systemd/journald.conf:

[Journal]
Storage=persistent
SystemMaxUse=200M
MaxFileSec=1month
ForwardToSyslog=no

Suivi de systemctl restart systemd-journald. Pour virer rsyslog:

# apt purge rsyslog

Ça fait toujours un paquet en moins à gérer.

Abandonner le traditionnel cron

Oui, systemd gère un peu l'équivalent de cron via les "timers". C'est une approche qui me séduit depuis le début même si, à l'usage, une simple crontab est plus simple à gérer. Car dans le cas de systemd, vous aurez deux choses à faire:

  • créer un service à lancer.
  • créer un timer pour le service.

Néanmoins, d'un point de vue de sysadmin, cela fait sens car de toute manière, le script que vous lancez par le démon cron doit bien se situer quelquepart. Avec systemd, vous avez un peu de travail supplémentaire mais vous pouvez lire assez facilement l'emplacement du service/script. Ce référencement est quasiment obligatoire (il est indiqué dans la définition du service), c'est donc plus beaucoup plus propre, aucun risque de se demander où est situé le script à lancer.

Néanmoins, se débarrasser de cron n'est pas chose aisée. En effet, certains paquets appellent explicitement cron ou au moins le paquet cron-daemon. Mais, bonne nouvelle, il reste un subterfuge: il existe un "cron like" basé sur systemd: systemd-cron. Ce paquet installe le paquet virtuel cron-daemon.

Donc, un simple:

# apt install --no-install-recommends systemd-cron

fera l'affaire. Bon, vous me direz: quel est l'intérêt de remplacer cron par un autre paquet ? Moi, je vous répondrais que c'est pour la beauté du geste !

Conclusions

En fin de l'année 2017, systemd a bien progressé. Il fait beaucoup de choses de facto. Ce n'est pas parfait, notamment pour cron mais c'est surtout lié à la manière d'empaqueter les logiciels sous Debian.

Dans mon objectif de réduire le nombre de paquets à administrer sur une machine aux capacités limitées, systemd remplit parfaitement son rôle. Je ne peux que vous recommander de l'utiliser. Certes parfois, vous allez rencontrer des bugs car tout n'est pas parfait. Mais je trouve que le concept d'un système de configuration déclaratif est quand même beaucoup plus clair qu'un système mélangeant code Shell et fichier de conf.

Par ailleurs, et pour relancer une énième polémique, je trouve que systemd est finalement assez KISS et correspond bien à la philosophie Unix qui implique d'utiliser des outils dédiés pour chaque action. Car, c'est bien ce qu'on retrouve dans systemd: les informations sur la machine se gèrent avec hostnamectl, le réseau avec networkd, la gestion du temps avec timesynd, la gestion de la résolution DNS avec resolved. Systemd propose donc bien pleins d'outils dédiés pour chaque action d'administration système.

Dans tous les cas, pour moi, il n'y a plus de débats possibles: mon serveur public démarre bien plus vite et sans accroc depuis que j'utilise systemd. Auparavant, j'avais toujours mon service dovecot qui ne fonctionnait pas (simplement parcequ'il s'activait au mauvais moment par rapport à l'état de configuration de la carte réseau). J'ai passé des journées entières pour débugguer cette situation sans jamais y parvenir. La migration systemd a tout simplement réglé mon problème après quelques heures de recherche dans les logs.

Posted ven. 17 nov. 2017 20:21:35 Tags:

Introduction

Dans mes résolutions de 2017, il y a marqué "Écouter l'intégralité d'un artiste musical par mois"... Pour le mois d'octobre, ce sera le groupe des "Eurythmics".

C'est un groupe des années 80, assez célèbre à cette époque, qui a marqué un peu son temps. C'est à cette période que je l'ai rencontré, enfant abonné au Top-50 sur Canal+.

Cela fait quelques années que j'écoute de temps en temps, par nostalgie, quelques pistes les plus célèbres des Eurythmics. J'ai toujours trouvé qu'Annie Lennox avait une voix extra-ordinaire.

Mais, je n'avais jamais pris le temps de voir tout ce qu'ils avaient produit pendant leur carrière assez courte qui a duré à peine un peu plus de 10 ans.

Allez, je vous ramène dans les "eighties", ça ne peut faire de mal !

In The Garden (1981)

Premier album du groupe "Eurythmics", composé d'Annie Lennox au chant et de Dave Stewart à la composition et à la guitare, "In The Garden" n'aura pas marqué les esprits.

En effet, l'album n'a pas très bien marché même si, pour ma part, je ne le trouve pas si mauvais. Il annonce assez bien ce que seront les futures productions du groupe.

On y retrouve beaucoup de sons synthétiques, électroniques, la voix bien posée d'Annie Lennox qui peut évoluer dans plusieurs octaves sans problème, une mélodie complexe et très instrumentalisée (avec de nombreux instruments différents). L'ensemble est un peu sombre pour ce premier album mais je trouve que c'est un bon début.

Les quelques pistes que j'ai remarqué sont les suivantes: * "English Summer": une ballade sombre avec une voix assez grave, des sons riches mais sur un registre un peu monocorde; des bruits d'insectes, une mélodie monotone. Mais ça reste pas mal. * "Belinda" est, de son côté plus musclée et plus rythmée. Annie Lennox continue a évoluer sur un registre grave qui lui va assez bien. La mélodie reste simple mais dynamique. * "Take me to your heart" est une ode aux sons synthétiques 8-bits dont le groupe est profondément marqué. Ça ressemble au générique de "The Legend of Zelda" avec une mélodie simple. Vraiment très années 80. A l'époque, cette musique devait passer pour avant-gardiste. Bon, ce n'est plus le cas aujourd'hui mais pour ceux qui ont été marqué par ces sons si typiques, ça s'apprécie. * "All the Young People", mélodie assez groovy et plate mais plutôt bien constituée. Assez calme et pleine de sérénité.

En revanche, "Sing Sing" est une merde méchante: les paroles sont en français sur une mélodie hyper-répétitive et abrutissante. On dirait une complainte de débile mental. Même en étant autiste, j'ai du mal !

Il faut du temps pour finir par apprécier cet album, son appropriation n'est pas immédiate et il n'a pas vraiment de tube. C'est sans doute ce qui a fait qu'il a été mis de côté assez rapidement. Néanmoins, je vous conseille de prendre le temps de l'écouter plusieurs fois avant de le jeter, ça finira par venir...

Sweet Dreams are Made of This (1983)

Enfin le début du succès avec cet album. C'est surtout la chanson éponyme qui a permis au groupe d'être enfin connu et reconnu. En effet, c'est presque la chanson qui représenterait à elle seule le groupe dans toute sa composition.

Pourtant, l'album débute avec "Love is a stranger", un single de l'année précédente qui n'a pas marché. Il est d'ailleurs un peu bâti sur la même structure que les morceaux de "In The Garden": du 8bits, de la répétition, du monocorde, du synthé en veux-tu, en voilà. Pourtant la chanson est plutôt pas mal, pas un carton mais un jalon, certainement.

Après ce bon début, il y a pourtant de quoi s'inquiéter: à part "The Walk" qui attire un peu mon attention et bien sûr, "Sweet Dreams", l'album est vide. Les pistes n'ont aucun intérêt. Elles sont soit trop niaises, soit trop électroniques, froides, avec une mélodie plate. Rien qui fait vraiment vibrer l'oreille ou le coeur.

Pour autant, qu'est-ce-qui peut expliquer le succès de "Sweet Dreams". Je dirais d'abord qu'il s'agit de la mélodie principale, un peu entêtante, simple mais percutante et harmonieusement liée à la voix d'Annie Lennox. On reste sur du son électronique, presque du 8 bits; la chanson est sur un registre assez grave mais plus dans les aigus, et le rythme change tout. Ce dynamisme fait toute la différence ainsi que les choeurs et les cris de l'interprète. C'est une recette finalement assez différente de ce que le groupe a produit pour l'instant même si les ingrédients sont tous issus de la même origine que les autres morceaux de l'album ou de l'album précédent.

Dans tous les cas, je crois qu'on peut résumer cet album par son seul hit qui a percé et qui marque le meilleur du savoir-faire de Eurythmics. Que va donc donner la suite ?

Touch (1983)

L'album commence assez bien avec un sacré hit: "Here Comes the Rain Again". On retrouve les mêmes choses que dans "Sweet Dreams": du rythme, des sons électroniques au service d'une mélodie percutante, une voix plus aigue pour la chanteuse, une certaine forme de dynamisme dans l'instrumentation. Pour cette occurence, on trouve en plus le son d'instruments plus classiques dont un couple de cordes qui servent assez bien le côté dramatique de la chanson. Dans tous les cas, voici une des meilleurs chansons du groupe.

Mais est-ce-que tout va se passer comme sur l'album précédent, à savoir qu'il n'y a qu'une seule piste d'intérêt. Et bien, pas tout à fait. D'abord, on trouve une peu de nouveauté avec "Right By Your Side" qui sans être un tube s'écoute plutôt pas mal. Le rythme est très rapide et la joie (un poil niaise) transparaît assez bien.

"Cool Blue" est également une évolution intéressante même si elle prend un peu plus de temps à s'apprécier. Encore une fois du rythme, des isntruments électroniques. Mais ce qui l'empêche de marquer l'esprit, c'est l'overdose de sons divers et variés qui dessert la mélodie un peu répétitive et agaçante mais pourtant digne d'intérêt. Dans tous les cas, ça sonne bien années 80.

On arrive enfin à l'autre tube de l'album, un peu en retrait par rapport à "Here Comes The Rain Again". "Who's That Girl" est effectivement taillée sur "Sweet Dreams" avec un rythme plus lent, plus monocorde, plus dans les graves mais la chanson est rehaussée par une mélodie plus travaillée avec laquelle la voix d'Annie Lennox s'accorde parfaitement. Clairement la deuxième meilleure pistes de l'album.

Pour terminer l'album, deux pistes ont retenu un peu mon attention. Il s'agit de "The First Cut" et de "Paint a Rumour". Elles sont construites un peu de la même manière même si les mélodies sont très différentes: on y trouve du 8 bits qui semble sorti tout droit du générateur synthétique d'une Nintendo NES, de la répétition, un air entêtant, voire abrutissant... Mais ça s'écoute plutôt bien.

Pour résumer l'album, on peut dire que comparativement à "Sweet Dreams", ça s'améliore globalement. Il y a plus de chansons qui valent le coup, sans atteindre un niveau extraordinaire.

1984 (For the love of Big Brother) (1984)

En 1984, l'année terrible dépeinte par Georges Orwell dans son roman éponyme, sort l'album 1984, destiné à fournir la bande originale du film éponyme. Que vaut donc cet album ?

Après l'avoir écouté de nombreuses fois, je dois avouer qu'il est plutôt bon. Les pistes sont vraiment entraînantes et me semblent bien en phase avec le récit d'Orwell, même si je n'ai pas vu le film de l'époque.

A part "Ministry of Love", toutes les pistes sont très intéressantes. Il n'y a rien à jeter, ce qui en fait plutôt un album très bon pour ce que les Eurythmics ont produit jusqu'à présent.

La meilleure piste est sans conteste "Sexcrime", la bien connue.

Dans tous les cas, tout reste cohérent dans cet album: les rythmes se valent d'une piste à l'autre. On a de la froideur bien servie par la musique électronique; un peu de mélancolie ("Julia" et "Winston Diary"); du rythme ("I Did Just The Same" et "Sexcrime"). Vraiment pas mal cette production.

En conclusion, 1984 est encore un cran au dessus de l'album précédent même s'il présente un titre majeur qui monte moins haut en valeur que la chanson "Sweet Dreams" ou "Here Comes The Rain Again". Néanmoins, c'est le meilleur album que le groupe ait produit depuis ces débuts, sans conteste. Je vous invite à le ré-écouter.

Be Yourself Tonight (1985)

Autre année, autre album... Que va donner "Be Yourself Tonight" ? Et bien je dirai que ça ressemble à du Eurythmics: il y a un hit qui casse tout et efface le reste de l'album même si les autres pistes sont plutôt pas mal.

En effet, "There Must Be An Angel" est un tube incontesté, assez atypique dans la production du groupe. En effet, c'est une chanson très pop, avec beaucoup moins d'électronique, des choeurs quasi-lyriques et très classiques et Annie Lennox chante comme un oiseau, ce qui permet au passage d'admirer sa voix extraordinaire. Le ryhtme n'a rien à voir avec ce qu'on peut trouver sur les autres albums. On pourrait presque dire que ce n'est pas une chanson du groupe tant il y a de contraste avec le reste de l'album. Cela reste une des chansons ultra marquantes du groupe, notamment avec son solo d'harmonica dans la deuxième partie de la piste qui vaut vraiment son pesant de cacahuètes. Pour la petite histoire, c'est Stevie Wonder qui l'interprète (c'est donc forcément super) !

Pour autant, les autres pistes s'écoutent assez bien. Pour cet album, je note que le groupe a quasiment abandonné les sons synthétiques 8-Bits ce qui donne une touche plus "sérieuse" à l'ensemble, plus pop et moins expérimental/électronique. Sans doute l'époque qui voulait ça.

Après quelques écoutes, on finit par apprécier la globalité de l'album qui semble vraiment plus mature avec cette évolution sonore.

Néanmoins, on remarque que Eurythmics a une production souvent centrée autour d'un tube central qui éclipse souvent le reste et ce, depuis de nombreux albums, serait-ce leur signature ?

Revenge (1986)

Décidément, le rythme de production du groupe est à bâtons rompus: nous sommes sur le 6ème album en 5 ans ! Qu'allons-nous trouver ici ?

Pour résumer, disons que le groupe reste davantage dans la maturité, le plus sérieux et plus dans la pop qu'auparavant. Il en résulte toujours un album déséquilibré mais qui progresse en qualité.

Car en effet, cet album héberge le hit absolu à mon goût des Eurythmics: "The Miracle Of Love", ode magique à l'amour, d'une tendresse absolue; décidément en contre-exemple du reste des productions du groupe. C'est la traditionnelle chanson atypique de chaque album ! Si vous ne deviez retenir qu'une seule chanson des Eurythmics, c'est celle-là ! Mais sachez qu'elle n'a rien à voir avec le reste...

On y trouve une Annie Lennox prophétesse, un Dave Stewart au jeu de guitare extraordinaire, une composition instrumentale très mature, capable de mélanger un erzats d'électronique avec des instruments classiques, servie par une mélodie très sentimentale qui impose le respect, à l'égal d'un chant religieux, transcandé par les choeurs aigus et artificiels d'Annie Lennox et par le solo de guitare électrique de Dave Stewart. Un pur bonheur sur près de 5 minutes...

Bien évidemment, après ça, difficile de trouver une piste qui crève l'oreille ! Comme pour l'album précédent, on a droit à une leçon de pop. Les pistes sont bien rythmées, assez cohérentes si on enlève "The Miracle Of Love". Encore une fois la production s'est améliorée.

Pour cette fois, j'ajouterai deux pistes d'intérêt: * "When Tomorrow Comes", introduite par des riffs électriques sympathiques et servie par un dynamisme à toute épreuve. La mélodie est également très bonne. * "I Remember You" qui fait crier la chanteuse dans une complainte rythmée.

Voilà, comme à leur habitude, le groupe sort une excellente piste et raccroche le reste comme il peut, même si encore une fois, le niveau de l'album progresse sans conteste par rapport au précédent.

Savage (1987)

Encore une année, un nouvel album pour les Eurythmics. Vont-ils continuer à progresser ? Il fallait bien que tout ça s'arrête à un moment donné.

Car en effet, cet album est une vraie régression, comparé aux autres. Les rythmes sont devenus très mécaniques ce qui casse un peu le côté pop de l'année précédente. Il est donc moins accessible au commun des mortels et la majorité des pistes n'ont pas un grand intérêt.

On retrouve quand même la traditionnelle piste de hit: "Shame" qui est intéressante sans atteindre le niveau des précédents hits. C'est néamoins une piste à garder car son refrain est vraiment entraînant, emblèmatique de ce qu'on pouvait faire dans les années 80, entremêlant synthétiseur à clavier et chanson populaire. Mais il est vrai qu'après avoir produit tant de hits extraordinaires dans les années précédentes, il était difficile d'atteindre la même perfection tous les ans.

L'autre piste d'intérêt est la piste éponyme de l'album, plus calme, plus douce avec son introduction mélancolique. Elle est pratiquement au niveau de "Shame", en étant sur un registre un peu différent. Elle est aussi la seule piste plus pop que mécanique. A force d'écoute, on finit par la trouver agréable.

Mais, l'album est franchement en déséquilibre et sur la pente descendante...

We Too Are One (1989)

Avant dernier album du groupe avant sa séparation, "We Too Are One" est le dernier album de la production non interrompue du groupe (qui se reformera en 1999 pour produire le dernier album).

Bon, c'est encore une fois la déception: je n'arrive pas à accrocher à l'album. Il y a trop de choses qui ont changé. On est plus dans le miel et dans la pop qui commençait à devenir franchement merdique à l'époque. On sent que le groupe est plus mature que jamais mais ce qu'il produit est vraiment trop commercial pour vraiment percer.

Je garderai "Don't Ask Why" à cause du jeu de voix d'Annie Lennox qui reste indestructible. J'ajouterai aussi "Angel" pour son calme olympien et sa bonne structure.

Mais tout le reste est bien fade avec ce que le groupe avait fait auparavant. C'est fini.

Peace (1999)

Ah, cet album, je l'ai entendu à la radio quand j'étais jeune adulte. Je le connais donc plutôt bien, surtout le hit de l'époque: "I Saved The World Again" qui sonne comme un "There Must be An Angel".

Encore une fois, et pour la dernière fois, le groupe fait ce qu'il a l'habitude de faire: un titre majeur entouré de pistes moins géniales mais à peu près cohérentes. La force de l'album reste d'avoir su s'adapter aux productions de l'époque sans tomber dans les merdes musicales de la période "Techno" qui était en plein boom (à mon grand désarroi, je dois dire).

"I Saved The World Again" est dans la même lignée que "The Miracle Of Love" et "There Must Be An Angel". Il est bâti de la même manière, atypique de tout le reste de l'album. Une grande réussite, qui marque les esprits.

Pour le reste, disons que le rythme est plus lent, plus posé que les débuts du groupe. Moins de musique électronique, plus de silences, moins d'instruments, ce qui fait forcément ressortir la voix d'Annie Lennox. Je dirais que pratiquement tous les morceaux sont très nostalgiques, sur un registre de regrets et des mélodies calmes avec un soupçon de pop. Plutôt pas mal pour cette fin des années 90. Car il ne fait pas oublier que plus de dix ans séparent les deux derniers albums des Eurythmics.

Pour conclure sur cet album, je dirai qu'il comporte assez d'intérêt pour le ré-écouter plusieurs fois, afin de bien s'en imprégner. Il est sans conteste bien meilleur que l'album précédent sans atteindre le niveau de "Revenge".

Ce que je retiendrai d'Eurythics

Pour résumer ce parcours musical, je dirais que Eurythmics n'est pas le genre de groupe qui est une usine à tubes. Sur chaque album, on peut extraire une ou deux pistes exceptionnelles. Mais elles sont surtout en décalage avec le reste de la production classique du groupe. Paradoxalement, c'est ce que le public dont je fais parti retiendra le plus: les hits atypiques comme "Sweet Dreams", "Here Comes The Rain Again", "Sexcrime", "There Must Be An Angel", "The Miracle Of Love", "Shame", "I Saved The World Again".

Cette découverte m'a donc permis de trouver un monde musical un peu différent avec de la musique électronique, du synthé 8 bits sympathique, des nouveautés.

Mais au final, peu de surprises et ma conclusion sera de rester aux pistes que je connaissais déjà. On peut donc condenser l'oeuvre du groupe dans un best-of de quelques titres, ça ne posera pas de problème... Les années 80 n'étaient pas si extraordinaires que ça finalement !

Posted sam. 28 oct. 2017 17:09:25 Tags:

Introduction

Comme au mois de septembre, je continue mon périple littéraire et pour le mois d'octobre, je me suis rabattu sur un peu de lecture, certes américaine, mais bien de pure littérature avec "The Catcher in the Rye" de Jerome David Salinger, publié en 1951, plus connu sous le nom de l'Attrape-coeur en France.

L'histoire

Difficile d'aborder l'histoire de manière frontale. Un résumé vous paraîtrait sans doute fade. Mais il faut bien s'y coller.

Pour faire simple, c'est l'histoire d'un adolescent de 17 ans, nommé Holden Caulfield, interné dans un hopital psychiatrique de l'époque (donc, une institution pas forcément extra-ordinaire, notamment sur le plan des progrès de la psychiatrie moderne) qui raconte les 3 jours de liberté qu'il a pris, un peu avant Noêl, après s'être fait virer de son lycée avant de rentrer chez lui et interné, par la suite.

Ces 3 jours de liberté quasi-totale forment un périple assez riche pour tenir un peu en haleine le lecteur. Après avoir quitté le lycée, Caulfield prend le train pour rentrer à New-York, vers la maison familiale. Chemin faisant, au lieu de se rendre chez-lui, il décide de se louer une chambre d'hotel, de trainer dans des bars, d'aller danser, de boire du whisky (il est mineur donc c'est normalement interdit). Il tente de se taper une prostituée qui finit par l'arnaquer avec son proxénète. Le lendemain, il contacte une de ses ex-petites amies, l'emmène au théâtre puis patiner mais il finit par s'engueuler avec.

Il va se bourrer la gueule dans un bar et décide, après avoir erré dans le froid et fait le tour du lac de Central Park, de rentrer chez lui voir sa petite soeur Phoebe (qu'il semble adorer), âgée de 10 ans, le tout sans éveiller ses parents (il n'est censé rentrer que deux jours plus tard). Il parvient à la voir mais elle comprend qu'il s'est fait virer du lycée et l'engueule. Pour se défendre, il lui dit qu'il va se barrer d'ici.

Il appelle un ancien prof pour que ce dernier l'héberge à la dernière minute (toujours pour ne pas annoncer à ses parents qu'il s'est fait virer du lycée), ce qu'il fait. Mais, pendant son sommeil, il se réveille et trouve le fameux prof en question, en train de lui caresser les cheveux alors qu'il dors. Caulfield se barre de chez le prof et va dormir à la gare. Le lendemain, il essaye de contacter sa petite soeur Phoebe à l'école pour lui dire qu'il se barre de la maison des parents et qu'il va essayer de vivre de petits boulots. Sa condition physique semble se détériorer.

Au dernier moment, sa soeur le rejoint avec une valise lui annonçant qu'elle part avec lui. Mais devant ce rebondissement, le jeune adulte en quête d'émancipation, remet les pieds sur terre, reprend peur et ressent le besoin de retourner à une certaine forme de protection du cocon famillial: il abandonne ses projets de désertion et décide de rentrer au bercail. Il se surprend à adorer voir sa soeur s'amuser dans un manège...

A propos du livre

Je ne suis pas un littéraire de nature. Le style, les interprétations ne m'intéressent pas vraiment. Je préfère relever ce qui m'a vraiment parlé, ce qui a laissé une empreinte, au delà d'une analyse consciente. Je pense que c'est plus révélateur qu'une tentative d'explication ou une artificielle interprétation de la volonté d'un auteur qui aurait pu être mon grand-père mais qui avait dans les 30 ans lorsqu'il a rédigé son oeuvre. C'était une période trop différente de celle dans laquelle j'ai été élevée et le risque d'erreur est bien trop grand.

Bon, j'ai lu le livre en moins de 6h. Il n'est pas très long mais, ce fut le cas pour moi, il est assez "scotchant": une fois qu'on l'a commencé, on a bien du mal à le lacher. Le style est vraiment léger ce qui fait qu'on n'a aucune difficulté à le dévorer. Pas besoin de trop réfléchir aux expressions complexes: il n'y en n'a pas. D'ailleurs ce style est sans doute trompeur. Je suis sûr que si je lis le livre une deuxième fois, je porterais plus d'attention et finirais par prendre plus de temps pour interpréter des éventuels sens cachés.

Tout est écrit à la première personne. Il s'agit d'un monologue de Holden Caulfield qui parle, en continu, pratiquement sans pause, passant d'un sujet à l'autre, en respectant une certaine forme de chronologie. C'est un peu comme si on était dans sa tête car le narrateur donne toujours une tonne de détails sur ce qu'il pense. J'ai clairement ressenti ça dès le début; j'avais vraiment l'impression que mon cerveau s'était glissé dans la tête du personnage et qu'il lisait comme dans un livre ouvert, dans la pensée de Caulfield. Cela rend d'ailleurs la lecture ultra-facile et très abordable.

Le ton de Caulfield est d'ailleurs particulier: il parle comme un adolescent de son époque et, même si j'ai lu la traduction qui date des années 60, ce vocabulaire spécifique se retrouve bien pâtiné par rapport à l'argot de maintenant (que je ne maîtrise pas, ayant près de 40 années d'existence maintenant, je ne maîtrise que l'argot des années 90). Mais moi, j'aime bien ces expressions un peu désuèttes. Ça donne un certain genre. Avec le recul, ça fait presque nostalgique de parler de môme, de dire à tout de bout de champ: "ça me tue". Cela fait partie de l'âme même du livre, du narrateur, preuve que même si les écrits sont figés dans le temps, ils seront toujours vivants dans nos interprétations. C'est un peu comme si je disais que le contenu d'un fichier était différent selon le disque dur où il était stocké. Voilà donc la différence entre le numérique et le cerveau humain...

Autre élément important, Caulfield a une vision assez négative du monde. A l'écouter, il n'aime rien, il y a toujours un défaut et c'est toujours ce défaut qu'il mentionnera. D'ailleurs Salinger lui fait dire, par l'intermédiaire de sa soeur qu'il n'aime effectivement rien. Caulfield a bien du mal, en dehors de sa soeur et de son frère décédé, à marquer une certaine forme de joie. Mais, dans cette vision critique, il n'y a rien de vraiment noir. La nostalgie est vraiment très légère, la mélancolie présente sous forme de soupçons. Pour le coup, cette négativité quasi-permanente passe plutôt bien, elle fait le style de Caulfield et on finit par s'y attacher: on en vient quasiment à attendre la chute fatale de chaque propos.

Mais, au final j'interprète cette vision négative du monde comme un bon début de dépression; affection qui conduirait Caulfield à rentrer dans une institution psychiatrique. De plus, tout au long de son histoire, sa condition physique semble se détériorer: il devient plus faible, n'a plus faim, a des sueurs froides, etc. Sans doute le manque de sommeil, le froid, l'alcool, une certaine forme de solitude et, ce que je perçois comme étant un vrai début de dépression.

Pourtant, prenons des gants: à l'époque, on pouvait sans doute te foutre à l'hopital psy pour pas grand chose, surtout si tu ne respectais pas les règles pré-établies. Donc peut-être que Caulfield, n'a rien de psychotique. Peut-être s'est-il simplement laissé grisé par cette forme de liberté totale dans laquelle, il me semble qu'il ait trouvé une certaine forme d'épanouissement et de plaisir.

A propos de Salinger

Ah, Salinger ! Ce nom m'a toujours sonné aux oreilles et j'ai toujours été intrigué par cet auteur. Aussi, quand j'ai eu la possibilité de mettre la main sur son oeuvre principale et surtout trouvé le temps pour le lire, je n'ai pas hésité.

Je ne vais pas vous raconter l'histoire de Salinger mais j'ai retenu que c'était quelqu'un d'assez discret. Il a eu du succès vers le début de ses 30 ans, donc assez vite et puis, il n'a pas publié grand chose après. Sa dernière nouvelle date de 1965, il avait 46 ans, loin de l'âge de la retraite donc.

On dit qu'il vivait reclus avec sa petite famille, n'accordant que peu d'interviews et étant complètement coupé du monde. Bon, avec la paye qu'il a engendrée avec "Catcher in the Rye" (qui continue à se vendre à plus de 200 000 exemplaires par an dans les années 2010), il était clairement à l'abri du besoin et comme il devait toujours toucher ses droits d'auteur, je dirais qu'il n'était pas vraiment si coupé du monde que ça, au plus, coupé du monde de la notoriété publique. Mais, après tout, il faisait bien ce qu'il voulait...

En tant qu'auteur à succès, il n'avaient plus vraiment de besoins matériels à couvrir par l'écriture, aussi, il paraît qu'il s'est mis à écrire de son côté, mais en refusant de diffuser ses écrits. Un peu à la manière d'un type qui publie des articles sur son site web mais qui sait qu'ils ne seront lus par personne et qui s'en tamponne: l'essentiel, c'est d'écrire, pas d'être lu !

Ce que je retiendrai de l'Attrape-coeur

J'ai passé un bon moment à lire ce livre. J'en suis encore un peu marqué émotionnellement, par un je ne sais quoi de particulier. Je ne suis pourtant plus un adolescent mais je crois qu'on a tous en nous une part de cet âge si particulier, qui fait qu'on quitte le monde si spécial de l'enfance pour celui plus brut mais plus libre de l'âge adulte. Donc, peu importe votre âge, vous finirez toujours par vous sentir concerné par les propos de Caulfield, c'est la grande force de Salinger d'avoir sû transmettre ces sentiments, au gré du temps qui passe...

Si je devais emprunter le style de Salinger et de cette nouvelle, je concluerais en disant: "Oui, je sais, résumé comme ça, ça ne fait pas forcément super mais, le plus simple serait que vous lisiez par vous-même, parce que comme c'est écrit là dans l'article, ça le fait pas trop; je veux dire, que ça me tue de me relire tout ce fratras de mots... mais bon, c'est comme ça: un bon bouquin, faut que tu le lises tout seul comme un grand et de préférence sur ton pageot, avant d'aller pioncer !"

Posted ven. 20 oct. 2017 23:10:39 Tags:

Introduction

Comme au mois d'août, je continue mon périple littéraire et pour le mois de septembre, je me suis rabattu sur trois livres que j'ai parcouru pendant ma randonnée.

"L'ours qui a vu l'homme" de Charlie Buffet.

Pour résumer, l'auteur étudie plusieurs histoires de relations entre l'ours et l'homme. Les histoires sont intéressantes, en passant par la découverte de la grotte de l'ours, en allant jusqu'à la chasse à l'ours de Knud Rasmussen. Le propos de l'auteur qui est plutôt un journaliste qui rapporte est de dire que l'ours est menacé, surtout par le manque d'espace vital et de territoire qui lui sont dédiés.

Car, c'est également ma théorie, l'être humain tend à occuper 100% de la surface de la planète, comme pour mieux maîtriser cette dernière. Mais chaque fois qu'on construit une barraque, un lotissement, un bâtiment, une route ou un putain de centre commercial à la con pour revendre des produits de merde venus du bout du monde fabriqués par des humains exploités, tout en supprimant les sources de revenus locales, on arrache aussi un pan d'un territoire pour certaines catégories d'animaux sauvages. Ces derniers essaient forcément de s'adapter (on ne leur laisse pas vraiment le choix) et profitant au maximum du nouveau milieu qu'il essaient tant bien que mal de tourner à leur avantage. Ce faisant, ils sont forcément plus au contact des humains, ce qui induit une certaine accoutumance et une réduction de la peur chez les ours pour l'homme (à force de nous voir, ils finissent par s'habituer). En conséquence, les hommes les butent car ils sont "trop proches" des hommes !

En dehors de ces propos qui reviennent souvent dans le livre, j'ai apprécié l'histoire de Grizzly Man que je ne connaissais pas. Apparemment un type nommé Timothy Treadwell s'est mis à vivre parmi les Grizzlys et les Kodiacs en essayant de s'intégrer à leur groupe. Il y est parvenu pendant de nombreuses années jusqu'à l'accident fatal où il se fait dévorer par un mâle nouvellement arrivé sur le territoire. J'avais déjà entendu parler de types qui vivaient avec une meute de loups mais avec des individus aussi dangereux que des Grizzlis, jamais. J'aime particulièrement la relation inter-espèce qui aura toujours un côté magique pour moi (deux êtres d'une espèce différente qui communiquement ou arrivent à vivre ensemble, c'est aussi beau et complexe que la rencontre du 3ème type). Il faudrait que je visionne quelques reportages sur Grizzly Man, cela doit être important.

En matière de style, le livre est très léger et se lit presque d'une traîte. Sans être un truc extraordinaire, "L'Ours qui a vu l'homme" vous permettra de passer un bon moment.

"Contes du Gévaudan" de Félix Remize (alias Lou Grelhet, le grillon)

Comme j'avais terminé les livres que j'avais emmené assez rapidement pendant ma randonnée, j'ai déniché dans la maison de la presse de La Bastide-Puy-Laurent une édition neuve du premier tome des "Contes du Gévaudan", aux éditions Lacour.

Pour information, cet éditeur indépendant qui date de la fin du 18ème siècle imprime des textes plutôt anciens en occitan. L'occitan étant la langue originelle des territoires de la Lozère (et bien plus), il n'était pas anormal que je le retrouve physiquement dans le Gévaudan !

Le livre dispose d'une introduction assez imposante, qui occupe près de 20% du contenu. Pourtant, je n'ai pas esquivé cette partie. En effet, elle présentait en détails l'auteur, Felix Remize, Lou Grelhet en occitan. Ce dernier, ecclésiastique, vivait à Mende au début du 20ème siècle et était le rédacteur de l'almanach de la Lozère. S'en suit une biographie courte de l'auteur par son neveu, une série de témoignages ainsi que des informations techniques sur l'occitan.

Même si je n'aime pas vraiment les langues, surtout celles du sud (trop chantantes à mon goût) j'ai tout lu. La vie de l'auteur est déjà un témoignage d'une grande importance: il permet de rappeler la vie de l'époque et c'était ce qui m'intéressait profondément: essayer d'imaginer la vie en Lozère entre 1850 et 1914. Car depuis, le pays n'a guère évolué que pour se vider encore un peu plus de ses habitants. Il devait donc rester des traces ancrées un peu partout dans le paysage.

La deuxième partie du livre contient les contes et ceux-ci valent leur pesant de cacahuètes. La première partie évoque la vie d'avant. Cette partie est une mine sur la vie rurale de l'époque. Elle constitue un vrai souvenir qui est maintenant devenu une archive. Elle évoque les bonheurs simples d'une vie rude dans un territoire plutôt inhospitalier (il faisait plus froid en Lozère à l'époque). Les enfants jouaient (en fait non, ils travaillaient) à faire les pâtres, une activité assez sympa qui consiste à surveiller les bovins/ovins/caprins dans les prés pour leur faire manger le meilleur de la prairie. Les fêtes racontées en détails semblaient être l'apogée d'un réseau social sans doute plus développé que ce qu'il est possible de faire aujourd'hui avec Facebook !

La seconde partie raconte la vie d'un garnement qui fait les 400 coups. Bon, si on comparait à ce que les jeunes de son âge font actuellement, ça ferait facilement rigoler. Mais à l'époque, ces farces, certes drôles, étaient punies physiquement, de manière assez sèche. Néanmoins les histoires sont sympathiques.

La dernière partie de ce premier tome est un recueil de fables populaires de l'époque (sans doute des adaptations de certaines traditions orales). Le ton est léger mais les histoires dignes d'intérêt car si anciennes qu'elles nous sont étrangères.

En plus, comme le livre dispose d'une page en occitan et de la traduction en français sur l'autre, c'est assez facile à lire allongé sur un côté, en randonnée.

Dans tous les cas, j'ai été assez surpris par ce livre. J'ai vraiment eu du plaisir à lire ces quelques pages, le soir avant de me coucher ou à la pause du midi, le temps que mon âne finisse son déjeuner.

L'auteur est mort il y a longtemps (plus de 70 ans), je me demande si les contes du Gévaudan sont dans le domaine public ou non... sans doute mais pas la traduction en français. Dans tous les cas, il me tarde de commander le tome 2.

"Voyages en Autistan", saison 1 de Josef Schovanec

Voici un livre que j'ai lu deux fois pendant ma randonnée tellement j'étais accroché et tellement ça me parlait.

Je ne présenterai pas Josef Schovanec. C'est sans doute l'autiste le plus connu de France. Il a déjà réalisé nombre d'interviews sur différents plateaux télés, malgré sa réticence naturelle (et qui fait partie de lui) à s'exprimer en public, à rencontrer des personnes inconnues.

Je suis sûr que vous avez déjà entendu cette voix fluette un peu monocorde mais si attachante qui exprime une pensée cohérente avec un ton pince-sans-rire plein d'humour fin.

J'ai abordé ce court ouvrage lors de ma randonnée sur le GR70 (en solitaire mais accompagné d'un âne). Le livre est bien écrit, très simple à lire, il offre de bons conseils et il aide à mieux comprendre qui sont les autistes et leur univers. Il souligne fortement les paradoxes de notre civilisation et de la société occidentale. Josef Schovanec étant assez à l'aise sur le registre de l'humour, on passe de bons moments. Très vite, on sait extraire la sagesse de ses propos.

Mais ce n'est pas vraiment ces constats ou conseils que je retiendrai du livre mais bien quelque-chose de plus personnel. Car, pour ma part, ce livre a fini de me convaincre que j'ai effectivement quelques "traits" autistiques (j'emploie traits et non troubles car pour moi, ce n'est pas un trouble, quelquechose de négatif mais bien une force). Voici quelques-uns de mes constats...

Dès la préface, on présente Josef comme étant une personne qui préfère marcher deux heures pour aller à l'aéroport plutôt que de prendre un taxi à qui il faudrait parler. Pour un non-autiste, ça paraît absurde et, à force de vivre dans une société non adaptée aux autistes, nous avons pris l'habitude de croire qu'il faut forcément entrer en contact avec autrui, que c'est le fonctionnement normal de l'individu normal, donc de tout le monde, qu'il en relève forcément une attitude de politesse, que c'est le principe de base. Pourtant, si j'analyse froidement les faits, voici ce que je constate: pour ma part, j'ai dû prendre deux fois le taxi dans ma vie (une sortie d'hopital à 2h30 du matin et une arrivée dans les cyclades à 2h du matin avec 15km de route à faire avant de rejoindre le gite). Je refuse toujours ce mode de transport et avec le temps, j'ai tellement pris l'habitude de faire sans que ce ne sera jamais un réflexe pour moi que d'appeler un taxi.

Moi aussi, j'hésite toujours à demander à quelqu'un. Je ferai toujours tout pour ne pas avoir à interagir avec un être humain. Je l'ai toujours fait et ça ne changera jamais. J'ai essayé de me forcer mais après 20 ans de pratique assidue, je n'aime toujours pas ça. Néanmoins, il faut bien avouer qu'avec de l'entraînement, ça passe mieux, surtout pour le camp d'en face (les non-autistes). Disons-le, pour une personne avec des traits autistiques, le truc de base, l'élement central, la coutume, le principe fondateur, c'est justement la discrétion, que le contact inter-être se fasse tout en douceur, dans le respect le plus profond d'autrui. D'où la non compréhension des personnes n'ayant jamais vécu en autistan où les zones de limites sociales sont plus étendues qu'ailleurs qui pensent que nous cherchons à les fuir ou que nous sommes des personnes impolies.

L'auteur évoque son intérêt pour les cimetières et je me surprends à faire la même chose depuis des lustres. Chaque fois que j'en ai l'occasion, souvent parce que je suis convié sur un lieu où il y a beaucoup de monde, je file toujours vers le cimetière le plus proche. Naturellement, je suis toujours attiré par cet endroit forcément calme, souvent à l'intérieur des villes. Un exemple flagrant: je travaille à Nantes mais habite à Angers depuis 3 ans et 6 mois. Je n'ai jamais pris ne serait-ce que 1h pour flaner dans la ville pendant tout ce temps, je préferre la cafétéria du bureau, plus calme, plus connue, plus maîtrisée. En revanche, j'ai déjà visité au moins 2 fois le cimetière de miséricorde (j'aime beaucoup le nom) situé non loin de la tour Bretagne à Nantes. Quand je le peux, j'essaye toujours de visiter les tombes des soldats. Dans le Nord/Pas de Calais (non, les hauts de france, je ne sais pas ce que c'est), il y a souvent des tombes de soldats britanniques (ou du commonwealth): leurs tombes sont immaculées, toujours bien entretenues, toujours impeccables avec leur style à part de toutes les autres tombes. Cela permet d'entrevoir un bout d'histoire bien concrète, dans un lieu de calme où personne ne parle trop fort. Dernièrement, sur le GR70, j'ai fait un détour au petit cimetière protestant de Cassagnas et j'y ai découvert la tombe d'un maquisard allemand anti-nazi mort en 1944, assassiné par les waffen SS. J'ai ainsi pu découvrir un pan d'histoire que je ne connaissais pas: oui, des allemands ont aussi été des résistants engagés, la preuve par la tombe !

Josef Schovanec parle souvent des endroits où il peut enfin être au calme, comme les bibliothèques (mais uniquement quand il n'y a plus personne, c'est-à-dire le soir tard ou le même jour que des évènements sociaux), l'intérieur des maisons calfeutrées les jours de fête de la musique. C'est là un des traits principaux des traits autistiques, du moins ce que j'ai pu en saisir: les autistes sont majoritairement introvertis. Ils ont énormément de mal à filtrer les bruits anthropiques, surtout les conversations entre individus. Je crois d'ailleurs que ce phénomène empire avec l'âge. Comme si notre cerveau ne pouvait filtrer les racontars qu'au pris d'un effort important ou que, naturellement, le cerveau ne puisse plus vraiment filtrer de manière inconsciente les paroles externes. A ce titre, les transports en communs sont généralement une plaie du quotidien car il faut toujours affronter les conversations multiples des "autres" qui ne nous intéressent pas mais qu'on ne parvient pas à éteindre dans notre perception. Au final, c'est très usant et très "aggressant" pour nous. Voilà pourquoi, dès que j'en ai l'occasion, je prends mon vélo ou ma voiture et évite comme la peste tout ce qui est bus/train/tramway/métro/randonnée en groupe. A décharge, ça fait trois ans et demi que je me tape 1h30 de train par jour et j'en souffre énormément. Mais je parviens à surmonter cet obstacle au pris d'un grand effort. Qui a dit que les autistes étaient forcément fragiles ? Une solution simple serait de prévoir des compartiments silence où la règle serait de ne pas parler et de véritablement éteindre son téléphone portable. Je suis sûr que ça doit exister dans d'autres pays plus respectueux des quelques 10% de personnes autistes en moyenne dans la population d'un pays. En France, je pense que ce n'est pas gagné mais cela faciliterait le quotidien de nombre de personnes, sans forcément coûter plus d'argent que d'apposer un panneau de règlement sur un compartiment de train, de tramway ou de métro.

Ce que j'aime aussi dans les propos de Josef, c'est d'ailleurs son respect pour le règlement. C'est également un point qui me pose souvent problème: je suis incapable de déroger à la moindre règle écrite (juridique, organisationnelle, sociétale). Cela me met toujours mal à l'aise. Par exemple, je paye toujours mes impôts le plus rapidement possible, dès que j'ai une minute de libre pour le faire. Je conduis comme un papy parce que je respecte tout simplement la règlementation à la lettre. Si c'est marqué 90, c'est la vitesse maximum donc, je roule un peu en dessous, pour être sûr. Effectivement, ça marche assez bien, dans toute ma vie de conducteur, je n'ai eu qu'un seul PV, quand j'étaid jeune conducteur. J'ai tous mes points de permis. Quand je suis en randonnée, je suis obligé de me faire violence pour faire du bivouac car je sais que camper sur un terrain privé ou dans une forêt domaniale est interdit. Du coup, je ne le fais que quand je n'ai vraiment pas le choix.

Enfin, autre point commun avec Josef: le voyage. Cela fait maintenant plus de 10 ans que j'essaie de voyager, pas forcément trop loin, le plus souvent seul et ça me fait un bien fou. Ma randonnée sur le GR70 en est le dernier exemple en date. Bien entendu, il n'y a pas de comparaison avec ce que fait Josef Schovanec qui explore des territoires franchement dangereux comme les régions tribales entre l'Iran et l'Afghanistan, où il y a la guerre et où les occidentaux ne sont pas forcément les bienvenus (enfin, c'est plutôt l'inverse qu'on constate dans les propos de l'auteur). Mais, comme le disait déjà Stevenson en 1878, on retrouve cette forme de solitude bienfaîtrice dans la randonnée qui permet d'épuiser son corps et de faire la paix avec son esprit, de renforcer son mental tout en abandonnant les problèmes du quotidien. C'est toujours ce que je cherche quand je marche seul et, je finis toujours par le trouver au bout de quelques jours. J'en reviens toujours plein de forces, ça me fait du bien.

Pendant la randonnée, à la lecture de ces messages venus de l'autistan, j'ai enfin achevé de comprendre que ces traits autistiques sont dans ma nature profonde: malgré tout l'entraînement du monde, malgré tous les efforts possibles et assidus, je ne serais jamais un extraverti qui se complaît au contact des autres. C'est comme demander à un loup sauvage de devenir un chat domestique ! C'est sans doute possible avec beaucoup d'effort mais ce n'est vraiment pas le truc le plus naturel du monde, sans compte que le loup sera toujours forcément malheureux.

Ce qui m'a bien rassuré dans la lecture de ce livre, c'est de moins me sentir seul et de moins me jeter la pierre. J'ai une différence qui me défini et je compte bien en faire un atout. Car en effet, la majorité des autistes sont souvent bien plus "productifs" ou meilleurs dans certaines activités que les gens "normaux":

  • nous sommes les seuls à pouvoir focaliser notre esprit pendant des heures sur un seul et même problème jusqu'à trouver la solution. Pas besoin de trop de pauses, de la pure efficacité cérébrale qu'aucun extraverti ne pourra jamais atteindre.
  • nous sommes capables de nous concentrer de manière passionnée sur un sujet donné et d'y consacrer le maximum de temps possible. Si vous devez embaucher un vrai expert sur un sujet, quelqu'un qui a le thème "dans le sang", embauchez un autiste, vous ne pourrez être que satisfait.
  • nous sommes les seuls à pouvoir vivre seuls pendant de longues périodes sans en souffrir réellement. A nous les postes isolés qui ont du mal à recruter.
  • nous respectons les règles écrites quasiment à la lettre, sans essayer d'en tirer avantage. Nous sommes plutôt des travailleurs dociles, il faut bien le reconnaître.

Ah, qu'est-ce-que ça m'a fait du bien de lire quelqu'un qui est comme moi ! Ça ne m'arrive pas vraiment souvent et c'est une source de sérénité et d'espoir incommensurable. En bon autiste, je crois que ce qui s'impose à moi maintenant est de lire l'intégrale de Josef Schovanec; ça ne peut que me faire du bien...

Conclusions

Ok, pour ce neuvième mois, le challenge est toujours relevé, je tiens toujours la barre de lire au moins un livre par mois. J'ai eu pas mal de nouveautés et d'imprévus dans ma liste de lecture mais c'est sans doute pour le mieux...

Posted dim. 15 oct. 2017 14:10:39 Tags:

Introduction

Tout bon administrateur système qui s'auto-héberge est souvent confronté à un problème d'intervention distante. En effet, il arrive parfois que votre machine hébergée tombe en panne ou qu'une configuration soit mal balancée et que vous vous en rendiez compte alors que vous n'avez pas accès physiquement à la machine.

Il est donc indispensable de disposer d'une solution technique qui permette cette intervention à distance. Le moyen le plus simple que j'ai pu trouver est de mettre en place un accès à un shell via un navigateur web. L'intérêt est de ne pas avoir à utiliser de machine ou de logiciel spécifique pour accéder à ce terminal spécifique. Ce n'est sans doute pas la méthode la plus sécurisée mais c'est le meilleur compromis que j'ai pu trouver entre facilité et rapidité d'accès et sécurité.

Jusqu'à présent, j'utilisais une solution hyper-légère nommée shellinabox. Elle faisait bien son job mais elle a un problème majeur: elle ne semble plus vraiment maintenue (disons, à ultra-minima). Et comme il s'agit ici de donner un accès au coeur d'un système à partir d'un simple accès Internet... autant ne pas rigoler sur la sécurité.

Je me suis donc tourné vers d'autres solutions d'administration à distance par navigateur web et je suis tombé sur un projet assez prometteur: Cockpit.

J'ai décidé de le tester pour voir s'il pouvait se substituer astucieusement à ShellInABox et voici mes conclusions...

A propos de Cockpit

Cockpit est un projet assez récent d'administration distante. Il est fortement lié au projet Fedora et donc en utilise les technologies les plus emblèmatiques, notamment en ce qui concerne systemd. Néanmoins, il est présent dans Debian, depuis la version stable Stretch, dans les dépôts backports.

La philosophie de Cockpit est de viser à un outil d'administration distante le plus léger possible, accessible par le web et qui repose le plus possible sur les outils déjà existants. C'est une philosophie qui me va très bien.

Par ailleurs, Cockpit étant assez jeune, il ne dispose pas encore de trop de modules et il ne nécessite pas encore trop de dépendances de paquets.

En conséquence, à la lecture de ce manifeste, il m'a semblé possible de le déployer sur mon SheevaPlug qui est un matériel assez limité.

Un cahier des charges réduit

Sur le papier, Cockpit épouse parfaitement ce que je cherche depuis des années comme outil d'administration:

  • Il est léger et modulaire.
  • Il est maintenu dans la distribution que j'utilise.
  • Il dispose d'un nombre limité de dépendances.
  • Il s'appuie sur les programmes existants.
  • Il épouse complètement le système sur lequel il repose.
  • Il offre une solution complète avec un shell web interne qui est indispensable.
  • Il semble correctement maintenu (par rapport au nombre de contributions mensuelles) et sans doute plus sécurisé que ShellInABox.
  • Il semble possible de l'héberger derrière un serveur mandataire inverse (reverse proxy).
  • Le système d'authentification semble robuste (car basé sur PAM).

Installation et configuration aux petits oignons

Bon, disons-le rapidement, j'ai un peu galéré pour faire ce déploiement à ma sauce. C'est surtout la partie serveur mandataire inverse qui m'a posé problème. Néanmoins, j'y suis parvenu et je vous livre ma méthode.

Installation

Vous devez activer les dépôts backports de Debian Stretch pour installer Cockpit.

Ensuite, vous devez savoir ce que vous voulez installer comme modules. Je vous laisse le soin d'étudier la liste dans les paquets Debian (tout ce qui commence par cockpit-).

Pour ma part, je n'utilise jamais NetworkManager et cette machine n'est pas un serveur de virtualisation. Ainsi, je n'ai vraiment besoin que du module "storaged" qui gère les espaces disques. Voici ce que j'ai utilisé pour l'installation à proprement parler:

apt-get install --no-install-recommends cockpit cockpit-storaged

L'ensemble, dépendances incluses, pèse moins de 15Mo, ce qui est très léger mais certes, plus gros que ShellInABox).

A partir de ce moment, Cockpit est disponible sur le port 9090 de votre machine. Mais, comme vous avez de bonnes règles de pare-feux, vous ne devriez pas pouvoir vous y connecter comme ça...

Principes de configuration de Cockpit

Sans rentrer dans les détails, voici comment est structuré la configuration de Cockpit:

  • D'abord, il existe un fichier de type INI nommé /etc/cockpit/cockpit.conf. Il possède peu de directives mais reste très important pour modifier le comportement web par défaut.
  • Si vous utilisez l'accès par HTTPS, le service utilise des certificats stockés dans /etc/cockpit/ws-certs.d/.
  • Cockpit est activé par systemd via une socket. On trouve donc la définition du service dans /usr/lib/systemd/system/cockpit.service et la définition de la socket dans /usr/lib/systemd/system/cockpit.socket. C'est la définition de la socket qui permet de définir les ports et adresses réseaux sur lesquels le service Cockpit est disponible.
  • Enfin, il y a la configuration Apache.

Accès depuis l'extérieur

Je souhaite pouvoir accéder à l'instance Cockpit depuis l'extérieur. Pour cela, je vais juste utiliser un reverse-proxy (ce sera Apache, comme à mon habitude). C'est une installation assez complexe à mettre en oeuvre et pas forcément bien documentée (car sans doute atypique). Néanmoins, je fais plus confiance à Apache qu'à Cockpit pour la sécurité de l'exposition à Internet.

J'ai pas mal galéré pour obtenir quelquechose de correct, aussi voici un résumé des opérations à mettre en oeuvre:

  • On va d'abord modifier l'adresse d'écoute par défaut de cockpit pour la faire pointer vers 127.0.0.1:9090 et non vers toutes les interfaces réseau. Cela permet de réduire l'exposition extérieure et de limiter l'accès par le serveur mandataire inverse.
  • Ensuite, nous allons indiquer à Cockpit d'utiliser un niveau d'arborescence web supplémentaire. En effet, je ne souhaite pas utiliser de VirtualHost dédié car c'est finalement assez lourd (oui, il faut rajouter une entrée DNS et surtout mettre à jour le certificat du site web). Ainsi le service cockpir sera disponible à l'emplacement /webadmin/ du domaine.
  • Cockpit est un service disponible en HTTP. En 2017 qui dit HTTP dit forcément HTTPS et donc certificats. Malheureusement de ce côté-ci, Cockpit impose d'utiliser un fichier regroupant clef privée/clef publique. Ceci n'est pas compatible avec un système basé sur l'AC LetsEncrypt qui met à jour très fréquemment et de manière automatique les certificats. Nous allons donc utiliser le flux non chiffré, ce qui ne pose pas de problème car l'accès ne sera pas direct.
  • Enfin, nous allons configurer une directive de reverse-proxy pour servir cockpit depuis l'URL /webadmin/, comme évoqué plus haut. En matière d'authentification, nous allons utiliser celle de Cockpit et non celle d'Apache car les deux ne sont pas compatibles.
  • Attention, Cockpit utilise fortement des connexions en mode WebSocket, il faudra le prendre en compte dans la configuration d'Apache.

Gestion des adresses et des ports

Cockpit utilise massivement les mécanismes systemd (ce qui est bien en 2017). Par défaut, il écoute sur toutes les IPv6 sur le port 9090. Dans notre cas, nous ne souhaitons uniquement le faire tourner sur l'IPv4 locale: 127.0.0.1. Ainsi, il ne sera, de fait, pas disponibles directement depuis l'extérieur de cette machine.

Pour ce faire vous devez créer un fichier /etc/systemd/system/cockpit.socket.d/listen.conf qui contiendra les lignes suivantes:

[Socket]
ListenStream=
ListenStream=127.0.0.1:9090

Un petit coup de systemctl daemon-reload suivi d'un systemctl restart cockpit.socket devrait mettre à jour cette configuration.

Arborescence et non chiffrement

Comme évoqué plus haut, nous devons indiquer à Cockpit qu'il doit utiliser un niveau d'arborescence supplémentaire et qu'il doit accepter des connexions non chiffrées. Pour cela, il faudra créer un fichier /etc/cockpit/cockpit.conf avec le contenu suivant:

[WebService]
Origins = https://example.com http://127.0.0.1:9090
ProtocolHeader = X-Forwarded-Proto
AllowUnencrypted = true
LoginTitle = "Remote Administration Service"
UrlRoot = /webadmin/


[LOG]
Fatal = criticals warnings

La directive Origins permet d'indiquer les domaines de requête accepté. Mettez-y le nom de votre domaine (et n'oubliez pas les URL en HTTP et en HTTPS). J'ai également ajouté l'URL localhost, au cas où.

La directive AllowUnencrypted permet d'autoriser le traffic en HTTP. Cela ne posera pas de problème car ce traffic sera uniquement entre le service Apache interne et Cockpit.

Enfin, la directive UrlRoot permet d'indiquer à Cockpit qu'il est disponible au niveau de l'emplacement https://example.com/webadmin/. Cette directive lui permet d'adapter les URL internes de Cockpit à cet emplacement.

Gestion des WebSockets

Cockpit utilise des websocket, notamment pour tout ce qui est "temps réel", vous devez donc autoriser votre serveur Apache à mettre en tunnel ces requêtes. Cela se fait de manière assez simple en activant le module proxy_wstunnel:

# a2enmod proxy_wstunnel

Serveur mandataire inverse

Voici le coeur du sujet ! Pour mémoire, l'application Cockpit ne sera disponible que sur un flux chiffré (via HTTPS) à l'emplacement /webadmin/.

  # Configuration pour Cockpit
  ## Reverse proxy pour Cockpit
  <Location "/webadmin">
    ProxyPass http://127.0.0.1:9090/sysadmin
    ProxyPassReverse http://127.0.0.1:9090/sysadmin
    RequestHeader set Front-End-Https "On"
    ProxyPreserveHost On
  </Location>
  ## Reverse proxy Websocket pour Cockpit
  <Location "/webadmin/cockpit/socket">
    ProxyPass "ws://127.0.0.1:9090/sysadmin/cockpit/socket"
  </Location>

Vous pouvez noter que je n'utilise pas, contrairement à mon habitude, le module d'authentification d'Apache. C'est une condition nécessaire car l'authentification de Cockpit réutilise celle d'Apache qui pose problème dans mon cas.

Par ailleurs, nous avons besoin de deux directives Location:

  • une pour l'emplacement de base de Cockpit.
  • l'autre pour la partie WebSocket.

Après cette étape et une relance de votre service Apache, Cockpit devrait être disponible correctement à l'URL indiquée.

Une revue rapide de Cockpit

Comme je n'ai pas installé beaucoup de modules, on ne voit pas grand chose et il faut dire que, pour l'instant, Cockpit ne dispose pas de beaucoup de choses.

L'écran d'authentification est assez basique mais vous pouvez noter qu'il permet également de rebondir via SSH sur d'autres machines disponibles par la première machine. Je peux donc accéder à mon parc de bécanes à distance ce qui est un vrai plus.

L'écran d'accueil affiche quelques stats en flux continu:

Il est possible de changer la langue de l'interface (tout n'est pas traduit).

Voici le module des journaux qui est assez bien fait tout en restant simple:

Le module des services est vraiment calqué sur Systemd et c'est tant mieux: on peut voir les services et également les timers, c'est plutôt bien foutu tout en restant léger.

Enfin, le module dédié au stockage permet d'avoir des informations sur les disques des machines. Si vous avez un compte administratif, vous pouvez même créer des partitions à distance.

Et pour terminer: l'arme absolue: le Terminal:

Ce dernier est pleinement fonctionnel. Il gère la couleur et semble plus rapide que celui de ShellInABox. Par ailleurs, je note moins de problème avec les touches spéciales que dans ShellInABox. Le copier-coller passe directement sous le contrôle du navigateur web ce qui permet de faire des copier-coller plus simple, que ce soit sur le terminal web ou du terminal web vers le poste local.

Conclusions

En dehors de la galère de serveur mandataire inverse (reverse proxy), Cockpit fonctionne plutôt bien et reste relativement simple à configurer.

Comparé à ShellInABox, c'est franchement plus graphique. Les différents modules que j'ai installé répondent plutôt au besoin même si, éducation oblige, je me tournerai forcément plutôt vers le terminal. Ce dernier est d'ailleurs très intéressant et plus complet, notamment au niveau des touches, comparativement à ShellInABox. On peut à peu près utiliser Emacs dessus sans trop de problème, sauf pour la sélection.

Dans tous les cas, j'ai rapidement adopté Cockpit et je l'ai déployé sur toutes mes machines internes: ça ne coûte pas grand chose, ça ne mange pas trop de performances et puis, on ne sait jamais !

Posted lun. 09 oct. 2017 21:34:05 Tags: