Vous vous souvenez de la dernière fois où vous avez dû redémarrer un container Docker en urgence depuis votre téléphone, planqué dans les chiottes du resto un jour de St Valentin ?

Le minuscule clavier, la connexion SSH qui rame, les commandes qu’on tape mal parce que l’autocorrect veut absolument transformer “docker ps” en “docker pas”, l’écran trop petit pour lire les logs… Bref, la grosse merde !!

Heureusement, Docker Manager débarque pour transformer ce cauchemar en expérience qui fait plaisir aux yeux. C’est une app Android qui gère vos containers Docker à distance, et c’est tellement bien foutu que vous allez enfin arrêter d’ouvrir votre laptop n’importe où juste pour faire un simple restart.

C’est vrai que faire du SSH depuis un smartphone, ça a toujours été possible. Y’a même plein d’apps terminal mobiles, de clients fait pour ça, même des bidouilles pour se connecter à vos serveurs. Mais “possible” et “agréable”, c’est pas vraiment la même chose.

Grâce à Docker Manager ce sera donc possible ET agréable ! Vous gérez déjà Docker, vous connaissez déjà les commandes, vous savez ce que vous faites mais au lieu de vous faire taper des commandes dans un terminal de 5 pouces, l’app vous offre une interface utilisateur carrée avec des boutons, des statistiques en temps réel, des logs lisibles, et même un shell interactif quand vous en avez vraiment besoin !

Vous connectez donc vos serveurs via SSH (mot de passe ou clé, comme d’hab), et hop, vous aurez accès à tout. Start/stop/restart de containers, inspection des images, gestion des volumes et des networks, stats CPU/RAM en direct… Tout ce que vous feriez normalement en SSH, mais sans vous arracher les yeux sur un terminal mobile.

Autre truc sympa, l’app supporte plusieurs serveurs, donc vous pouvez switch entre votre VPS perso, votre homelab, et votre serveur de prod en deux tapotages ^^. Elle gère aussi les VPN comme Tailscale, donc si vos serveurs sont derrière un réseau privé, pas de problème. Elle propose même des thèmes light/dark, parce que oui, même en pleine nuit à 3h du matin quand un container plante, vous avez le droit à votre petit confort visuel.

L’app supporte aussi Podman. Vous configurez juste votre CLI Docker custom, et ça marche ! Et en plus, c’est open source ! Vous pouvez même faire du cleanup système pour virer les images et containers qui traînent histoire de faire un peu de ménage.

L’app est dispo sur le Play Store et sur GitHub pour ceux qui veulent build depuis les sources ou juste regarder le code. Testez, vous verrez, ça change la vie.

Merci à Friendly_0day pour le partage !

Avec la fin de support de Windows 10 par Microsoft les utilisateurs situés dans un pays Européen peuvent bénéficier d'un an de mises à jour supplémentaires via le programme de mises à jour étendues (ESU).

Pour en profiter il faut obligatoirement connecter un compte Microsoft... mais parfois cela ne fonctionne pas :

Inscription aux ESU sera bientôt disponible. L’inscription aux mises à jour de sécurité étendues pour Windows 10 est temporairement indisponible dans votre région.

J'ai lu tout un tas de théories et méthodes plus ou moins fumeuses à ce sujet sur le web. De mon côté j'avais constaté ce fameux message d'erreur sans explication :

https://x.com/xhark/status/1979287662101176393

Pour arriver sur cette popup il suffisait d'utiliser ce lien (depuis Win+R) :

ms-settings:windowsupdate-esu?OCID=WEB_EOS_CY25_ESU

Il existait bien un bug

La vérité vient de tomber : il existait un bug d'inscription, empêchant certaines machines de s'enregistrer au programme ESU (malgré des pré-requis respectés). C'est la raison pour laquelle Microsoft vient de déployer une mise à jour exceptionnelle OOB (en dehors du cycle mensuel du "patch tuesday") pour corriger le tir avec la KB5071959.

Important : cette mise à jour est disponible uniquement via Windows Update, je n'ai pas vu de lien de téléchargement MSU.

TSforge : ESU sans compte Microsoft

Si vous trouvez trop contraignant de connecter un compte Microsoft vous pouvez utiliser une alternative comme TSforge (via massgrave) qui va inscrire votre PC au programme ESU sur les serveurs de Microsoft tout en restant en compte local. Non pas pour 1 an mais pour 3 ans de mises à jour (et peut-être jusqu'à 6 ans).

Pour vérifier si votre machine est bien inscrite au programme ESU lancez depuis une cmd :

slmgr.vbs /dli

Patientez quelques secondes et vérifiez la présence de "Client-ESU-Year1"

Conclusion

En bref, cette activation gratuite vers le programme ESU aura été poussive et l'on ne peut pas dire que Microsoft a beaucoup communiqué sur le sujet pour dire qu'un correctif était en cours de réalisation.

Je trouve le délai de correction de Microsoft assez long. 1 mois pour corriger un problème qui permet de recevoir des mises à jour de sécurité... Peut-être que ce délai a été suffisant pour inquiéter certaines personnes qui ont pu racheter un ordinateur ou changer de système d'exploitation.

Sans parler du bug d'affichage qui indiquait que la machine ne disposait plus des mises à jour de sécurité... alors qu'elles s'installaient sans souci (ce bug est aussi résolu avec la KB5071959).

D'autres ont préféré migrer vers Windows 10 LTSC moyennant l’acquisition d'une clé de licence (rakuten, cdiscount, etc.).

De mon côté j'ai gardé une seule machine pour pouvoir tester et vous faire cet article, toutes les autres sont passées sous Windows 11 avec la méthode "setup.exe /product server" qui outrepasse les restrictions TPM, CPU, etc.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 13/11/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Windows 10] Microsoft corrige l’inscription ESU ✅ provient de : on Blogmotion.

C’est l’histoire d’un mec qui a compressé 60 jeux Steam pour économiser 380 GB, et ainsi faire en sorte qu’ils se lancent plus vite qu’avant.

Ce mec a compris que sur un disque dur classique, décompresser en temps réel avec un CPU moderne est parfois plus rapide que de lire des gigaoctets bruts de données à 7200 tours/min. Et pour cela, il a utilisé CompactGUI !

On pourrait se dire qu’un fichier compressé, c’est forcément plus lent à ouvrir mais en fait non, car un CPU récent peut décompresser en RAM plus vite qu’un disque dur ne peut lire.

C’est en partant de ce constant que IridiumIO a imaginé CompactGUI qui exploite cette anomalie physique. C’est une interface graphique pour compact.exe, une commande Windows que Microsoft a discrètement re-boostée en 2015 avec des algorithmes de compression modernes (XPRESS4K, XPRESS8K, XPRESS16K, LZX), puis totalement oubliée dans un coin de Windows…

En gros, vous faites pointer CompactGUI vers un dossier qui contient vox jeux, vous choisissez un algorithme de compression, vous appuyez sur un bouton, et Windows compresse tous les fichiers de façon transparente. Quand je dis transparente, je veux dire que le jeu continue de tourner normalement quand vous le lancez. Les fichiers restent accessibles comme avant, ils apparaissent dans l’Explorateur Windows sans différence visible, mais ils prennent tout simplement moins de place sur le disque.

Et quand vous lancez un jeu, Windows décompresse les fichiers en RAM à la volée, et vous jouez comme d’habitude. Cette sorcellerie, on la doit aux algorithmes de compression modernes de Windows 10+ et il y en a quatre :

• XPRESS4K : Le plus rapide, le plus faible en compression. Ratio moyen 50%. C’est celui par défaut, recommandé pour la plupart des usages.
• XPRESS8K : Un cran au-dessus. Meilleur ratio, CPU encore léger. Selon les forums, c’est le meilleur compromis sur un PC récent.
• XPRESS16K : Encore plus fort, mais commence à solliciter le CPU. Ratio autour de 57%.
• LZX : Le plus puissant. Peut atteindre 66% de compression, mais CPU intensif. À réserver aux machines avec de la puissance à revendre.

Tenez par exemple, sur un fichier de test de 46.6 MB, LZX compresse à 15.7 MB, XPRESS16K à 20.1 MB, XPRESS8K à 21.1 MB, et XPRESS4K à 23.0 MB. En comparaison, la vieille compression NTFS classique (LZNT1) ne descend qu’à 26.2 MB. Les nouveaux algorithmes sont donc objectivement meilleurs, mais personne ne les utilise parce qu’il faut taper des commandes dans PowerShell.

Et c’est là que CompactGUI intervient puisqu’il transforme compact.exe en version compatible avec votre syndrome du clickopathe. C’est tout.

Voici quelques exemples réels de compression tels que remontés par la communauté CompactGUI :

• ARK: Survival Evolved : 169 GB → 91.2 GB (77.8 GB économisés)
• Doom 2016 : 67 GB → 51 GB (16 GB) ou même 62 GB → 38 GB (24 GB) selon la version
• Tekken 7 : 60 GB → 30 GB (50% de gain)
• Team Fortress 2 : 19.4 GB → 11 GB (8.4 GB)
• Guild Wars 2 : 26.2 GB → 4.1 GB (22.1 GB !)
• Hollow Knight : 9 GB → 1.65 GB avec LZX

Et ce qui est fou, c’est que dans la plupart des cas, l’impact sur les performances est dans la marge d’erreur des benchmarks. Les utilisateurs sur les forums racontent jouer tout à fait normalement, sans ralentissement perceptible. Certains équipés de disques durs plus anciens rapportent même des temps de chargement réduits.

Alors pourquoi ça marche aussi bien de compresser ?

Hé bien parce que les textures et les sons des jeux sont déjà compressés dans des formats spécialisés (DDS, OGG, MP3…etc), mais les assets bruts, eux, (scripts, configs, shaders, données de niveau…etc) sont souvent non compressés. XPRESS et LZX s’attaquent donc à ces fichiers non compressés et permettent ainsi de gagner beaucoup de place.

Et votre CPU dans tout ça ? Hé bien sur un processeur moderne dual ou quad-core, la décompression LZW (l’algo derrière LZX) est tellement légère qu’on ne la sent pas. XPRESS est encore plus rapide et le gain de temps sur la lecture disque compense largement le coût CPU de la décompression.

Mais attention, il y a un piège !!! Et ce piège c’est DirectStorage. Ce truc est une techno de Microsoft pour Windows 11 qui permet aux jeux de charger les assets directement du SSD vers la carte graphique, en contournant le CPU. C’est conçu pour les SSD ultra-rapides (NVMe) et ça réduit beaucoup les temps de chargement sur certains jeux.

Sauf que DirectStorage n’aime pas du tout la compression NTFS et les jeux qui l’utilisent peuvent planter ou avoir des performances dégradées si vous compressez leurs fichiers. Donc si vous êtes sur Windows 11 avec un NVMe récent et que vous jouez à des jeux AAA avec DirectStorage, n’utilisez pas CompactGUI. Mais si vous avez un bon vieux HDD, ou un SSD SATA classique, ou des jeux anciens qui n’utilisent pas la techno de DirectStorage, CompactGUI est une bénédiction.

Comme d’hab, ça dépend de vos jeux, de votre PC…etc. Donc y’a plus qu’à tester pour savoir si ça peut être bénéfique ou pas pour vous.

Pour l’installer, vous téléchargez CompactGUI depuis les releases GitHub , ou via Winget avec

winget install CompactGUI

Puis vous lancez l’app, vous sélectionnez un dossier de jeu (par exemple C:\Program Files (x86)\Steam\steamapps\common\Doom), vous choisissez un algorithme (XPRESS8K pour commencer), et vous cliquez sur Compress !

L’app vous affichera alors une barre de progression, le temps estimé, et le ratio de compression en temps réel. Et une fois terminé, votre jeu pèsera de 30 à 60% de moins, et vous pourrez le lancer normalement.

Et si jamais vous voulez décompresser, vous retournez dans CompactGUI et vous cliquez sur Uncompress. Ça restaurera tout à l’état d’origine !

CompactGUI intègre même une fonctionnalité de monitoring en arrière-plan. Vous configurez un dossier à surveiller (genre votre bibliothèque Steam), et CompactGUI compressera automatiquement les nouveaux jeux installés. Comme ça vous êtes tranquille !

Vous pouvez aussi ajouter CompactGUI au menu contextuel de l’Explorateur Windows ce qui vous permettra de faire un clic droit sur un dossier → Compress with CompactGUI.

Bref, un grand merci à Microsoft qui a développé des algos de compression dignes de WinRAR, les a intégrés nativement dans Windows 10, et les a laissé moisir dans un outil en ligne de commande que personne n’utilise.

Et merci à Lorenper pour le partage.

Vous êtes admin réseau et vous en avez marre de jongler entre différents outils pour calculer un masque de sous-réseau, vérifier un enregistrement DNS, ou tester une config DHCP ?

Ça tombe bien puisque Networking Toolbox débarque avec tous les outils réseau dont vous avez besoin dans une seule interface plutôt propre et carrée.

Le projet est développé par Alicia Sykes , une développeuse qui a déjà pas mal de projets open-source à son actif et son idée c’est de regrouper plus d’une centaine d’utilitaires réseau au même endroit, sans dépendances tierces, sans tracking, et avec une interface qui fonctionne aussi bien sur desktop que sur mobile.

Le site propose des outils dans cinq grandes catégories. Du calcul de sous-réseaux, avec des calculateurs IPv4 et IPv6, de la planification VLSM, des outils CIDR pour convertir des masques ou générer des plages IP. Ensuite, les diagnostics réseau : lookups DNS, vérifications TLS, tests de connectivité, analyses HTTP et email. Vous avez aussi des générateurs pour DHCP et DNS, avec création d’enregistrements, validation DNSSEC, et configuration de zones complètes. Et bien sûr, tout un tas d’utilitaires divers pour convertir, valider, et manipuler des données réseau.

Ce qui est pratique, c’est que vous pouvez bookmark n’importe quel outil avec un clic droit. Ça le rend accessible offline et l’épingle en haut de votre page d’accueil. Si vous utilisez souvent les mêmes choses, ça évite de naviguer dans les menus à chaque fois. L’interface supporte ausis plusieurs langues, plusieurs thèmes visuels, et se contrôle entièrement au clavier.

Niveau techno, c’est du Svelte avec TypeScript, compilé en SvelteKit. Les calculs se font côté client, donc pas de latence serveur et le code est publié sous licence MIT. Vous pouvez donc le déployer sur votre propre infrastructure si vous ne voulez pas utiliser l’instance publique.

3 options principales s’offrent à vous : un conteneur Docker qui se lance avec une ligne de commande, un déploiement sur des plateformes cloud comme Vercel ou Netlify, ou un build statique que vous hébergez où vous voulez.

Pour Docker, c’est hyper fastoche. Vous tapez

docker run -p 3000:3000 lissy93/networking-toolbox

et l’interface est alors accessible sur localhost:3000. Si vous préférez compiler depuis les sources, le repo est ici sur Codeberg . Vous le clonez, vous installez les dépendances avec yarn, et vous lancez le serveur de dev avec yarn dev. Le projet se compile en build statique, en build Node.js, ou avec des adaptateurs pour GitHub Pages et autres hébergeurs statiques…

Le plus intéressant, c’est que Networking Toolbox propose aussi une API gratuite, sans clé, sans restrictions CORS. Si vous développez vos propres outils ou scripts d’automatisation réseau, vous pouvez interroger l’API directement sans config particulière pour par exemple, convertir un masque, valider une plage IP, ou générer un enregistrement DNS programmatiquement !

Voilà, si vous administrez des réseaux ou si vous étudiez les infras, testez-le. Je pense que vous gagnerez du temps et vous arrêterez de chercher “subnet calculator” sur Google toutes les cinq minutes.

Merci à Lorenper et Letsar pour l’info !

Après la prolongation d'un an supplémentaire des mises à jour de sécurité (ESU) de Windows 10 en Europe, parlons un peu de la version LTSC de Windows 10.

La version Long Time Service Channel (LTSC) permet de bénéficier de mises à jour pendant encore quelques années :

• Windows 10 LTSC 2019 supporté jusqu'en 2029 (ESU)
• Windows 10 LTSC 2021 (basé sur 21H2) supporté jusqu'en 2027

Je ne parle volontairement pas de la version IoT, trop spécifique.

Ces versions sont une famille d'OS à part entière, il faudra donc une clé d'activation LTSC. Une clé Windows 10 Famille ou Pro ne sera donc pas reconnue.

De mon côté je vous conseille LTSC dans 2 cas :

• si vous avez une machine vieillissante qui n'est pas très rapide... et qui risque d'être encore plus lente avec Windows 11
• si vous avez une machine dont le CPU est incompatible avec Windows 11 (je ne parle pas du contournement des limitations TPM mais bien d'une incompatibilité matérielle au niveau des instructions CPU).

Merci à Florian d'avoir pris le temps de faire une vidéo sur le sujet, j'ai économisé beaucoup de temps sur mon article

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 07/10/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article 💿 Migrez vers Windows 10 LTSC (+de support) provient de : on Blogmotion.

Bon, on va pouvoir l’avouer maintenant, tous ceux qui se la racontent parce qu’ils peuvent prendre le contrôle à distance de leur joli Mac, ont la même galère depuis que FileVault existe… En effet, après une coupure de courant ou une mise à jour du système, votre super serveur Mac redevient une boite à chaussure jusqu’à ce que quelqu’un déplace son gros cul d’admin sys pour taper le mot de passe sur un clavier tout ça.

Et là, on a Jeff Geerling qui nous annonce l’air de rien qu’Apple vient enfin de “légaliser” la bidouille qu’on utilisait tous en douce à savoir déverrouiller FileVault à distance via SSH dans macOS Tahoe.

Ce qui était donc avant une astuce d’admin système un peu à la one again (script d’autologin / désactiver le chiffrement…etc) devient maintenant une fonctionnalité officielle. Sous macOS 26 Tahoe, si vous activez la “Session à distance” dans les réglages de partage, vous pouvez maintenant vous connecter en SSH avant même que l’utilisateur se soit authentifié. Un admin tape son mot de passe à distance et hop, le Mac démarre complètement. La documentation officielle explique même que le SSH se déconnecte brièvement pendant le montage du volume, puis revient. C’est la classe !

Par contre, petit détail qui tue, c’est censé fonctionner en WiFi mais Jeff Geerling qui a testé l’astuce n’a réussi à se connecter qu’en Ethernet. Il pense qu’en Wifi, ça ne passe pas parce que les clés réseau sont dans le Keychain, qui est lui-même chiffré sur le volume verrouillé. C’est le serpent qui se mord la queue (oui, vous le savez d’expérience, ça fait mal de se mordre la queue)… Du coup, tous ceux qui ont des Mac mini planqués derrière leur télé en mode serveur Plex, vont devoir tirer un petit câble RJ mais bon, vrai bonhomme fait vrai réseau en Ethernet, le Wifi c’est pour les faibles, ouga-ouga !

Je connais et utilise Clonezilla depuis de nombreuses années, c'est un LiveCD puissant qui permet de faire une sauvegarde de votre ordinateur ou serveur vers un fichier image.

Il se positionne en alternative gratuite et open source à Acronis (anciennement True Image), AOMEI Backuper, Macrium Reflect, EaseUS Todo Backup, Veeam, etc.

Tutoriel en version texte

Florian d'IT-Connect nous propose un tutoriel d'utilisation de Clonezilla en français et c'est une bonne chose car il est vrai que le logiciel peut semble un peu austère pour les débutants (et pas que!).

Un bon complément libre à la solution UrBackup, merci Florian !

 

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 09/09/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Tutoriel] Clonezilla : sauvegardez votre PC (image) provient de : on Blogmotion.

J'ai découvert l'existence de CrapFixer chez GuiPoM dont voici la présentation en vidéo ci-dessous.

Si l'interface semble être un clone du fameux CCleaner ce logiciel open-source n'a pas du tout la même utilité. CrapFixer est un cousin de O&O Shutup, il permet de désactiver des fonctionnalités de télémétrie, de personnaliser Windows... bref de "tweaker" comme on disait à l'époque

Tout comme ce qui est précisé dans la vidéo, je vous déconseille d'utiliser CrapFixer si vous ne savez pas ce qu'il fait.

Et puis les PowerToys qui continuent d'évoluer avec de nouveaux outils que je ne connaissais pas, à tester donc ! Avec la mise à disposition par Microsoft, cela évite de télécharger des freewares douteux. Ici on a le bénéfice de la communauté de développeurs et le soutien de Microsoft, que demander de mieux ?

Télécharger CrapFixer

En bonus : lisez l'histoire derrière CrapFixer

 

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 29/08/2025 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article 🧼 CrapFixer : nettoyer Windows 11 en profondeur provient de : on Blogmotion.

J'ai découvert l'existence du produit UrBackup chez IT-Connect. Il s'agit d'un outil de sauvegarde open source et multiplateforme qui fonctionne avec un agent.

J'ai trouvé l'outil rempli d'options, l'interface web semble facile à utiliser et l'outil me semble très complet. Comme j'étais complètement passé à côté je vous propose de le découvrir

L'outil propose même de la déduplication, ce qui évite de stocker le même fichier plusieurs fois.

UrBackup

Merci à Florian pour la découverte et la prise en main de l'outil !

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 18/06/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article UrBackup : la sauvegarde multiplateforme 💾 provient de : on Blogmotion.

S'il y a bien une commande dont la sortie est peu lisible c'est bien la commande mount.

Il est possible d'ajouter un alias pour qu'elle soit beaucoup plus lisible en mode colonne.

mount | column -t

Au lieu de faire :

mount

Faire :

mount | column -t

C'est tout de suite mieux non ?

A utiliser en complément de lsblk, blkid et cfdisk qui sont les 3 commandes que j'utilise le plus quand j'ai besoin de comprendre les points de montage d'une machine. Sans oublier bien sûr les commandes LVM (pvs/pvdisplay, vgs/vgdisplay, lvs/lvdisplay).

Vous pouvez créer un alias dans votre ~/.bashrc :

alias mountc = mount | column -t

source

Bonus : astuce avec "du"

Une astuce d'Adrien pour exclure les points de montage de la commande "du" quand on cherche à savoir ce qui consomme de l'espace disque :

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 26/05/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Linux] Comment utiliser « mount » en mode colonne provient de : on Blogmotion.

Les serveurs dans le monde pro sont tous équipés de carte IPMI/BMC, qui permettent de gérer la machine depuis un réseau "out of band".

Quand on utilise une machine non pro pour un usage de lab ou de serveur à domicile, cette fonctionnalité peut manquer.  C'est dans cette optique qu'iMot3k nous présente le NanoKVM :

Vous connaissez sans doute DELL iDRAC, HP iLO, Lenovo Xclarity, IBM HMC, etc. Et bien l'idée est de proposer quelque chose qui s'en rapproche à un tarif accessible.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 12/05/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article NanoKVM : prendre la main sur votre machine provient de : on Blogmotion.

J'utilise O&O Shutup pour supprimer les fonctionnalités, logiciels et autre bloatwares inutiles sur Windows 11/10. Et c'est dans cette même veine que l'outil WinScript fonctionne :

Il est open source et existe en version classique ou portable, et même directement en ligne.

N'activez pas des réglages que vous ne maitrisez pas, vous avez de grandes chances de casser des choses...

Merci à Florian d'IT-Connect pour la découverte!

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 02/04/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article 🗑️ Supprimer les indésirables de Windows 11 provient de : on Blogmotion.

Yves Rougy, que l'on ne présente plus, a lancé une nouvelle thématique de vidéos sur l'auto-hébergement / homelab.

2 vidéos sont sorties dans lesquelles il parle des pré-requis et choix du matériel :

Puis il enchaine sur proxmox et Incus (qui me fait bien envie!) :

Des vidéos accessibles, y compris pour les débutants

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 14/03/2025 | 3 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment monter son homelab (proxmox) provient de : on Blogmotion.

A chaque mise à jour de firmware de Tomato le process est le même, il est conseillé de ne pas repartir de sa configuration, mais de tout reparamétrer à la main...

Je vous explique pourquoi et comment faire pour transposer votre configuration (nvram) après une mise à jour de firmware.

Déjà parce qu'on est des feignants, mais aussi parce que cela n'a rien de passionnant. Et que c'est important de rester sur une version récente pour des questions de sécurité.

Pourquoi est-ce déconseillé de ré-injecter votre config

Chaque version de firmware tomato vient avec une liste de paramètres possible, le tout étant stocké en nvram.

Cela peut poser plusieurs problèmes :

• paramètre qui n'existe plus (suppression)
• paramètre qui a changé de nom
• paramètre qui a changé de valeur possible
• introduction d'un nouveau paramètre

Dans le pire des cas le routeur ne démarrera pas, plantera ou aura un fonctionnement difficilement compréhensible.

Dans le meilleur des cas vous consommerez de l'espace précieux en nvram au fur et à mesure des versions de firmwares que vous installerez.

Plus vous sautez de versions lors de l'upgrade, plus le risque est important. Et le changelog ne donne pas plus d'information sur les attributs qui changent (malheureusement).

Rappel du processus de mise à jour

Admettons que je suis sur la version Tomato 2022.1 et que je veux migrer vers la version 2025.1.

Avant de faire une mise à jour du firmware de mon FreshTomato, je fais un backup :

• du fichier de configuration .cfg (cf tutoriel)
• du fichier de configuration nvram (format texte) nvram_v2021.1.txt

Ensuite je lance une réinitialisation complète de nvram, puis le routeur reboot.

Je définis une IP fixe sur ma machine (192.168.1.123/24) puis je me connecte sur http://192.168.1.1 avec l'identifiant "root" et le mot de passe "admin"

Puis je fais à nouveau un backup du fichier de configuration texte nvram (cf tutoriel) que je nomme :

nvram_v2022.1_vide.txt

C'est maintenant le moment de faire la mise à jour firmware de Tomato en v2025.1 à partir du fichier TRX sans oublier de cocher la case :

" Erase all data in NVRAM. Optional. This is performed between the firmware upload and the reboot."

Après quelques minutes le routeur revient à la vie, je me connecte sur http://192.168.1.1 avec l'identifiant "root" et le mot de passe "admin".

Puis je fais à nouveau un backup du fichier de configuration texte nvram (cf tutoriel) que je nomme nvram_v2025.1_vide.txt.

Nous disposons maintenant de 2 fichiers de configuration usine, une pour chaque version de firmware :

• nvram_v2021.1_vide.txt
• nvram_v2025.1_vide.txt

Comparer les versions

Maintenant que nous disposons de 2 fichiers de configuration usine, nous allons pouvoir comparer ces 2 fichiers.

Pour que ce soit plus pratique, je crée une version triée par ordre alphabétique en bash (ma préférence).

En bash (depuis WSL par exemple, ou directement depuis votre routeur Tomato) :

cat nvram_v2021.1_vide.txt | sort > nvram_v2021.1_vide_SORTED.txt
cat nvram_v2025.1_vide.txt | sort > nvram_v2025.1_vide_SORTED.txt

Aussi possible en PowerShell :

gc nvram_v2021.1_vide.txt | Sort-Object | sc nvram_v2021.1_vide_SORTED.txt
gc nvram_v2025.1_vide.txt | Sort-Object | sc nvram_v2025.1_vide_SORTED.txt

Je compare ces 2 fichiers triés dans WinMerge.

A noter que le tri est aussi possible directement dans WinMerge : Menu Plugins > appliquer un script > trier les lignes par ordre croissant (je conseille de travailler sur une copie pour garder les fichiers cd conf nvrame non triés).

Dès que je vois un paramètre qui a été supprimé dans le firmware plus récent, je le répercute dans mon fichier nvram_v2021.1.txt. Même chose pour les nouveaux paramètres, je les ajoute à la main. Je travaille toujours sur le fichier non trié pour modifier, les 2 fichiers triés sont là pour que la comparaison visuelle dans WinMerge soit plus facile.

Exemple ici avec la suppression du paramètre "log_ftp", que je supprime également dans ma configuration perso s'il était également présent.

Je dispose maintenant d'un nouveau fichier nvram tout beau tout propre, prêt à être injecté dans le routeur : nvram_2025.1.txt.

Script d'injection du nouveau fichier nvram

Je copie mon nouveau fichier nvram_2025.1.txt dans le /tmp du routeur via FTP (activez-le avant) ou directement avec vi en copier/coller.

Puis j'utilise ce code bash pour injecter la nouvelle configuration nvram :

#!/bin/sh
input="/tmp/nvram_injected.txt"
while IFS= read -r line
do
nvram set "$line"
done < "$input"

Si tout s'est bien passé, on valide la nouvelle configuration :

nvram commit && reboot

Patientez plusieurs minutes jusqu'à ce que le routeur redémarre. Si ce n'est pas le cas c'est que vous avez flingué quelque chose.

Commandes utiles

Si vous avez quelques paramètres à retirer et ne souhaitez pas réinjecter toute la nvram, procédez ainsi :

nvram unset nom_du_parametre1
nvram unset nom_du_parametre2
nvram unset nom_du_parametre3
nvram commit && reboot

C'est un peu le même principe que chez Cisco, la configuration est lue au boot.

Conclusion

Et voilà ! Merci à ceux qui attendaient cet article depuis 2022 et qui se reconnaitront

De mon côté j'utilise un second routeur pour mes tests, cela me permet de voir s'il y a eu des changements importants d'une version de firmware à une autre, sans péter le vrai. Si vous suivez chaque version il y a peu de changement d'une version à une autre, mais ça vaut le coup de vérifier (regardez les changelog de FreshTomato).

Enfin : gardez toujours la nvram configuration usine de votre version de firmware actuelle, cela vous évitera de faire un reset configuration avant l'upgrade...

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 09/03/2025 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Tomato] Réinjecter la configuration après un upgrade 🍅 provient de : on Blogmotion.

Et si tous les SysAdmins étaient tous des imposteurs ? C'est la question à laquelle tente de répondre Thomas...

Plus sérieusement, il aborde l'architecture d'une application web, la répartition de charge et la scalabilité (horizontale et verticale) :

La vidéo est plutôt très bien faite, j'adore les animations ! C'est souvent des concepts qu'on apprend sur le tas, alors merci Thomas d'avoir synthétisé tout ça aussi bien

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 13/02/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment distribuer des connexions web 🍌 (load balancer) provient de : on Blogmotion.

Je fais au moins une fois par an une sauvegarde complète de la carte microSD de mon Raspberry Pi avant un changement important : montée de version de Raspberry Pi OS ou de mon logiciel domotique (domoticz, HA étant sur un SSD).

Ce clone parfait me permet de restaurer la carte exactement dans l'état ou elle était au moment de la sauvegarde.

HDD Raw Copy Tool (gratuit)

Étrangement Windows ne permet pas de faire cela facilement, donc je vous partage ce logiciel gratuit qui permet de faire une image compressée d'une clé USB ou d'une carte SD (peu importe son type).

Vous utilisez peut-être RoadKil's DiskImage qui fonctionne bien mais ne permet pas d'obtenir un fichier compressé en sortie. Il faut alors utiliser 7zip ou équivalent.

HDD Raw Copy Tool permet nativement de cloner un périphérique vers un autre ou vers un fichier image compressé *.imgc

Développé par le site hddguru.com il est compatible avec toutes les versions de Windows, existe en version classique ou portable.

Il est capable de communiquer avec les interfaces suivantes : SATA, IDE, SCSI, SAS, USB et Firewire.

De mon côté il fonctionne parfaitement avec un lecteur de carte universel USB de marque LDLC.

 

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 20/01/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Sauvegarder une carte SD/clé USB en image compressée provient de : on Blogmotion.

Depuis plusieurs années j'utilise un routeur Netgear R8000 avec le firmware FreshTomato, un fork du défunt TomatoUSB. Et j'ai eu envie de bloquer les scans de sites publiques comme Shodan ou Censys.

Mais soyons clair : cela n'augmentera la sécurité et ne diminuera pas le risque de scans/attaques depuis l'extérieur (ce que pourrait faire un fail2ban).

Cela évite quelques scripts kiddies en cas de grosses vulnérabilités, et puis c'était un petit challenge technique.

Fonctionnement

Nous allons injecter des règles dans iptables pour bloquer des listes d'IP v4 publiques correspondant à celles des scanners comme Shodan ou Censys.

Pour rappel, iptables permet de configurer des règles côté utilisateur afin qu'elles soient injectées dans netfilter côté noyau Linux.

Ce tutoriel fonctionne avec FreshTomato et potentiellement tous les forks qui s'en rapprochent.

ipset est une extension d'iptables qui permet de gérer des ensembles d’adresses IP, contrairement aux chaînes iptables classiques. IPset facilite la création de listes d'adresses autorisées et/ou bloquées.

L'idée est donc de stocker une liste d'adresses IP dans un fichier texte pour ensuite le parser et injecter ces IP pour les bloquer depuis internet (chaine INPUT) :

# shodan:
64.226.86.0/24
64.227.90.0/24
64.227.107.0/24
# censys:
162.142.125.0/24
167.94.138.0/24
# etc...

La génération de ce fichier sera abordée dans un autre article afin de ne pas surcharger celui-ci.

En attendant voici la liste contenant les IP/réseaux de shodan et censys ici :

télécharger le fichier blocklist shodan/censys

Merci Arthur pour les listes

Pré-requis

Vous aurez besoin d'un espace de stockage persistant : clé USB ou partition /jffs. Dans mon cas j'utilise une clé USB.

Nous devons activer des modules de filtrage spécifiques dans le noyau, au démarrage du routeur.

Depuis un terminal SSH, saisissez :

modprobe -a ip_set xt_set ip_set_hash_ip ip_set_hash_net
ipset create shodan hash:net

La 1ʳᵉ ligne active les modules de filtrage par IP et par réseau (subnet) dans le noyau Linux du routeur FreshTomato.

La 2ᵉ ligne créé un ipset nommé "shodan" que nous alimenterons ensuite par un script à partir de la blocklist fournie avant les pré-requis.

Important : si vous perdez la connexion SSH c'est qu'un des modules est manquant (voir section "bugs possibles").

Pour rendre ce paramétrage persistant, allez dans Administration > Scripts puis coller les 2 lignes que vous avez saisies manuellement :

Comment manipuler un ipset ?

Voici quelques commandes de base pour comprendre ce que fera le script et éventuellement le déboguer.

Affiche le contenu de l'ipset "shodan" :

ipset list shodan

Vider le contenu de l'ipset "shodan" (sans le supprimer) :

ipset flush shodan

Supprimer l'ipset "shodan" (ne doit plus être utilisé par netfilter pour que cela fonctionne) :

ipset destroy shodan

Lier l'ipset à une chaine iptables (INPUT)

Pour bloquer tout ce qui correspond à l'ipset "shodan" dans iptables (chaine INPUT) :

iptables -I INPUT -m set --match-set shodan src -j DROP

L'option "-I" permet d'insérer la règle en début de chaine en décalant les règles existantes vers le bas.

Pourquoi? parce que iptables fonctionne dans cet ordre : la première règle évaluée et qui correspond s'applique au détriment de la suite. Au contraire si nous voulions ajouter la règle en fin de chaine c'est l'option "-A" que nous aurions du utiliser, comme "append".

Ajout du script d'init

Lorsque le service "firewall" démarre il va lire la configuration web, nous devons donc préciser l'utilisation de l'ipset "shodan" en blocage.

Allez dans Administration > Scripts > Firewall puis coller :

iptables -I INPUT -m set --match-set shodan src -j DROP

Sauvegardez en cliquant sur le bouton "save".

Pourquoi ne pas appeler ici le script inject_blocklist_to_iptables.sh ? On s'affranchit de potentielles problématiques de montage/corruption de la clé USB et on évite un souci un crash au démarrage du routeur. On appellera ce script dans la partie "Wan Up".

Peupler l'ipset avec adresses IP et sous-réseaux

Afin de comprendre ce que l'on fait, voici un exemple.

Imaginons que nous voulons ajouter l'IP 12.34.56.78 et le réseau 137.184.13.0/24 dans l'ipset "shodan" pour les bloquer.

Nous saisissons en SSH :

ipset -! add shodan "12.34.56.78"
ipset -! add shodan "137.184.13.0/24"

La syntaxe "-!" correspond à l'option "-exist", ce qui évite d'avoir une erreur si l'adresse/réseau ajouté est déjà présent dans l'ipset concerné.

Il est aussi possible de préciser une ip au format CIDR (ex: 12.34.56.78/32) :

ipset -! add shodan "12.34.56.78/32"

La prise en compte est immédiate.

Maintenant que vous avez compris le principe nous allons utiliser le script que j'ai écrit, qui va lire les IP/réseaux à bloquer puis injecter le tout dans iptables.

Le script

télécharger inject_blocklist_to_iptables.sh

Lancez-le d'abord à la main (adaptez le chemin suivant l'emplacement sur la clé USB/JFFS) :

/tmp/mnt/CLEUSB/scripts/iptables/block_shodan_censys/inject_blocklist_to_iptables.sh

Le script va injecter la liste des IP à bloquer dans iptables, tout seul comme un grand. Si tout fonctionne nous allons pouvoir le rendre persistant :

Allez dans Administration > Scripts > Firewall :

Dans mon cas avec mon chemin cela donne :

/bin/sh /tmp/mnt/CLEUSB/scripts/iptables/block_shodan_censys/inject_blocklist_to_iptables.sh

Sauvegardez en cliquant sur le bouton "save".

A chaque fois que votre routeur va (re)trouver l'accès à internet le script s'exécutera. Si ce n'est pas suffisant pour vous ajouter une exécution au moment de votre choix dans le planificateur via Administration > Scheduler.

Toutes les 24h semble être une bonne idée, tout cela dépend si votre fichier de liste d'IP est régulièrement mis à jour ou non.

Voir les règles iptables actives

Pour afficher toutes les règles de la chaine INPUT :

iptables -S INPUT

Pour afficher toutes les règles avec le nombre de paquets qui ont matché sur chaque règle :

iptables --list --numeric --verbose --line-numbers

Ou la version courte :

iptables -L -n -v --line-numbers

Bugs possibles

S'il vous manque un des modules noyau j'ai constaté que le routeur part en utilisation CPU proche de 100% et coupe la connexion SSH ouverte dans laquelle vous aurez saisi la commande pour créer l'ipset. C'est pourquoi je vous conseille d'activer les modules à la main en SSH avant de les rendre persistant par script dans l'interface web (pour éviter le plantage du routeur au démarrage...).

Pour redémarrer le service firewall :

service firewall restart

Attention : cette commande va recharger uniquement la configuration depuis votre interface web tomato ainsi que les scripts. Tout ce que vous aurez saisi en SSH devra être de nouveau saisi pour que ce soit actif.

N'hésitez pas à jeter un œil côté logs (Status > Logs) car le script écrira ses erreurs et informations si vous avez besoin de vérifier des choses. Sous condition que vos logs ne tournent pas trop vite, ou bien que vous ayez activer la journalisation sur une clé USB.

Conclusion

Voilà un tutoriel qui pourra servir de base pour d'autres usages. Je n'ai pas parlé d'IPv6 mais c'est à tout à fait possible moyennant un peu d'adaptation.

J'ai pris le temps d'expliquer comment tout ça fonctionne, en plus de la fourniture du script. N'hésitez pas à me faire un retour ou poser vos questions si vous en avez.

J'ai regroupé shodan et censys dans le même ipset, parce que c'est plus simple ainsi. Mais vous pouvez faire autant d'ipset qu'il vous en plaira, pensez à dupliquer la dernière ligne du script avec votre fichier *.list

Gardez en tête que si vous déclarez des subnet entiers dans un ipset de type "hash:ip" iptables va convertir les subnets en IP donc ça se remplira très vite. C'est la raison pour laquelle je suis parti sur les subnets.

Enfin, par défaut la limite est fixée à 65536 lignes dans chaque ipset. Pour augmenter cette valeur il faudra spécifier l'option maxelem. Mais attention à ne pas surcharger votre routeur !

Sources utiles :

• Script d'inspiration (github)
• manuels : ipset (voir "inet6" pour ipv6)
• How to block Shodan scanners (ipfire)
• Utiliser ipset sur Linux (malekal)
• iptables / netfilter (youtube)
• Bloquer des pays entiers : github, reddit
• Adaptation ipv6 et nombre d'éléments maximum (65536)
• Autre exemple qui peut servir...

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 13/01/2025 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Tomato] Bloquer des IP externes (Shodan, Censys) ⛔ provient de : on Blogmotion.

Chris Titus développe WinUtil : un outil en PowerShell qui permet d'installer et supprimer des applications, de nettoyer Windows, mais aussi de réaliser un grand nombre de tâches, de façon centralisée.

Il est écrit en powershell et propose une interface graphique :

Il permet par exemple de retrouver le menu clic droit classique, de définir l'heure en UTC si vous avez un double boot, de supprimer OneDrive, de supprimer des bloatwares, d'installer rapidement dotnet 2/3/4, d'activer un accès avec OpenSSH, de réinitialiser Windows Update, de supprimer Adobe Creative Cloud... pour chaque paramètre il est possible de cliquer sur l'aide pour avoir un descriptif complet de chaque option et des clés de registres impactées.

Il est aussi possible de créer un LiveCD de votre version de Windows depuis l'onglet MicroWin :

J'avoue préférer de loin utiliser un LiveCD comme celui de Sergei Strelec, mais celui-ci aura le mérite d'être parfaitement légal car construit par vos soins.

Comment lancer WinUtil

Pour utiliser le script depuis une invite PowerShell :

irm christitus.com/win | iex

Et voici la présentation complète de l'outil par son auteur :

GitHub du projet WinUtil

Il fera gagner du temps à ceux qui installent des applications sur des machines fraichement installées, et ravira tous ceux qui aiment personnaliser, bidouiller Windows

outil découvert sur reddit

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 12/12/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article WinUtil : un puissant tweaker pour Windows 🚀 provient de : on Blogmotion.

Avec le temps les GPO ou les scripts stockés dans le SYVOL peuvent contenir tout un tas de données sensibles, qui parfois n'ont rien à faire ici.

Florian nous propose un outil gratuit et open source à utiliser en complément d'outils d'audit tels que Ping Castle, Purple Knight, ORADAD, etc.

HardenSysvol (GitHub)

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 20/11/2024 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article HardenSysvol : Auditez vos scripts et GPO AD provient de : on Blogmotion.