NE FONCTIONNE PAS FINALEMENT lors du chiffrement systeme du 2e OS, l’entete du 1er OS déjà chiffré est remplacée par l’entete du 2nd. Le 1er OS est alors “déverrouillé” avec le password du 2e OS, mais la partition est illisible et ça fait écran bleu avec fichier introuvable. On peut réparer la situation uniquement avec le veracrypt rescue disk créé au moment du chiffrement du 1er os, et choisir l’option “k” . Ceci rendra toutefois le 2e OS non bootable à son tour.

Essayer avec bitlocker pour le 2e OS ?

Ancien article :

But : avoir 2 installs Windows distinctes (en + d’une debian), chacune chiffrée par Veracypt, et que le choix se fasse via GRUB et sans avoir à choisir au sein de windows boot manager.

Si 2 installs Windows coexistent au sein d’une même ESP, alors ils partageront la même BCD, et comme le choix de l’OS intervient après le boot de l’OS et donc du déchiffrement Veracrypt, ça rend la solution non viable.

Solution (hacky) : avoir 2 ESP.

Structure du disque (table GPT) :

• 1 partition ESP1 (FAT32, 500m, flag boot)
• 1 partition ESP2 (FAT32, 500m, SANS le flag boot)
• 1 partition WIN1 (NTFS, 50G ou +)
• 1 partition WIN2 (NTFS, 50G ou +)
• partitions nécessaires pour Debian, avec éventuellement LUKS (auquel cas 1 partition pour /boot )

Démarche générale :

• Installer Win1

• Installer Debian

• Vérifier le double-boot via GRUB

• Installer Veracrypt sur Win1, chiffrer la partition système (ceci remplace notamment EFI\Microsoft\Boot\bootmgfw.efi par le lanceur de Veracrypt)

• Vérifier le boot de Win1 chiffré en direct, puis via GRUB. Remettre GRUB en lanceur par défaut dans l’UEFI

• Booter Debian, copier le code GRUB (section dans /boot/grub/grub.cfg) de lancement de Win1 dans /etc/grub.d/40_custom pour être sûr de le conserver(on peut renommer l’entrée pour + de clarté)

• Via efibootmgr, supprimer les 2 entrées Veracrypt et Windows Boot Manager (essentiel pour éviter les conflits)

• Via Gparted enlever le flag boot sur ESP1, le positionner sur ESP2

• update-grub (il ne devrait plus avoir d’autre OS détécté par os-prober, seulement l’entré manuelle)

• Installer Win2

• Vérifier le triple-boot via GRUB

• Installer Veracrypt sur Win2, chiffrer la partition système

• Booter Debian, copier le code GRUB de lancement de Win2 dans /etc/grub.d/40_custom

• Via efibootmgr, supprimer les 2 entrées Veracrypt et Windows Boot Manager

• Via Gparted enlever le flag boot sur ESP2, le positionner sur ESP1

• update-grub

Normalement grub sera le seul OS référencé par l’EFI, il y’aura 1 entrée pour chacun des windows chiffrés, et chaque windows sera complètement indépendant d’un point de vue fichiers de démarrage.
On peut toutefois toujours monter la partition d’une install windows depuis l’autre en fonctionnement.

https://www.thomas-krenn.com/en/wiki/Link_Aggregation_and_LACP_basics
https://fr.wikipedia.org/wiki/IEEE_802.3ad

LAG : Link Aggregation Group : agrégation statique (tous les paramètres sont manuels)

LACP : Link Aggregation control Protocol : configuration automatique des propriétés du lien entre 2 périphériques ; les 2 doivent supporter LACP sinon ça ne fonctionne pas. Spécification IEEE 802.3ad

Synology

Selon mes tests, le Adaptative Load Balancing répartit bien le flux lors d’un téléchargement sur 2 PC en parallèle (le Synology choisit le chemin), mais le flux n’est pas réparti en envoi (le switch envoie les 2 connexions sur le même port).

En mode LACP (si le switch le supporte), la connexion est répartie aussi bien en envoi qu’en réception (1Gbps sur 2 connexions simultanées).

BitLocker est un système de chiffrement de périphérique. Le contenu d’une partition est chiffré grâce à la FVEK (Full-Volume Encryption Key), elle-même chiffrée par la VMK (Volume Master Key), elle-même pouvant être chiffrée par différents moyens (les “protecteurs”, par exemple un password, ou le TPM).

Si il y’a un triangle jaune sur un périphérique, c’est que BitLocker n’est pas réellement activé. Les données sont chiffrées, mais aucun protecteur n’est en place pour protéger la clé de déchiffrement.

Lors d’une installation Windows sur un poste possédant une puce TPM, l’installation sera automatiquement (à vérifier ?) chiffrée pour utiliser Bitlocker.

Bitlocker se gère via le panneau de configuration (sur un Win10 Famille, c’est “Chiffrement de l’appareil)” ou en CLI avec manage-bde.

en CLI

Sous Windows avec le disque déverrouillé :
manage-bde -status
manage-bde -protectors C: -get

Si pas de protecteurs, on peut simplement désactiver le chiffrement avec
manage-bde -off LETTER:
Ça prendra un certain temps, pour réécrire les données non-chiffrées.

Linux

Si on veut accéder à cette partition depuis Linux, il faut utiliser l’outil dislocker, disponible dans les dépôts Debian.
sudo apt install disklocker

Cette ligne crée un nouveau document dont le nom suffixé de “-grayscale” input=mycolordoc.pdf output=$(echo "$input" | sed 's/.pdf$/-grayscale.pdf/') gs -sDEVICE=pdfwrite -sColorConversionStrategy=Gray -dProcessColorModel=/DeviceGray -dCompatibilityLevel=1.4 -dNOPAUSE -dBATCH -sOutputFile="${output}" "${input}"

https://superuser.com/questions/104656/convert-a-pdf-to-greyscale-on-the-command-line-in-floss

Généralités

DC : Domain Component (ce qui définit le domaine lui-même) OU : Organisation Unit (une organisation à l’intérieur du domaine, décidée par le service informatique ; non obligatoire) CN : Common Name (le nom courant d’un objet, par exemple “myUser”) DN : Distinguished Name (+- un chemin absolu, qui identifie l’objet de manière unique dans le répertoire ; comprend forcément des références aux DC et au CN, et éventuellement aux OU)

Exemple de DN : CN=OpenVPN,OU=OpenVPN,OU=IT,DC=paris,DC=myCompany,DC=com
Il s’agit du nom courant “OpenVPN” (un utilisateur), situé dans l’OU “OpenVPN”, elle-même située dans l’OU “IT”, elle-même située dans le domaine “paris.mycompany.com”

On peut obtenir le DN de n’importe quel objet dans Utilisateurs et ordinateurs Active Directory en faisant un clic-droit sur l’objet -> Éditeur d'attributs, puis en cherchant l’attribut distinguishedName (taper dist au clavier devrait amener dessus).

Recherche dans l’Active Directory depuis Linux

On peut utiliser le logiciel ldapsearch, disponible dans le paquet ldap-utils.

sudo apt install ldap-utils

On utilisera les flags suivants :

-H pour spécifier l'annuaire ldap (ou le serveur AD)
-x pour une authentification simple
-W pour demander le password
-D pour spécifier l'utilisateur utilisé pour se connecter auprès de l'AD ; ce peut être l'adresse mail (user@contoso.com) ou le DN de l'objet
-b pour définir le chemin de base de la recherche ; par exemple DC=paris,DC=myCompany,DC=com
-LLL pour supprimer les commentaires et la version de LDAP de l'affichage des résultats

On peut ensuite définir un ou plusieurs filtres pour sélectionner les objets désirés ; par exemple (sAMAccountName=Administrateur)" pour sélectionner l’objet dont le nom de compte est Administrateur ; on peut passer plusieurs filtres, avec la syntaxe suivante : (&(sAMAccountName=Administrateur)(memberOf=CN=myGroup,OU=Groups,OU=IT,DC=paris,DC=myCompany,DC=com)

Enfin, on peut choisir un attribut à afficher, pour ne récupérer que ce champ dans la liste des résultats. Par exemple "name" pour récupérer le nom du compte.

Ceci nous donne la syntaxe suivante pour rechercher le nom des membres du groupe

ldapsearch -H ldap://192.168.10.101 -x -W -D “CN=OpenVPN,OU=OpenVPN,OU=VCI,DC=boulogne,DC=escda,DC=viseoci,DC=fr” -b “DC=boulogne,DC=escda,DC=viseoci,DC=fr” “(&(memberOf=CN=Utilisateurs du VPN,OU=Groupes,OU=VCI,DC=boulogne,DC=escda,DC=viseoci,DC=fr))” “name”

Point-to-point setup

https://www.wireguard.com/quickstart/
https://wiki.archlinux.org/index.php/WireGuard

## INSTALL
# Install wireguard
apt install wireguard

## KEYS
# Create storage
cd /etc/wireguard
mkdir keys && chmod go-rwx ./keys && cd keys

# Generate private key
(umask 0077; wg genkey > peer_A.key)
# Derive public key
wg pubkey < peer_A.key > peer_A.pub

# Optionnal - Generate Pre-Shared Key ; 1 for each peer pair
wg genpsk > peer_A-peer_B.psk


## NETWORKING
# Create interface
ip link add dev wg0 type wireguard

# Assign address and mask
ip address add dev wg0 192.168.2.1/24

# Set port
wg set wg0 listen-port 51871


wg set wg0 listen-port 51871 private-key ./peer_A.key

Un peu de lecture ici.

nethogs

sudo apt install nethogs
sudo nethogs

Exemple de docker-compose (pour Medalla)

“adobe cloud” qui revient -> transforme les picees jointes pdf en lien adobe cloud

réactivé automatiquement à chaque update

tests solutions :

1 - https://www.reddit.com/r/Adobe/comments/1b1hfav/disable_office_com_addins_forever/ C:\Program Files\Adobe\Acrobat DC\PDFMaker rename/delete “Mail” et “Office” (fait sur poste fixe bicou (ancien Daniel) début avril 2024)

2 - https://www.reddit.com/r/Outlook/comments/17o692s/how_do_i_stop_outlook_asking_if_i_want_to_send/ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\AdobeAcroOutlook.SendAsLink -> Load = 0 ou HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Outlook\Resiliency\AddinList -> “AdobeAcroOutlook.SendAsLink”=“0” ou [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown\cCloud] -> “bAdobeSendPluginToggle”=dword:00000001

ADB Sideload et TWRP install

Installer un .zip via adb sideload et “Install Zip” dans TWRP reviennent au même.

Un légère différence est que lors d’une installation via le fichier zip directement présent sur le tél, l’installeur connaît le nom du fichier, et peut dans certains cas modifier son comportement en fonction de ce nom. Par exemple, si le fichier magisk.zip est renommé uninstall.zip, alors l’installation de ce fichier entrainera la suppression de Magisk.

A/B

https://forum.xda-developers.com/t/how-to-manually-switch-the-active-slot.4499789/

Une grosse partie des partitions sont en double, dans une version “A” et une version “B”. Ce sont des slots.
Le tél a un slot actif au démarrage, et n’utilisera que les partitions de ce slot.

Ceci permet la mise à jour OTA vers le slot inactif alors que le tél tourne sur le slot actif. Au redémarrage, le slot actif est changé et le boot se fait sur la nouvelle version.
En cas d’échec de démarrage 3 fois de suite, le slot est rechangé.

En exception notable, la partition data n’a qu’un seul exemplaire ; pour cette raison, il n’est pas possible (sans factory reset) de passer d’un OS à un autre OS différent en utilisant les 2 slots.

Consulter le slot actif

fastboot getvar current-slot

adb shell
getprop ro.boot.slot_suffix

Dans TWRP, section “Reboot”.
Dans LOS recovery, affiché en haut.

Changer le slot actif

fastboot --set-active=b

Dans TWRP, section “Reboot”, bouton A ou B.

boot et recovery

Dans les devices A/B, le recovery n’est plus une partition à part entière, mais fait partie de la partition boot.
Pour cette raison, la commande fastboot flash recovery ./recovery.img ne fonctionne pas, car recovery n’est pas une cible valide.
De même, pour un recovery différent du recovery de l’OS installé (par exemple TWRP), la commande fastboot flash boot ./recovery.img fonctionne, mais va empêcher le système de boot car sa partition boot est cassée. Seul le recovery sera bootable.

Pour installer TWRP, il faut donc copier télécharger twrp-installer.zip puis l’installer via adb sideload. Ça peut être fait depuis le recovery de LineageOS, ou bien on peut booter temporairement TWRP depuis le mode fastboot, via
fastboot boot ./twrp.img
pour installer twrp-installer.zip depuis “Install” ou bien “ADB Sideload”. L’installer écrit TWRP sur la zone recovery des 2 slots “boot” sans toucher au reste du boot.