It’s not common I have to write some “professional” looking letters, but it happen from time to time, like to cancel some service subscription.

As for years now I prefer to write in Markdown, I wanted something that could convert my markdown content to a nice looking Pdf output.

Aaron Wolen and Andrew Dunning are sharing on Github a template we can customize to our needs.

Install

 👉 git clone https://github.com/aaronwolen/pandoc-letter
 👉 cd pandoc-letter/
 👉 tree 
.
├── Dockerfile
├── example
│   ├── letterhead.pdf
│   ├── letter.md
│   ├── letter.pdf
│   └── signature.pdf
├── LICENSE
├── README.md
└── template-letter.tex

Create signature

It includes by default Aaron signature we need to modify

image-20210509173834197

  • Download and install some “handwritten” fonts you like
 👉 convert -list font
  Font: Arista-Signature
    family: Arista Signature
    glyphs: /home/yannick/.local/share/fonts/Arista Signature.ttf

  Font: Autograf-PERSONAL-USE-ONLY
    family: Autograf PERSONAL USE ONLY
    glyphs: /home/yannick/.local/share/fonts/Autograf_PersonalUseOnly.ttf
  • Create signature

I’m using convert command from imagemagick software

 👉 convert -background transparent -rotate -2 -fill darkblue -font Arista-Signature -size 500x200 -gravity center 'caption:Firstname Lastname' out.pdf
 👉 convert -background transparent -rotate -2 -fill darkblue -font Autograf-PERSONAL-USE-ONLY -size 900x200 -gravity center 'caption:Firstname Lastname' out.pdf

image-20210509174656701

image-20210509175022854

Edit TEX template

Edit template-letter.tex if required

\usepackage[french]{babel}
\newmdenv[rightline=true,bottomline=false,topline=false,linewidth=3pt,linecolor=greyborder,skipabove=\parskip]{blockquote}

Write the letter in Markdown

Write your letter.md file from the one into the example/ folder

---
author:
- Firstname Lastname
- My Organization
opening: To whom it may concern,
closing: Sincerely,
date:
subject: 'Objet: **Résiliation abonnement** '
address: 
- Recipient adress
- 123 Street Rd
- Chicago, IL
return-address: 
- My Home
- 456 Road St.
- Paris
cc:
encl:
ps: |
fontfamily: mathpazo
fontsize: 12pt
geometry: margin=1in
blockquote: true
#letterhead: example/letterhead.pdf
signature: signature1.pdf
signature-before: -5ex
signature-after: 1ex
#signature-width: 30ex
signature-width: 40ex
closing-indentation: 50pt
links-as-notes: true
colorlinks: true
...

On plaisante, on plaisante… On construit un barrage, après on lance de la caillasse de l'autre côté de la rivière pour faire croire aux autres qu'on a traversé dans l'autre sens, une fois qu'ils sont au milieu, on casse le barrage et on les noie.

- De toute façon le chevalier de Provence il faudrait déjà mettre la main dessus.
- Y en a marre de se comporter comme des sagouins avec tout le monde sous prétexte qu’on a des responsabilités.
- Vous avez dit que ça devait être vexant! Ben voilà! Vous êtes vexé! 


> A genoux, pas à genoux c’est une chose... 
> Enfin en attendant je vous donne pas tout notre or.

Mais arrêtez bon sang! C’est la salle du trône. Il ferait beau voir que je puisse pas y rentrer! Ben je suis pas mystérieux moi! J’suis même pas solitaire. 

Pandoc

Use pandoc to create the PDF

 👉 sudo apt install pandoc
 👉 pandoc --template=template-letter.tex example/letter.md -o myletter.pdf

image-20210509182706301

  • Let the date empty into the .md so it will be automatically set.

  • Using \usepackage[french]{babel} you can notice the date is in French language which may require sudo apt-get install texlive-lang-french texlive-extra-utils

  • Récupérer une image idéalement en 32x32

J’ai pris un .png par exemple sur IconArchive.
(Mes 2 lecteurs, partagez vos sources d’icônes pour bannière en commentaires)

  • Installation de quelques paquets

Je ne suis plus trop sûr de ce qu’il faut exactement mais probablement

 $ sudo apt-get install imagemagick texinfo openjdk-7-jdk coreutils perl git
  • Installation de util-say pour convertir les images en “texte”
$ git clone https://github.com/maandree/util-say.git 
$ ./util-say/img2ponysay dilbert.png > dilbert.txt 
Error: Unable to access jarfile ./util-say/util-say.jar 
$ cd util-say && make && cd .. 
$ ./util-say/img2ponysay dilbert.png > dilbert.txt
$ cat dilbert.txt 

Dilbert1

  • ponysay a rajouté les lignes avec les $ qu’il faut virer dans notre cas

Suppression de la ligne qui contient “balloon”:

$ sed '/balloon/d' dilbert.txt  

Suppression des lignes avec les $:

$ sed s/\\$\\\\\\$//g dilbert.txt  

Suppression des 5 premiers caractères de chaque ligne pour décaller l’image vers la gauche:

$ sed 's/^.\{5\}//g' dilbert.txt

Suppression des 3 premières lignes:

$ sed 1,3d dilbert.txt

Donc la ligne globale:

$ sed '/balloon/d' dilbert.txt \
     | sed s/\\$\\\\\\$//g  \
     | sed 's/^.\{5\}//g' \
     | sed 1,3d > dilbert_cleaned.txt

Dilbert2

  • Script pour rajouter du texte

On édite le script ci-dessous pour modifier la police, les couleurs, et toutes les infos que l’on souhaite.

#!/bin/bash
NAME="Server"
OUT="/tmp/$NAME"
IP_PRV=""
IP_NAT=""
IP_PUB="1.2.3.4"
SERVICE="XXXX Paris"
HD="1 x 50GB"

echo "" > $OUT
echo "" >> $OUT
echo "" >> $OUT

toilet -f Graffiti $NAME | lolcat -f -F 0.3 >> $OUT

cecho () {
  local _color=$1; shift
  echo -ne "$(tput setaf $_color)$@$(tput sgr0)"
}

black=0; red=1; green=2; yellow=3; blue=4; pink=5; cyan=6; white=7;
echo "" >> $OUT

#cecho $white "IP Prv:  " >> $OUT
#echo "$IP_PRV" | toilet -f term | lolcat -f -F 0.4 >> $OUT

#cecho $white "IP NAT:  " >> $OUT
#echo "$IP_NAT" | toilet -f term | lolcat -f -F 0.4 >> $OUT

cecho $white "IP Pub:  " >> $OUT
echo "$IP_PUB" | toilet -f term | lolcat -f -F 0.4 >> $OUT

cecho $white "Service: " >> $OUT
echo "$SERVICE" | toilet -f term | lolcat -f -F 0.4 >> $OUT

cecho $white "Disks: " >> $OUT
echo "$HD" | toilet -f term | lolcat -f -F 0.4 >> $OUT

cat $OUT

echo ""
echo ""
echo "File output into $OUT"

On peut bien entendu modifier le script pour récupérer les infos automatiquement du serveur et ne pas avoir a modifier les valeurs à la main.

  • On installe les 2 paquets suivants utilisés par le script au-dessus
$ sudo apt-get install toilet lolcat  

Allez voir le man de chaque commande pour les options.

  • On execute le script
$ ./ip.sh 

Dilbert3

A chaque execution, les couleurs seront un peu différentes

  • On joint les 2 fichiers en un seul
$ paste dilbert_cleaned.txt /tmp/Server > server.motd  

Dilbert4

  • On copie le fichier server.motd dans /etc/motd du serveur

  • Vérifier dans le /etc/ssh/sshd_config que vous avez bien la ligne PrintMotd yes

Pour ceux qui s’interressent au WHOIS, voici une petite présentation faite il y a quelques semaines.

Le temps étant limité, je n’ai pas parlé de tout ce que j’avais en tête, mais le principal s’y trouve.

Me remonter par la page de contact (ou par les commentaires) au cas ou un truc faux se serait glissé dans la présentation à l’insu de mon plein gré.

Introduction

Il n’y a même pas la possibilité par défaut sur un Kindle de changer les images de veille. Rien que pour cette raison, on est tenté de rooter/jailbreaker son Kindle afin d’en reprendre un peu le controle. (My device, my rules).

Quand je me le suis procuré il y a quelques mois, il est arrivé en version 5.6 quelquechose et il n’est pas possible à l’heure où sont écrites ces lignes, de le rooter/jailbreaker de manière uniquement logicielle.

Dans des versions précédentes, il était possible de faire passer le JailBreak pour une mise à jour, mais ceci a été “corrigé” par Amazon.

La seule solution est pour l’instant d’ouvrir le Kindle, et d’accèder au port série. (Au moins il y en a un, c’est déjà çà).

IMG_20151107_220727.jpg-s_m

La technique dans les grandes lignes:

  • Ouvrir le Kindle et se connecter sur le port série
  • Booter sur la 2ème partition de debug/diag
  • Trouver le mot de passe de cette partition de debug/diag et se connecter en root dessus
  • Une fois root sur la partion de debug/diag, monter la partition “principale” pour éditer le fichier /etc/passwd pour en débloquer l’accès root.
  • Rebooter sur la 1ère partition et s’y connecter en root.
  • Lancer le script de JailBreak

Si j’ai bien compris, Amazon n’autorise que les applications qu’ils ont signés eux (avec leur clé privée) à s’installer. Le JailBreak consiste à ajouter une autre clé publique (dont la communauté connait la clé privée) rendant donc possible l’installation d’applications non authorisée par Amazon.

uggy-kindle-pubKey.png-s_m

Connaitre sa version de firmare

Menu/Paramètres/Menu/Infos sur l’appareil/Version du micrologiciel

Trouver son numéro de série/modèle

http://wiki.mobileread.com/wiki/Kindle_Serial_Numbers

Avoir un accès console avec niveaux logiques 1.8V

Le port série des Kindles (au moins mon PW2) communique avec des niveaux logiques 1.8V.

Il faut donc utiliser un port série qui utilise ces niveaux logiques et non les classiques 3.3V et 5V

J’ai utilisé un PL2303HXrevD (dans les 4€ sur Ebay)

PIN4 The power pin for the serial port signals.
The range can be from 1.8V~3.3V

(Attention, le PL2303HX (pas révision D) ne supporte pas le 1.8V d’après la datasheet)

Il suffit de décoller doucement la PIN4 du chip (par exemple avec une petit aiguille) afin de pouvoir la connecter ensuite à du 1.8V (ou 3V3 ou 5V pour d’autres usages)

IMG_20151108_190546.jpg-s_m

Trouver le mot de passe de la partition diag (2ème partition)

J’avais initialement utilisé le code suivant trouvé sur le forum http://www.mobileread.com/forums/

#!/usr/bin/env python  
import hashlib  
print("fiona%s"%hashlib.md5("XXXYOURSERIALXXX\n".encode('utf-8')).hexdigest()[7:11])

Mais dans mon cas, le mot de passe ainsi trouvé n’a ensuite PAS fonctionné.
Même problème avec le site https://www.sven.de/kindle/ qui utilise le même “algo”.

J’ai donc utilisé kindletool qui lui m’a donné un mot de passe différent qui a fonctionné sur mon Kindle.

$ ./kindletool info XXXYOURSERIALXXX  
Platform is Wario or newer  
Root PW fionaXXX  
Recovery PW fionaXXXX  

Démonter le Kindke pour accéder au port console

Je me suis basé sur cette vidéo

Si vous acheter le PL2303HXrevD à HongKong sur un site d’enchère (environ 4€), cà vaut peut être le coup d’acheter en même temps les “Metal spudger” (2€ les 2) mais sinon un couteau avec une lame fine peut faire l’affaire.

Le plus difficile est de ne pas laisser de trace pour passer le spudger sous la coque au tout début.
La suite du démontage est triviale.
Faire cependant attention à la bande de plastique blanche au niveau des LEDs car elle joue sur la répartition de la lumière sur la dalle.

Connecter le port série

uggy-serial-kindle.png-s_m

Les pins sont toutes petites, donc à souder avec précaution

IMG_20151107_220202.jpg-s_m

Pour les branchements, TX sur RX, RX sur TX, Gnd sur Gnd, le fil vert sur le bouton vert etc..

Les paramètres sont: 8N1 115200

J’ai utilisé screen

$ screen /dev/ttyUSB0 115200

Sortir de “veille” le kindle

Si tout se passe bien le port série devrait s’afficher comme ceci

uggy-kindle-Serial.png-s_m

Il dit “Welcome”, c’est qu’on a le droit de se connecter ;)

Boot de la partition diag

Rebooter le Kindle, tapez sur n’importe quelle touche au début du boot pour arreter la séquence (il y a un créneau que de quelques secondes), allez en mode diag en tapant bootm 0xE41000

uggy-kindle-bootm.png-s_m

Choisir “Exit, Reboot or Disable Diags” puis “Exit to login prompt” etc…

uggy-kindle-menu1.png-s_m

uggy-kindle-menu2.png-s_m

uggy-kindle-menu3.png-s_m

uggy-kindle-menu4.png-s_m

Se logguer

Utiliser le compte de la partition diag trouvé à l’une des étapes précédentes: root/fionaXXX

uggy-kindle-root-diag.png-s_m

Monter la partition principale (la 1ère partition) et éditer le fichier etc/passwd

uggy-kindle-passwd1.png-s_m

Modifier la ligne pour root

root:*: -> Indique un mot de passe chiffré dans /etc/shadow
root:: -> Indique qu’il n’y a pas de mot de passe

uggy-kindle-passwd2.png-s_m

uggy-kindle-passwd3.png-s_m

Pour l’instant on choisi d’enlever le mot de passe

Rebooter, tester l’accès root à la partition principale

uggy-kindle-root-main.png-s_m

Télécharger les fichiers de jailBreak

http://www.mobileread.com/forums/showthread.php?t=186645

Connecter l’USB, copier les fichiers à la racine sur le Kindle (USB classique) puis déconnecter l’USB

Executer le scipt de jaibreak avec l’acces root (partition principale, pas diag)

uggy-kindle-jb.png-s_m

Conclusion

Ce billet de couvre pas l’installation des outils que l’on peut alors utiliser.

Mais j’ai commencé par personnaliser l’écran de “veille”…

IMG_20151108_191509.jpg-s_s

Crédit: De nombreux posts et personnes de http://www.mobileread.com/forums/

Je suis tombé sur un petit problème DNS interressant…
Le voici dans l’ordre…

  • Je clic sur un lien et me voila envoyé vers un article du site http://www.leparisien.fr

    Patatra, marche pas.

  • Vérification DNS:

$ dig www.leparisien.fr  

; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> www.leparisien.fr  
;; global options: +cmd  
;; Got answer:  
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 53534  
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1  

;; OPT PSEUDOSECTION:  
; EDNS: version: 0, flags:; udp: 4096  
;; QUESTION SECTION:  
;www.leparisien.fr. IN A  

;; Query time: 448 msec  
;; SERVER: 127.0.0.1#53(127.0.0.1)  
;; WHEN: Wed Jul 15 21:36:55 CEST 2015  
;; MSG SIZE rcvd: 46  

$

Marche pas, status: SERVFAIL

Interressant

$ dig cname www.leparisien.fr  
www.leparisien.fr. 86400 IN CNAME 2-01-275c-0002.cdx.cedexis.net.

Bon cette 1ère partie fonctionne.

  • Essayons de voir ce que donne 2-01-275c-0002.cdx.cedexis.net.
$ dig 2-01-275c-0002.cdx.cedexis.net.  

; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> 2-01-275c-0002.cdx.cedexis.net.  
;; global options: +cmd  
;; Got answer:  
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 7708  
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1  

;; OPT PSEUDOSECTION:  
; EDNS: version: 0, flags:; udp: 4096  
;; QUESTION SECTION:  
;2-01-275c-0002.cdx.cedexis.net. IN A  

;; Query time: 25 msec  
;; SERVER: 127.0.0.1#53(127.0.0.1)  
;; WHEN: Wed Jul 15 21:39:41 CEST 2015  
;; MSG SIZE rcvd: 59  

Donc c’est lui qui ne résoud pas chez moi… status: SERVFAIL…

  • Voyons voir les DNS de cdx.cedexis.net. ou plutôt ceux de cedexis.net.
$ dig ns cedexis.net. +short  
flipa.cedexis.net.  
flipd.cedexis.net.  
flipg.cedexis.net.  
$
  • Testons les en direct
 $ dig 2-01-275c-0002.cdx.cedexis.net. @flipa.cedexis.net. +short  
 cdn2.lequipe.fr.  
 $ dig 2-01-275c-0002.cdx.cedexis.net. @flipd.cedexis.net. +short  
 cdn2.lequipe.fr.  
 $ dig 2-01-275c-0002.cdx.cedexis.net. @flipg.cedexis.net. +short  
 cdn2.lequipe.fr.  
 $

Arf çà répond.
Alors que cela ne répond toujours pas avec mon serveur local:

$ dig 2-01-275c-0002.cdx.cedexis.net.  

; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> 2-01-275c-0002.cdx.cedexis.net.  
;; global options: +cmd  
;; Got answer:  
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 31061  
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1  

;; OPT PSEUDOSECTION:  
; EDNS: version: 0, flags:; udp: 4096  
;; QUESTION SECTION:  
;2-01-275c-0002.cdx.cedexis.net. IN A  

;; Query time: 44 msec  
;; SERVER: 127.0.0.1#53(127.0.0.1)  
;; WHEN: Wed Jul 15 21:44:22 CEST 2015  
;; MSG SIZE rcvd: 59  
  • Comme vous l’avez remarqué, j’interroge mon serveur récursif local.

Quand la demande passe par lui, cela ne fonctionne pas, sinon cela semble fonctionner.

$ dig 2-01-275c-0002.cdx.cedexis.net. @8.8.8.8 +short  
cdn2.lequipe.fr.  
62.210.149.48  
$   
  • Mon serveur DNS local est Unbound, et il semble qu’un truc le dérange (uniquement avec ces serveurs DNS cedexis.net !)…

  • Activation des logs verbeux par la ligne

verbosity: 3
  • Et on regarde les logs:
1436989983] unbound[12494:1] info: reply from <cedexis.net.> 209.107.211.4#53   
1436989983] unbound[12494:1] info: Capsforid fallback: getting different replies, failed   
1436989983] unbound[12494:1] debug: return error response SERVFAIL   

Capsforid… Interressant

use-caps-for-id: Use 0x20-encoded random bits in the query to foil spoof
attempts. This perturbs the lowercase and uppercase of query
names sent to authority servers and checks if the reply still
has the correct casing. Disabled by default. This feature is
an experimental implementation of draft dns-0x20.

Donc en gros, avec ce paramètre à “yes”, unbound envoit le nom à résoudre avec des minuscule/majuscule aléatoires, puis vérifie que la réponse à la question, qui contient la question, à bien les minuscules/majuscules aux bons endroits.

Et ce paramètre est à yes dans ma conf Unbound.

  • Avant d’aller voir le draft dns-0x20, on lance wireshark

dns-wireshark-1

dns-wireshark-2

On voit clairement ce qui se passe, la réponse contient la question en minuscule, donc pas exactement comme elle a été posée.

  • Vérifions avec un autre domaine.. Au hasard bortzmeyer.org
$ dig www.bortzmeyer.org +short  
204.62.14.153  
$

Mon unbound résoud parfaitement.

On voit bien que la réponse, contient bien cette fois exactement la question, avec les minuscules/majuscules aux bons endroits.

dns-wireshark-3

  • Vérifions en mettant à no le use-caps-for-id (ce qui, il est vrai, est la valeur par défaut)

Bingo, çà fonctionne cette fois

$ dig 2-01-275c-0002.cdx.cedexis.net. +short  
cdn2.lequipe.fr.  
62.210.149.48  
$

Unbound considère maintenant comme valide la réponse des serveurs de cedexis.net
Victoire, je peux lire mon article sur www.leparisien.fr

  • C’est quoi cedexis.net, ils auraient leur propre serveur DNS maison ?

“We’re dedicated to building a faster web for everyone in the world. Cedexis optimizes web performance across data centers, content delivery networks (CDNs) and clouds…”

Ah oui, çà colle, ils seraient bien capable d’avoir leur implémentation DNS maison.

Déjà on peut noter que c’est rédigé par Paul Vixie de l’ISC, c’est du sérieux.

Je vais vous résumer en gros:

Le protocole DNS est tel, qu’il y a parfois moyen de réussir à forger des réponses et donc de poluer les caches DNS.
Il est donc ensuite possible de rediriger les users vers des faux site web.. bref pas cool.. mais rien de nouveau pour l’instant.
Mais tout moyen permettant d’améliorer la sécurité, en rendant plus difficile de forger des fausses réponses, sans tout casser au protocole existant, est donc la bienvenue.
Ce draft expose un moyen d’y parvenir.

Comme vous l’avez compris (pour les 3 personnes qui sont arrivées jusqu’ici, chapeau bas), il s’agit de mettre des majuscules/minuscules aléatoires dans la question envoyée au serveur DNS, puis considérer comme invalides, les réponses qui ne reprendaient pas la question en respectant la casse.

Pour forger une fausse réponse DNS et donc polluer le cache, il faudrait donc non seulement trouver le bon ID (Kaminsky, Paradoxe des anniversaires etc..) mais donc en plus avoir les bonnes majuscules/minuscules aux bons endroits. (Pas con le Paul Vixie ! )

Mais pour que l’idée soit exploitable, il faut donc voir ce que dit la RFC 1035 et voir comment réagissent les principales implémentations de serveurs DNS authoritatives.

Pour ce qui est de la RFC1035 on peut lire en 7.3

that the question section corresponds to the information currently desired

Mmmm…Ce n’est pas super précis … Est-ce que cela inclu le respect de la casse… ?

Voyons voir les différentes implémentations:

On peut lire en 6.1

Several popular authoritative DNS implementations including ISC BIND (versions 4, 8, and 9), Nominum ANS, Akamai AKADNS, Neustar UltraDNS, Verisign Atlas, NLNetLabs NSD, PowerDNS, and DJBDNS were tested. All copied the question name exactly, bit for bit, from the request into the response.

Et en 6.2

Operational testing has revealed a small set of rare and/or private label authoritative DNS implementations who modify the 0x20 bits in question names while copying the question section from the request to the response. Usually this modification is to set the 0x20 bit, thus converting a domain name to be all-lower-case (0x61..0x7A, e.g., a-z).

  • Conclusion:

Toutes les implémentations de serveur DNS authoritative majeures répondent en respectant la casse de la question.
Si les serveurs récursifs pouvaient implémenter cette vérification, ceci pourrrait améliorer la sécurité du DNS.
Et c’est d’ailleurs la 1ère fois que j’ai ce problème avec un serveur DNS, je vais donc garder mon paramêtre, et tant pis pour le site web du Parisien ;)

Les serveurs DNS de cedexis.net ne semblent pas tourner sous une “popular authoritative DNS implementations” :) Je les ai contacté pour les informer…. si çà les interresse…

EDIT 31 Août 2015:

Antoine de Cedexis est tombé sur le billet et a remonté l’information aux bonnes personnes chez eux.
Je contaste que les modifications nécessaires (indiquées dans la roadmap dans son commentaire ci-dessous) semblent avoir été implémentées en production sur leurs serveurs DNS, et les résolutions ce font donc désormais correctement en respectant le draft dns-0x20.
Merci Antoine