Ce script écrit des règles pour un client. Pour un serveur les ports 80 et 443 (https) sont à ajouter comme "service".
Mais il faut aussi gérer les backups distants.
Ça serait bien d’apprendre à lire un minimum de shell bash et d'iptables avant de se lancer dans l'hébergement de sites.
Un "firewall" ce n'est pas la solution de sécurité définitive. Avant cela il faut déjà gérer les mises à jours, les sauvegardes, les comptes utilisateurs, …
Le droit 777 est une très mauvaise idée : le contenu peut être supprimé par n'importe qui.
Les ACLs sont une solution mais elles sont difficilement lisibles.
La solution classique et historique est :
1. mettre les utilisateurs dans un même groupe ex: users
2. donner le droit 775 au dossier et l'autorisation au groupe users, $ chown :users dossier/
3. ajouter le bit SGID au dossier : $ chmod g+s dossier/
4. $ ls -al affiche drwxrwsr-x 2 me users 4096 janv. 2 11:36 dossier, notez le s au lieu de x sur les droits du groupe
tous les fichier ajoutés au dossier appartiendront dorénavant au groupe users
À défaut de savoir qui est vraiment derrière le clavier (comme pour le vote par correspondance), il permet de simplifier la complexité du serveur et que n'importe qui peut s'assurer qu'il n'y a pas de bug lors de la manipulation des bulletins.
L'usage de fonctions de hashage crypto associées aux données et aux versions de logiciels rendent un logiciel libre réellement inaltérable et vérifiable. Le code source ne sera jamais perdu contrairement à une solution en boîte noire. C'est peut-être une opportunité à saisir.
Clairement le vote électronique ne peut pas envisager d'être meilleur que le vote par correspondance. Ce vote par correspondance ne permet pas non plus de savoir qui met réellement le bulletin dans l'enveloppe.
Concernant un vote par "correspondance électronique" il y a également une marge de progrès envisageable en permettant le recomptage et la vérification par le plus grand nombre. Il faut alors utiliser de la crypto. Ces techniques de crypto ne sont pas si compliquées que l'on croit.
Il faut absolument faire toutes les mises à jour au plus vite. C'est une meilleure sécurité qu'un anti-virus.
Un anti-virus cherche à bloquer une application malveillante mais seulement lorsqu'elle est connue. Une mise à jour empêche une application malveillante de s'installer.
Concernant Adobe, si vous parlez de flash celui-ci est bien mis à jour. C'est une version plus ancienne, spécifique à Linux, mais les bugs de sécurité sont corrigés. Pour les autres applications Adobe vous trouverez des équivalents sous Ubuntu tout aussi efficaces.
un autre outil complémentaire
cpantesters : pour choisir un module ou une application dans cpan on peut consulter le résultat des tests unitaires pour toutes les versions et plateformes
voilà une règle udev qui permet de gérer cette clé 3G
- à l'insertion on désactive le mode storage avec usb_modemswitch qu'il faut compiler !
cf http://www.draisberghof.de/usb_modeswitch/
- puis on charge un usbserial
- à l'apparition de ttyUSB1 je lance mon serveur de sms mais pour vous il vaut mieux lancer la connexion avec wvdial
# C'est des règles pour un client
Posté par Yves Agostini (site web personnel) . En réponse au message Sécuriser - VPS ovh Debian 8. Évalué à 4.
Ce script écrit des règles pour un client. Pour un serveur les ports 80 et 443 (https) sont à ajouter comme "service".
Mais il faut aussi gérer les backups distants.
Ça serait bien d’apprendre à lire un minimum de shell bash et d'iptables avant de se lancer dans l'hébergement de sites.
Un "firewall" ce n'est pas la solution de sécurité définitive. Avant cela il faut déjà gérer les mises à jours, les sauvegardes, les comptes utilisateurs, …
[^] # Re: Peu crédible
Posté par Yves Agostini (site web personnel) . En réponse au journal Un ransomware tout à fait déloyal ... et inquiétant. Évalué à 1.
exemple ici :
http://lab.yvesago.net/2015/09/Authentification-double-facteur-TOTP-openssh.html
# SGID
Posté par Yves Agostini (site web personnel) . En réponse au message Permission. Évalué à 3. Dernière modification le 02 janvier 2016 à 11:37.
Le droit 777 est une très mauvaise idée : le contenu peut être supprimé par n'importe qui.
Les ACLs sont une solution mais elles sont difficilement lisibles.
La solution classique et historique est :
1. mettre les utilisateurs dans un même groupe ex:
users
2. donner le droit 775 au dossier et l'autorisation au groupe
users
,$ chown :users dossier/
3. ajouter le bit SGID au dossier :
$ chmod g+s dossier/
4.
$ ls -al
affichedrwxrwsr-x 2 me users 4096 janv. 2 11:36 dossier
, notez les
au lieu dex
sur les droits du groupetous les fichier ajoutés au dossier appartiendront dorénavant au groupe users
[^] # Re: Et sinon, l'aspect positif ?
Posté par Yves Agostini (site web personnel) . En réponse à la dépêche Petites actus sur le vote électronique (par ordinateurs de vote ou par Internet) (3). Évalué à 0. Dernière modification le 02 janvier 2016 à 10:25.
Vous avez ici un exemple de vote électronique vérifiable à tester vous même. Tout le code est dans le source de la page.
À défaut de savoir qui est vraiment derrière le clavier (comme pour le vote par correspondance), il permet de simplifier la complexité du serveur et que n'importe qui peut s'assurer qu'il n'y a pas de bug lors de la manipulation des bulletins.
[^] # Re: Copyleft
Posté par Yves Agostini (site web personnel) . En réponse à la dépêche Projet de loi de finances FR 2016 : interdiction des logiciels libres de comptabilité et de caisse. Évalué à 3.
Quelqu'un de très haut placé dans un ministère (le «gouvernement») disait récemment :
«Les gens croient qu'on est bêtes, en fait : …. on est nombreux.»
Entre la volonté originale d'un texte, sa rédaction, son interprétation, ses interprétations, il y a des gouffres et des compétences très diverses.
[^] # Re: Blockchain et fonctions de hashage crypto
Posté par Yves Agostini (site web personnel) . En réponse à la dépêche Projet de loi de finances FR 2016 : interdiction des logiciels libres de comptabilité et de caisse. Évalué à 3.
Git répond à l'inatérabilité : chaque commit est un hash.
Le hash de version permet de vérifier quelle modification a été effectuée sur le source
# Blockchain et fonctions de hashage crypto
Posté par Yves Agostini (site web personnel) . En réponse à la dépêche Projet de loi de finances FR 2016 : interdiction des logiciels libres de comptabilité et de caisse. Évalué à 10.
L'usage de fonctions de hashage crypto associées aux données et aux versions de logiciels rendent un logiciel libre réellement inaltérable et vérifiable. Le code source ne sera jamais perdu contrairement à une solution en boîte noire. C'est peut-être une opportunité à saisir.
[^] # Re: Et sinon, l'aspect positif ?
Posté par Yves Agostini (site web personnel) . En réponse à la dépêche Petites actus sur le vote électronique (par ordinateurs de vote ou par Internet) (3). Évalué à 0.
Clairement le vote électronique ne peut pas envisager d'être meilleur que le vote par correspondance. Ce vote par correspondance ne permet pas non plus de savoir qui met réellement le bulletin dans l'enveloppe.
Concernant un vote par "correspondance électronique" il y a également une marge de progrès envisageable en permettant le recomptage et la vérification par le plus grand nombre. Il faut alors utiliser de la crypto. Ces techniques de crypto ne sont pas si compliquées que l'on croit.
On trouve ici : quelques techniques de crypto utilisables pour du vote électronique avec du code et aucune lettre grecque ;-)
# Oui
Posté par Yves Agostini (site web personnel) . En réponse au message Mises à jours sous Linux - Ubuntu. Évalué à 2.
Il faut absolument faire toutes les mises à jour au plus vite. C'est une meilleure sécurité qu'un anti-virus.
Un anti-virus cherche à bloquer une application malveillante mais seulement lorsqu'elle est connue. Une mise à jour empêche une application malveillante de s'installer.
Concernant Adobe, si vous parlez de flash celui-ci est bien mis à jour. C'est une version plus ancienne, spécifique à Linux, mais les bugs de sécurité sont corrigés. Pour les autres applications Adobe vous trouverez des équivalents sous Ubuntu tout aussi efficaces.
# Avec perl et File::Tail
Posté par Yves Agostini (site web personnel) . En réponse au message Lire des logs au fur et à mesure. Évalué à 3.
Avec perl et
File::Tail
resetafter
permet de se reconnecter après rotation des log,il faut juste écrire le parser
Exemple :
ça tourne tout seul pendant des mois
[^] # Re: Pas compris...
Posté par Yves Agostini (site web personnel) . En réponse au journal Perl Moderne chez Pearson. Évalué à 0. Dernière modification le 24 août 2019 à 15:17.
un autre outil complémentaire
cpantesters : pour choisir un module ou une application dans cpan on peut consulter le résultat des tests unitaires pour toutes les versions et plateformes
exemple :
http://www.cpantesters.org/distro/J/Jifty.html#Jifty-1.10214
# dh-make-perl
Posté par Yves Agostini (site web personnel) . En réponse au message Mais ou est donc passé Env::Bash ?. Évalué à 1.
et éventuellement
dh-make-perl --build --cpan Truc:XXX
et si besoin de modif
dpkg-buildpackage -rfakeroot -us -uc
[^] # Re: et Jifty ?
Posté par Yves Agostini (site web personnel) . En réponse à la dépêche Dancer, un framework Web en Perl. Évalué à 1.
donc
apt-get install jifty
# gourmandise
Posté par Yves Agostini (site web personnel) . En réponse au message récuperer l'initiale d'un prenom. Évalué à 3.
my ($nom, $prenom, $group) = $ligne =~ m/''(.*?)'',''(.*?)'',''(.*?)''/;
et
$initial=substr($prenom,0,1); # chaine, offset, longueur
[^] # Re: Base de données réparties
Posté par Yves Agostini (site web personnel) . En réponse à la dépêche Les technos web cools du moment. Évalué à 2.
http://syncwith.us/
[^] # Re: En même temps...
Posté par Yves Agostini (site web personnel) . En réponse à la dépêche Jabber.org se tourne vers un serveur propriétaire. Évalué à 2.
il y a eu une release développeur en octobre
http://search.cpan.org/~mart/DJabberd-0.85_01/
mais je n'ai jamais essayé ;)
[^] # Re: Pas OpenVPN
Posté par Yves Agostini (site web personnel) . En réponse au message Système de vpn redondant. Évalué à 5.
http://sourceforge.net/tracker/?group_id=48978&atid=4547(...)
et les mailing listes semblent très actives pour un projet mourant
# git-svn
Posté par Yves Agostini (site web personnel) . En réponse au message Ya-t-il des barbus dans la salle ( à propos de GIT).. Évalué à 2.
http://www.crium.univ-metz.fr/docs/devel/git/
la doc pour la config d'un serveur apache avec svn est ici
http://www.crium.univ-metz.fr/docs/system/svn/
# routeur ntp
Posté par Yves Agostini (site web personnel) . En réponse au message Ferme de serveurs NTP. Évalué à 1.
on utilise alors la passerelle, cela évite de gérer les ACLs sur NTP
[^] # Re: ezpublish
Posté par Yves Agostini (site web personnel) . En réponse à la dépêche Journal télévisé vidéo sur l'open source mai 2009. Évalué à 1.
# ezpublish
Posté par Yves Agostini (site web personnel) . En réponse à la dépêche Journal télévisé vidéo sur l'open source mai 2009. Évalué à 4.
Voilà nos pistes de travail pour essayer d'améliorer ça
en résumé il faut 3 machines (sans compter les machines de secours)
1:
squid en reverse proxy
2:
apache en mod cache
+ apache php / ez / mysql
avec un mac de ram et de procs !!
3:
replica mysql sinon on tue la machine 2 dès qu'on essaye un dump de la base
le début de doc
http://www.crium.univ-metz.fr/docs/system/squid.html
il n'y a pas encore la doc sur le replica
# utilisation de udev
Posté par Yves Agostini (site web personnel) . En réponse au message install cle 3G+ sfr sur linux. Évalué à 2.
- à l'insertion on désactive le mode storage avec usb_modemswitch qu'il faut compiler !
cf http://www.draisberghof.de/usb_modeswitch/
- puis on charge un usbserial
- à l'apparition de ttyUSB1 je lance mon serveur de sms mais pour vous il vaut mieux lancer la connexion avec wvdial
https://svn.univ-metz.fr/svnweb/index.cgi/pub_utils/view/tru(...)
mais je ne sais pas ce qui est nécessaire pour compiler avec linpus, ni comment udev est géré
mais il devrait y avoir les commandes
lsusb
udevmonitor
udevcontrol
[^] # Re: parce qu'il faut qq'un pour la faire
Posté par Yves Agostini (site web personnel) . En réponse au message comment installer une clé 3G+ MF626. Évalué à 1.
# Takahashi Method
Posté par Yves Agostini (site web personnel) . En réponse au message S5. Évalué à 2.
http://aptgetinstall.free.fr/index.php?2008/01/22/20-takahas(...)
un fichier xul à adapter
c'est plus une méthode qu'une appli, j'ai testé ça arrache
[^] # Re: pas de drop !
Posté par Yves Agostini (site web personnel) . En réponse au journal Vais-je résister à la tentation..... Évalué à 1.