Foxy a écrit 660 commentaires

Est-ce que tu as contacté le (ou les) mainteneur(s) Debian du package OpenLDAP ?

Ils seraient sûrement les plus qualifiés pour t'expliquer pour quoi le package Debian OpenLDAP l'est pas à jour.

Et si tu es courageurs, tu peux le mettre à jour toi-même et leur proposer ton aide ;-)

-Le tableau blanc du "codeur" : il est rempli de calcul combinatoire. Quelqu'un peut-il dire de quoi s'agit-il exactement?

Mouais, d'après mes vieux souvenirs de prépa et d'école, on aurait dit des équations de Stirling (truffés de racine carrée de 2*Pi, n factoriel...) => calcul combinatoire

Par contre, quand on voit son écran sous KDE, je suis quasi-sûr qu'il lit le code de GPG ou de OpenSSL (ça y ressemble grandement).

Le mieux restait quand même le geek aux cheveux longs (un employé sous contrat car il fait pas très DGSE ;-) ) ouvre la porte de la salle serveur et qu'il y a des montagnes de baies de serveurs => ça ressemble furieusement à un cluster de calcul maison.

PS: oui je sais, je suis beaucoup plus "joueur" avec un PC qu'avec mon Zaurus... je dois plus respecter mon Zaurus que les boites beiges diverses que l'on met sur mon bureau...

Ah tiens, moi les boites beiges, je les mets SOUS mon bureau mais chacun son truc ;-)

Et le port de NetBSD sur DreamCast, ça sert à quoi ?

Il ne faut pas toujours chercher une explication à tous les développements du monde open-source : certains codent des applis qui leur sont utiles et les diffusent, d'autres codent avant tout pour le challenge technique. Les ports d'OS libres sur plateforme "ésotérique" font plutôt partie de la 2ème catégorie.

Enfin, moi je serai quand même content d'avoir mon client SSH sous OpenSD sur mon Zaurus + Wifi pour me connecter depuis n'importe où chez moi par exemple.

D'après mon expérience perso au boulot (pas mal de matos Gigabit Ethernet différents) :

- switch 3Com (évite le DLink)

- carte Ethernet Intel 1000/MT (server ou desktop suivant utilisation) + driver e1000 développé par Intel.

==> avec ça, ça fonctionne nickel.

Et contrairement à ce qui est dit dans une réponse, y'a pas besoin de plus de RAM pour utiliser du Giga par rapport à du 10/100.

Le seul problème est qu'avec du Gigabit, lors d'un transfert de fichier, il faut un disque qui tienne la route pour écrire le fichier assez vite (vu que le réseau le transmet beaucoup plus rapidement).

Je confirme : TOR est un proxy anonymizer simple à utiliser pour tout type d'application "sockifiable".

Il faudrait qu'il y ait plus de noeud de routage pour que le réseau prenne de l'ampleur et soit vraiment efficace.

Je n'ai pas envis d'un OS type openBSD qui évolue tout doucement et est à 100 lieux de ce qu'on peut faire actuellement avec un OS "moderne".

OH, le gros troll kipue ;-)

OpenBSD n'est pas un "OS qui évolue tout doucement" : certes certaines fonctionnalités mettent du temps à être supportées (par exemple le SMP i386 seulement en 3.6) mais d'autres sont beaucoup plus mûres que celle existantes sous Linux (PF est bien plus utilisable que Netfiltter IMHO; OpenBGPD, OpenNTPD...).

L'objectif d'OpenBSD n'est pas le même : sécurité avant tout et cet OS a l'avantage de proposer quelques fonctionnalités de sécurité en standard (ProPolice, systrace, protection W^X, StackGuard...) qui ne sont que des patchs noyax épars sur Linux (GRSec, exec-shield...).

Chacun son choix suivant ses besoins : perso OpenBSD pour mes FW et serveurs courants (HTTP, mail...), desktop et laptop sous Linux 2.6

j'en vient à penser que les failles du noyau sont pas le pire problème du Linuxien, point de vue sécurité.

Oui mais ça fait plaisir à certains de croire qu'il suffit de suivre les alertes et de se mettre à jour pour les packages de leur distrib pour être "sécurisé".

Alors que cela commence pour une bonne application de sa politique de sécurité sur ses postes clients et serveurs.

Effectivement, ils ont dû s'en apercevoir et il y a maintenant une certificat valide.

Pour ce genre de tâches avec Mutt, la fonction la plus pratique est le tagging de messages.

Pour appliquer une même action (sauver, forwarder) à un ensemble de messages, tu taggues tes messages :

- avec la touche 't' tu taggues les messages un par un
- avec 'T', tu peux donner un pattern pour tagguer un ensemble de messages

Après tu peux vérifier la liste des messages taggués avec la fonction 'limit' :
- touche 'l' pour limit puis pattern '~T' pour restreindre le limit aux messages taggués (pattern '.' pour revenir à la liste de tous tes messages)

Ensuite une fois que tu as taggué un ensemble de messages, tu utilises la touche ';' pour que la fonction suivante s'applique aux messages que tu as taggués.

Par exemple :
- ';' puis 's' pour sauver l'ensemble des messages taggués
- ';' puis 'f' pour forwarder l'ensemble des messages taggués
- ';' puis 'd' pour supprimer l'ensemble des messages taggués

Pour passer à la release suivante, il y a un peu plus de boulot que sur une Debian ;), car OpenBSD te laisse la charge de mettre à jour tout ce qui n'est pas binaire (/dev, users systèmes, config, etc)

Tout à fait, l'upgrade d'OpenBSD vers une version supérieure fonctionne très bien mais il y a une peu de travail à faire "à la main" : MAJ des /dev, des users, groups et surtout MAJ des fichiers de /etc

Pour l'upgrade en 3.6, il y a ce document qui reprend tous les points pour cela : http://openbsd.org/faq/upgrade36.html(...)

Sur OpenBSD, après la sortie d'une release, la branche STABLE est maintenue pendant un an et des patchs sont publiés pour les MAJ de sécurité (annoncés ici : http://openbsd.org/errata.html(...)).

Il vaut mieux récupérer ces patchs "à la main" et recompiler en conséquence. Il y a un système officieux de publication de ces MAJ en binaire mais non supporté par l'équipe de dev OpenBSD.

Pour les ports, ils sont mis à jour au fil de l'eau sur le CVS suivant le travail des mainteneurs. Mais seuls certains d'entre eux sont recompilés et les packages mis à jour sur les serveurs FTP (généralement en cas de problème de sécurité important sur une appli).

Sauf que quand on sait pas faire la différence entre un OS et une distribution avec desktop graphique préconfiguré (comme pour les distributions Linux majaures), on évite de poser la question.

Ca en est malheureusement au point qu'avec mon Firefox 1.0PR sous Linux (pas le problème sous Windows 2000), je n'ose plus voter sur LinuxFR de peur de prendre nu crash et que je me méfie aussi des sites ouvrant des pages dynamiques :-(

Espérons que ce bug soit corrigé dans cette version RC.

On verra à l'utilisation si le bug que j'avais noté (l'ouverture de 10/15 tabs et d'une fenetre pouvait entrainer le plantage de Firefox) a disparu.

Je ne sais pas si c'est le même bug mais perso, sur une fenêtre avec beaucoup de tabs (mon dada, surtout avec l'utilisation de l'extension "SessionSaver"), si j'ai un site qui ouvre une autre fenêtre dynamiquement (par ex. fenêtre dynamique lors d'un vote sur LinuxFR), mon Firefox 10.0PR (0.10.1) crashe quasiment à chaque fois :-(

J'espère que ce bug a été corrigé pour cette release.

non, il ne faut pas abandonner la notion de web of trust mas la faire reposer sur un reseau de connaissance et pas autre chose, personellement je n'attribut pas ou peut de valeur a des signatures de gens que je ne connais pas.

C'est d'ailleurs pour cela que dans GPG, tu peux donner un niveau de confiance (de 1à 4) aux clés que tu signes :

- niveau 1 : on ne fait pas de tout confiance à la personne à qui appartient cette clé (i.e. il signe vraiment n'importe quelle clé sans même avoir rencontré physiquement les possesseurs de clés)
- niveau 4 : c'est un très bon copain, j'ai entièrement confiance en lui et je sais qu'il est très rigoureux dans la vérification des clés qu'il signe

Avec ces indicateurs, on peut reconstruire un "web of trust" avec un niveau de confiance pour un "chemin" de signatures entre 2 clés.

Le problème est qu'avec les systèmes d'authentification d'utilisateurs (que ce soit par clé GPG ou par certificats X509), à un moment ou un autre, il faut se fier à une preuve physique de l'identité.

Pour GPG, on fait généralement ça lors de keys-signing parties où chacun présente ces papiers et valident ses clés par ses fingerpints.

Pour les certificats numériques, les fournisseurs de certificats (Thawte, Verisign) font de même avec une présentation de preuve d'identité.

Néanmoins, il faut bien à un moment prendre cette preuve pour argent comptant.

Personne (ni une personne physique, ni un organisme de certification) n'a la possibilité de vérifier l'authenticité de cette preuve. Seul un Etat peut vérifier l'authenticité de papier d'identité.

Si on accepte pas ce postulat de base, autant abandonner directement la notion de "web of trust" pour les clés GPG.

Tu pourrais être un peu plus précis dans ton explication : c'est bien gentil de faire une réponse du style "moi je sais mais je te dirais pas..." mais ça fait pas avancer le schmilblick.

Cela ne me pose pas de problème de convertir mes mbox en maildir si besoin.

Pour ce genre de besoin ("petit" firewall, gateway VPN), les cartes Soekris (http://www.soekris.com(...)) sont très bien et pas trop chères (autour de 200 euros la CM).

Il y a 2 modèles intéressants :
- la 4501 : proc Via C3 133Mhz, 2 ports Ethernet
- la 4801 : proc Via C3 233Mhz, 3 ports Ethernet

Suivant le modèle, il y a des ports Mini-PCI ou PCI pour mettre des extensions. Le système peut être mis sur une carte Compact-Flash et un disque dur type "portable" peut être ajouté si besoin.

Il y a aussi la possibilité d'ajouter une carte de crypto hardware (basé sur chipset HiFN) qui soulage le proc pour toute la crypto utilisée par le VPN.

De nombreux développeurs d'OpenBSD (dont Daniel Hartmeier ou Ryan McBride, des développeurs de PF) utilisent cette plateforme et en sont très contents.

Il existe plusieurs outils (flashdist, OpenSoekris) permettant de générer facilement une image système à graver sur la carte CF à partir des sources d'OpenBSD.

Il est aussi tout à fait possible d'utiliser un système Linux sur cette plateforme.

Tout à fait, tu ne te trompes pas de tout.

Les expressions régilières utilisées par le projet Layer7 sont beaucoup trop faciles à contourner : le filtre layer7 ne vérifie que la présence de données applicatives correspondant à une regexp dans l'ensemble des données.

Il n'y a pas de notion de "contexte" applicatif !

Par exemple pour HTTP, il faudrait vérifier :
- que les commandes sont dans la liste des commandes reconnus en HTTP d'après la RFC (GET, POST, HEAD, OPTIONS...)
- qu'après une commande valide, on doit avoir un URL ou non (pas après HEAD par exemple, mais obligatoire après GET...)
- qu'une URL a une syntaxe valide...

Enfin voila pourquoi, le projet Layer7 n'atteint pas aujourd'hui la qualité et la pertinence des firewalls applicatifs "industriels".

Layer7 peut être bien pour faire de la QoS (avec tc) car se tromper sur de l'analyse de protocole n'est pas "trop" génant, pas contre pour faire du filtrage, c'est trop facile à mettre en échec avec quelques outils simples.

C'est d'ailleurs pour cela que les devs principaux du projet PF (packet filter d'OpenBSD) ont toujours refusés d'ajouter ce genre de fonction à PF : pas sûr si ça n'utilise que des regexp.

Visiblement d'après ton erreur, tu n'as pas commencé par créer le user "Manager" (DN = "cn=Manager,dc=helios").

Voir 'man ldapadd' ou 'man ldapmodify' pour créer ton utilisateur "Manager" (administrateur de ton arborescence LDAP).

D'autre part, pour utiliser 'ldapsearch', tu peux donner l'accès en lecture à tous tes utilisateurs (suivant tes besoins et ta politique de sécurité). Dans ce cas, il faut modifier tes ACL dans ton fichier 'slapd.conf'.

Oui effectivement, j'aime bien Galeon et je l'utilise depuis très longtemps (version 0.12.x).

Néanmoins, après pas mal de comparaisons, je trouve Firefox plus rapide et plus léger en consommation de ressources.

De plus, j'utilise aussi Firefox au boulot sous Windows :-( et j'aimerais bien avoir le même navigateur partout : quelque soit l'OS ou la machine (@work, @home sur desktop et laptop).

J'ai trouvé partiellement mon bonheur : l'extension "Scrollable Tabs" me permet d'avoir un tab bar "scrollable" sous Windows. C'est pas parfait mais si j'ai le courage de faire un peu de XUL, je vais améliorer ça.

http://forums.mozillazine.org/viewtopic.php?p=476201(...)

Je suis un fan de Firefox depuis la version 0.5.

Néanmoins, j'utilise depuis très longtemps le browser Galeon sous Linux (moteur Gecko) pour la richesse de ses fonctionnalités. J'aimerais bien m'en débarrasser pour passer définitivement à Firefox mais il me reste quelques problèmes pour avoir les mêmes fonctionnalités :

- la sauvegarde des sessions est très pratique sur Galeon (sauvegarde des fenêtres et tabs ouvertes, même lors d'un crash). J'ai trouvé l'extension Mozilla "Session Saver" qui fait ça très bien :-)

- par contre, j'aime beacoup le scrolling des tabs sous Galeon. Lorsque l'on a beaucoup de tabs ouvertes dans la même fenêtre, un nombre fixe de tabs est affiché dans la fenêtre, 2 petites flèches apparaissent pour scroller et afficher les tabs non visibles.

J'ai cherché dans les extensions Mozilla mais je n'ai pas trouvé d'extension simple pour avoir cette fonctionnalité.

L'extension "TabBrowser" dispose (partiellement) de cette fonctionnalité mais est bien trop riche pour mon besoin.

Est-ce que quelqu'un connaitrait une extension qui fait ça ? Ou alors il faut que j'apprenne le XUL ;-)

Quel est le modèle de ta carte Quad Ethernet ?

J'ai moi aussi une Ultra5 et j'avais l'intention d'y installer OpenBSD/sparc64.

Pascal,

j'avais bien compris que ce n'est pas l'ensemble du système Mandrake qui sera certifié (j'ai fait assez de CC pour ma boite pour savoir ce qu'est une "Cible de sécurité" CC et que ce n'est qu'un sous-ensemble "très réduit" d'un OS).

Mais développer un kernel basé sur Linux qui soit certifié EAL 5 me parait déjà une tâche très difficile à atteindre.

En tout cas, bon courage et je suivrais le projet de près.