En fait la gestion du séquentiel indexé vue par Thunderbird est probablement la chose la plus immonde qu'il m'ait été donné de voir depuis plusieurs décennies. Ça me rappelle DBase3+ c'est tout dire…
Oui donc, si tu as 4 cores, ça ne prend au final que 25% des ressources processeur. Avec 8 cores, seulement 12,5% etc..
Tu es le même LaurentJ qu'il y a 2 ou 3 ans ? Parce qu'autant j'appréciais de te lire à ce moment là, autant maintenant je ne vois plus que des trolls.
Franchement, on parle d'un client de messagerie là, pas d'un logiciel serveur. Quel besoin d'archiver toutes les 10-30s ?
En tous les cas cette nouvelle me fait bcp de peine.
No support for device type: power_supply
bash: [: -lt : opérateur unaire attendu
No support for device type: power_supply
bash: [: -lt : opérateur unaire attendu
fatal: ambiguous argument 'origin/..': unknown revision or path not in the working tree.
Use '--' to separate paths from revisions
A chaque CR c'est plutot pénible. Pour info un '$ acpi --battery' me renvoie le msg suivant puisque je suis sur un ordi de bureau.
No support for device type: power_supply
Pour les 2 dernières lignes je n'ai pas encore regardé.
Oui, peux-être as-tu raison, mais tu peux protéger tes clés de multiples façons non ? Sinon il y a les certificats mais je n'ai pas encore testé.
Ce dont je n'ai pas encore parlé et que j'utilise en plus des clés en environnement hostile c'est OPIE. De toutes façons je n'ouvre le port que le temps nécessaire.
Mais pour celui qui ne veut pas de knockd, OPIE (alias OTP One Time Password) c'est indispensable.
J'oubliais : j'ai désactivé l'accès ssh en root bien sûr.
C'est une bonne chose.
Mais je ne comprends pas bien quel est l'intérêt ?
Il y en a plein. Chaque instance de sshd a son port d'écoute ET sa propre config. Par ex tu peux faire tes tests avec un port != 22 et une fois que tout fonctionne tu remplace le fichier sshd_config par celui de test. Ensuite quand tu feras du forwarding/vpn tu verras que c'est très pratique.
Il faut pour se connecter avoir la clé ET la phrase de passe associée. Si tu gardes tes clés dans un trousseau sécurisé tu as moins de chances de te la faire piquer. En plus dans le fichier authorized_keys du serveur tu peux mettre plein d'options spécifiques à une clé pour en limiter l'usage. Donc avoir une clé pour les connections nomades est IMHO une bonne pratique.
Contrairement à ce que tu penses ton SSH n'est pas totalement sécurisé. Changer le port par défaut ne sert à rien d'autre qu'à réduire le bruit dans les logs (un scan révélera immédiatement le port de ton SSH). Par contre avoir un second SSHD (voire plus) sur un autre port peut être parfois très très utile…
Si tu ne veux pas le planquer derrière un knockd (ce qui permet d'ouvrir et fermer le port de façon dynamique depuis n'importe quelle IP à l'aide d'une séquence secrète), désactives les mots de passe pour n'autoriser que les connections par clé (ECDSA de préférence mais plusieurs c'est mieux). As-tu vraiment envie de taper ton mot de passe en environnement hostile (ie. sur un Windows avec un Keylogger par ex, ou un réseau inconnu) ?
D'autre part les option LoginGraceTime et MaxAuthTries ne sont pas des parades car l'attaquant voit juste sa session se fermer et n'a plus qu'à en ouvrir une autre, ce que les robots (99% des tentatives à la louche) font automatiquement.
Enfin pour ternir encore un peu le tableau, il existe (existait?) des botnet (cf. "hail mary cloud") qui tentent des attaques distribuées par dictionnaire et brutforce. Dès qu'une IP/machine se fait jeter elle passe la main à une autre qui reprend l'attaque là où l'autre l'avait arrêté. Bref un mot de passe peut tenir un certain temps en fonction de sa complexité mais finira par être découvert tôt ou tard.
Bon, toutes ces mesures peuvent paraître peut-être un peu disproportionnées pour de l'auto-hébergement mais les connaître est parfois utile…
Chacun est libre de faire ce qu'il veut en matière de sécurité personnelle. Moi j'ai le petit dernier de chez Beretta. Notes bien qu'il faut en avoir l'usage, sans ça au prix actuel tu l'amortis pas…
alors t'as aucun souci à te faire pour ton compte raoul.
En vrac: un iptables-save bien configuré puis fail2ban et portsentry pour les script-kiddies et enfin un knockd pour planquer les services privés (SSH, FTP, etc.)
Protéger son serveur web contre les attaques avec un WAF un mod_security et mod_evasive (je ne connais pas lighttpd donc un équivalent)
D'autre part penser à installer un client ntp dès le début est IMHO une nécessité.
Les mauvaises langues disent que les drivers qui font planter cet OS sont ceux pour lesquels le chèque adressé à Seatlle pour l'obtention du label n'était pas d'un montant suffisant…
C'est bien le terme privateur qui est juste débile.
Comme quoi la libre expression hein…
Vois-tu j'ai un point de vue totalement opposé au tiens, je trouve au contraire que l'adjectif privateur est beaucoup plus parlant que propriétaire.
Évidemment après il y a le contexte qui peut jouer.
Nan j'ai jamais eu à faire avec eux pour de l'hébergement (sauf un client à une époque lointaine). Je pensais plutôt à ovh, online, etc..
Et oui je pense (peut-être ai-je tort) que ces hébergeurs ont autre chose à faire que d'aller lire mes emails.
si il y a un bien un domaine ou le MX2 me parait relativement essentiel, c'est l'auto-hébergement!!!
Gniii ? Tu as plusieurs serveurs sur le net quand tu t'auto-héberges ?
Foutaises aussi…
Pour de petits domaines le 2ème MX c'est une machine que tu ne maîtrise pas (ex ton registrar ou ton hébergeur) donc spam++
[^] # Re: sic transit Mozilla regnum
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Été meurtrier chez Mozilla. Évalué à 10.
Outlook Express ?
-->[]
[^] # Re: sic transit Mozilla regnum
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Été meurtrier chez Mozilla. Évalué à 6.
En fait la gestion du séquentiel indexé vue par Thunderbird est probablement la chose la plus immonde qu'il m'ait été donné de voir depuis plusieurs décennies. Ça me rappelle DBase3+ c'est tout dire…
[^] # Re: sic transit Mozilla regnum
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Été meurtrier chez Mozilla. Évalué à 5.
Tu es le même LaurentJ qu'il y a 2 ou 3 ans ? Parce qu'autant j'appréciais de te lire à ce moment là, autant maintenant je ne vois plus que des trolls.
Franchement, on parle d'un client de messagerie là, pas d'un logiciel serveur. Quel besoin d'archiver toutes les 10-30s ?
En tous les cas cette nouvelle me fait bcp de peine.
# Mon résultat.
Posté par Raoul Volfoni (site web personnel) . En réponse à la dépêche Un prompt bash utile, sans poudre aux yeux. Évalué à 3.
A chaque CR c'est plutot pénible. Pour info un '$ acpi --battery' me renvoie le msg suivant puisque je suis sur un ordi de bureau.
Pour les 2 dernières lignes je n'ai pas encore regardé.
[^] # Re: Détection
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Réalisation d'un site de Paste web 2.0. Évalué à 2.
Une table qui s'appelle table ? MySQL detected…. ;)
[^] # Re: Le seul souci avec ControlMaster
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Utiliser tmux aussi bien en local qu'en distant. Évalué à 5. Dernière modification le 06 juillet 2012 à 23:08.
Cette option a été ajoutée dans la 5.6: http://www.openssh.org/txt/release-5.6
C'est à dire la suivante… ;)
Hth
[^] # Re: Détection
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Réalisation d'un site de Paste web 2.0. Évalué à 6.
Brainfuck confondu avec du Perl. Je le savais….
[^] # Re: Just sayin...
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Gé(né)rer ses mots de passe. Évalué à 3.
Il te manque des infos. Pendant très longtemps les mdp Windows format NTLM se 'craquaient' en 2 parties.
[^] # Re:Sécuritéetpdf
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Tutoriel d'autohébergement. Évalué à 2. Dernière modification le 28 juin 2012 à 12:55.
Oui, peux-être as-tu raison, mais tu peux protéger tes clés de multiples façons non ? Sinon il y a les certificats mais je n'ai pas encore testé.
Ce dont je n'ai pas encore parlé et que j'utilise en plus des clés en environnement hostile c'est OPIE. De toutes façons je n'ouvre le port que le temps nécessaire.
Mais pour celui qui ne veut pas de knockd, OPIE (alias OTP One Time Password) c'est indispensable.
[^] # Re: Sécurité et pdf
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Tutoriel d'autohébergement. Évalué à 2.
C'est une bonne chose.
Il y en a plein. Chaque instance de sshd a son port d'écoute ET sa propre config. Par ex tu peux faire tes tests avec un port != 22 et une fois que tout fonctionne tu remplace le fichier sshd_config par celui de test. Ensuite quand tu feras du forwarding/vpn tu verras que c'est très pratique.
[^] # Re: Sécurité et pdf
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Tutoriel d'autohébergement. Évalué à 2.
Désolé je ne connais absolument pas.
[^] # Re:Sécuritéet pdf
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Tutoriel d'autohébergement. Évalué à 3.
Il faut pour se connecter avoir la clé ET la phrase de passe associée. Si tu gardes tes clés dans un trousseau sécurisé tu as moins de chances de te la faire piquer. En plus dans le fichier authorized_keys du serveur tu peux mettre plein d'options spécifiques à une clé pour en limiter l'usage. Donc avoir une clé pour les connections nomades est IMHO une bonne pratique.
[^] # Re: Sécurité et pdf
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Tutoriel d'autohébergement. Évalué à 4.
Salut,
Contrairement à ce que tu penses ton SSH n'est pas totalement sécurisé. Changer le port par défaut ne sert à rien d'autre qu'à réduire le bruit dans les logs (un scan révélera immédiatement le port de ton SSH). Par contre avoir un second SSHD (voire plus) sur un autre port peut être parfois très très utile…
Si tu ne veux pas le planquer derrière un knockd (ce qui permet d'ouvrir et fermer le port de façon dynamique depuis n'importe quelle IP à l'aide d'une séquence secrète), désactives les mots de passe pour n'autoriser que les connections par clé (ECDSA de préférence mais plusieurs c'est mieux). As-tu vraiment envie de taper ton mot de passe en environnement hostile (ie. sur un Windows avec un Keylogger par ex, ou un réseau inconnu) ?
D'autre part les option LoginGraceTime et MaxAuthTries ne sont pas des parades car l'attaquant voit juste sa session se fermer et n'a plus qu'à en ouvrir une autre, ce que les robots (99% des tentatives à la louche) font automatiquement.
Enfin pour ternir encore un peu le tableau, il existe (existait?) des botnet (cf. "hail mary cloud") qui tentent des attaques distribuées par dictionnaire et brutforce. Dès qu'une IP/machine se fait jeter elle passe la main à une autre qui reprend l'attaque là où l'autre l'avait arrêté. Bref un mot de passe peut tenir un certain temps en fonction de sa complexité mais finira par être découvert tôt ou tard.
Bon, toutes ces mesures peuvent paraître peut-être un peu disproportionnées pour de l'auto-hébergement mais les connaître est parfois utile…
[^] # Re: Sécurité !
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Tutoriel d'autohébergement. Évalué à 2.
Chacun est libre de faire ce qu'il veut en matière de sécurité personnelle. Moi j'ai le petit dernier de chez Beretta. Notes bien qu'il faut en avoir l'usage, sans ça au prix actuel tu l'amortis pas…
Ahaha tu m'étonnes !
# Sécurité !
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Tutoriel d'autohébergement. Évalué à 9.
D'autre part penser à installer un client ntp dès le début est IMHO une nécessité.
[^] # Re: eingousef
Posté par Raoul Volfoni (site web personnel) . En réponse au journal AHAHAHAH EN MODE RIGOLO. Évalué à 3.
Aller je te révèle tout pour pas un rond:
En langage Tomate celui qui tiens le tapis vert
eingousef = ben qu'est-ce que t'as t'es toute rouge ? (splash)
# Cette blague est une fiction...
Posté par Raoul Volfoni (site web personnel) . En réponse au journal AHAHAHAH EN MODE RIGOLO. Évalué à 5.
… à cause de la pulpe.
/me se demande s'il qqun ici a vu le film parce que là quand même ça fait tâche…
->[]
[^] # Re: les plantages sur les bornes sous linux
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Des fenêtres dans l'informatique embarquée. Évalué à 3.
A Paris les cinémas MK2 ont leur caisses sous Linux aussi.
Un jour je demanderai à voir de près pour connaître la distrib.
[^] # Re: Carte bleue
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Des fenêtres dans l'informatique embarquée. Évalué à 1.
Je confirme. ;)
[^] # Re: Pourquoi ?
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Des fenêtres dans l'informatique embarquée. Évalué à 3.
Les mauvaises langues disent que les drivers qui font planter cet OS sont ceux pour lesquels le chèque adressé à Seatlle pour l'obtention du label n'était pas d'un montant suffisant…
[^] # Re: hm
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Des fenêtres dans l'informatique embarquée. Évalué à 3.
Comme quoi la libre expression hein…
Vois-tu j'ai un point de vue totalement opposé au tiens, je trouve au contraire que l'adjectif privateur est beaucoup plus parlant que propriétaire.
Évidemment après il y a le contexte qui peut jouer.
[^] # Re: Ce que je constate
Posté par Raoul Volfoni (site web personnel) . En réponse au journal RFC 6647: Email Greylisting: An Applicability Statement for SMTP. Évalué à 2.
C'est exactement ce que je voulais dire. ;)
[^] # Re: Ce que je constate
Posté par Raoul Volfoni (site web personnel) . En réponse au journal RFC 6647: Email Greylisting: An Applicability Statement for SMTP. Évalué à 2.
Nan j'ai jamais eu à faire avec eux pour de l'hébergement (sauf un client à une époque lointaine). Je pensais plutôt à ovh, online, etc..
Et oui je pense (peut-être ai-je tort) que ces hébergeurs ont autre chose à faire que d'aller lire mes emails.
[^] # Re: Ce que je constate
Posté par Raoul Volfoni (site web personnel) . En réponse au journal RFC 6647: Email Greylisting: An Applicability Statement for SMTP. Évalué à 1.
Faut quand même avoir une sacrée confiance dans la personne…
[^] # Re: Ce que je constate
Posté par Raoul Volfoni (site web personnel) . En réponse au journal RFC 6647: Email Greylisting: An Applicability Statement for SMTP. Évalué à 3.
Gniii ? Tu as plusieurs serveurs sur le net quand tu t'auto-héberges ?
Foutaises aussi…
Pour de petits domaines le 2ème MX c'est une machine que tu ne maîtrise pas (ex ton registrar ou ton hébergeur) donc spam++