Samuel a écrit 133 commentaires

La commande pour afficher les règles du pare-feu avec nftables :

# nft list ruleset

On trouve plein d'infos dans le wiki de nftables. Par contre, je ne vois pas comment/où une telle limite serait appliquée !

Et surtout, tu peux facilement scripter un test qui sera lancé par nagios (ou système compatible, comme icinga2 que j'utilise pour cet usage).

Le test doit simplement afficher une ligne de résultat et retourner un code d'erreur entre 0 (OK) et 3 (état inconnu). Cf. la documentation "plugin API" de Nagios.

Ce contenu a déjà été lié ici même.

Sinon, vu que tu es sur un cloud, pourquoi ne pas avoir ajouté un second disque durant la manip ?

Je n'ai pas été très précis : c'était pas un cloud, mais un serveur privé virtuel. Il était possible de commander un disque supplémentaire, mais l'idée était aussi de faire l'opération à moindre coût (sans achat supplémentaire).

Et pour info, un fdisk sur un device lvm est inutile sauf pour un disque de boot. C'est même problématique lorsque tu le fais sur des LUNS d'un SAN que tu veux agrandir.

Peux-tu développer ? Ici, c'est un disque virtuel que l'hébergeur met à ma disposition, donc j'imagine bien qu'il y a un LVM en-dessous (ou toute autre techno du genre). C'est "gênant" dans ce cas ?

Est-ce que tu es simplement en train de dire que la fonction "table de partition" est redondante avec les fonction de gestion d'espace avec LVM ?

Mais ici comme j'ai voulu mettre du LVM: la table de partition m'a permis de créer l'espace LVM sur la deuxième moitié du disque (vgcreate vg-data /dev/sdb2), copier les données sur le volume créé sur cet espace, ajouter la partition sur la première moitié du disque (fdisk) et l'ajouter à l'espace LVM (vgextend vg-data /dev/sdb1) pour pouvoir utiliser les 50Go. Donc j'empile effectivement LVM sur une table de partition. Aurait-il été possible de faire la même opération sans table de partition ?

Hello,

ddrescue, dd_rescue, myrescue : récupérer ses données après un crash disque : cet article est très complet et pédago sur les solutions de récupération de données. Je m'en suis servi plusieurs fois !

Chouette initiative !

Mais j'ai pas compris le sens de l'affiche : tu es pour ou contre le télé-travail permanent ? Le point d'exclamation semble dire que tu y es favorable, mais le sous-titre #PlusJamaisCa semble dire le contraire. Je suis perplexe.

J'ai dû aussi me mettre à niveau sur les flux de travail git (première question), c'est-à-dire la façon d'organiser et présenter l'historique de ton code. Ces 2 ressources éclairent un peu les choses :

• Introduction to gitlab flow : différentes façons (git flow, github flow) avant de présenter celle qu'ils préconisent (gitlab flow)
• Clean and linear history with GitLab, en contrepoint : vante un flux permettant un historique linéaire (ce qui semble plus adapté pour des "petits" projets ou organisations).

Après, une fois que tu as choisi ta politique, tu trouveras de l'aide sur les différentes commandes git pour les mettre en œuvre (branch, rebase, merge…).

Je viens de tester : Quicksy est très bien, en effet ! Il facilite l'entrée dans XMPP.

Cependant, à cause d'Omemo, la compatibilité est assez mauvaise avec les autres clients web. Movim ne supporte pas omemo, j'ai pas réussi à faire fonctionner pidgin et quicksy, et converse.js supporte omemo mais pas le transfert de fichier (qui est une fonction assez importante pour nous).

Je crois qu'on va en rester à kiwi IRC. Je regrette l'absence d'application native android user-friendly et la difficulté à faire du partage de fichier.

Remarque : Windows permet facilement de redimensionner la partition sur laquelle il est installé, libérant la place nécessaire pour installer Linux sur le disque à côté. L'outil pour faire ça s'appelle diskmgmt.msc.

A priori, tu n'auras donc pas besoin de réinstaller Windows.

Par contre, il faut faire attention lors de l'installation de Linux à ne pas effacer de partitions, pour bien laisser Windows à sa place! L'installeur détectera automatiquement la présence de windows et grub te laissera le choix au démarrage de lancer Linux ou Windows.

Le courrier que j'ai envoyé :

Bonjour monsieur, madame

Si cette adresse mail est professionnelle, c'est aussi une donnée personnelle selon la définition de l'article 4 de la réglementation générale sur protection des données, et à ce titre protégée par cette réglementation.
Votre message consiste est ainsi un "traitement" (défini dans le même article) et témoigne de l'existence probable de plusieurs "traitements" préalables relatifs à des données personnelles me concernant (au moins nom et adresse e-mail).

Dès lors, sauriez-vous m'indiquer :

• les données sur ma personne que vous avez en main
• les finalités du traitement automatisé de mes données
• les conditions de licéité de ce traitement (conditions définies à l'article 6 de la réglementation) et les éléments vous permettant de juger qu'elles sont remplies
• les destinataires ou catégories de destinataires auxquels mes données à caractère personnel ont été ou seront communiquées,
• quelle source vous a transmis mes données personnelles

Je vous demande en outre de supprimer toutes les données me concernant de votre base.

Je vous remercie du soucis que vous accorderez à la protection de mes données et au respect des lois en vigueur.

Bonjour,

Suite à un spam reçu récemment, j'ai envoyé un courrier à l'expéditeur demandant :

• la copie des données qu'ils détiennent sur moi
• sur quelle base légale ont-ils collecté et utilisent-ils mon adresse mail (qui est une donnée personnelle au sens du RGPD)
• par quel biais ils ont obtenu mon adresse mail
• et bien entendu, l'effacement des données me concernant

Tout cela est prévu par le RGPD.

Résultat, j'ai reçu un mail dans l'heure avec les données me concernant + un lien vers une page de la cnil précisant que les adresses mail pro peuvent être collectées sur la base de l'opt-out, mais pas de réponse sur le reste, le mail venant d'un acteur tiers que je ne connaissais pas (probablement le "data-broker" qui a revendu mon adresse à la boîte qui me sollicitait). J'ai renvoyé un mail rappelant mes demandes et demandant qui avait collecté cet email et à quel moment cet acteur m'avait mis en mesure de m'opposer à la réutilisation cette info, n'ayant aucun souvenir de ça.

Résultat, j'ai été rappelé une demi-heure plus tard par une personne m'expliquant que ce qu'ils faisaient était légal et qu'il n'y avait pas de soucis, il me désinscrivait. Il avait l'air inquiet. Du coup, ça vaut le coup de tenter de temps en temps, comme mesure d'intimidation vis-à-vis de ces gens !

J'avoue n'avoir aucune idée de comment traduire les messages de scripts… en C, je sais faire, mais en sh? Ceci est un appel à bonne âme: un journal sur comment traduire du script serait plussé par au moins moi :)

S'il y a peu de chaînes de caractères, on peut se contenter de définir un fichier shell par langue, chacun exportant les variables contenant les chaînes de caractères dans une langue particulière, puis au moment de la conception de l'initrd copier la langue voulue dans l'image.

en_US.UTF-8.sh :

CUW_PLEASE_UNLOCK="Please enter passphrase for unlocking %s"

fr_FR.UTF-8.sh :

CUW_PLEASE_UNLOCK="Merci d'entrer la phrase de passe pour déverrouiller %s"

Puis dans le script générant la page web :

. /lib/cryptroot-unlock-web/strings.sh
[...]
printf "<div>$CUW_PLEASE_UNLOCK</div>" "$MY_DEVICE_TO_BE_UNLOCKED"

Blague à part, systemd impacte vraiment l'initrd? Pour dracut, il me semblait que c'est juste un système de de build, une sorte d'autotools spécialisé, et clevis, je connais pas.

systemd peut se charger de déverrouiller un périphérique et chercher le programme approprié pour récupérer le mot de passe auprès de l'utilisateur si besoin. On pourrait imaginer ajouter un "provider de mot de passe" consistant en ce petit serveur. Par contre, un initrd n'embarque a priori pas systemd, donc je ne sais pas si c'est pertinent de chercher dans cette direction.

clevis est un système générique pour déverrouiller des choses, avec plusieurs mécanismes pour stocker/récupérer le secret voulu. Parmi ces mécanismes : sss (Shamir secret) pour diviser le secret en plusieurs bouts, tpm2 pour stocker la clé sur un module matériel dédié à la protection des secrets (Hardware security module), tang consistant à verrouiller le secret par une clé présente sur un serveur, permettant de faire en sorte que le déverrouillage ne se fasse que si l'ordinateur est sur le réseau avec ce serveur (network-bound disk encryption). Clevis est notamment utilisé pour déverrouiller des disques LUKS dans des initrd générés par dracut (cf. par exemple clevis-dracut dans Debian).

À vrai dire, c'est un tout petit prototype et je n'ai pas le temps d'améliorer pour le moment. Ce qui manque, au minimum :

• faire fonctionner TLS (sinon, c'est clairement dangereux !)
• packager pour Debian

Ensuite, dans une optique d'utilisabilité plus large il faudrait :

• (pour les utilisateurs) permettre de traduire les messages automatiquement
• (pour les utilisateurs) implémenter un code javascript qui lit la clé depuis l'URL (la clé serait placée après un #, à la fin de l'URL) : ça permettrait de confier la clé de déchiffrement sous forme d'un simple lien (qui serait lui-même proposé dans un document HTML, PDF ou ce que tu veux sur une clé USB confié au "gardien du secret")
• (pour les administrateurs) utiliser une solution plus générique pour la configuration de l'initrd (dracut, clevis ou systemd-*). Chacune de ces solutions aboutit à une proposition d'architecture assez différente.

J'ai fait une version basique avec un routeur sous openwrt récemment, c'est assez facile !

Voici la recette:

• Une box OpenWRT avec 3 ports : un pour contrôler la machine (« LAN » client DHCP, port SSH ouvert), deux pour s’intercaler sur le lien réseau qu’on veut écouter (si on veut écouter A ↔ B, on place la box C entre les 2 : A ↔ C ↔ B, ça nécessite un câble de plus).
• Installer tcpdump sur la box
• Le port de contrôle : zone = LAN / INPUT = ACCEPT / OUTPUT = ACCEPT
• Le port d’espionnage : zone = WAN / INPUT = DROP / OUTPUT = DROP / FORWARD = DROP (pas sûr que ça soit nécessaire)
• Le port d’espionnage = interface bridge sur les deux interfaces (eth1 / eth2 ou whatever), protocol = unmanaged / cocher force link et décocher « use builtin IPv6 management » (ça évite d’émettre des trames réseau) / assign zone = wan.

Puis la configuration de /etc/config/network :

config interface 'lan'
        option ifname 'eth0'
        option proto 'dhcp'

config interface 'wan'
        option type 'bridge'
        option proto 'none'
        option ifname 'eth1 eth2'
        option delegate '0'
        option force_link '1'

(selon les modèles, c'est parfois eth0.1 et .2 qu'il faut indiquer plutôt que eth1/2)

Et celle de /etc/config/firewall :

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan'

config zone
        option name 'wan'
        option input 'DROP'
        option output 'DROP'
        option network 'wan6 wan'
        option forward 'DROP'

Pour écouter, y'a plus qu'à se connecter SSH sur la machine et faire : tcpdump -i br-wan -o mon-ecoute.pcap, puis récupérer et ouvrir ce fichier avec wireshark. Comme le fichier grossit rapidement, il vaut mieux faire ça pas trop longtemps et sur une clé USB, ou envoyer ça directement sur le réseau et le récupérer sur une autre machine)

Bon, pour intégrer burp ou mitmproxy, c'est sans doute un peu plus de travail. Il est possible d'installer python sur openwrt, donc mitmproxy doit pouvoir l'être aussi.

Note que dans cette configuration, la box est "indétectable" par le réseau qu'elle espionne. Si cette fonctionnalité ne t'es pas nécessaire car tu la mets sur le même réseau que le lien que tu veux débugger/surveiller, tu peux simplifier la configuration et mettre une seule interface "br-lan", client DHCP et accès INPUT/OUTPUT ouvert. Mais il faudra alors soit ajouter des filtres pour la capture tcpdump, soit écrire la capture dans un fichier mais pas l'afficher dans ta session SSH ou l'envoyer sur le réseau car sinon tu crées une boucle qui explose très très vite :) .

Bonjour,

Pour le déchiffrement de serveur distant, à ma connaissance la seule option actuellement est d'utiliser dropbear, mini-serveur SSH embarqué dans l'initramfs (c'est ce qui est fait dans ce journal).

Je trouve ça un peu limité : ça réserve ce genre de configurations aux gens qui sont à l'aise avec SSH, c'est-à-dire aux informaticiens tendance Linux. J'aimerai transférer cette responsabilité aux non-techniciens. Dans ce but, j'ai rédigé un prototype/brouillon de serveur web embarqué dans initramfs pour entrer la phrase de passe.
Bon pour le moment le mot de passe circule en clair car TLS ne fonctionne pas donc l'intérêt est nul ! Mais si quelqu'un trouve l'idée intéressante, toutes les contributions sont bienvenues !

Une hypothèse : ça protège les images disque (snaphots) qui peuvent être récupérées / envoyées dans un endroit non sûr.

Mais sinon, effectivement, il y a un petit trou dans l'explication ou le raisonnement.

Je me renseigne sur odoo en ce moment et j'ai trouvé ce témoignage d'un intégrateur Odoo très intéressant pour comprendre le logiciel (son histoire, les aspects techniques, les enjeux politiques, etc.). Ce témoignage date de fin 2015, des choses ont pu changer entre temps. Je n'ai rien pour ERPNext, par contre.

Bonsoir,
Chez moi (Debian buster, Thunderbird 60.9, pour un compte imap), thunderbird indique que la suppression des données des messages "supprime du disque local tous les messages, les dossiers et les filtres associés à ce compte. Les messages et les dossiers seront conservés sur le serveur."

La conclusion semble être qu'il ne supprime rien du serveur.

S'il s'agit d'un compte pop (je n'en ai pas sous la main), l'interprétation doit sans doute être différente, puisque pop est le plus souvent utilisé en mode "je rapatrie les nouveaux messages, je les efface du serveur".

Ça nécessite une analyse complète de la surface d'attaque, analyse qui est en cours. Mon idée actuelle, c'est :

• architecture mono-serveur (voire bare-metal) : les données et l'appli web sur le même système (le SGBD n'écoutant pas sur le réseau, uniquement en local). Car en pratique, la compromission de l'appli web a les mêmes effets que la compromission que le SGBD, donc les 2 doivent être aussi bien protégés.

• partir du mode d'emploi stockage chiffré intégral sur serveur distant proposé Aeris. Il reste deux problèmes liés au déchiffrement : 1/ sa version est pas user-friendly (il faut avoir un accès SSH pour déchiffrer les disques donc démarrer le service … ça nécessite que ça soit un informaticien qui le fasse, notre but serait plutôt de confier cette mission et ces secrets à des personnes de confiance non informaticiennes). 2/ A priori, ça ne résiste pas à une attaque active (dans laquelle l'attaquant a accès à la machine physique, dumpe le /boot donc la clé privée du serveur SSH dropbear, puis remet tout en place et écoute le réseau pour regarder l'admin entrer la phrase de passe).

• Pour répondre au 1, coder une interface web pour entrer les clés à distance, et embarquer un mini-serveur web en initramfs, permettrait de rendre le déchiffrement user-friendly (-> ça ferait un bon projet en libre, ça, rétroversé vers Debian !)

• Pour répondre au 2, je n'ai pas de réponse pour le moment, mais je me demande si un système à base de nitrokey ou équivalent (HSM) n'apporterait pas la solution définitive.

• Enfin, le jour où les circonstances politiques rendent les menaces de tentatives d'atteinte à la confidentialité des données davantage plausibles : planquer l'appli derrière tor (avec une passerelle depuis l'internet classique, passerelle elle-même hébergée loin d'ici) ajoute un niveau de protection & confier les clés de déchiffrement à des personnes de confiance qui ne dépendent pas des juridictions françaises.

Au boulot, pfSense a remplacé avantageusement des ipCop vieillissants. J'en suis très content.

La dématérialisation, c'est pour moins cher et plus pratique pour tout le monde!

Toi, tu n'as pas essayé de demander une carte de séjour à Laval.
En pratique, la dématérialisation est aussi utilisée par les administrations pour éloigner ceux qu'elle ne veut pas voir, c'est ce qui est dénoncé dans l'article qui a donné lieu à ce journal.

Oui, "les machines" apportent plus de productivité, donc permettent l'augmentation du niveau de vie.
Mais la si la dématérialisation peut être un progrès pour certains (pour ceux qui sont à l'aise avec ces outils & quand c'est bien fichu), pour d'autres elle est un obstacle. La mettre en place permet déjà de gagner en productivité en automatisant les traitements pour ceux qui sauront l'utiliser, pourquoi vouloir à tout prix que ça devienne obligatoire pour tout le monde ?

C'est important d'aborder ce sujet, merci !

Comme le montre la Cimade (asso de solidarité avec les étrangers), c'est avant tout pour les "indésirables étrangers" que le système est bloqué (disclaimer : je suis bénévole dans cette association et auteur du site que je viens de lier ici).

Il se trouve qu'on manifeste sur ce sujet aujourd'hui, à 15h devant les préfectures de Bobigny, Créteil, Nanterre et Évry, avec des collectifs de sans-papiers, des syndicats & plein d'associations. N'hésitez pas à nous rejoindre.

J'ajoute que si vous avez envie de nous soutenir dans ces actions (et dans d'autre), je monte une équipe d'informaticiens-militants (je compte diffuser une annonce bientôt dans le forum petites-annonces). Contactez-moi si vous êtes intéressé (samuel point bizien arobase laposte point net).

Même des sites très gros publics et donc - probablement - très sécurisés se sont fait voler des listes de hash de mots de passe. D'un point de vue de sécurité, il faut supposer que tous les autres composants ont failli pour spécifier la sécurité du composant n+1 que tu es en train de définir.

Dans le cas où tout a failli (ici : "la base de données a fuité"), la dernière protection qui reste est le coût de vérification du hash.

Si je poussais ton raisonnement, je pourrais dire qu'un mot de passe de 3 chiffres suffit, puisque, après tout, les sites sont censés aussi protéger contre les tentatives de brute-force (ce que la plupart font). Ben … tu peux raisonner comme ça mais je donne pas cher de tes identifiants.

Bonjour,

Je réponds pour "IDE en général" (je fais du web, mais je n'ai pas cherché d'IDE dédiés à ces usages) :

• kate est très bien, mais il dépend de KDE. Intéressant si tu utilises déjà KDE donc, sinon c'est un peu une perte de place
• depuis quelques semaines, j'utilise geany, léger et avec peu de dépendances, mais je le trouve un poil moins pratique.

De l'intérêt d'un navigateur soucieux de la vie privée : cette "fonctionnalité" (espionner les clics des citoyens) a été introduite en 2006 mais est désactivée par défaut depuis 2008 (il est possible de l'activer manuellement).

Là où Chrome et ses dérivés (Internet Explorer, Opera, …) gardent cette option activée et maintenant vous empêchent de la désactiver.