totof2000 a écrit 1408 commentaires

Hum ..

Le truc c'est que si tu achètes des IPV4 pour faire monter le prix de celles-ci afin de pousser le monde à IPV6, tu te retrouveras en fin d'opération avec des IPV4 que tu auras payées bien cher, mais qui ne vaudront plus rien … De loin ça me fait penser à la problématique des taxi qqui ont eu leurs plaques gratuitement mais qui se sont mis à les revendre entre eux à prix prohibitifs: ilsse sont mis eux-même en galère par appat du gain (mais les gouvernements successifs sont responsables d'avoir laissé faire).

https://circleid.com/posts/20240503-cogent-communications-secures-206-million-in-notes-backed-by-ipv4-addresses

Du coup ça explique la réticence des opérateurs réseau à passer à IPV6 : ils vont "perdre" de l'argent ( ou plutôt leurs actifs vont perdre de la valeur).

Il faudrait que la législation empêche ce genre de pratique, ou taxe fortement les IPV4 (avec interdiction de répercuter le cout de la taxe sur les clients) pour pousser à la bascule vers IPV6. Je ne suis pas fan de la méthode de l'impôt popur forcer aux bonnes pratiques, mais dans ce cas précis, pour accélérer la transition, je pourrais bien faire une exception.

De plus, run0 évite les complexités de la configuration traditionnelle en utilisant polkit pour l'autorisation,

Le mec qui écrit ça n'est jamais allé voir ce qu'est Polkit. Honnêtement, ce n'est peut-être pas pire que sudo, mais c'est loin d'être mieux …

en rationalisant les interactions avec l'utilisateur et en sécurisant davantage le processus d'exécution.

Bullshit

L'outil ajoute également une touche de convivialité : lorsqu'il fonctionne avec des privilèges élevés, il modifie l'arrière-plan du terminal en lui donnant une teinte rougeâtre, ce qui sert de repère visuel pour indiquer le statut élevé de l'utilisateur - un rappel simple mais efficace pour gérer les privilèges de manière responsable.

OOOOh !!! C'est vrai que c'est LE truc qu'il fallait pour sécuriser son système. Mettre du rouge …

Je ne m'attarde pas sur le reste, mais quand je lis les arguments de Pottering, je retrouve les mêmes que ceux qui se lancent dans une réécriture de code Cobol en Java … Ces mecs qui se croient meilleurs que les anciens, qui remplacent du code, certes pas parfait par un truc qui paraît plus propre en théorie, mais qui ne traite qu'une partie de la problématique auquel répond le code "crade" selon leur point de vue.

Je pense que pour l coup il est fort probable que la flemme l'emporte et que ça finisse avec Debian …

Dans la profusion des distributions existantes mis à part Ubuntu (et certaines de ses dérivées) et une version spécifique de Fedora il me semble qu'il n'y a que quelques distribution à la marge qui sont dans ce cas.

C'est ce qui me semble également, en tout cas pour le moment. Du coup je cherche un peu. J'ai tenté Alpine, mais Enlightenment n'y est pas porté. Les candidats suivants pourraient être magéïa ou un retour aux sources (slackware). Une autre option : bodhi Linux, si cette distribution, basée sur Ubuntu, ne force pas le passage à snap.

Il y a 20 ans quand Ubuntu a commencé à avoir du succès beaucoup de gens essayaient de rappeler qu'Ubuntu n'est pas linux, que c'est une distribution parmi d'autres.

Pour ma part je suis passé à Ubuntu un peu par facilité, après avoir testé plusieurs autres (slackware, mandriva, arch, fedora, Debian). Je n'ai pas trop poussé les tests ar j'avais besoin rapidement de quelque chose qui s'installait sur mon portable et supportait la mise en hibernation sur fermeture du capot. Maintenant, je m'y suis fait, j'ai mes habitudes, mon installation est customisée, donc effectivement j'ai un peu la flemme de reprendre de zero. Celà dit peut-être qu'au final je choisirai la simplicité et repartirai sur une bonne vieille Debian.

Si le problème c'est la disponibilité des logiciels : un projet qui ne propose que docker et appimage ne vas pas magiquement changer son packaging si tu viens le voir depuis un FreeBSD.

A la limite, tant qu'il est dans les ports de Freebsd, je m'en fous un peu. Et si j'ai réellement besoin de ces logiciels, ça pourrait me motiver à faire le nécessaire pour qu'il soit dispo dans les ports FreeBSD. Ca pourrait être un challenge intéressant.

Un exemple pour imprimante cannon

J'ai utilisé freebsd sur ma tour pendant longtemps (initialement j'étais sous NetBSD, mais certains logiciels dont j'avais besoin n'avaient pas été portés donc je suis passé sous FreeBSD). Pour l'impression je n'ai jamais eu de gros problèmes avec des imprimantes HP, grâce à HPLIP. Mais je n'ai pas vraiment tenté autre chose. Ça doit surtout dépendre du modèle d'imprimante. Mais en gros je pense que tant qu'une imprimante est utilisable via CUPS, ça doit être possible de l'utiliser. Par contre j'ai un doute sur le scanner. Peut-être en essayant de faire tourner un conteneur linux sous freebsd qui contient une installation du pilote Linux pour l'imprimante et le scanner ? Je n'ai jamais essayé mais si j'en avais le besoin, c'est ce que je tenterais

1- Il était évident pour moi que tout le monde connaissait les termes brouteurs/mougou tant c'est présent sur les réseaux sociaux ou ailleurs.

C'est malhereusement un des grands problèmes de communication aujourd'hui : tout le monde suppose que les autres savent, du coup il n'y a plus de remise en contexte, et au final …. plus personne ne comprend plus personne ( et aujourd'hui c'est pire: beaucoup on tendance à changer la définition des termes employés, ou à réinventer d'autres termes - novlangue ).

Je ne connaissais pas ces deux termes : je ne suis pas sur les réseaux sociaux, et ailleurs je ne les ai rencontrésque très peu (pas suffisamment pour me souvenir de la signification de ces termes).

Pour ma part je vais passer à autre chose. Quelque chose qui ne tente pas le forcing sur snap, appimage ou flatpack.

Malhereusement pour mon laptop, FreeBSD n'a toujours pas l'air de gérer la mise en hibernation correctement. Dans la famille BSD il semble que ce soit OpenBSD qui gère le mieux. Mais je ne suis pas sûr d'y trouver tous les softs qui m'intéressent.

Potentiellement un problème d'accès au support d'installation (DVD ou clé USB défaillant)

https://fr.wikipedia.org/wiki/SquashFS

c'est que ce monde de surveillance généralisée se met en place sous l'approbation et les applaudissements de tous.

C'est de la configuration client, rien n'empêche un client de ne pas utiliser de proxy pour faire ses requêtes, à par les règles du firewall réseau

S'il a une IP non routable, ses paquets iront nulle part.
mais je serais également partisan du "ceinture bretelle" et mettrai en place des règles de firewall.

Au niveau des logs firewall, l'origine des flux visible est le proxy et non le client réel. Ca masque une partie des infos et rend pénible le débug ou l'analyse de flux

ça peut être effectivement un problème, mais moins gênant qu'on ne le croit.
celà dit avec une solution de centralisation de logs (ELK), on peut tout avoir à un seul endroit.

Leur plus gros usage en entreprise, c'est les règles de sécurités, qui servent en gros à filtrer des catégories de domaines. Déjà les URL ne sont pas toujours catégorisées de facon cohérentes, même sur de grosses solutions, d'autres part en télétravail, soit y a pas de VPN et donc pas de proxy obligatoire (un client peut toujours désactiver la conf proxy), soit il a un VPN, qui souvent a un beau split-tunnel configuré/configurable par le client pour le trafic web, et donc faire comme si il n'y avait pas de VPN.

Ils sont intéressant dans un réseau domestique pour mettre en place un contrôle parental. Et le proxy, il peut aussi jouer le rôle de cache pour optimiser le débit lorsque tu as du monde qui accède au net. Le proxy peut être intéressant pour que les personnes qui ne veulent pas connecter directement leurs machines au net.

Le matériel, la maintenanceet surtout la sécurité/compatibilité avec un réseau moderne…

Je pense que tu as une vue un peu déformée de ce que eut faire un mainframe IBM et Zos.

Zos (qui s'appelait sait faire du TCP IP depuis des dizaines d'années. ZOs s'est très bien adapté aux évolutions techniques modernes. Les mainframes avaient la virtualisation matérielle bien avant qu''on ne puisse l'imaginer sur X86 et Unix. ZOs sait faire l'équivalent de k8s ( voir https://community.ibm.com/community/user/ibmz-and-linuxone/blogs/juergen-holtz1/2022/05/10/containers-on-zos-kubernetes-meets-system-automati ) Un mainframe peut faire tourner des VMs Linux, et on peut même déployer un cluster Openshift sous Zos.

Alors oui, c'est cher. Mais quand tu as besoin de fiabilité, tu en as pour ton argent. Mais c'est comme tout : tout dépend de tes besoins.

Maintenant, comment faire pour donner accès à internet à une machine qui a une IP non routable ? C'est simple : on utilise un proxy qui lui aura une IP routable dans une plage réseau dédiée. C'est lui qui relaiera les paquets vers "le méchant ninternet"

Qelle est la différence avec le NAT ? Vu de loin il n'y en a ps beaucoup, du point de vue du trafic sortant. On a une machine (proxy) qui fait une sorte de translation d'adresse. Par contre c'est pour le trafic entrant que ça devient intéressant : chaque élément devant acueillir du trafic de l'extérieur peut avoir une IP qui écoute sur des ports standards : pas besoin de jongler avec une seule IP qui passerait par plusieurs ports (port 2221 pour la machine 1 en ssh, port 2222 pour la machine 2 en ssh, port 8443 pour l'accès a la caméra 1, port 8444 pour l'accès à la caméra 2, etc ….). Si tu as plusieurs service web en écoute en ssh, tu les fais tous écouter sur le port stndard (443), et la vie est plus simple.

Avec IPV4 tu n'as pas besoin de NAT pour empêcher tes ip de ton réseau local d'être joignables : il suffit de leur attribuer des adresses non routables ( extrait de https://fr.wikibooks.org/wiki/R%C3%A9seaux_TCP/IP/Adressage_IP_v4 ) :

Adresses privées (non routables sur l'Internet):

Un certain nombre de ces adresses IP sont réservées pour un usage interne aux entreprises (RFC 1918[3]) Elles ne doivent pas être utilisées sur l'internet où elles ne seront de toute façon pas routées. Il s’agit des adresses :

de 10.0.0.0 à 10.255.255.255
de 172.16.0.0 à 172.31.255.255
de 192.168.0.0 à 192.168.255.255
les adresses de 127.0.0.0 à 127.255.255.255 sont également interdites.
Les adresses 127.0.0.0 à 127.255.255.255 s’appellent l’adresse de boucle locale (loopback en anglais) et désigne la machine locale (localhost).

(fin de citation).

Une machine dans ces plages IP ne sera donc pas accessible depuis l'exterieur parce que :

• ton routeur ne doit pas les rediriger
• même si ton routeur les redirige, le routeur de ton FAI ne le fera pas.

Il existe également des adresses non routables en IPV6.

Il ne semble pas y avoir d'intérêt à avoir un DNS utilisable uniquement de l'intérieur.

Quand tu commences a avoir plus de deux ou trois machines (physiques ou virtuelles) c'est très pratique. J'en ai eu un pendant longtemps (je ne l'ai pas encore remis en service depuis mon déménagement mais il devrait revenir).

Ne pas publier de DNS pour ne pas configurer un pare-feu est une mauvaise idée.

Aucun rapport.

Il existe mdns si tu ne veux pas configurer de DNS.

Ben il disait qu'il voulait configurer un DNS.

Moi j'ai jamais compris ce genre d'argument : En quoi l'IPV6 empêche d'avoir un pare-feu ? Pour rappel, un pare-feu c'est un truc qui dit "j'empêche d'entrer ce qui vient de l'exterieur" ou "je n'autorise que ce qui vient de l'exterieur à aller à tel ou tel endroit". Tu peux parfaitement avoir un pare-feu qui ne laisse rien entrer, que ce soit en IPV4 ou en IPV6.

L'IPv6, c'est un peu comme inviter les gens à se téléporter directement chez toi sans passer par la porte d'entrée finalement. Et moi, j'aime pas trop faire rentrer n'importe qui…

Mais ça n'a vraiment aucun rapport.

Hum … quand je lis ça … ç me fait doucement rire, surtout de la part de quelqu'un qui reproche souvent la "résistance au changement".

Merci pour la réponse. Ca n'a pas l'air d'être très simple. Ya-t-il d'autres fournisseurs qui permettent de se passer de leur box plus facilement ?

Je complète ma question : serait-il possible de configurer un PC en routeur en lui installant une carte PCI Fibre adaptée ?

Est-ce qu'il est possible de se passer de la box sosh et de bénéficier de l'IPV4/IPV6 ?

Je crois que ça ne sert à rien d'expliquer : pour ma part je ne suis pas un expert réseau, mais j'ai eu l'occasion de travailler pour des opérateurs (fibre, hertzien/satellite, ou même certains des 4 principaux opérateurs français, et je n'ai eu qu'un petit aperçu de ce que c'est.

Moi je vois bien madame Michu être contente que son pc puisse être scanné car elle a oublié de cocher le "mur de feu" sur sa box. Ça c'est sûr elle va être contente.

Quand je lis ça d'une part ça me fait rire (Mme Michu ne coche jamais rien sur sa box, elle prend les options par défaut, et par défaut le "mur du feu" est fermé si les fournisseurs font bien leur job en amont - pous sa machine, aujourd'hui, elle est fournie avec un "mur du feu" préinstallé et préconfiguré), mais d'autre part ça me désespère - parce que c'est ce genre de raisonnement qui fait qu'on avance pas sur l'adoption d'IPV6 ( on croirait lire des nostalgiques du minitel).

IPV6, c'est un peu comme la disparition de transpac/x25, mais à l'échelle mondiale. Normal que ça prenne beaucoup de temps? Et en plus de ça je pense qu'il y a derrière un business lié à la fourniture d'IPV4 qui doit être lucratif pour certains. Mais quand ces fameuses IP seront effectivement devenues très chères, ou que le bricolage permettant de continuer à utiliser IPV4 deviendra plus cher à maintenir que ce qu'il apporte, ça changera (et l'IOT permettra peut-être, en raison de son grand besoin d'IP, d'accélérer la transition).

Moi perso ce que je reproche à IPV6, c'est que les FAI n'accordent qu'un /64. Pour moi c'est une grosse erreur : un particulier devrait pouvoir sectionner son réseau ( tous les trucs connectés à l'exterieur devraient être séparés des PC/nas/etc .. qui eux ne devraient pas être accessibles de l'exterieur. Une DMZ quoi).

Ce qui est incroyable dans cette réponse, c'est de défendre la position qu'il faut absolument apposer GNU à Linux en passant sous silence tout le reste,

Euh … Personne ne veut passer sous silence le reste. On parle d'histoire. Et l'histoire, même si elle ne plait pas, c'est que GNU - le système - a commencé à être créé avant que Linus ne sorte une version de son noyau. Et, hereux concous de circonstances, le noyau que Linus a développé correspondait parfaitement à ce qui manquait au système GNU.

Si Linus avait sorti son noyau avant qu'un système puisse tourner par dessus, serait-il ce qu'il est aujourd'hui ? Personnellement je n'en suis pas sûr. Si Linus avait sorti son noyau plus tard, après que le système GNU ait développé le sien (ou pris un noyau ailleurs), est-ce que Linux serait aussi connu ? Pas sûr. C'est un peu comme Bill Gates et MS Dos : un concours de circonstances favorables pour GNU et le noyau.

Maintenant il est clair que les outils GNU représentent bien moins dans une distribution Linux que tous les autres composants. Et aujourd'hui être tatillon sur le nommage GNU/Linux quand on parle d'une distribution n'est certainement pas approprié. Mais quand on fait de l'histoire, on ne peut pas prler de Linux sans GNU : ils ont tous deux profité l'un de l'autre pour se faire connaitre - et c'est une bonne chose je trouve.

Etre dansl'impasse, à cause d'un mot de passe, ça me dépasse. Il faut que je me surpasse, un tour de passe-passe, que cette protection trépasse, et hop, j'outrepasse !!!

Il faudrait nous en dire plus pour pouvoir t'aider :
- quel logiciel ?
- quel contexte :
- est-ce un logiciel qui vient d'être installé ? Dans ce cas il y a peut-être un mot de passe par défaut.
- est-ce en milieu professionnel ? Dans ce cas il faut dans un premier temps contacter la personne qui a utilisé le logiciel en question pour qu'elle te donne le mot de passe.
- autre contexte ? A préciser : je pense que les intervenants ici (et les responsables du site ) ne voudraient pas se trouver complice d'une atteinte à la confidentialité de données ou intrusion non autorisée dans un système d'information. Enfin, il est tout aussi possible que le fichier exe soit également un cheval de troie pour installer n'importe quoi sur ton système.

C'est effectivemet une forme d'hameçonnage légal.