Je répète que ta solution est bancale :
Pourquoi veux-tu avoir des mots de passe temporaires ? Probablement parce que tu ne fais pas confiance aux personnes à qui tu vas communiquer ce mot de passe et que tu souhaites leur limiter l'accès.
Manque de bol, un user avec un pass root a besoin de 2 minutes pour compromettre une machine en mettant un petit script suid planqué quelque part. Changer le mot de passe root dans la foulée ne réglera pas le problème, sauf à mettre une bardée d'autres solutions techniques complexes en place (tripwire, kill du shell root...)
Conclusion : si tu ne fais pas confiance à tes utilisateurs, ne leur communique PAS le mot de passe root, même pour 5 minutes.
Conséquence : cherche une autre solution technique (ex: sudo) ou organisationnelle (faire effectuer l'admin par des personnes de confiance)
Si je comprends bien tu cherches à autoriser des utilisateurs différents à administrer un serveur pour une durée limitée.
Au delà du fait que cette manière d'attribuer temporairement des droits root est étrange*, la commande sudo te permettrait probablement de donner l'accès à des commandes sensibles de manière plus fine.
Au lieu de changer le mot de passe root, tu édites les commandes que tes users peuvent lancer en sudo.
Il est même possible de désactiver le mot de passe root afin de nécessiter l'utilisation d'un compte standard pour l'administration, ce qui permet d'améliorer la traçabilité des opérations.
* à partir du moment où un utilisateur a eu un shell root il peut très bien mettre en place une backdoor qui lui permette de revenir plus tard, le fait de changer le mot de passe n'apporte aucune garantie sur ce point.
> ah, le sens de l'Histoire... appliqué à d'autres circonstances ça
> justifie tout. "foutez le camp de notre Grande Allemagne/Grand Israel
> ou on va vous aider manu militari, et plus si affinités"
Merci pour cette remarque constructive, mesurée et pleine de bon sens ! Effectivement tu m'as ouvert les yeux avec cette comparaison à laquelle (suis-je bête !) je n'avais pas pensé. Tu as raison et j'avais tort, je présente donc toutes mes excuses aux personnes ayant lu mes inepties.
> Si : tu deviens dépendant du relais SMTP de ton FAI.
Si cela te pose un problème (*) tu peux très bien louer les services d'un provider de services mails dont c'est le métier, avec un taux de dispo à 5 neuf. Ca coûte moins de 15 € par an et tu restes indépendant du relais SMTP de ton FAI. Bon, là tu vas me sortir que tu te crées une dépendance vis à vis de ton provider de services mails.
* et j'ai du mal à saisir en quoi cela est un problème, compte tenu que tu es déja dépendant de ton FAI pour ton accès Internet, que tu lui fais confiance pour router (et potentiellement inspecter, bloquer, signaler aux autorités) tout ton traffic mail/web/p2p... Et mon petit doigt me dit qu'entre ton smtp perso et le smtp de ton FAI ce n'est pas ce dernier qui a le taux de disponibilité le moins mauvais (**)
** Inutile aux c0wbOys qui traînent de me sortir l'uptime de leur serveur maison, leur expérience personnelle n'est pas la règle...
> Si j'ai bien compris la page d'explications, ils vérifieraient que le nom
> DNS inverse (verne.ortolo.eu dans mon cas) privé de son premier
> composant (ortolo.eu dans mon cas) correspond au domain de
> l'adresse d'expédition (MAIL FROM:).
Je ne sais pas de quel page d'explication tu parles, mais je ne pense pas que cela soit le cas. Comme tu le dis Google utilise le SPF pour cela.
En revanche et comme tous leurs copains ils vérifient les reverse DNS donc si ta machine dit s'appeler verne.otolo.eu mais que son reverse pointe vers abo-112.7.69.87.infonie.fr, ça part mal.
> Sommes-nous condamnés à nous envoyer des mail entre geeks
> possédant un serveur personnel, ou alors à utiliser le relai
> SMTP de notre FAI ?
Google ne fait pas cela contre toi mais pour limiter la quantité de spam qu'ils reçoivent. La nature du traffic smtp a pas mal évolué depuis quelques années et tous les gros hébergeurs de webmail poussent leurs correspondants à sécuriser leur propre infrastructure mail.
Tu peux soit prendre cela comme une attaque personnelle de Google sur ta personne (ce n'est pas le cas), ou aller dans le sens de l'histoire et
- personnaliser ton reverse DNS afin que celui-ci corresponde au hostname que ta machine affiche pendant la sessions SMTP (HELO).
- utiliser SPF et Domainkeys pour augmenter les chances que tes mails soient notés en "ham" par le SMTP en face
- faire transiter tes mails par le SMTP de ton FAI. A partir du moment où tes mails transitent en clair sur l'Internet, utiliser le SMTP de ton FAI en tant que relais ne change rien.
En faisant cela tu ne perds rien (asuf un peu de temps pour configurer le bousin) et tu rends la tâche plus difficile pour les spammeurs.
Je ne pense pas que cette excuse tienne lorsqu'Albannel viendra te coller 1/ un avertissement 2/ un avertissement 3/ une prune 4/ en taule parce qu'on aura trouvé "Franck_Dubosc-TheBestOf.DVDRip.Slammer.avi" sur ton PC.
C'est pourquoi je t'encourage vivement à installer le firewall OpenOffice sur ton PC.
Posté par Amaury .
En réponse au journal 8 mars.
Évalué à 2.
> rien que considérer le sexe comme faisant partie de l'identité
> publique d'un individu est tendancieux: à tout bien considérer, c'est
> une particularité génétique, anatomique, médicale, sexuelle, en un
> mot: d'ordre strictement privé.
Sympa ton monde !
Perso dans mon monde je cotoie des hommes et des femmes, des blonds, des bruns, des chauvounets, des petits et des grands, des personnes habillées chaudement ou non, des gens parfumés ou non, des personnes agitées ou calmes, des gens avec voix rauque ou haute perchée...
Attention ! Toutes ces caractéristiques ne me permettent pas d'établir un quelconque classement de valeur de ces personnes, mais j'ai des yeux pour voir le monde tel qu'il est et essayer de me convaincre du contraire est illusoire et néfaste.
> IANAL, mais je ne crois pas que le dépôt soit valide étant donné que le mot Nagios était déjà utilisé avant...
Dans le cas du nom de domaine sus-cité, le mot "nagios" était utilisé pour désigner le logiciel Nagios dont la marque a été déposé ultérieurement, et pas une autre chose sans rapport.
Si nagios-fr.org avait hébergé un site de vente de doryphores vivants, ta théorie tiendrait peut-être (et encore, recherche d'antériorité toussa).
En l'état actuel des choses le droit est du coté du méchant.
(1) > une société de support et d'intégration nommée "Nagios
> Enterprise" et qui a déposé le nom "Nagios"
(2) > l'auteur demande à ce que lui soit cédé l'enregistrement
> DNS nagios-fr.org
Si (1) est avéré et valable en France alors le propriétaire actuel n'a pas trop le choix face à (2). Il aura beau poster toutes les lettres ouvertes de la terre, le propriétaire de la marque a le droit pour lui. Même si la démarche manque d'élégance, un logiciel GPL et une marque commerciale sont deux choses différentes.
Le meilleur exemple est probablement RedHat et Centos : même soft -ou presque- marques différentes.
> Bref, le webmail c'est pratique lorsque l'on n'a pas le choix. Mais pour
> un vrai confort, rien ne vaut le client lourd.
Quelle belle assertion dénuée de tout fondement.
Tu es conscient qu'un paquet de gens ont volontairement abandonné leur client mail pour passer sur webmail ?
Parmi les arguments que tu avances, la plupart sont incorrects :
- le webmail que j'utilise me permet de sauvegarder mes emails sur un disque local, et je ne m'en prive pas
- le webmail que j'utilise ne charge pas les images dans les mails en HTML et, au passage, le filtre antispam du webmail que j'utilise fait partie des plus efficace que j'ai rencontré
Mais l'argument préféré est "etc". Imparable !
Bref cette affirmation est dénuée de tout fondement autre que ton opinion personnelle.
> si tous les traitements sont réalisés dans des délais acceptables
> alors ton serveur est bien dimensionné.
OK merci, cela confirme mon analyse.
on mesure deux choses :
- l'attente d'un processeur
- l'attente d'io (swap, réseau, disque ...)
Tu connais un moyen simple d'identifier si le goulet vient du CPU (ce que je pense) ou de l'I/O (disque ou réseau car il s'agit d'une application réseau - ce n'est définitivement pas le swap) ?
Ben c'est pas très difficile (mais parfois interdit dans les CGV) d'utiliser un téléphone 3G comme modem. ordinateur <--a--> téléphone <-----> réseau 3G
La connexion "a" ci dessus est soit un cable USB relié au téléphone, ou alors bluetooth ou wifi. http://en.wikipedia.org/wiki/Tethering
J'ai eu la même réaction que toi, mais c'est sous-estimer les capacités de notre ami Poulpy : There are two VeriSign certificates that Winqual supports for establishing an account for a company.
> la plupart des gens qui sont contre c'est uniquement parce que ça
> les empêche de télécharger illégalement en tout impunité.
Tu n'en sais rien du tout et cette affirmation est complètement gratuite.
A titre personnel je trouve complètement disproportionnés le but recherché (maintenir un système permettant la rémunération de la création culturelle) et les moyens employés (fliquer tout l'Internet).
Et je t'affirme que "la plupart des gens qui sont contre" cette loi sont de mon avis. <- cette phrase ne vaut pas plus que la tienne.
[^] # Re: Onetime password
Posté par Amaury . En réponse au journal Accès sécurisé passwd root. Évalué à 7.
Pourquoi veux-tu avoir des mots de passe temporaires ? Probablement parce que tu ne fais pas confiance aux personnes à qui tu vas communiquer ce mot de passe et que tu souhaites leur limiter l'accès.
Manque de bol, un user avec un pass root a besoin de 2 minutes pour compromettre une machine en mettant un petit script suid planqué quelque part. Changer le mot de passe root dans la foulée ne réglera pas le problème, sauf à mettre une bardée d'autres solutions techniques complexes en place (tripwire, kill du shell root...)
Conclusion : si tu ne fais pas confiance à tes utilisateurs, ne leur communique PAS le mot de passe root, même pour 5 minutes.
Conséquence : cherche une autre solution technique (ex: sudo) ou organisationnelle (faire effectuer l'admin par des personnes de confiance)
[^] # Re: Sudo ?
Posté par Amaury . En réponse au journal Accès sécurisé passwd root. Évalué à 4.
Ca t'arrive souvent ? Revois tes procédures d'admin, il y a quelque chose qui cloche.
La fois où ça arrive : "init=/bin/sh" fait ds merveilles...
# Sudo ?
Posté par Amaury . En réponse au journal Accès sécurisé passwd root. Évalué à 7.
Au delà du fait que cette manière d'attribuer temporairement des droits root est étrange*, la commande sudo te permettrait probablement de donner l'accès à des commandes sensibles de manière plus fine.
Au lieu de changer le mot de passe root, tu édites les commandes que tes users peuvent lancer en sudo.
Il est même possible de désactiver le mot de passe root afin de nécessiter l'utilisation d'un compte standard pour l'administration, ce qui permet d'améliorer la traçabilité des opérations.
* à partir du moment où un utilisateur a eu un shell root il peut très bien mettre en place une backdoor qui lui permette de revenir plus tard, le fait de changer le mot de passe n'apporte aucune garantie sur ce point.
[^] # Re: La lutte contre le spam en 2010
Posté par Amaury . En réponse au journal La mort des serveurs mail auto-hébergés. Évalué à 3.
> justifie tout. "foutez le camp de notre Grande Allemagne/Grand Israel
> ou on va vous aider manu militari, et plus si affinités"
Merci pour cette remarque constructive, mesurée et pleine de bon sens ! Effectivement tu m'as ouvert les yeux avec cette comparaison à laquelle (suis-je bête !) je n'avais pas pensé. Tu as raison et j'avais tort, je présente donc toutes mes excuses aux personnes ayant lu mes inepties.
[^] # Re: Ils sont dingues
Posté par Amaury . En réponse au journal La mort des serveurs mail auto-hébergés. Évalué à 2.
Hotmail :
https://support.msn.com/eform.aspx?productKey=edfsmsbl&c(...)
Yahoo :
http://help.yahoo.com/l/us/yahoo//mail/postmaster/defer.html
Google :
http://mail.google.com/support/bin/answer.py?hl=en&answe(...)
[^] # Re: La lutte contre le spam en 2010
Posté par Amaury . En réponse au journal La mort des serveurs mail auto-hébergés. Évalué à 1.
Si cela te pose un problème (*) tu peux très bien louer les services d'un provider de services mails dont c'est le métier, avec un taux de dispo à 5 neuf. Ca coûte moins de 15 € par an et tu restes indépendant du relais SMTP de ton FAI. Bon, là tu vas me sortir que tu te crées une dépendance vis à vis de ton provider de services mails.
* et j'ai du mal à saisir en quoi cela est un problème, compte tenu que tu es déja dépendant de ton FAI pour ton accès Internet, que tu lui fais confiance pour router (et potentiellement inspecter, bloquer, signaler aux autorités) tout ton traffic mail/web/p2p... Et mon petit doigt me dit qu'entre ton smtp perso et le smtp de ton FAI ce n'est pas ce dernier qui a le taux de disponibilité le moins mauvais (**)
** Inutile aux c0wbOys qui traînent de me sortir l'uptime de leur serveur maison, leur expérience personnelle n'est pas la règle...
[^] # Re: Ils sont dingues
Posté par Amaury . En réponse au journal La mort des serveurs mail auto-hébergés. Évalué à 2.
> DNS inverse (verne.ortolo.eu dans mon cas) privé de son premier
> composant (ortolo.eu dans mon cas) correspond au domain de
> l'adresse d'expédition (MAIL FROM:).
Je ne sais pas de quel page d'explication tu parles, mais je ne pense pas que cela soit le cas. Comme tu le dis Google utilise le SPF pour cela.
En revanche et comme tous leurs copains ils vérifient les reverse DNS donc si ta machine dit s'appeler verne.otolo.eu mais que son reverse pointe vers abo-112.7.69.87.infonie.fr, ça part mal.
# La lutte contre le spam en 2010
Posté par Amaury . En réponse au journal La mort des serveurs mail auto-hébergés. Évalué à 2.
> possédant un serveur personnel, ou alors à utiliser le relai
> SMTP de notre FAI ?
Google ne fait pas cela contre toi mais pour limiter la quantité de spam qu'ils reçoivent. La nature du traffic smtp a pas mal évolué depuis quelques années et tous les gros hébergeurs de webmail poussent leurs correspondants à sécuriser leur propre infrastructure mail.
Tu peux soit prendre cela comme une attaque personnelle de Google sur ta personne (ce n'est pas le cas), ou aller dans le sens de l'histoire et
- personnaliser ton reverse DNS afin que celui-ci corresponde au hostname que ta machine affiche pendant la sessions SMTP (HELO).
- utiliser SPF et Domainkeys pour augmenter les chances que tes mails soient notés en "ham" par le SMTP en face
- faire transiter tes mails par le SMTP de ton FAI. A partir du moment où tes mails transitent en clair sur l'Internet, utiliser le SMTP de ton FAI en tant que relais ne change rien.
En faisant cela tu ne perds rien (asuf un peu de temps pour configurer le bousin) et tu rends la tâche plus difficile pour les spammeurs.
[^] # Re: l'erreur informatique...
Posté par Amaury . En réponse au journal un député publie l'IP d'un opposant politique sur son blog, et ajoute "profitez-en". Évalué à 9.
C'est pourquoi je t'encourage vivement à installer le firewall OpenOffice sur ton PC.
[^] # Après la novlangue, le novmonde
Posté par Amaury . En réponse au journal 8 mars. Évalué à 2.
> publique d'un individu est tendancieux: à tout bien considérer, c'est
> une particularité génétique, anatomique, médicale, sexuelle, en un
> mot: d'ordre strictement privé.
Sympa ton monde !
Perso dans mon monde je cotoie des hommes et des femmes, des blonds, des bruns, des chauvounets, des petits et des grands, des personnes habillées chaudement ou non, des gens parfumés ou non, des personnes agitées ou calmes, des gens avec voix rauque ou haute perchée...
Attention ! Toutes ces caractéristiques ne me permettent pas d'établir un quelconque classement de valeur de ces personnes, mais j'ai des yeux pour voir le monde tel qu'il est et essayer de me convaincre du contraire est illusoire et néfaste.
[^] # Re: Définition d'internet d'après l'Assistance Orange
Posté par Amaury . En réponse au journal Il y a internet et internet, mais une escroquerie reste une escroquerie.. Évalué à 1.
Je doute que ce document soit contractuel et opposable à FT.
[^] # Re: [Citation needed]
Posté par Amaury . En réponse au journal BRAVO MICROSOFT. Évalué à 2.
Tu peux citer tes sources ?
[^] # Re: GPL et marque
Posté par Amaury . En réponse à la dépêche Nagios : l'auteur tente de museler sa communauté pour cause d'avoir été trop libre. Évalué à 5.
Dans le cas du nom de domaine sus-cité, le mot "nagios" était utilisé pour désigner le logiciel Nagios dont la marque a été déposé ultérieurement, et pas une autre chose sans rapport.
Si nagios-fr.org avait hébergé un site de vente de doryphores vivants, ta théorie tiendrait peut-être (et encore, recherche d'antériorité toussa).
En l'état actuel des choses le droit est du coté du méchant.
# GPL et marque
Posté par Amaury . En réponse à la dépêche Nagios : l'auteur tente de museler sa communauté pour cause d'avoir été trop libre. Évalué à 7.
> Enterprise" et qui a déposé le nom "Nagios"
(2) > l'auteur demande à ce que lui soit cédé l'enregistrement
> DNS nagios-fr.org
Si (1) est avéré et valable en France alors le propriétaire actuel n'a pas trop le choix face à (2). Il aura beau poster toutes les lettres ouvertes de la terre, le propriétaire de la marque a le droit pour lui. Même si la démarche manque d'élégance, un logiciel GPL et une marque commerciale sont deux choses différentes.
Le meilleur exemple est probablement RedHat et Centos : même soft -ou presque- marques différentes.
Pour mémoire : http://rocbo.lautre.net/milka/ et http://tuxmobil.org/mobilix_asterix.html
[^] # Re: ExtJs
Posté par Amaury . En réponse au sondage Ma bibliothèque javascript préférée. Évalué à 1.
PHPmyERP ?
... je vérifie sur le web et apparemment ça existe !
[^] # Re: Qui se sert encore des clients lourds ?
Posté par Amaury . En réponse à la dépêche Thunderbird 3.0 est sorti. Évalué à -1.
> un vrai confort, rien ne vaut le client lourd.
Quelle belle assertion dénuée de tout fondement.
Tu es conscient qu'un paquet de gens ont volontairement abandonné leur client mail pour passer sur webmail ?
Parmi les arguments que tu avances, la plupart sont incorrects :
- le webmail que j'utilise me permet de sauvegarder mes emails sur un disque local, et je ne m'en prive pas
- le webmail que j'utilise ne charge pas les images dans les mails en HTML et, au passage, le filtre antispam du webmail que j'utilise fait partie des plus efficace que j'ai rencontré
Mais l'argument préféré est "etc". Imparable !
Bref cette affirmation est dénuée de tout fondement autre que ton opinion personnelle.
[^] # Re: Dimensionnement
Posté par Amaury . En réponse au message "load average" et dimensionnement d'un serveur. Évalué à 1.
[^] # Re: Dimensionnement
Posté par Amaury . En réponse au message "load average" et dimensionnement d'un serveur. Évalué à 2.
> alors ton serveur est bien dimensionné.
OK merci, cela confirme mon analyse.
on mesure deux choses :
- l'attente d'un processeur
- l'attente d'io (swap, réseau, disque ...)
Tu connais un moyen simple d'identifier si le goulet vient du CPU (ce que je pense) ou de l'I/O (disque ou réseau car il s'agit d'une application réseau - ce n'est définitivement pas le swap) ?
[^] # Re: Merci
Posté par Amaury . En réponse au sondage Mon accès Internet personnel c'est. Évalué à 2.
ordinateur <--a--> téléphone <-----> réseau 3G
La connexion "a" ci dessus est soit un cable USB relié au téléphone, ou alors bluetooth ou wifi.
http://en.wikipedia.org/wiki/Tethering
[^] # Re: Il pensait à quoi l'auteur de ce sondage ?
Posté par Amaury . En réponse au sondage Mon accès Internet personnel c'est. Évalué à 10.
[^] # Il n'a pas le choix : Verisgin obligatoire
Posté par Amaury . En réponse au journal Petit coup de chapeau à Verisign. Évalué à 2.
[^] # Re: Libre!
Posté par Amaury . En réponse au journal La technologie permettant à Madame Michu de contourner Hadopi déjà disponible!. Évalué à 5.
> les empêche de télécharger illégalement en tout impunité.
Tu n'en sais rien du tout et cette affirmation est complètement gratuite.
A titre personnel je trouve complètement disproportionnés le but recherché (maintenir un système permettant la rémunération de la création culturelle) et les moyens employés (fliquer tout l'Internet).
Et je t'affirme que "la plupart des gens qui sont contre" cette loi sont de mon avis. <- cette phrase ne vaut pas plus que la tienne.
[^] # Re: L'utilisation récurrente de la vidéo d'Adolf Hitler pose question.
Posté par Amaury . En réponse au journal Affaire Zataz suite. Évalué à 3.
[^] # Re: Traduction
Posté par Amaury . En réponse au message Etoilé dans Debian Sid ?. Évalué à 2.
Ca veut dire "étoilé, ça roulaize trop de la balle !" (traduction libre)
# 404
Posté par Amaury . En réponse au journal 10 000 dollars à gagner, à condition de désinstaller Firefox. Évalué à 7.
> Au moins les choses sont claires.
> http://www.microsoft.com/australia/ie8/competition/
We are sorry, the page you requested cannot be found.
En effet c'est direct et arrogant, un truc de ouf !