Dans ce cas, fail2ban permettrait de limiter les attaques SSH et ne répond qu'à une toute petite partie du problème.
Les attaques sur les VPN ou les PKI etc. ne seraient pas détectées par fail2ban (que j'apprécie beaucoup d'ailleurs).
La dernière spec OATH est "time based", donc on ne parle pas du token calculette mais du token sans bouton, avec juste un écran et une horloge interne.
> Si tu veux lancer une discussion sur linuxfr, il faut l'ouvrir !
J'avais justement l'impression d'ouvrir la discussion.
Nos questions sont super ouvertes : "comment on avance ?" plutôt que "on colle le composant XZR86 ou le 2865NF ?".
Les personnes ayant envie de contribuer au projet sont donc invitées à s'inscrire à la ml...
> Ça peut être une solution, utiliser nos mobiles surpuissants pour
> implémenter l'OATH.
Oui et non.
Oui car en effet c'est possible techniquement, comme d'ailleurs on peut le faire sur un PC, un PDA ou tout autre matériel avec suffisamment de puissance de calcul...
Non car tout le principe du token matériel repose sur la nécessité de posséder le bidule : le token doit être suffisamment sécurisé pour qu'on ne puisse pas récupérer la clef secrète de manière triviale (perturbations, démontage...).
Si tu peux installer le logiciel de génération de mot de passes dessus, tu peux très probablement installer un keylogger qui enregistrera les mots de passe, voire te choper un virus ou un trojan qui récupérera la clef secrète et l'enverra ailleurs (clef secrète compromise = n'importe qui peut prévoir les mots de passe à venir). Une solution logicielle sur un outil communiquant ne présente pas du tout le même niveau de sécurité qu'un token physique dédié, machine "autiste" sans possibilité de communication autre que le fait d'afficher les mots de passe générés.
Un PC / PDA / téléphone avec un soft qui tourne dessus s'apparente donc plus à du "quelque-chose que je connais" que "quelque-chose que je possède". Et ce n'est pas vraiment de l'authentification forte, quoi qu'en disent les vendeurs.
La solution serait éventuellement d'avoir une carte matérielle dans le téléphone ou le PC, chargée d'effectuer les calculs, mais même là les possibiltés d'interception sont importantes.
Au final, rien ne vaut le bon vieux token (ou la feuille de papier avec 50 mots de passe à usage unique).
Désolé pour ce long article, j'insiste juste sur un point :
Si vous connaissez des projets similaires, actifs ou morts, si vous connaissez le secteur de l'auth forte, si vous avez un retour d'expérience sur le sujet, si vous pouvez nous mettre en contact avec des fabricants, des éditeurs etc, on est preneur, soit dans les commentaires de la news, soit sur la liste...
Je suis actuellement doctorant en troisième année (...) il me fallait payé (...) l'électronique avait ramenait l'équité (...) Ils ont refusé et mon fait payé 5.60 € (...) pour commencer ma réflection (...) etc etc
Une idée des performances de ce SMTP face aux autres ?
C'est un point important histoire de ne pas se retrouver à la ramasse si le traffic smtp augmente.
Cela n'a rien à voir ni avec Linuxfr ni avec le pape.
Cela a voir avec la loi française (que Linuxfr doit respecter) et avec le délit de provocation à la discrimination raciale ou religieuse.
Si tu veux absolument pouvoir souhaiter publiquement la mort de personnes sur ce site (je comprends que cela soit vital pour certains de pouvoir exprimer leur haine en toute liberté - ah non pardon c'est de l'humour), paye un avocat à l'association Linuxfr qui nous apportera une réponse sur la faisabilité de la chose. Dans la négative, fais changer la loi française.
Sinon, arrête de faire l'imbécile.
Dites en lisant la news vous auriez vu que le lien "faiblesse des contributions" de la news pointe sur un mail ( http://mail.nessus.org/pipermail/nessus/2005-October/msg0004(...) ) de Renaud qui mentionne "A number of companies are _using_ the source code against us, by selling or renting appliances, thus exploiting a loophole in the GPL. So in that regard, we have been fueling our own competition and we want to put an end to that. Nessus3 contains an improved engine, and we don't want our competition to claim to have improved "their" scanner.".
We're fed up to do most of the work and let many companies not only profit from our efforts, but also actively fight against us (or me personally
as it happened in the past).
I'm fed up of seeing companies bill their customers for "plugin updates" for a much higher price than $1,200 per year, when all they do simply is to mirror www.nessus.org/nasl/all-2.0.tar.gz and resell it to their users (without any QA on them by the way, I have a funny annecdote about that). And I'm fed up of seeing all these companies take _my_ work, rebrand it, and claim it as being their own technology.
w> Pour un cracker en herbe ça doit être cool.
> Pour un admin soucieux de ses bécanes et qui fait bien son boulot,
> c'est plus discutable.
Amusant, j'ai l'opinion inverse...
Et pour avoir observé Nessus en production sur de, heuu, *gros* parcs, c'est d'ailleurs ce qui se produit.
Pour le cracker qui veut se faire la machine de son voisin, l'intérêt de Nessus est très limité : pas discret pour un sou, les attaques utilisées sont "bourrines" (je vais me faire incendier là) et les patches correctifs sont disponibles. Pour pénétrer sur une machine particulière, mieux vaut utiliser des outils intrusifs web type Nikto (vm666 le connait bien), Whisker ou leurs successeurs, voire faire le travail à la main (on n'a pas encore trouvé -à ma connaissance- le moyen d'automatiser des tests d'intrusion de qualitai et c'est d'ailleurs pour cela que des société vendent -fort cher- ce savoir faire).
Bref Nessus comme outil pour cracker *une* machine bien particulière est inaproprié.
Là ou Nessus et consors sont en revanche super utiles c'est justement pour l'admin soucieux de ses bécanes et qui fait bien son boulot. En complément de ses tâches "actives de sécurisation, le fait de périodiquement lancer des scans Nessus sur toute ou partie de son réseau lui permet d'avoir un suivi, certes imparfait, mais régulier du niveau de risque de son infrastructure. Il existe d'ailleurs 87502 vendeurs de boites noires (Tenable...) ou de services web (Qualys...) qui fonctionnent sur ce principe de suivi à fréquence régulière dans le but de traquer les anomalies (changement brutal du niveau de risque).
On ne travaille donc plus sur une machine particulière mais sur toute l'infrastructure, dans le cadre d'un processus industriel de supervision du niveau de risque.
> Lorsque je reçois un mail je voudrais (...)
> lui envoyer un message en HTML lui demandant de
> s'identifier (avec code anti-spam).
Berk, c'est non standard, c'est moche, ça fait du traffic pour rien et ça emm*rde TOUS les expéditeurs légitimes qui vont devoir se plier à tes exigences.
Installe plutôt whitelister et/ou spamassassin histoire de filtrer le bon grain de l'ivraie sans solliciter l'expéditeur.
Les deux logiciels susmentionnés me satisfont pleinement.
Et je pense aussi que ceux qui ont pertinenté ton commentaire ne sont pas non plus bien au courant.
J'ai pertinenté son commentaire.
Je ne suis peut-être pas bien au courant, mais j'ai des yeux pour voir qu'effectivement, le site LinuxFrench n'est pas mis à jour. Pour un site communautaire, ça la fout mal. Et je rejoins donc n-2 quand il dit que communiquer sur l'importance d'héberger un site non maintenu n'est peut-être pas la chose la plus judicieuse.
Note bien que je ne pense pas manquer de respect à qui que ce soit en disant cela. Je ne doute pas que LinuxFrench ai favorisé plein de choses, notamment la montée d'acteurs engagés du libre.
As a consumer and a developer, I expect stuff to just work, and I also expect backwards compatibility. When I get a new version of my current browser, I expect all the sites that worked before will still work.
With respect to standards and interoperability, our goal in developing Internet Explorer 8 is to support the right set of standards with excellent implementations and do so without breaking the existing web.
Apparemment ils se posent la même question que toi...
Vu la part qu'IE représente sur le web, MS ne peut pas se permettre de casser la rétrocompatibilité. A mon avis leur position est pas évidente.
Ca me fait toujours marrer ce "si tu participes pas de la façon que je trouve la mieux, ta gueule".
Relis mon post ou arrête ta mauvaise foi.
Le monsieur se plaint qu'il n'y a aucune news technique sur Linuxfr. Linuxfr est un site collaboratif, daique le sait très bien depuis le temps qu'il traîne dans le co1n. Il a d'ailleurs, en son temps, proposé des news fort bien foutues.
Dans ces conditions il me paraît malvenu de critiquer le manque de news. J'ai bien dit critiquer le manque de news, et rien d'autre, pas la peine d'extrapoler à l'utilisation et la lecture du site.
[^] # Re: fail2ban
Posté par Amaury . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 6.
Les attaques sur les VPN ou les PKI etc. ne seraient pas détectées par fail2ban (que j'apprécie beaucoup d'ailleurs).
[^] # Re: Documentations...
Posté par Amaury . En réponse au journal Authentification mixte. Évalué à 5.
[^] # Re: Comment nous aider
Posté par Amaury . En réponse à la dépêche OpenToken : un projet de token d'authentification matérielle ouvert. Évalué à 1.
[^] # Re: Comment nous aider
Posté par Amaury . En réponse à la dépêche OpenToken : un projet de token d'authentification matérielle ouvert. Évalué à 1.
J'avais justement l'impression d'ouvrir la discussion.
Nos questions sont super ouvertes : "comment on avance ?" plutôt que "on colle le composant XZR86 ou le 2865NF ?".
Les personnes ayant envie de contribuer au projet sont donc invitées à s'inscrire à la ml...
[^] # Re: OTP
Posté par Amaury . En réponse à la dépêche OpenToken : un projet de token d'authentification matérielle ouvert. Évalué à 2.
> implémenter l'OATH.
Oui et non.
Oui car en effet c'est possible techniquement, comme d'ailleurs on peut le faire sur un PC, un PDA ou tout autre matériel avec suffisamment de puissance de calcul...
Non car tout le principe du token matériel repose sur la nécessité de posséder le bidule : le token doit être suffisamment sécurisé pour qu'on ne puisse pas récupérer la clef secrète de manière triviale (perturbations, démontage...).
Si tu peux installer le logiciel de génération de mot de passes dessus, tu peux très probablement installer un keylogger qui enregistrera les mots de passe, voire te choper un virus ou un trojan qui récupérera la clef secrète et l'enverra ailleurs (clef secrète compromise = n'importe qui peut prévoir les mots de passe à venir). Une solution logicielle sur un outil communiquant ne présente pas du tout le même niveau de sécurité qu'un token physique dédié, machine "autiste" sans possibilité de communication autre que le fait d'afficher les mots de passe générés.
Un PC / PDA / téléphone avec un soft qui tourne dessus s'apparente donc plus à du "quelque-chose que je connais" que "quelque-chose que je possède". Et ce n'est pas vraiment de l'authentification forte, quoi qu'en disent les vendeurs.
La solution serait éventuellement d'avoir une carte matérielle dans le téléphone ou le PC, chargée d'effectuer les calculs, mais même là les possibiltés d'interception sont importantes.
Au final, rien ne vaut le bon vieux token (ou la feuille de papier avec 50 mots de passe à usage unique).
# Comment nous aider
Posté par Amaury . En réponse à la dépêche OpenToken : un projet de token d'authentification matérielle ouvert. Évalué à 10.
Si vous connaissez des projets similaires, actifs ou morts, si vous connaissez le secteur de l'auth forte, si vous avez un retour d'expérience sur le sujet, si vous pouvez nous mettre en contact avec des fabricants, des éditeurs etc, on est preneur, soit dans les commentaires de la news, soit sur la liste...
# Niveau en orthographe d'un thésard
Posté par Amaury . En réponse au journal Corpus des fonctionnaires contre les étudiants. Évalué à 10.
Cé inquiétan poure l'univerresitait en effé
[^] # Re: Performance
Posté par Amaury . En réponse à la dépêche Un nouveau serveur SMTP est né : Tethys, entièrement écrit en Lua. Évalué à 4.
# Performance
Posté par Amaury . En réponse à la dépêche Un nouveau serveur SMTP est né : Tethys, entièrement écrit en Lua. Évalué à 5.
C'est un point important histoire de ne pas se retrouver à la ramasse si le traffic smtp augmente.
[^] # Re: Concernant ta première note
Posté par Amaury . En réponse au journal Linuxfr le site le plus moche au monde?. Évalué à 3.
Cela a voir avec la loi française (que Linuxfr doit respecter) et avec le délit de provocation à la discrimination raciale ou religieuse.
Si tu veux absolument pouvoir souhaiter publiquement la mort de personnes sur ce site (je comprends que cela soit vital pour certains de pouvoir exprimer leur haine en toute liberté - ah non pardon c'est de l'humour), paye un avocat à l'association Linuxfr qui nous apportera une réponse sur la faisabilité de la chose. Dans la négative, fais changer la loi française.
Sinon, arrête de faire l'imbécile.
# Holala c'est vraiment inimaginable
Posté par Amaury . En réponse au journal [HS] Seul la droite gouvernementale touche le RMI ?. Évalué à 7.
QUEL SCOOP !!!!!!
[^] # Re: RTFA
Posté par Amaury . En réponse à la dépêche Sortie de la première version stable d'OpenVAS (fork Nessus). Évalué à 8.
L'auteur a publiquement expliqué la situation à de nombreuses reprises comme par exemple dans http://mail.nessus.org/pipermail/nessus/2005-January/msg0018(...)
We're fed up to do most of the work and let many companies not only profit from our efforts, but also actively fight against us (or me personally
as it happened in the past).
I'm fed up of seeing companies bill their customers for "plugin updates" for a much higher price than $1,200 per year, when all they do simply is to mirror www.nessus.org/nasl/all-2.0.tar.gz and resell it to their users (without any QA on them by the way, I have a funny annecdote about that). And I'm fed up of seeing all these companies take _my_ work, rebrand it, and claim it as being their own technology.
[^] # Re: Deux ans de travail
Posté par Amaury . En réponse à la dépêche Sortie de la première version stable d'OpenVAS (fork Nessus). Évalué à 7.
> Pour un admin soucieux de ses bécanes et qui fait bien son boulot,
> c'est plus discutable.
Amusant, j'ai l'opinion inverse...
Et pour avoir observé Nessus en production sur de, heuu, *gros* parcs, c'est d'ailleurs ce qui se produit.
Pour le cracker qui veut se faire la machine de son voisin, l'intérêt de Nessus est très limité : pas discret pour un sou, les attaques utilisées sont "bourrines" (je vais me faire incendier là) et les patches correctifs sont disponibles. Pour pénétrer sur une machine particulière, mieux vaut utiliser des outils intrusifs web type Nikto (vm666 le connait bien), Whisker ou leurs successeurs, voire faire le travail à la main (on n'a pas encore trouvé -à ma connaissance- le moyen d'automatiser des tests d'intrusion de qualitai et c'est d'ailleurs pour cela que des société vendent -fort cher- ce savoir faire).
Bref Nessus comme outil pour cracker *une* machine bien particulière est inaproprié.
Là ou Nessus et consors sont en revanche super utiles c'est justement pour l'admin soucieux de ses bécanes et qui fait bien son boulot. En complément de ses tâches "actives de sécurisation, le fait de périodiquement lancer des scans Nessus sur toute ou partie de son réseau lui permet d'avoir un suivi, certes imparfait, mais régulier du niveau de risque de son infrastructure. Il existe d'ailleurs 87502 vendeurs de boites noires (Tenable...) ou de services web (Qualys...) qui fonctionnent sur ce principe de suivi à fréquence régulière dans le but de traquer les anomalies (changement brutal du niveau de risque).
On ne travaille donc plus sur une machine particulière mais sur toute l'infrastructure, dans le cadre d'un processus industriel de supervision du niveau de risque.
[^] # Re: Deux ans de travail
Posté par Amaury . En réponse à la dépêche Sortie de la première version stable d'OpenVAS (fork Nessus). Évalué à 1.
# Un conseil en passant...
Posté par Amaury . En réponse au message Postfix n'écoute que sur 127.0.0.1. Évalué à 1.
# Mauvaise idée
Posté par Amaury . En réponse au message Serveur mail POSTFIX. Évalué à 2.
> lui envoyer un message en HTML lui demandant de
> s'identifier (avec code anti-spam).
Berk, c'est non standard, c'est moche, ça fait du traffic pour rien et ça emm*rde TOUS les expéditeurs légitimes qui vont devoir se plier à tes exigences.
Installe plutôt whitelister et/ou spamassassin histoire de filtrer le bon grain de l'ivraie sans solliciter l'expéditeur.
Les deux logiciels susmentionnés me satisfont pleinement.
# L'excellentissime Fedora 8
Posté par Amaury . En réponse au journal Azureus. Évalué à 3.
Question que je me pose depuis pas mal de temps : tu bosses pour RedHat ou une société partenaire ?
Ne prends pas cette question comme une critique, ce n'en est pas une. Je me suis longtemps posé la même question au sujet du regrett^W Sam_from_ms.
[^] # Re: linuxfrench ??
Posté par Amaury . En réponse à la dépêche Lea-Linux a besoin de vous. Évalué à 9.
J'ai pertinenté son commentaire.
Je ne suis peut-être pas bien au courant, mais j'ai des yeux pour voir qu'effectivement, le site LinuxFrench n'est pas mis à jour. Pour un site communautaire, ça la fout mal. Et je rejoins donc n-2 quand il dit que communiquer sur l'importance d'héberger un site non maintenu n'est peut-être pas la chose la plus judicieuse.
Note bien que je ne pense pas manquer de respect à qui que ce soit en disant cela. Je ne doute pas que LinuxFrench ai favorisé plein de choses, notamment la montée d'acteurs engagés du libre.
[^] # Re: Compatibilité
Posté par Amaury . En réponse à la dépêche IE8, le test Acid2 et le futur du web. Évalué à 2.
With respect to standards and interoperability, our goal in developing Internet Explorer 8 is to support the right set of standards with excellent implementations and do so without breaking the existing web.
Apparemment ils se posent la même question que toi...
Vu la part qu'IE représente sur le web, MS ne peut pas se permettre de casser la rétrocompatibilité. A mon avis leur position est pas évidente.
# ...
Posté par Amaury . En réponse au journal Vista SP1 RC c'est du grand comique!. Évalué à -9.
OSEF!
[^] # Re: Alain Soral
Posté par Amaury . En réponse au journal L'effroyable imposture 2. Évalué à 6.
Je pense que vous avez un problème avec votre cla
# La vraie question...
Posté par Amaury . En réponse au journal ISIS, l'intranet sécurisé du gouvernement français. Évalué à 8.
[1] cf http://medias.lemonde.fr/mmpub/edt/doc/20071123/981708_rappo(...)
[^] # Re: Exception
Posté par Amaury . En réponse au journal Quel contenu pour linuxfr ?. Évalué à 3.
Relis mon post ou arrête ta mauvaise foi.
Le monsieur se plaint qu'il n'y a aucune news technique sur Linuxfr. Linuxfr est un site collaboratif, daique le sait très bien depuis le temps qu'il traîne dans le co1n. Il a d'ailleurs, en son temps, proposé des news fort bien foutues.
Dans ces conditions il me paraît malvenu de critiquer le manque de news. J'ai bien dit critiquer le manque de news, et rien d'autre, pas la peine d'extrapoler à l'utilisation et la lecture du site.
[^] # Re: Exception
Posté par Amaury . En réponse au journal Quel contenu pour linuxfr ?. Évalué à 1.
ça me fait toujours marrer ce genre de commentaires venant de quelqu'un dont la dernière news date de plus de 3 ans.
[^] # Re: Qelques réponses de Free
Posté par Amaury . En réponse à la dépêche Les auteurs d'iptable et de Busybox appellent Iliad/Free à respecter la GPL. Évalué à 3.
http://blog-droit.over-blog.com/article-3186781.html
http://www.google.com/search?complete=1&hl=en&q=publ(...)