Bilbo a écrit 212 commentaires

Sans chercher très loin, je vois quelques risques à utiliser ce type de matériel :

• un implant matériel dans la clé, qui pourrait par exemple copier tes communications ;
• une vulnérabilité dans le module peu utilisé / audité, permettant de créer une porte d'entrée noyau sur ton système.

Pour faire une levée de doute, il faudrait des compétences d'audit assez conséquentes, surtout pour la partie matérielle.

Après, est-ce qu'à ta place je considérerais ces risques comme crédibles ou probables, c'est une autre question…

Tu as fait le plus dur, le reste ne devrait pas être super compliqué.

Dans l'interface de eu.org, tu déclares tes 4 serveurs NS de cloudns.net avec leurs noms :

• Nom1 : ns41.cloudns.net
• Nom2 : ns42.cloudns.net

etc…

Comme ils ont un nom qui ne dépend pas de ton domaine, tu peux mettre aussi les IP si tu veux, mais ce n'est pas obligatoire. Ça fera une requête de moins à faire pour les clients, mais il faudra penser à changer ces IP si elles sont modifiées par ClouDNS.

Après, dans ton interface chez ClouDNS, tu crées les enregistrements à héberger dans ta zone : les A, les MX, les CNAME, les SRV… Normalement, les enregistrements NS et SOA seront déjà inclus dedans.

Une fois que tu as mis tout ceci en place, n'oublie pas le protocole DNS repose sur du cache. Donc si tu fais une requête et qu'elle échoue, c'est peut-être parce que ton resolver a la mauvaise réponse en cache. Attend la valeur du TTL de la zone, qui dépend du paramétrage de CloudDNS, ou fait une requête directement sur les serveurs de ClouDNS avec dig ou nslookup. Je te laisse regarder les man de ces logiciels pour trouver comment faire.

Bonne chance.

Salut,

Je ne connaissais pas eu.org, mais après un tour rapide tour de leur site, il semble qu'ils ne fournissent pas l'hébergement du domaine, juste l'enregistrement. C'est donc normal que tu ne puisses pas entrer d'autres informations que les NS et ce qui est lié à DNSSEC, c'est ce qui hébergé dans la zone eu.org.

La solution listée sur la page échange de serveurs de DNS chez eu.org n'a pas l'air de répondre.

Il te reste plusieurs solutions, de la plus simple à la plus complexe :
- tu gardes ton site avec l'URL en github.io.
- tu trouves quelqu'un qui veut bien t'héberger, chez un pote qui a son serveur DNS ou une offre ouverte au public.
- tu achètes un domaine DNS, chez Gandi ou OVH par exemple, pour quelques euros par an. Le prix dépend du TLD (.com, .net, .org, .fr…). Ces fournisseurs offre l'hébergement DNS, ainsi des redirections web et mails.
- tu déploies ton propre serveur DNS. Si tu es débutant, c'est pas hyper compliqué mais il y a quelques détails à connaître. Cherche des docs sur Bind, qui reste le serveur le plus répandu.

Voici mes références principales pour la programmation des scripts en shell (Bash principalement) :

• Advanced Bash Scripting. Un guide très complet. Il existe aussi une version en français mais qui n'a pas été mise à jour.
• The Grymoire, qui contient de bons tutos sur Sed et Awk
• Bash bonnes pratiques
• Pure sh bible. SI tu veux éviter les Bash-ismes.
• ShellCheck. Pas un guide mais un outil indispensable pour perdre les mauvaises habitudes trop communes.
• The Art of Command Line, avec pas mal de tips sur l'interface du Shell.

Ce sont principalement des documents pour éviter les erreurs les plus communes.

Après, comme le disent les autres commentaires, il y a plein d'autres langages qui peuvent servir à faire du scripting : Python, Perl sont les plus utilisés, mais aussi Ruby, PHP, PowerShell (oui, même sur Linux).

Merci pour cette liste, je vais ajouter ceux qui me manquent dans mon Newpipe.

J'en ai quelques uns à rajouter :
- Monsieur Bidouille, son instance Peertube ou sur sa chaîne Youtube : vulgarisation des Fablab au départ, il explique aussi des sujets d'ingénierie assez pointus.
- Micode : peut-être controversé ici, mais j'aime bien son ton simple sur des problèmes de sécurité ou de développement. Je m'en sers pour faire découvrir le dev ou la sécurité à des gens qui ne baignent pas dans le milieu.

Salut à toi,

C'est un problème de gestion de droits. Les systèmes FAT, dont exFAT, ne supportent pas les droits utilisateurs. Tu ne peux pas leur dire "ce fichier appartient à alouali", ça n'a pas de sens pour eux.

Quand tu copies un fichier, la copie est créée avec les droits par défaut de la destination, donc pas de problème. Quand tu le déplaces, Dolphin va chercher à copier les droits du fichier source, ce qui génère ton erreur.

Changer le noatime ne changera rien.

Salut,

Si j'ai bien compris ton besoin, ce que tu cherches s'appelle le mode kiosque ("kiosk mode") ou mode application unique ("single-application mode").
Vu que tu parles d'Ubuntu, je suppose que tu utilises Gnome, j'ai trouvé une documentation là : https://help.gnome.org/admin/system-admin-guide/stable/lockdown-single-app-mode.html.en

Pour info, je l'ai jamais mis en production, j'espère que cette piste te permettra te trouver ce que tu veux.

Il y a effectivement d'autres façons de faire en sorte que tes hosts passent par ton client VPN sans carte réseau ni switch. Faire en sorte que ce soit leur passerelle est sans doute la plus propre et la plus sure.

Par contre, faire des injections ARP n'est normalement pas à la portée d'une "quiche en réseau" :-)

Salut,

Ça reprend les propositions des commentaires plus haut : il faut que ton "client VPN" devienne la passerelle des hosts. Voici ton schéma mis à jour :

               +-------------------+
               |                   |
               | - SERVEUR         |
               |   VPN             |     INTERNET
               |                   +-----------------+
               | - NAT64/DNS64     |                 |
               |                   |                 |
               +-------------------+                 |
                PUBLIC IPV4                          |
                PUBLIC IPV6 RANGE.                   |
                                                     |
                                                     |
                                                     |
                                                     |
                                                     |
                                                     |
                                             +-------+------+
                                             |              |
                                             | ROUTEUR FAI  |
                                             |              |
                                             +-------+------+
                                                     |
                                                     |
                 +  +--------+                       |
                 |  | HOST 1 +--------+        +-----+-----+
                 |  |        |        +--------+  CLIENT   |
                 |  +--------+      +----------|  VPN      |
                 |                  |     +----+           |
 PAS D'IPV4      |  +--------+      |     |    +-----------+
 VPN SERVER IPV6 |  | HOST 2 +------+     |     PUBLIC FAI IPV4
                 |  |        |            |     FAI IPV6 RANGE
                 |  +--------+            |
                 |                        |
                 |  +--------+            |
                 |  | HOST 3 +------------+
                 |  |        |
                 +  +--------+

Pour faire ça, tu as plusieurs solutions, mais la plus simple et d'ajouter une carte réseau dans ton client VPN et connecter tes hosts avec un switch.

Ensuite tu modifies le routage pour que :
- la route par défaut de tes hosts soient le client VPN ;
- la route par défaut de ton client VPN soit le serveur VPN. Attention de laisser une route vers ton serveur VPN en passant par le FAI.
Il faut évidemment activer le routage sur tes machines VPN.

Si tu veux anonymiser tes hosts internes, le NAT est une bonne idée, sinon en IPv6 ce n'est pas nécessaire.
Sans NAT, il faudra gérer le routage retour (Internet -> Serveur VPN -> hosts). La façon de faire dépend de ce que le fournisseur de ton serveur VPN te permet de faire avec ton range IPv6.

youtube-dl fonctionne aussi très bien si tu cherches un outil en CLI.

Dans ce cas, je pense qu'il vaut mieux conseiller une version récente adaptée aux "petites configs", genre xubuntu ou puppy linux. De nombreux outils ont changé depuis 2005 : les environnements de bureau n'ont plus grand chose à voir, Network-Manager n'était pas déployé, certains outils ont changé (ifconfig -> ip, netstat -> ss) et je ne parle que de ceux qui me viennent à l'idée rapidement.

Autant découvrir ce qui se fait maintenant et non pas ce qui se faisait il y a 10 ans. En plus, la doc risque d'être un peu difficile à trouver.
Après si le but est juste d'apprendre vim, il existe aussi pour Windows.

Utiliser une distribution de 2005, c'est bonne idée si c'est pour faire une cible sur laquelle tester ses outils de pentest, c'est une moins bonne idée pour s'en servir quotidiennement… A moins que tu connaisses une version sortie en 2005 qui reçoive encore des mises à jour de sécurité.
De nombreuses failles sont sorties en 12 ans.

Sauf que l'eau gazeuse a un pH acide, et que je sais pas toi, mais moi ça me pique les yeux.

J'ai exactement le routeur qu'il te faut : le TP-Link TL-WR1043ND.

J'avais un peu les mêmes prérequis que toi et j'ai mis 3 semaines à choisir, mais je suis vraiment content de ce routeur. Vraiment bien supporté par OpenWRT (je fais tourner la dernière version de Backfire dessus), il a toutes les capacités que tu cherches, pour environ 50 €. En plus, il a l'air bien reconnu par la communauté OpenWRT.

Avantages supplémentaires :
- port USB 2 ;
- bouton en façade re-programmable sous OpenWRT, pratique pour lancer un script du style WiFi on/off ;
- le même bouton permet de lancer un mode failsafe de OpenWRT en cas de mauvaise config ;
- y en a même qui ont été jusqu'à bidouiller la carte pour y trouver un port série qui peut servir de console.

Seul inconvénient à mon goût : le boîtier est franchement moche.

Site officiel de TP-Link
Documentation d'OpenWRT sur le TP-Link TL-WR1043ND

OK, merci pour l'explication.

Comme je n'avais pas conscience que le fonctionnement avait changé, voici ce qui s'est passé : - J'ai changé de machine il y a peu, mon install était donc neuve ; - Je ne passe presque jamais par la page de garde de LinuxFr [1], je lis les flux Atom sur ma page Netvibes ; - A la première connexion, j'ai rentré mon user/password en croyant être en HTTPS, sans vérifier [1] ; - Ce n'est qu'aujourd'hui que j'ai remarqué être en HTTP, et que les liens Atom pointait vers du HTTP.

Donc, je n'ai pas absolument besoin d'avoir un flux Atom avec des liens en HTTPS, en étant conscient du fonctionnement, c'est suffisant.

Merci pour ton retour rapide en tout cas.

[1] Oui, je sais, c'est mal.

Chez moi ça marche.

C'est vrai que se faire insulter alors qu'on fait de son mieux n'est jamais agréable, alors voici mon ressenti, que j'espère contraire.

Merci Pascal pour toutes ces années à maintenir, faire évoluer, faire vivre l'un des sites qui m'ont le plus apporté dans ma vie professionnelle et pour ma culture personnelle. Sérieux, je pense que sans DLFP, je n'aurais jamais autant pris plaisir à découvrir Linux, puis à en faire mon métier (je suis netadmin pour une boite de télécom).

Je n'ai jamais été très investi dans la vie du site (quelques journaux, une ou deux dépêches), mais je passe presque quotidiennement sur ce site qui est une référence dans le monde de l'informatique française. Donc je ne peux qu'imaginer le temps investi dans cet activité, en espérant que ça a pu t'ouvrir la porte de quelques emplois ou quelques bières.

Tout ça pour te dire merci, et merci aux admins et modos, qu'ils soient anciens, actuels ou à venir.
Un merci spécial à Nono pour ses efforts à faire rajeunir DLFP.

Bonne continuation, Pascal, et au plaisir de te recroiser au coin d'un journal ou d'une dépêche.

Si je peux me permettre, j'ai une version plus légère de ton alias qui évite le changement de répertoire :
alias flashplay="mplayer $(ls -l /proc/$(pgrep plugin-cont)/fd/ | grep FlashXX | cut -d ' ' -f 10)"

J'avais une différence sur ma Ubuntu 10.10, le champs du "ls -l" contenant le nom de fichier est le 10e, pas le 9e. J'ai aussi changé awk par cut, plus léger.
Et sinon, ça marche bien, merci pour ton astuce.

C'est une bête faute de frappe, le D étant juste à côté du P.


Ha non.


Même en bépo...

ET ON EST SEMAINE 42... COINCIDENCE ??? JE NE CROIS PAS...

Non

Je ne suis pas pro Windows, mais l'AD, c'est un peu plus qu'un annuaire LDAP... C'est aussi, entre autre :
- un service d'authentification Kerberos,
- un service de déploiement de stratégies (avec ses GPO),
- des outils de gestion de l'annuaire, parce que le LDIF c'est bien, mais toute la journée, ça pique les yeux,
- une intégration plus aboutie avec les filesystems et les OS...

Il y a 3 produits que je trouve bien conçus et sans réel concurrents chez Microsoft, et l'AD en est un. Les 2 autres sont Visio et RDP (peut se débattre).

Quand tu parles de RedHat 9, tu parles de Shrike, la RedHat sortie il y a presque 7 ans ? Celle avec un noyau 2.4.20, celle dont le support s'est arrêté en avril 2004 ?

Franchement , 3 mots : mets à jour. En, fait, réinstalle avec une distribution récente. Là, c'est vital.

Dans le fichier pdf (partie 6.1), il explique que les calculs ont nécessité 7,2 To, c'est le résultat qui est stockable sur 1,1 To.

Je pense aussi que le terme "ordinateur de bureau" (desktop computer) est à opposer à serveur, qui lui a :
* de la mémoire vive à correction automatique d'erreur (ECC RAM) ;
* des alimentations redondantes ;
* des disques supposés plus fiables ;
* un système de refroidissement adapté à un uptime de plusieurs dizaines de jours ;
* ...