Du côté serveur on peut ne pas faire confiance au root du client, avec l'option root_squash (rembarrage du root :-) dans le fichier exports :
[...]
Dans ce cas, si un utilisateur du client avec l'UID 0 essaye d'accéder (en lecture, écriture ou effacement) au système de fichiers, le serveur remplace l'UID par celui de l'utilisateur `nobody' du serveur. Ceci signifie que l'utilisateur root du client ne peut accéder/modifier les fichiers du serveur que seul le root du serveur peut accéder/modifier. C'est bien, et vous aurez probablement à utiliser cette option sur tous les systèmes de fichiers que vous exportez. J'en entends un qui me dit : ``Mais l'utilisateur root du client peut toujours utiliser 'su' pour devenir n'importe qui et accéder à ses fichiers !'' Et là je réponds : ``Oui, c'est comme ça, c'est Unix''. Ceci a une conséquence importante : tous les fichiers et binaires importants devraient appartenir à root, et pas bin ou un compte autre que root, car le seul compte auquel le root du client ne peut pas accéder est le compte root du serveur. Plusieurs autres options permettant de ne pas faire confiance à qui ne vous plait pas sont énumérées dans la page de manuel nfsd. Il y a aussi des options pour rembarrer (to squash) des intervalles d'UID ou GID.
Le seul moyen d'exporter les répertoires personnels par NFS, c'est d'exporter les répertoires aux seuls PC de confiance (ceux dont l'utilisateur n'est pas root). Tu peux filtrer l'export par adresse IP, et si cela ne te suffit pas, avec iptables, tu filtres les IP selon les adresses MAC, comme ça tu es sur d'exporter le répertoire à la machine qui à la bonne carte réseau.
Après tu vas me dire que tu peux booter sur un autre système. Dans ce cas, tu bloques le bios et lilo. Y'a des fonctions de mot de passe, c'est fait pour ça.
Si ça ne te suffit pas, tu regardes du coté des systèmes de fichiers chiffrés, ça peut être une solution.
Il est souvent très gênant que le Super-User dune machine cliente soit
traité comme le Super-User lorsquil accède aux fichiers du serveur.
Pour éviter ceci, lUID 0 (root) est normalement transformé en un autre
UID : par exemple en UID anonyme nobody. Ce mode opératoire sappelle
root squashing et est le comportement par défaut. On peut le sup-
primer avec loption no_root_squash.
Dans le man xscreensaver-command, y'a un exemple en perl... ça tombe bien non ?
#!/usr/bin/perl
my $blanked = 0;
open (IN, "xscreensaver-command -watch |");
while () {
if (m/^(BLANK|LOCK)/) {
if (!$blanked) {
system "sound-off";
$blanked = 1;
}
} elsif (m/^UNBLANK/) {
system "sound-on";
$blanked = 0;
}
}
Note : les balises <pre></pre> rajoutent des lignes blanches entre chaques lignes....
si si. Tu peux installer un serveur web sur la machine avec la webcam, et avec motion, tu lui dis de mettre l'image a un endroit avec le meme nom (je crois).
Moi je l'ai utilisé en me connectant sur la machine par VPN.
avec motion (nom du soft) tu peux faire de la detection de mouvement avec une webcam. J'ai essayé, ça marche. Le plus dur est de configurer la sensibilité de la detection.
Je pose la question qui je pense aurait nécessité 1 ligne de réponse rapide car je n'ai pas le temps de m'investir dans ce sujet.
Accessoirement je m'en fous de perdre des points ou d'en gagner, ce qui me gêne c'est que la question est cachée.
Aujourd'hui j'aurais appris que j'ai perdu 7 ans de ma vie à aider les gens jusqu'au bout, que j'aurais mieux fait de leur donner les liens vers les docs. C'est un choc terrible pour moi....
Peut-être que parfois il y a des difficultés, mais nous ne devons pas, et c'est l'erreur que font beaucoup d'informaticiens, résonner comme des experts.
L'utilisateur de base ne sait pas ce qu'est samba ni swat, et il ne saura pas l'utiliser. De même qu'un utilisateur de base ne sait pas ce qu'est active directory. Tous ces trucs sont réservés aux gens comme nous qui savons comment marchent les services.
Quand je vais chez le garagiste, je veux qu'il me répare ma voiture. Je m'en fous (avec une certaine limite tout de même) que telle pièce ou telle pièce soit de travers ou cassée. Je veux pouvoir utiliser ma voiture facilement et tranquillement. C'est la même chose pour l'informatique. Ma mère s'en fout que telle ou telle bidouille ait été faite, elle veut pouvoir éditer, enregistrer et imprimer un document, et aller sur internet et lire ses emails.
Donc je pense qu'il faut rendre le desktop linux plus simple (pour windows, pas la peine d'essayer, on ne pourra pas à moins de se faire embaucher chez microsoft, mais je doute que beaucoup de personne ici accepte, et ce n'est pas notre but), plus convivial pour que des gens qui n'y connaissent rien puisse utiliser un pc sans appeler toutes les 20 minutes le copain ou les enfants.
Voila. Si on veut faire partager linux au plus grand nombre de foyer, il faut le simplifier... et faire des choix douloureux...
D'un coté, je suis d'accord avec toi : parfois les choses sont plus facile sous Windows que sous Linux. Le partage de fichier est simple. Le branchement d'un périphérique est plus facile que sous Linux (parfois). Les outils ont l'air mieux intégré et tout et tout.
Mais d'un autre coté, ça me gêne un peu que l'on compare deux systèmes d'exploitation différents dans leurs philosophies. Moi je vois windows comme un système du genre : "c'est comme ça et pas comme ça", et linux comme un système du genre : "tu peux faire comme ça ou comme ça ou comme ça, tu as le choix". Et c'est le choix qui complique tout. Intégrer un produit dans un autre est moins compliqué qu'intégrer un ou plusieurs produits dans un ou plusieurs produits. Par exemple, pour le partage de fichier, sous windows, c'est netbios par défaut. On peut bien-entendu installer un autre logiciel, mais bon, en fainéant, on préfère ne rien faire. Sous linux, on a le choix entre NFS et Samba. Ca devient plus dur (à noter que pour windows, c'est netbios et rien d'autres, pas grave de ne pas savoir parler NFS!).
Un autre exemple plus flagrant pour les administrateurs : configurer un système d'authentification. Sous windows, on créer une base active directory, on clique là, on clique aussi ici, et c'est parti pour un tour. Sous linux, on a le choix entre local, nis, ldap, radius... ça complique un peu le tout. En plus, par exemple pour radius, on a le choix entre cistron et freeradius et radiator et .... .
Même exemple pour les desktops : il faut choisir gnome, kde ou autres. Et les outils doivent intégrer de la même façon sous tous les desktops....
Voila pourquoi linux est plus compliqué que windows à mettre en oeuvre. Pourquoi parfois, ça semble reposant d'être sous windows...
Appelle la chambre de commerce et d'industrie (CCI) et demande-leur si il y a des entreprises ou associations qui récupèrent les vieux matériels informatiques.
alors croire qu'un VPN en mode PSK est sécurisé, c'est un peu utopique. La meilleure sécurité est un chiffrement fort et des certificats X509.
De plus, le PIX est un exemple de l'illogisme réseau : qu'est elle cette notion de NAT same address (pour pouvoir faire transiter un paquet d'une interface à une autre (en interne), il faut nater le paquet avec la même adresse).
De plus, le mélange de l'interface IPsec avec les autres interfaces ne permet pas une gestion simple des VPNs. L'interface IPsec (virtuelle) doit apparaître (comme sous Linux) comme une interface supplémentaire sur laquelle on applique des règles de filtrage spécifiques.
Voila mes arguments.... J'utilise des pix tous les jours, et à chaque manipulation je me demande pourquoi ils ont trifouillé le truc de cette manière....
Détections des virus : clamav fonctionne correctement avec postfix
Pour la gestion mail, le protocol SMTP inclus des fonctions de load balancing (déclarer plusieurs MX, si le premier (poids le plus fort) est indisponible, on utilise le second).
Il faut juste que l'espace de stockage soit mutualisé entre les différents serveurs SMTP et IMAP (qui peuvent etre différents).
Tu peux également utiliser le round-robin DNS pour indiquer aux clients d'utiliser tel ou tel serveur imap
IMP est utilisé par free donc semble être pas mal.
[^] # Re: Administrateurs, Sécurité et NFS
Posté par Matthieu . En réponse au journal Administrateurs, Sécurité et NFS. Évalué à 3.
En gros, la sécurité c'est un tout. Ca ne sert à rien de sécurisé un service sans sécuriser le reste. Un mur près d'un trou ne sert à rien ;-)
[^] # Re: Administrateurs, Sécurité et NFS
Posté par Matthieu . En réponse au journal Administrateurs, Sécurité et NFS. Évalué à 10.
Deuxièment, arrête de dire que c'est une faille de sécurité majeure, ça n'en est pas une !
Lis le document http://www.freenix.fr/unix/linux/HOWTO/NFS-HOWTO-6.html(...)
Du côté serveur on peut ne pas faire confiance au root du client, avec l'option root_squash (rembarrage du root :-) dans le fichier exports :
[...]
Dans ce cas, si un utilisateur du client avec l'UID 0 essaye d'accéder (en lecture, écriture ou effacement) au système de fichiers, le serveur remplace l'UID par celui de l'utilisateur `nobody' du serveur. Ceci signifie que l'utilisateur root du client ne peut accéder/modifier les fichiers du serveur que seul le root du serveur peut accéder/modifier. C'est bien, et vous aurez probablement à utiliser cette option sur tous les systèmes de fichiers que vous exportez. J'en entends un qui me dit : ``Mais l'utilisateur root du client peut toujours utiliser 'su' pour devenir n'importe qui et accéder à ses fichiers !'' Et là je réponds : ``Oui, c'est comme ça, c'est Unix''. Ceci a une conséquence importante : tous les fichiers et binaires importants devraient appartenir à root, et pas bin ou un compte autre que root, car le seul compte auquel le root du client ne peut pas accéder est le compte root du serveur. Plusieurs autres options permettant de ne pas faire confiance à qui ne vous plait pas sont énumérées dans la page de manuel nfsd. Il y a aussi des options pour rembarrer (to squash) des intervalles d'UID ou GID.
Le seul moyen d'exporter les répertoires personnels par NFS, c'est d'exporter les répertoires aux seuls PC de confiance (ceux dont l'utilisateur n'est pas root). Tu peux filtrer l'export par adresse IP, et si cela ne te suffit pas, avec iptables, tu filtres les IP selon les adresses MAC, comme ça tu es sur d'exporter le répertoire à la machine qui à la bonne carte réseau.
Après tu vas me dire que tu peux booter sur un autre système. Dans ce cas, tu bloques le bios et lilo. Y'a des fonctions de mot de passe, c'est fait pour ça.
Si ça ne te suffit pas, tu regardes du coté des systèmes de fichiers chiffrés, ça peut être une solution.
[^] # Re: Administrateurs, Sécurité et NFS
Posté par Matthieu . En réponse au journal Administrateurs, Sécurité et NFS. Évalué à 2.
Il est souvent très gênant que le Super-User dune machine cliente soit
traité comme le Super-User lorsquil accède aux fichiers du serveur.
Pour éviter ceci, lUID 0 (root) est normalement transformé en un autre
UID : par exemple en UID anonyme nobody. Ce mode opératoire sappelle
root squashing et est le comportement par défaut. On peut le sup-
primer avec loption no_root_squash.
# Re: Administrateurs, Sécurité et NFS
Posté par Matthieu . En réponse au journal Administrateurs, Sécurité et NFS. Évalué à 2.
Qd tu monte le répertoire par NFS tu a l'option root_squash ou no_root_squash. Tu dois avoir la même pour l'export. A vérifier.
# Re: Evénements clavier/souris
Posté par Matthieu . En réponse au journal Evénements clavier/souris. Évalué à 1.
#!/usr/bin/perl
my $blanked = 0;
open (IN, "xscreensaver-command -watch |");
while () {
if (m/^(BLANK|LOCK)/) {
if (!$blanked) {
system "sound-off";
$blanked = 1;
}
} elsif (m/^UNBLANK/) {
system "sound-on";
$blanked = 0;
}
}
Note : les balises <pre></pre> rajoutent des lignes blanches entre chaques lignes....
# Re: Désinstaller cette **** de Google bar
Posté par Matthieu . En réponse au journal Désinstaller cette **** de Google bar. Évalué à 1.
[^] # Re: Solution de vidéo surveillance sous Linux ?
Posté par Matthieu . En réponse au journal Solution de vidéo surveillance sous Linux ?. Évalué à 1.
Moi je l'ai utilisé en me connectant sur la machine par VPN.
# Re: Solution de vidéo surveillance sous Linux ?
Posté par Matthieu . En réponse au journal Solution de vidéo surveillance sous Linux ?. Évalué à 2.
[^] # Re: Nautilus et le mode spatial
Posté par Matthieu . En réponse à la dépêche GNOME 2.6 est disponible. Évalué à -2.
Aujourd'hui j'aurais appris que les commentaires (à 95%) ne m'apporteront plus rien... triste journée :'-(
[^] # Re: Nautilus et le mode spatial
Posté par Matthieu . En réponse à la dépêche GNOME 2.6 est disponible. Évalué à -2.
Accessoirement je m'en fous de perdre des points ou d'en gagner, ce qui me gêne c'est que la question est cachée.
Aujourd'hui j'aurais appris que j'ai perdu 7 ans de ma vie à aider les gens jusqu'au bout, que j'aurais mieux fait de leur donner les liens vers les docs. C'est un choc terrible pour moi....
[^] # Re: Nautilus et le mode spatial
Posté par Matthieu . En réponse à la dépêche GNOME 2.6 est disponible. Évalué à -3.
[^] # Re: Nautilus et le mode spatial
Posté par Matthieu . En réponse à la dépêche GNOME 2.6 est disponible. Évalué à 0.
[^] # Re: Nautilus et le mode spatial
Posté par Matthieu . En réponse à la dépêche GNOME 2.6 est disponible. Évalué à 5.
> je comprend pas ce poisson d'avril, on peut m'expliquer ?
te fais gagner 7 points,
et demander une précision sur une nouveauté te fais perdre des points, et en plus on te répond RTFM ?
Si c'est ça le principe d'aide communautaire, j'avais mal compris alors!
[^] # Re: Nautilus et le mode spatial
Posté par Matthieu . En réponse à la dépêche GNOME 2.6 est disponible. Évalué à 2.
# Nautilus et le mode spatial
Posté par Matthieu . En réponse à la dépêche GNOME 2.6 est disponible. Évalué à 6.
Merci
[^] # Re: Retour de migration
Posté par Matthieu . En réponse au journal Retour de migration. Évalué à 1.
L'utilisateur de base ne sait pas ce qu'est samba ni swat, et il ne saura pas l'utiliser. De même qu'un utilisateur de base ne sait pas ce qu'est active directory. Tous ces trucs sont réservés aux gens comme nous qui savons comment marchent les services.
Quand je vais chez le garagiste, je veux qu'il me répare ma voiture. Je m'en fous (avec une certaine limite tout de même) que telle pièce ou telle pièce soit de travers ou cassée. Je veux pouvoir utiliser ma voiture facilement et tranquillement. C'est la même chose pour l'informatique. Ma mère s'en fout que telle ou telle bidouille ait été faite, elle veut pouvoir éditer, enregistrer et imprimer un document, et aller sur internet et lire ses emails.
Donc je pense qu'il faut rendre le desktop linux plus simple (pour windows, pas la peine d'essayer, on ne pourra pas à moins de se faire embaucher chez microsoft, mais je doute que beaucoup de personne ici accepte, et ce n'est pas notre but), plus convivial pour que des gens qui n'y connaissent rien puisse utiliser un pc sans appeler toutes les 20 minutes le copain ou les enfants.
Voila. Si on veut faire partager linux au plus grand nombre de foyer, il faut le simplifier... et faire des choix douloureux...
# Re: Retour de migration
Posté par Matthieu . En réponse au journal Retour de migration. Évalué à 4.
Mais d'un autre coté, ça me gêne un peu que l'on compare deux systèmes d'exploitation différents dans leurs philosophies. Moi je vois windows comme un système du genre : "c'est comme ça et pas comme ça", et linux comme un système du genre : "tu peux faire comme ça ou comme ça ou comme ça, tu as le choix". Et c'est le choix qui complique tout. Intégrer un produit dans un autre est moins compliqué qu'intégrer un ou plusieurs produits dans un ou plusieurs produits. Par exemple, pour le partage de fichier, sous windows, c'est netbios par défaut. On peut bien-entendu installer un autre logiciel, mais bon, en fainéant, on préfère ne rien faire. Sous linux, on a le choix entre NFS et Samba. Ca devient plus dur (à noter que pour windows, c'est netbios et rien d'autres, pas grave de ne pas savoir parler NFS!).
Un autre exemple plus flagrant pour les administrateurs : configurer un système d'authentification. Sous windows, on créer une base active directory, on clique là, on clique aussi ici, et c'est parti pour un tour. Sous linux, on a le choix entre local, nis, ldap, radius... ça complique un peu le tout. En plus, par exemple pour radius, on a le choix entre cistron et freeradius et radiator et .... .
Même exemple pour les desktops : il faut choisir gnome, kde ou autres. Et les outils doivent intégrer de la même façon sous tous les desktops....
Voila pourquoi linux est plus compliqué que windows à mettre en oeuvre. Pourquoi parfois, ça semble reposant d'être sous windows...
# Re: Résumé d'une installation et du déploiment d'un petit réseau
Posté par Matthieu . En réponse au journal Résumé d'une installation et du déploiment d'un petit réseau. Évalué à 3.
LDAP Implementation HOWTO :
http://www.tldp.org/HOWTO/LDAP-Implementation-HOWTO/(...)
voir section 2.2. Building the authentication system
Note: l'authentification utilise pam-ldap et nss-ldap
# Re: YAST capuepluscailibre
Posté par Matthieu . En réponse au journal YAST capuepluscailibre. Évalué à 1.
# Re: J'aime les passerelles qui font passerelle
Posté par Matthieu . En réponse au journal J'aime les passerelles qui font passerelle. Évalué à 1.
echo "1" > /proc/sys/net/ipv4/ip_forwarding
mais
echo "1" > /proc/sys/net/ipv4/ip_forward
Est-ce une faute de frappe dans le post ?
[^] # Re: Vieux postes de travail
Posté par Matthieu . En réponse au journal Vieux postes de travail. Évalué à 1.
[^] # Re: VPN : besoins d'avis, conseils
Posté par Matthieu . En réponse au journal VPN : besoins d'avis, conseils. Évalué à 3.
De plus, le PIX est un exemple de l'illogisme réseau : qu'est elle cette notion de NAT same address (pour pouvoir faire transiter un paquet d'une interface à une autre (en interne), il faut nater le paquet avec la même adresse).
De plus, le mélange de l'interface IPsec avec les autres interfaces ne permet pas une gestion simple des VPNs. L'interface IPsec (virtuelle) doit apparaître (comme sous Linux) comme une interface supplémentaire sur laquelle on applique des règles de filtrage spécifiques.
Voila mes arguments.... J'utilise des pix tous les jours, et à chaque manipulation je me demande pourquoi ils ont trifouillé le truc de cette manière....
Matthieu
[^] # Re: VPN : besoins d'avis, conseils
Posté par Matthieu . En réponse au journal VPN : besoins d'avis, conseils. Évalué à 3.
Avec freeswan de linux aucuns problèmes...
# Re: cluster de serveurs web+mail
Posté par Matthieu . En réponse au journal cluster de serveurs web+mail. Évalué à 1.
Pour la gestion mail, le protocol SMTP inclus des fonctions de load balancing (déclarer plusieurs MX, si le premier (poids le plus fort) est indisponible, on utilise le second).
Il faut juste que l'espace de stockage soit mutualisé entre les différents serveurs SMTP et IMAP (qui peuvent etre différents).
Tu peux également utiliser le round-robin DNS pour indiquer aux clients d'utiliser tel ou tel serveur imap
IMP est utilisé par free donc semble être pas mal.
Voila ma petite contribution
# Re: oh ???
Posté par Matthieu . En réponse au journal oh ???. Évalué à 1.