Ce n'est pas vraiment le cas d'usage typique… Je rencontre plus de systèmes avec un /boot en clair et le reste de l'OS sur un volume crypté que ton cas
Je me suis posé la même question mais oui il existe un risque: le shell grub-rescue et grub est assez complet pour permettre de modifier le kernel/initrd qui vont être utilisé pour le prochain boot et les compromettre en y integrant un keylogger/whatever et ainsi obtenir les codes de ton volume chiffré ou ceux de tes comptes
Tout simplement parce qu'il n'y a pas de solution magiques, un "é" en ascii et un "é" en UTF-8 sont des caractères bien différents.
Pour faire ça de façon simple tu peut importer le projet original dans un git après conversion UTF-8 et passe les "git diff" automatiquement dans iconv pour les convertir en ISO ou tu travail en ISO comme le dev original et tu fait en sorte de preparer la conversion u8 avec lui
Donc si je comprend bien tu n'avais pas assez de mémoire sur ton portable, donc tu en a enlevé la moitié (a lire le script) pour en faire un swap compressé…
Qu'après ça le système ne "gratte" plus n'est pas très étonnant, niveau perfs quand ta conso mémoire déclenchait le swap l'équivalent doit en effet être plus réactif mais en contre partie ton niveau de déclenchement de la mise en swap va être beaucoup plus bas et donc les perfs impactées beaucoup plus tôt…
L'impact sur la sortie d'hibernation est probablement lié a cette réduction de mémoire, il n'a plus qu'un giga a dumper/restaurer sur le swap disque. a voir comment réagit zram dans l'histoire.
Testé chez moi, "nice -19 stress-ng -c 4" et "stress-ng -c 4" => deux groupes de 4 processus distincts dans htop avec 95% de cpu pour celui en nice à 0 (défault) et 2/3% pour les autres
J'ai un postfix qui inclu un smtpd submission avec auth via GSSAPI, par contre il n'est pas possible de le faire avec support de l'auth plain ET gssapi en meme temps, ou du moins pas de la façon mise en oeuvre (via saslauthd):
saslauthd - Cyrus SASL password verification service
Important
Do not specify any other mechanisms in mech_list than PLAIN or LOGIN when using saslauthd! It can only handle these two mechanisms, and authentication will fail if clients are allowed to choose other mechanisms.
Ma configuration est assez ancienne et il est peut-être possible de faire autrement maintenant mais la voici. L'auth n'est active que sur le service submission (tcp/587) avec le SSL d'actif:
main.cf
smtpd_use_tls=yessmtpd_tls_CAfile=/etc/ssl/certs/...smtpd_tls_cert_file=/etc/ssl/local/...smtpd_tls_key_file=/etc/ssl/private/...smtpd_tls_received_header=yes# /!\ dans le chroot => /var/spool/postfix/etc/smtp.keytabimport_environment=KRB5_KTNAME=/etc/smtp.keytabsmtpd_sasl_security_options=noanonymousnoplaintextnoactivesmtpd_sasl_local_domain="REALM.NET"
Certes, un truc quand même: le moteur de rendu html des clients "compatibles" (thunderbird, outlook, ..) est volontairement restreint et limité (pas de javascript souvent, pas de css complexe, …) et peut protèger par défaut l'inclusion de contenu tiers, ce que ton navigateur ne fera pas lui.
En l'absence de fichier de configuration X charge un ensemble de valeurs par défaut,
toutefois quand tu spécifie des sections dans le xorg.conf elles remplacent les valeurs par défaut sinon ça devient compliqué de savoir ce que tu veut garder / ajouter.
Pourqui un screensaver ?
Tu peut pas lancer ton appli sur un X11 "screen-less" genre Xvfb et donc te passer te cette problèmatique de "sauvegarde" de l'ecran ?
C'est plutôt l'inverse, les gestionnaires de fenêtres multi-bureau étaient la norme à l'époque ou gimp est sorti,
c'est pour travailler avec ces gestionnaires que le logiciel à été conçu.
-) J'ai un programme de sécurité nommer datetime-lock, le problème est que le programme doit être au démarrage, ce que je
n'arrive qu'a faire avec la distribution que j'utilise: Ubuntu.
Alors la dessus autoconf/libtool n'aidera pas à grand chose
compatible avec le système de démarrage systemd, pour Ubuntu (upstart).
alors c'est systemd ou upstart, mais pas systemd=upstart
Ce qui empêcherai un éventuel intrus malintentionner d'accéder a votre système même si il en connait le mot de passe,
car datetime-lock empêche l'accès au système en eteignant le système directement après le démarrage,
C'est bien joli, mais si j'ai un accès physique à ta machine, ton datetime-lock seul n’empêchera pas d’accéder à ton sytème, même sans connaître tes mot de passe. Et le plus beau c'est que tu ne le sauras pas…
Soit en bootant la machine avec un autre init (init=/bin/bash dans la ligne de commande du shell) soit en extrayant le disque.
Pour protéger vraiment la machine il faut surtout crypter le FS et la si effectivement tu diffuse ta clef privée à tout vas même la protection de grub par mot de passe ne va pas changer grand chose au problème et encore moins un outil qui éteint la machine lors du boot.
étant actuellement logué sur un OS Windows, je ne peut faire de recherches concernant "libtool" dans l'immédiat.
Google est relativement OS-agnostique …
Pourrait tu développer le sujet si tu est connaisseur, utilisateur ce serai vraiment sympa de ta part,
de m'éclairer un peu plus que le simple tuyau, je te serai reconnaissant.
ça fait bien longtemps que je n'ai pas pratiqué donc je vais éviter de dire des bêtises, il existe plein de guide, docs officielle, etc sur les autotools.
Je pense q'un programme pour ce genre de problème devrai exister dans le monde Linux moderne:
en pensant qu'il existe de nos jours tellement de distributions qu'il faudrait pouvoir identifier ce genre d'informations.
Pourquoi pas un programme nommer manpath qui renvoie le chemin des manpages sur le système cible.
Et vlan je viens de taper manpath dans mon terminal et ça existe déjà la preuve que Linux évolue.
Il existe, depuis 16ans et il permet de faire un build process indépendant de la plateforme unix (linux, bsd, whatever).
ça s'appelle "libtool", et c'est très bien intégré avec les outils "autoconf" / "automake" qui permet la génération d'un script de configuration et des makefiles en fonction des parametres détéctés sur l'OS de l'utilisateur
Au vu de ta structure, la représentation mémoire ne nécessite qu'un padding d'un octet, en effet le padding de 8bits pour id suffit à aligner name sur un 32bits:
0 8 16 32 64
+----+----+----+----+----+----+----+----+
| ver|XXXX| id | name |
+----+----+----+----+----+----+----+----+
Pour savoir ce que le compilo (gcc en tout cas) fait: -Wpadded est utile
Ta configuration réseau n'est pas bonne pour pc3 notamment la gateway. Accessoirement sans une couche de Nat je doute que pc3 puisse jamais accéder au net.
Moui, ça sent le déballage de linge sale tout ça mais je vais marcher dedans.
Tu voit le problème par le bout de ta lentille, et tu répond à une problématique sans prendre en compte le besoin et/ou les contraintes de sécurité globale de la boite.
SSH c'est très bien, c'est sécurisé et tout certes. Mais la solution que tu propose ne fait pas ce qui est demandé/souhaité par le DSI c'est à dire de lui permettre de contrôler qui à accès à quoi et quand. Et de revoquer les accès de façon "sécurisée" (ie sans oublier ta clef ssh sur trois serveurs paumé et oubliés de tous).
Il est possible de répondre à la problématique annoncée en utilisant des outils libre tels que SSH ou OpenVPN mais pas en 10 minutes de taf…
Et certains pensent qu'il vaut mieux payer quelques centaines d'euro une solution éprouvée que de mandater quelqu'un pendant x mois pour mettre en place et certifier / valider une solution maison.
Ce n'est pas pour autant de la bêtise ni de l'incompétence ….
les requêtes arrivant sur mon serveurs par les ports 80 et 443 arrivent d'abord sur Pound, > qui en fonction du nom de domaine va les renvoyer sur un serveur virtuel et un port
spécifique.
Un load-balanceur juste pour ça c'est un poil overkill non ?
un apache basique et correctement configuré te fera le même taff, sans ton problème de reload
Je cherche un load balancer qui serait capable de faire passer les requêtes d'un serveur à un autre
pas bien compris …
en tout cas il existe des LB qui font du reload de configuration sans interruption: apache+mod_proxy, ou haproxy
[^] # Re: Il y a des gens qui comptent sur le mot de passe de Grub ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Un mot de passe, ça s'efface chez Grub2. Évalué à 1.
Ce n'est pas vraiment le cas d'usage typique… Je rencontre plus de systèmes avec un /boot en clair et le reste de l'OS sur un volume crypté que ton cas
[^] # Re: Il y a des gens qui comptent sur le mot de passe de Grub ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Un mot de passe, ça s'efface chez Grub2. Évalué à 6.
Je me suis posé la même question mais oui il existe un risque: le shell grub-rescue et grub est assez complet pour permettre de modifier le kernel/initrd qui vont être utilisé pour le prochain boot et les compromettre en y integrant un keylogger/whatever et ainsi obtenir les codes de ton volume chiffré ou ceux de tes comptes
[^] # Re: Heu ... nice ça marche encore très bien
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Les cgroups, un outil trop méconnu. Évalué à 1.
Debian gnu/Linux unstable
[^] # Re: Umask
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Connaître l'utilisateur et le groupe qui seront automatiquement propriétaires de nouveaux fichiers. Évalué à 1.
Ceci n'est valable que pour le super utilisateur, une copie en utilisateur normal est soumise au réglé standard de création de fichiers
[^] # Re: facile...
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Comment faire pour diff ignore les problèmes d'encodages ?. Évalué à 1.
Tout simplement parce qu'il n'y a pas de solution magiques, un "é" en ascii et un "é" en UTF-8 sont des caractères bien différents.
Pour faire ça de façon simple tu peut importer le projet original dans un git après conversion UTF-8 et passe les "git diff" automatiquement dans iconv pour les convertir en ISO ou tu travail en ISO comme le dev original et tu fait en sorte de preparer la conversion u8 avec lui
# Wüut ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message astuce zram. Évalué à 1.
Donc si je comprend bien tu n'avais pas assez de mémoire sur ton portable, donc tu en a enlevé la moitié (a lire le script) pour en faire un swap compressé…
Qu'après ça le système ne "gratte" plus n'est pas très étonnant, niveau perfs quand ta conso mémoire déclenchait le swap l'équivalent doit en effet être plus réactif mais en contre partie ton niveau de déclenchement de la mise en swap va être beaucoup plus bas et donc les perfs impactées beaucoup plus tôt…
L'impact sur la sortie d'hibernation est probablement lié a cette réduction de mémoire, il n'a plus qu'un giga a dumper/restaurer sur le swap disque. a voir comment réagit zram dans l'histoire.
# Heu ... nice ça marche encore très bien
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Les cgroups, un outil trop méconnu. Évalué à 3.
Testé chez moi, "nice -19 stress-ng -c 4" et "stress-ng -c 4" => deux groupes de 4 processus distincts dans htop avec 95% de cpu pour celui en nice à 0 (défault) et 2/3% pour les autres
[^] # Re: Sasl Cyrus & Kerberos
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message postfix + SASL/kerberos . Évalué à 1.
a voir aussi:
https://linuxfr.org/forums/linux-debian-ubuntu/posts/postfix-et-authentification-via-la-gssapi
# Sasl Cyrus & Kerberos
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message postfix + SASL/kerberos . Évalué à 1.
Salut,
J'ai un postfix qui inclu un smtpd submission avec auth via GSSAPI, par contre il n'est pas possible de le faire avec support de l'auth plain ET gssapi en meme temps, ou du moins pas de la façon mise en oeuvre (via saslauthd):
http://www.postfix.org/SASL_README.html
Ma configuration est assez ancienne et il est peut-être possible de faire autrement maintenant mais la voici. L'auth n'est active que sur le service submission (tcp/587) avec le SSL d'actif:
main.cf
master.cf:
[^] # Re: techdata
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Approvisionnement chez les grossistes. Évalué à 2.
Rien a voir avec le schmilblick mais …
http://arstechnica.com/civis/viewtopic.php?p=29497693&sid=ddf3e32512932172454de515091db014#p29497693
[^] # Re: Laisser le navigateur web interpréter le HTML
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au sondage Les courriels en HTML.... Évalué à 7.
Certes, un truc quand même: le moteur de rendu html des clients "compatibles" (thunderbird, outlook, ..) est volontairement restreint et limité (pas de javascript souvent, pas de css complexe, …) et peut protèger par défaut l'inclusion de contenu tiers, ce que ton navigateur ne fera pas lui.
[^] # Re: Fonctionnement des modules
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message [Résolu] Serveur X et ScreenSaver. Évalué à 1.
En l'absence de fichier de configuration X charge un ensemble de valeurs par défaut,
toutefois quand tu spécifie des sections dans le xorg.conf elles remplacent les valeurs par défaut sinon ça devient compliqué de savoir ce que tu veut garder / ajouter.
donc oui, logique
[^] # Re: Pourqui un screensaver ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message [Résolu] Serveur X et ScreenSaver. Évalué à 1.
a la base c'est la même techno X11 hein, juste sans "support physique"
[^] # Re: Pourqui un screensaver ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message [Résolu] Serveur X et ScreenSaver. Évalué à 1.
voir directement sous x11vnc d'ailleurs
# Pourqui un screensaver ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message [Résolu] Serveur X et ScreenSaver. Évalué à 1.
Pourqui un screensaver ?
Tu peut pas lancer ton appli sur un X11 "screen-less" genre Xvfb et donc te passer te cette problèmatique de "sauvegarde" de l'ecran ?
[^] # Re: Krita ou GIMP
Posté par -=[ silmaril ]=- (site web personnel) . En réponse à la dépêche Remplacement de Photoshop par Krita dans une université parisienne. Évalué à 1.
C'est plutôt l'inverse, les gestionnaires de fenêtres multi-bureau étaient la norme à l'époque ou gimp est sorti,
c'est pour travailler avec ces gestionnaires que le logiciel à été conçu.
[^] # Re: Un forum France Télévision ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal [HS] Fan de kaamelott, voire de Hero Corp ?. Évalué à 1.
pas en chute libre car parachute,
et oui ils tirent pour se "diriger" vers le lac, et a la fin ils tirent sur le lac pour se freiner/reduire l'impact.
Quand à savoir si c'est réaliste … c'est un film sur l'agence tout risque quoi
[^] # Re: LIbtool
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Une bibliothèque partagée (shared object, *.so) pour conversions et calculs mulitbases.. Évalué à 1.
Alors la dessus autoconf/libtool n'aidera pas à grand chose
C'est bien joli, mais si j'ai un accès physique à ta machine, ton datetime-lock seul n’empêchera pas d’accéder à ton sytème, même sans connaître tes mot de passe. Et le plus beau c'est que tu ne le sauras pas…
Soit en bootant la machine avec un autre init (init=/bin/bash dans la ligne de commande du shell) soit en extrayant le disque.
Pour protéger vraiment la machine il faut surtout crypter le FS et la si effectivement tu diffuse ta clef privée à tout vas même la protection de grub par mot de passe ne va pas changer grand chose au problème et encore moins un outil qui éteint la machine lors du boot.
ça fait bien longtemps que je n'ai pas pratiqué donc je vais éviter de dire des bêtises, il existe plein de guide, docs officielle, etc sur les autotools.
http://www-igm.univ-mlv.fr/~dr/XPOSE/Breugnot/
http://www.freesoftwaremagazine.com/books/autotools_a_guide_to_autoconf_automake_libtool
https://www.lrde.epita.fr/~adl/autotools.html
[^] # Re: Recrudescence des contrôles
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Harcèlement de la part de microsoft et son service de conformité. Évalué à 2.
Il me semble que ça fait parti des choses que tu "signe" dans le contrat de licence M$
Après comme dit plus bas la BSA n'ayant aucune autoritée de police, c'est a toi d'accepter qu'ils viennent voir tes petites affaires donc..
# LIbtool
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Une bibliothèque partagée (shared object, *.so) pour conversions et calculs mulitbases.. Évalué à 2.
Il existe, depuis 16ans et il permet de faire un build process indépendant de la plateforme unix (linux, bsd, whatever).
ça s'appelle "libtool", et c'est très bien intégré avec les outils "autoconf" / "automake" qui permet la génération d'un script de configuration et des makefiles en fonction des parametres détéctés sur l'OS de l'utilisateur
# Erreur d'analyse
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Les espacements que mettent les compilateurs C dans les structures sont ils toujours les mêmes ?. Évalué à 2.
Au vu de ta structure, la représentation mémoire ne nécessite qu'un padding d'un octet, en effet le padding de 8bits pour id suffit à aligner name sur un 32bits:
Pour savoir ce que le compilo (gcc en tout cas) fait: -Wpadded est utile
# nope
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message [RESOLU] Problème de route. Évalué à 2.
Ta configuration réseau n'est pas bonne pour pc3 notamment la gateway. Accessoirement sans une couche de Nat je doute que pc3 puisse jamais accéder au net.
[^] # Re: Un élément à ajouter à la liste
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Fin du support de MS Windows XP. Évalué à 10.
Moui, ça sent le déballage de linge sale tout ça mais je vais marcher dedans.
Tu voit le problème par le bout de ta lentille, et tu répond à une problématique sans prendre en compte le besoin et/ou les contraintes de sécurité globale de la boite.
SSH c'est très bien, c'est sécurisé et tout certes. Mais la solution que tu propose ne fait pas ce qui est demandé/souhaité par le DSI c'est à dire de lui permettre de contrôler qui à accès à quoi et quand. Et de revoquer les accès de façon "sécurisée" (ie sans oublier ta clef ssh sur trois serveurs paumé et oubliés de tous).
Il est possible de répondre à la problématique annoncée en utilisant des outils libre tels que SSH ou OpenVPN mais pas en 10 minutes de taf…
Et certains pensent qu'il vaut mieux payer quelques centaines d'euro une solution éprouvée que de mandater quelqu'un pendant x mois pour mettre en place et certifier / valider une solution maison.
Ce n'est pas pour autant de la bêtise ni de l'incompétence ….
[^] # Re: facile à donner à tes amis
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Définition d'un compte mail sans nom de domaine. Évalué à 1.
nope, dans ce cas c'est yyy@[AA.BB.CC.DD]
ça marche, juste pas évident à communiquer
# Pas très clair
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Load balancer. Évalué à 1.
Un load-balanceur juste pour ça c'est un poil overkill non ?
un apache basique et correctement configuré te fera le même taff, sans ton problème de reload
pas bien compris …
en tout cas il existe des LB qui font du reload de configuration sans interruption: apache+mod_proxy, ou haproxy