Pour les périphériques bluetooth en < 2.1 apparement la crypto était assez peu fiable, le 2.1 semble avoir corrigé les plus gros défauts et le bluetooth 4 a fait la bascule sur AES.
la bibliothèque NSS ne supporte pas TLSv1.1 et 1.2
ce qui est vrai en 2011 ne l'est plus forcement en 2013
la librairie nss supporte maintenant tls1.1 et 1.2, bien que par exemple sous firefox ce ne soit pas encore actif par défaut (passe security.tls.version.max a 3) et va sur https://www.ssllabs.com/ssltest/viewMyClient.html
Avec un certificat auto-signé, si on a recupéré et enregistré le bon certificat à la première connexion, il est impossible d'être victime de l'homme du milieu.
Euh, si, si le MITM pousse un certificat d'une AC reconnue tu as le même soucis
parce que de ce que tu donne ta configuration est OK:
[root@server ~]# named-checkconf -z
zone eeb62.local/IN: loaded serial 2013092705
zone 1.168.192.in-addr.arpa/IN: loaded serial 2013092705
…
Et ça c'est normal:
[root@server ~]# named-checkzone eeb62.local /var/named/1.168.192.rev
zone eeb62.local/IN: NS 'ns1.eeb62.local' has no address records (A or AAAA)
zone eeb62.local/IN: not loaded due to errors.
déjà si tu essaye avec named-checkzone 1.168.192.in-addr.arpa /var/named/1.168.192.rev
ça devrait marcher mieux.
as-tu essayé d'interroger ton serveur en local (dig ns1.eeb62.local @localhost, dig -x 192.168.1.50 @localhost,…)
Si tu est sous sid, nul besoin de tout cela, les paquets de testing/testing-updates sont publiés avant sur unstable, et ceux de stable/stable-update sont d'abord passés par testing/testing-update et donc par unstable.
Il se connecte sur les machines (ssh) et permet d'avoir une vision globale de l'etat des mises a jours / reboot necessaires et de lancer installation/mise a jours/suppression de paquets de façon centralisée
Ma banque m'a fait le coup aussi,sauf que j'ai pas eu droit au courrier de prévention :-(
Suite a mon refus du dispositif j'ai eu droit à une seconde carte sans cette option, toutefois la partie NFC de la carte reste présente elle, avec une émission de données (pas encore eu le temps d'analyser ça en détail).
je crois que tu n'a pas bien compris l'objectif de la "simulation" justement, le but est d'empecher
toute nouvelle modification du système par un processus résident et donc d'effectuer un arret brutal
du système comme le ferais une coupure de courant ("hard powercut").
après la modification de libkeyutil ne peut être qu'une conséquence de l'intrusion, donc nettoyer cette lib ne va pas empecher une prochaine intrusion sur le vecteur d'origine.
le support native de domain-search est present à partir de la version 3.1
Tu peut toujours le configurer à la main
But you can still configure the domain-search option by hand. The
easiest thing is to configure it without compression tags;.
# declaration de l'option
option domain-search code 119 = text;
# creation d'une liste de recherche avec "mondom, dom.mondom":
option domain-search "\006mondom\000\003dom\006mondom\000";
les code \00x sont des nombres encodés en octal, qui correspondent au nombre
de caractères du bloc qui suit (mondom = 6 dom = 3, ..), chaque domaine de la liste
de recherche est terminé par un null (\000).
J'ai un soucis similaire avec un vpn @job: l'un des reseaux privé annoncé est le même que le réseau privé de la connection 3G,
du coup une fois la connection montée plus de dns, plus de routes, …
Si tu a de telles contraintes, pourquoi ne pas simplement utiliser un outil type unison pour synchroniser automatiquement ton dossier de travail du ton PC de bureau sur ton serveur ?
Tu recupere tes données depuis la ferme de calcul sur ton poste en scp et unison se chargera de les synchroniser sur ton serveur.
J'ai une petite soixantaine de serveurs, mis a part le jour de leur installation ils ont jamais vu une clef usb ou un lecteur CD de leur vie…
Et si besoin tu les reboot a ce momment la
Mais y a d’autre soucis : la mise à jour du kernel inplace (qui oblige à rebooter tout de suite)
Et pourquoi ça ? les kernels debian sont mis a jours 'inplace' eux aussi, c'est pas pour ça que je reboot "de suite".
Sur un serveur le matos connecté ne bouge pas habituellement, tu peut meme supprimer le vmlinux + /lib/modules sans que ça dérange le système
(bon le reboot suivant risque d'être compliqué par contre :)).
Pour moi le privé à toujours joué une part importante dans le programme spatial américain.
Les capsules appollo, la navette spatiale, … ont été conçues par North American Aviation/Rockwell-Boeing, le LEM par Grumman, etc…
Le mois prochain je dois acheter des laptops pour ma boite, et je suis tout simplement déprimé
quand je vois l'offre….
Personnellement je prend des lattitudes serie E (dell) en portables, le matos est de bonne qualité et de bonne fabrication. Accessoirement ça tourne plutot bien sous linux.
De plus le système de dock est vraiment pratique pour les "semi mobiles".
Mais je n'ai pas compris à quoi sert la dernière entrée ?
elle sert a dire à un client qui voudrait faire une ecriture sur le slave quel est l'adresse du master pour faire ses écritures,
et accessoirement le serveur passe en R/O sauf pour le process syncrepl je crois
Nous nous posons donc plusieurs questions :
- est-ce une bonne pratique de synchroniser la configuration (cn=config) et si oui, comment faire pour que chaque serveur sache qui il est ??
En pratique je dirais non, si la configuration est identique tu ne pourra pas spécifier le "UpdateRef" par exemple.
Personnellement j'ai tenté de repliquer la configuration de schema uniquement, mais ça bloquait l'ecriture ldap sur la totalité de cn=config donc assez dommage.
Obliger d'editer les fichiers à la main + redemarrer, ce qui n'est pas tres pratique.
nous n'avons pas trouvé l'objectClass olcSyncProvConfig lors de la création de l'overlay
Extraits de mon ldif d'initialisation des slaves ldap, basé sur une installation debian standard:
Pour avoir eu le cas, ça peut-être aussi de l'<> c'est à dire de l'utf-8, vu comme de l'iso-8859 et re-enregistré sous forme UTF-8.
Tu te retrouve avec 4 octets pour un accent, c'est "tres rigolo".
"hexdump -C" ou le viewer hexa de midnight commander sont bien pratique pour comprendre ce genre de blague, et être certain de l'encodage d'un fichier.
C'est malheureusement le lot commun de l'administrateur système en général: faire tourner un soft dans une configuration imprévue et se retrouver à enchaîner les cochonnerie.
Les admins sont rarement des codeurs, et de toute façon il arrive souvent en entreprise qu'on ai pas les codes sources des logiciels
[^] # Re: Aucun des deux
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Sécurité des claviers sans fil. Évalué à 2.
Officiellement en tout cas la techno logitech unify est basée sur de l'AES128:
http://www.logitech.com/images/pdf/roem/Advanced_24_Unifying_FINAL070709.pdf
Pour les périphériques bluetooth en < 2.1 apparement la crypto était assez peu fiable, le 2.1 semble avoir corrigé les plus gros défauts et le bluetooth 4 a fait la bascule sur AES.
[^] # Re: Attention quand même.
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Auto-hébergement et sécurisation des accès via HTTPS. Évalué à 1.
ce qui est vrai en 2011 ne l'est plus forcement en 2013
la librairie nss supporte maintenant tls1.1 et 1.2, bien que par exemple sous firefox ce ne soit pas encore actif par défaut (passe security.tls.version.max a 3) et va sur https://www.ssllabs.com/ssltest/viewMyClient.html
[^] # Re: c'est quand meme le tien
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Self-hosting et HTTPS. Évalué à 2.
Euh, si, si le MITM pousse un certificat d'une AC reconnue tu as le même soucis
# C'est quoi le soucis ??
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Problème avec BIND 9 sur CENTOS 6.4 - 4 jours que je galère!!!!" [Résolu]. Évalué à 1.
parce que de ce que tu donne ta configuration est OK:
Et ça c'est normal:
déjà si tu essaye avec
named-checkzone 1.168.192.in-addr.arpa /var/named/1.168.192.rev
ça devrait marcher mieux.
as-tu essayé d'interroger ton serveur en local (dig ns1.eeb62.local @localhost, dig -x 192.168.1.50 @localhost,…)
[^] # Re: Ruby, pas Java
Posté par -=[ silmaril ]=- (site web personnel) . En réponse à la dépêche Gestion des logs avec Logstash, ElasticSearch & Kibana. Évalué à 1.
J'ai cru comprendre que la raison du "packaging jar" c'est surtout pour en simplifier le déploiement sur n'importe quel environment.
[^] # Re: Synchro CardDAV/CalDAV à moyen terme
Posté par -=[ silmaril ]=- (site web personnel) . En réponse à la dépêche CozyCloud, la mise en nuage personnelle et modulaire. Évalué à 3.
A croire qu'ils ecouteraient les plaintes des utilisateurs:
Version 5.0.9 July 15th 2013
Increased speed when syncing shared files
[^] # Re: HS pardon d'avance
Posté par -=[ silmaril ]=- (site web personnel) . En réponse à la dépêche Attention au dépôt debian-multimedia.org !. Évalué à 2.
Quel drôle de source.list …
Si tu est sous sid, nul besoin de tout cela, les paquets de testing/testing-updates sont publiés avant sur unstable, et ceux de stable/stable-update sont d'abord passés par testing/testing-update et donc par unstable.
# apt-dater
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Gestion des mises à jour de plusieurs machines Debian. Évalué à 1.
Outil très sympatique: http://www.ibh.de/apt-dater/
Il se connecte sur les machines (ssh) et permet d'avoir une vision globale de l'etat des mises a jours / reboot necessaires et de lancer installation/mise a jours/suppression de paquets de façon centralisée
[^] # Re: le pire à pire
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Moyens de paiement : j'ai peur de l'avenir. Évalué à 1.
On doit avoir la même banque alors, mais pas le même conseiller.
Déjà pour avoir la carte sans l'option "moneo" qui valide les paiements sans contact j'ai pu garder la précedente carte le temps de la re-creation.
# le pire...
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Moyens de paiement : j'ai peur de l'avenir. Évalué à 6.
Ma banque m'a fait le coup aussi,sauf que j'ai pas eu droit au courrier de prévention :-(
Suite a mon refus du dispositif j'ai eu droit à une seconde carte sans cette option, toutefois la partie NFC de la carte reste présente elle, avec une émission de données (pas encore eu le temps d'analyser ça en détail).
# Licenses
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au sondage Selon vous, quel est l'avantage d'un système libre type GNU/Linux sur un ordinateur de bureau ?. Évalué à 6.
Autre: la non prise de tête avec les Licenses / quota d'utilisation parallèle
[^] # Re: Magic SysRq
Posté par -=[ silmaril ]=- (site web personnel) . En réponse à la dépêche Infection par rootkit « SSHd Spam » sur des serveurs RHEL/CentOS. Évalué à 10.
je crois que tu n'a pas bien compris l'objectif de la "simulation" justement, le but est d'empecher
toute nouvelle modification du système par un processus résident et donc d'effectuer un arret brutal
du système comme le ferais une coupure de courant ("hard powercut").
après la modification de libkeyutil ne peut être qu'une conséquence de l'intrusion, donc nettoyer cette lib ne va pas empecher une prochaine intrusion sur le vecteur d'origine.
[^] # Re: problème coté client
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Dns et suffix. Évalué à 2.
le support native de domain-search est present à partir de la version 3.1
Tu peut toujours le configurer à la main
But you can still configure the domain-search option by hand. The
easiest thing is to configure it without compression tags;.
les code \00x sont des nombres encodés en octal, qui correspondent au nombre
de caractères du bloc qui suit (mondom = 6 dom = 3, ..), chaque domaine de la liste
de recherche est terminé par un null (\000).
# conflit d'adresse IP privée ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Problème d'accès VPN. Évalué à 1.
J'ai un soucis similaire avec un vpn @job: l'un des reseaux privé annoncé est le même que le réseau privé de la connection 3G,
du coup une fois la connection montée plus de dns, plus de routes, …
# scp + unison ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message SSH entre 3 machines. Évalué à 1.
Si tu a de telles contraintes, pourquoi ne pas simplement utiliser un outil type unison pour synchroniser automatiquement ton dossier de travail du ton PC de bureau sur ton serveur ?
Tu recupere tes données depuis la ferme de calcul sur ton poste en scp et unison se chargera de les synchroniser sur ton serveur.
Ou un outil de backup type BackupPC.
[^] # Re: Et tu remplaces Arch Linux par quoi ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Archlinux est morte…. Évalué à 1.
J'ai une petite soixantaine de serveurs, mis a part le jour de leur installation ils ont jamais vu une clef usb ou un lecteur CD de leur vie…
Et si besoin tu les reboot a ce momment la
[^] # Re: Et tu remplaces Arch Linux par quoi ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Archlinux est morte…. Évalué à 1.
Et pourquoi ça ? les kernels debian sont mis a jours 'inplace' eux aussi, c'est pas pour ça que je reboot "de suite".
Sur un serveur le matos connecté ne bouge pas habituellement, tu peut meme supprimer le vmlinux + /lib/modules sans que ça dérange le système
(bon le reboot suivant risque d'être compliqué par contre :)).
# Bizarre
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal L’aventure spatiale perd un peu de sa liberté. Évalué à 10.
Pour moi le privé à toujours joué une part importante dans le programme spatial américain.
Les capsules appollo, la navette spatiale, … ont été conçues par North American Aviation/Rockwell-Boeing, le LEM par Grumman, etc…
[^] # Re: Dell
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Avec un bon Dell on peut.... Évalué à 3.
Personnellement je prend des lattitudes serie E (dell) en portables, le matos est de bonne qualité et de bonne fabrication. Accessoirement ça tourne plutot bien sous linux.
De plus le système de dock est vraiment pratique pour les "semi mobiles".
[^] # Re: Re
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message OpenLDAP -- @(#) $OpenLDAP: slapd 2.4.21 (Dec 19 2011 15:18:58) $. Évalué à 1.
elle sert a dire à un client qui voudrait faire une ecriture sur le slave quel est l'adresse du master pour faire ses écritures,
et accessoirement le serveur passe en R/O sauf pour le process syncrepl je crois
[^] # Re: quel intéret?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au sondage Utilisez vous IPv6 ?. Évalué à 3.
Raté pour ça, X25 chez orange c'est fini depuis le 30 juin dernier (arrêt du minite tout ça)
# Re
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message OpenLDAP -- @(#) $OpenLDAP: slapd 2.4.21 (Dec 19 2011 15:18:58) $. Évalué à 2.
En pratique je dirais non, si la configuration est identique tu ne pourra pas spécifier le "UpdateRef" par exemple.
Personnellement j'ai tenté de repliquer la configuration de schema uniquement, mais ça bloquait l'ecriture ldap sur la totalité de cn=config donc assez dommage.
Obliger d'editer les fichiers à la main + redemarrer, ce qui n'est pas tres pratique.
Extraits de mon ldif d'initialisation des slaves ldap, basé sur une installation debian standard:
[^] # Re: file fichier
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Conversion encodage d'un fichier. Évalué à 3.
Pour avoir eu le cas, ça peut-être aussi de l'<> c'est à dire de l'utf-8, vu comme de l'iso-8859 et re-enregistré sous forme UTF-8.
Tu te retrouve avec 4 octets pour un accent, c'est "tres rigolo".
"hexdump -C" ou le viewer hexa de midnight commander sont bien pratique pour comprendre ce genre de blague, et être certain de l'encodage d'un fichier.
[^] # Re: Le problème est ailleurs !
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Définir des nom d'hôtes différents selon l'adresse ip utilisée. Évalué à 1.
C'est malheureusement le lot commun de l'administrateur système en général: faire tourner un soft dans une configuration imprévue et se retrouver à enchaîner les cochonnerie.
Les admins sont rarement des codeurs, et de toute façon il arrive souvent en entreprise qu'on ai pas les codes sources des logiciels
[^] # Re: Gnome
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Cette semaine, j'ai squeezé un pangolin. Évalué à 1.
c'est la courbe verte qu'il faut regarder: le nombre de bug RC pour la prochaine release