-=[ silmaril ]=- a écrit 1470 commentaires

Il me semble que ça fait parti des choses que tu "signe" dans le contrat de licence M$

Après comme dit plus bas la BSA n'ayant aucune autoritée de police, c'est a toi d'accepter qu'ils viennent voir tes petites affaires donc..

Je pense q'un programme pour ce genre de problème devrai exister dans le monde Linux moderne:
en pensant qu'il existe de nos jours tellement de distributions qu'il faudrait pouvoir identifier ce genre d'informations.
Pourquoi pas un programme nommer manpath qui renvoie le chemin des manpages sur le système cible.
Et vlan je viens de taper manpath dans mon terminal et ça existe déjà la preuve que Linux évolue.

Il existe, depuis 16ans et il permet de faire un build process indépendant de la plateforme unix (linux, bsd, whatever).

ça s'appelle "libtool", et c'est très bien intégré avec les outils "autoconf" / "automake" qui permet la génération d'un script de configuration et des makefiles en fonction des parametres détéctés sur l'OS de l'utilisateur

Au vu de ta structure, la représentation mémoire ne nécessite qu'un padding d'un octet, en effet le padding de 8bits pour id suffit à aligner name sur un 32bits:

0    8   16        32                  64
+----+----+----+----+----+----+----+----+
| ver|XXXX| id      | name              |
+----+----+----+----+----+----+----+----+

Pour savoir ce que le compilo (gcc en tout cas) fait: -Wpadded est utile

Ta configuration réseau n'est pas bonne pour pc3 notamment la gateway. Accessoirement sans une couche de Nat je doute que pc3 puisse jamais accéder au net.

Moui, ça sent le déballage de linge sale tout ça mais je vais marcher dedans.

Tu voit le problème par le bout de ta lentille, et tu répond à une problématique sans prendre en compte le besoin et/ou les contraintes de sécurité globale de la boite.

SSH c'est très bien, c'est sécurisé et tout certes. Mais la solution que tu propose ne fait pas ce qui est demandé/souhaité par le DSI c'est à dire de lui permettre de contrôler qui à accès à quoi et quand. Et de revoquer les accès de façon "sécurisée" (ie sans oublier ta clef ssh sur trois serveurs paumé et oubliés de tous).

Il est possible de répondre à la problématique annoncée en utilisant des outils libre tels que SSH ou OpenVPN mais pas en 10 minutes de taf…

Et certains pensent qu'il vaut mieux payer quelques centaines d'euro une solution éprouvée que de mandater quelqu'un pendant x mois pour mettre en place et certifier / valider une solution maison.

Ce n'est pas pour autant de la bêtise ni de l'incompétence ….

• toi : moi c'est plus simple, c'est yyy@AA.BB.CC.DD

nope, dans ce cas c'est yyy@[AA.BB.CC.DD]

ça marche, juste pas évident à communiquer

les requêtes arrivant sur mon serveurs par les ports 80 et 443 arrivent d'abord sur Pound, > qui en fonction du nom de domaine va les renvoyer sur un serveur virtuel et un port
spécifique.

Un load-balanceur juste pour ça c'est un poil overkill non ?
un apache basique et correctement configuré te fera le même taff, sans ton problème de reload

Je cherche un load balancer qui serait capable de faire passer les requêtes d'un serveur à un autre

pas bien compris …
en tout cas il existe des LB qui font du reload de configuration sans interruption: apache+mod_proxy, ou haproxy

Pour RF, il y a très peu de chances qu'une quelconque fonction de sécurité ait été implémentée.

Officiellement en tout cas la techno logitech unify est basée sur de l'AES128:
http://www.logitech.com/images/pdf/roem/Advanced_24_Unifying_FINAL070709.pdf

Pour les périphériques bluetooth en < 2.1 apparement la crypto était assez peu fiable, le 2.1 semble avoir corrigé les plus gros défauts et le bluetooth 4 a fait la bascule sur AES.

la bibliothèque NSS ne supporte pas TLSv1.1 et 1.2

ce qui est vrai en 2011 ne l'est plus forcement en 2013
la librairie nss supporte maintenant tls1.1 et 1.2, bien que par exemple sous firefox ce ne soit pas encore actif par défaut (passe security.tls.version.max a 3) et va sur https://www.ssllabs.com/ssltest/viewMyClient.html

Avec un certificat auto-signé, si on a recupéré et enregistré le bon certificat à la première connexion, il est impossible d'être victime de l'homme du milieu.

Euh, si, si le MITM pousse un certificat d'une AC reconnue tu as le même soucis

parce que de ce que tu donne ta configuration est OK:

[root@server ~]# named-checkconf -z
zone eeb62.local/IN: loaded serial 2013092705
zone 1.168.192.in-addr.arpa/IN: loaded serial 2013092705
…

Et ça c'est normal:

[root@server ~]# named-checkzone eeb62.local /var/named/1.168.192.rev
zone eeb62.local/IN: NS 'ns1.eeb62.local' has no address records (A or AAAA)
zone eeb62.local/IN: not loaded due to errors.

déjà si tu essaye avec
named-checkzone 1.168.192.in-addr.arpa /var/named/1.168.192.rev

ça devrait marcher mieux.

as-tu essayé d'interroger ton serveur en local (dig ns1.eeb62.local @localhost, dig -x 192.168.1.50 @localhost,…)

J'ai cru comprendre que la raison du "packaging jar" c'est surtout pour en simplifier le déploiement sur n'importe quel environment.

A croire qu'ils ecouteraient les plaintes des utilisateurs:

Version 5.0.9 July 15th 2013
Increased speed when syncing shared files

Quel drôle de source.list …

Si tu est sous sid, nul besoin de tout cela, les paquets de testing/testing-updates sont publiés avant sur unstable, et ceux de stable/stable-update sont d'abord passés par testing/testing-update et donc par unstable.

Outil très sympatique: http://www.ibh.de/apt-dater/

Il se connecte sur les machines (ssh) et permet d'avoir une vision globale de l'etat des mises a jours / reboot necessaires et de lancer installation/mise a jours/suppression de paquets de façon centralisée

On doit avoir la même banque alors, mais pas le même conseiller.

Déjà pour avoir la carte sans l'option "moneo" qui valide les paiements sans contact j'ai pu garder la précedente carte le temps de la re-creation.

Ma banque m'a fait le coup aussi,sauf que j'ai pas eu droit au courrier de prévention :-(

Suite a mon refus du dispositif j'ai eu droit à une seconde carte sans cette option, toutefois la partie NFC de la carte reste présente elle, avec une émission de données (pas encore eu le temps d'analyser ça en détail).

Autre: la non prise de tête avec les Licenses / quota d'utilisation parallèle

je crois que tu n'a pas bien compris l'objectif de la "simulation" justement, le but est d'empecher
toute nouvelle modification du système par un processus résident et donc d'effectuer un arret brutal
du système comme le ferais une coupure de courant ("hard powercut").

après la modification de libkeyutil ne peut être qu'une conséquence de l'intrusion, donc nettoyer cette lib ne va pas empecher une prochaine intrusion sur le vecteur d'origine.

le support native de domain-search est present à partir de la version 3.1

Tu peut toujours le configurer à la main

But you can still configure the domain-search option by hand. The
easiest thing is to configure it without compression tags;.

# declaration de l'option 
option domain-search code 119 = text;
# creation d'une liste de recherche avec "mondom, dom.mondom":
option domain-search "\006mondom\000\003dom\006mondom\000";

les code \00x sont des nombres encodés en octal, qui correspondent au nombre
de caractères du bloc qui suit (mondom = 6 dom = 3, ..), chaque domaine de la liste
de recherche est terminé par un null (\000).

J'ai un soucis similaire avec un vpn @job: l'un des reseaux privé annoncé est le même que le réseau privé de la connection 3G,
du coup une fois la connection montée plus de dns, plus de routes, …

Si tu a de telles contraintes, pourquoi ne pas simplement utiliser un outil type unison pour synchroniser automatiquement ton dossier de travail du ton PC de bureau sur ton serveur ?

Tu recupere tes données depuis la ferme de calcul sur ton poste en scp et unison se chargera de les synchroniser sur ton serveur.

Ou un outil de backup type BackupPC.

J'ai une petite soixantaine de serveurs, mis a part le jour de leur installation ils ont jamais vu une clef usb ou un lecteur CD de leur vie…
Et si besoin tu les reboot a ce momment la

Mais y a d’autre soucis : la mise à jour du kernel inplace (qui oblige à rebooter tout de suite)

Et pourquoi ça ? les kernels debian sont mis a jours 'inplace' eux aussi, c'est pas pour ça que je reboot "de suite".

Sur un serveur le matos connecté ne bouge pas habituellement, tu peut meme supprimer le vmlinux + /lib/modules sans que ça dérange le système
(bon le reboot suivant risque d'être compliqué par contre :)).

Pour moi le privé à toujours joué une part importante dans le programme spatial américain.
Les capsules appollo, la navette spatiale, … ont été conçues par North American Aviation/Rockwell-Boeing, le LEM par Grumman, etc…