iEn l'occurence, ubuntu, fedora, et probablement suse utilise SeLinux
Suse non
il n'y a même pas les outils d'installé.
Et suse est largement moins utilisé en "end user" que gentoo et debian (enfin de mon experience).
Quant à ubuntu, je serais fort étonné que selinux fonctionne par défaut.
et quand je regarde google, ca tend à me conforter dans mon hyptohèse.
Concernant ftp, aucune de ces distributions ne lance un serveur ftp par défaut,
Euh... ca dépend ce que tu coche lors de l'install. Si tu met "serveur de fichier" ou une connerie comme ça ...
pulseaudio c'est intégré par ces distros, alors même que bon ça reste un choix technique discutable, donc ils devraient assuré la conf SeLinux qui va avec
Tout a fait d'accord, mais ils ne le font pas /o\.
On a non-SELinux system if the attacker was able to subvert any network facing daemon they won. They just tickled do the same thing. Take over daemon remotely, use pulseaudio to map the page, tickle the kernel bug, win. But what happens on an SELinux system? It doesn't work! Take over the network facing daemon, try the pulseaudio trick, crap, didn't get the page. Try to map the zero page directly. Crap it didn't work. Now what? You win, they lose. SELinux is stronger than non-SELinux.
This is because SELinux confines network facing daemons and doesn't give them permissions to map the 0 page. It's not about root or non-root. It's not about suid or non-suid. It's about the SELinux domain not allowing the daemon to map the 0 page. Yes, as an unconfined user you can map the page (and I'm looking at ways to fix that) but if your system is subverted remotely, you are likely much better protected with SELinux than without.
Alors pourquoi mmap_min_address marchait pas sur les fedora avec SELinux ?
A number of people have claimed the SELinux made the system weaker. It did, but in other ways it was still stronger. I'm working to get the best of both worlds, but it isn't fair to claim a universal across the board weakening.
We, the SELinux team, made a decision to not require CAP_SYS_RAWIO (non techies can think of this as root, or uid=0) for mapping the 0 page. Instead we have an SELinux policy specific permission for this operation, mmap_zero. We made the choice to not require one to be root because WINE needs to do this operation and (sadly) there are a number of users out there who run windows applications inside WINE.
Un bon système de sécurité doit avoir un paramètre par défault safe,
Faux.
Un bon système de sécurité doit trouver le bon compromis entre apporter un plus de sécurité, et pas trop emmerder les utilisateurs pour qu'ils le désactive.
SeLinux c'est installé sur toutes les distribs modernes
Absolument pas. En tout cas pas activé sur toutes les distribs moderne. Ca serait même plutôt l'inverse.
debian le fait pas. gentoo non plus. mandriva il me semble pas. archlinux non plus. Y'a que fedora/red hat qui le fait de base il me semble.
et si tu crois vraiment que tout le monde configure au petit oignon SeLinux, hum bah, ouvre les yeux :D
Même chose pour le ftp. Et vient se plaindre parce que "oh un compte anonyme a pu se connecter" ben c'est ton problème. Tu as pas voulu voir ce que ca faisait, tu assumes.
la configuration par "défault sur la majorité des distro" n'est pas bonne (genre carrément insafe) et ça semble trop compliqué pour le commun des mortels à configurer => deux mauvaises choses pour un sous-système de sécurité.
Pas parce que tu n'aimes pas selinux qu'il te faut raconter des grosses conneries :
1°) la conf par défaut RAJOUTE de la sécu, ca n'en enlève jamais. Simplement, les services qu'ils connait pas, ils les fait tourner comme si selinux n'existait pas, pour éviter de les bloquer.
Ca leur donne pas plus de droit ni rien.
2°) ca semble trop compliqué pour ceux qui veulent pas si mettre. Tout comme la conf d'un ldap semble trop compliqué pour le commun des mortels, ou la conf d'iptables.
3°) un moment il faut aussi arrêter de vouloir une jolie interface avec juste deux bouton pour commencer à bosser réellement. Ca te plait pas, soit, ca veut pas dire que c'est mauvais.
Julien Tinnes explique bien que ce problème est présent parce que, par défaut, SELinux contient une mauvaise configuration.
la "best practice" c'est plutôt de mettre tous les services que l'on connais pas en user_t (si selinux enabled), et ensuite, avec setroubleshoot ou des trucs comme ça d'essayer de faire la politique selinux.
De plus y'a pas vraiment de conf "par défaut" au niveau de selinux. C'est au choix de la distrib (entre targeted, strict, mls, ...).
Enfin, supposons que tu prenne targeted, qui effectivement de base fait tourner les daemons qu'il connais pas en unconfined, ca veut pas dire qu'il est bien configuré.
De base certains serveurs ftp sont configurées en anonymous. C'est une bonne conf ?
Non, Non et Non!
En tout cas en ce qui concerne la première failles.
Les systèmes utilisant selinux et ... MAL CONFIGURE!
la première faille disait "ouais si je tourne en unconfined, alors woot je peux bypasser selinux" ... si ton service est en unconfined, selinux ne le contrôle pas, donc ...
Toujours est il que si c'est effectivement bien possible, ca reste un probleme d'aptitude, le concept de sudo reste valide si t'utilises apt-get ou je sais pas quoi d'autre.
non, le concept de sudo reste bancal :
c'est "ce programme a besoin de root, donc je le lance en root, même si tu n'est pas root".
Ca a un intérêt (typiquement lancer un service etc...)
mais pour tout ce qui touche directement à l'ensemble du système (voui, l'ajout/suppression du système touche à tout le système) je suis plutot aussi pour un véritable su (cad que si le gars qui a l'autorisation d'utiliser aptitude, il devrait avoir l'autorisation de tout faire).
sudo est un merveilleux outil, ca ne veut pas dire qu'il est la solution miracle.
Et si on veut être "granulaire" dans les droits, on se fait (bien chier avec) les roles/types/... kivabien avec selinux, et on permet donc d'agir _que_ ce sur quoi on autorise.
(voir même, de simple acl pour les droits d'écritures sur le rep /var/bidulechouette, et /opt/...)
puis en regardant rapidement le man d'aptitude, je vois l'option "-o Définit une option du fichier de configuration à la volée."
Ca me semble déjà interessant à regarder. (peut être aussi -S ?)
~/.aptitude/config overrides /etc/apt/apt.conf
et dans apt.conf , on peut mettre des uri, définir le proxy (donc modifier les repositery etc..)
Les laptops dell prenaient feu en 2006, j'ai entendu personne hurler au traumatisme,
me semblait qu'il y a eu quelques beau feu, et aussi quelques brulures avec les laptops de dell
(tu me diras, y'a eu la même chose avec apple XD)
Le mec (ou sa famille) fait du buzz pour récolter un max de thunes, ils en ont rien à branler de son pseudo "traumatisme".
Présume qu'en angleterre c'était la même chose...
A tiens non il a refusé le fric.
Apple joue au con parce qu'ils savent très bien qu'un procès comme ça ne mènera à rien (ya quoi au final ? un iphone cassé et c'est tout ... ya pas mort d'homme)
Euh comment dire, si il faut attendre qu'il y ait un mort pour faire quelque chose, fait moi penser de ne JAMAIS venir chez toi.
"Oh le piège a loup sur la voie public ? Non on va pas porter plainte, y'a pas mort d'hommes.
Quoi un type t'as planté ? Non mais t'es pas mort ca va.
Quoi ton iphone t'a rendu borgne ? Non t'es pas mort c'est bon. c'est normal".
tout en faisant gaffe parce qu'ils sont médiatiquement très exposés.
Ah mentir c'est faire gaffe ? Parce que l'histoire de l'anglaise et de l'américain, on en a entendu parler y'a au moins une semaine. Donc raconter qu'il n'y a eu aucun cas similaire, tu m'excusera, j'ai connu des gens qui faisait "plus gaffe" dans les conneries qu'ils disaient.
(et promis, je ne posterais plus mes adresses MAC à la terre entière)
Ce n'est pas génant, elle ne sont accessible qu'à partir du même sous réseau physique ;) (des que tu passe un routeur, c'est fini)
il "suffit" que l'adresse mac de la freebox ait changé, et corresponde à celle de ton serveur (ou inversement).
avant d'envoyer un paquet ip, il fait une requête "arp". Cette requête arp permet de connaitre l'équivalence ip<->adresse mac.
(on peut voir le cache arp avec arp -a).
ensuite lorsqu'on envoie une requête ip (ping ou autre) :
met le paquet ip dans un paquet ethernet avec l'adresse mac de destination.
Donc si la freebox a la même mac que le serveur, lorsqu'un paquet est envoyé à destination de la freebox il peut etre intercepter par le serveur.
Ben ouais, mais tu cherches les coups toi aussi. A croire que t'aimes ca, te faire fouetter.
A fond, c'est toujours moi qui commence par insulter mon interlocuteur.
Je présume que pour toi, si une fille en mini jupe se fait violer c'est parce qu'elle l'avait cherché ?
Rien que dans ce fil, tu me la joues "j'ai une memoire d'elephant, pas toi, nananereuuu
Ah ? Bizarre ce n'était pas du tout le sens de mes propos. Si tu a cru ça, soit je me suis mal exprimé, soit tu as mal compris.
pour un commentaire plus tard faire "ah ouais, merde, en fait non, j'avias oublie que c'etait pas toi".
au départ c'était juste ironique, tu l'a mal pris, et je me suis trompé ensuite.
Je me suis d'ailleur excusé a ce titre.
Mais ca tu dois t'en souvenir, vu que tu nous raconte cette histoire ?
Tu disais etre quoi déjà avec ms ...
Ah oui, "objectif"
Heuuu... Une theorie qui se base sur de pseudos affirmations biologiques pour etablir une soit disante hierarchie des races (soit un mensonge pur et dur),
Pas forcément. Le racisme c'est "l'autre est différent (physiquement), il est forcément moins bien". Pas besoin de "pseudos théories biologiques".
l'autre qui est juste une peur humaine et courante de "l'inconnu" (pour simplifier), tu trouves ca proche?
L'autre qui dis "l'autre est différent (appartient pas au village/région/pays), il est forcément moins bien", voui je trouve ça proche.
Ensuite pour les excuses, y'a aussi des théories bidons pour la xenophobie, je te rassure (sont plus con là bas, la pollution/le soleil/l'air/... les rend cons, etc...)
Si je me permet de parler de wikipedia, c'est que tu vas me retorquer que "je n'ai pas d'arguments".
Mais parle, cite, ca ne me gene pas. Par contre le coup du martyr, arrête, tu vas me faire pleurer.
Ca ou ad hominem, au choix.
Hum... C'est un bon argument ça, y'a pas a dire. Précis, sourcé, tu cite ton interlocuteur pour montrer en quoi ca correspond bien .
Ils n'avaient aucun interet a me mentir,
Ce n'est pas un problème de "mensonge" ...
si les brevets s'ecrivaient en anglais normal cela ne rendrait pas leur profession obsolete et ne menacerait en rien leur position vu que leur specialisation est principalement ailleurs.
Un truc qui s'apelle le corporatisme, tu as en a déjà entendu parler ?
Tu fais le même truc ici : ca sert à quoi d'être de mauvaise foi sur ms et linux ici ? on est pas influent, on est pas des journalistes ni rien.
Pourtant tu l'as déjà été.
le "t'est américain ?" n'était pas top
Perso je l'ai compris dans le sens où thedude arrête pas de défendre ms, et que donc le fait qu'il soit américain explique (en partie) sa volontée.
Nullement comme une attaque.
C'est un peu comme si je parlais de la tour eiffel en disant qu'elle est mieux que le monument dans tel pays, et qu'on me demande si je suis français.
Je vais pas m'offusquer et considéré qu'ils sont "anti étranger" parce qu'ils m'ont demandé ma nationalitée.
Le problème est que ça, c'est lourdement connoté (d'autant plus à cause du mot-qu-il-ne-faut-pas-dire ("raciste")), et que la répétition rajoute une dose par dessus.
En quoi est ce plus connoté que "xénophobe" ?
Si on commençait la réponse à tous tes posts par une telle phrase, ç'aurait forcément une influence très néfaste sur toi (car personne n'ira vérifier de toute façon).
Je t'invite a lire les nombreuses amabilité qu'a dit thedude ou pbpg pendant un certain nombre d'années sur mon compte.
Et c'est cette rhétorique qui m'a fortement déplu. C'est une réponse largement disproportionnée.
Par rapport à xénophobe ? Perso je trouve pas.
Allez je prend quelques morceaux choisis de thedude Demande plutot des comptes a tes fonctionnaires, c'est eux qui ont chie dans la colle.
Quel tact, quel gentillesse de sa part, non ? Les pti chuiches auraient prit du red hat que ca serait strictement le meme probleme.
On voit tout de suite un grand respect des suisses, alors qu'il s'offusque dès qu'on lui demande sa nationalité en traitant les gens de xénophobes... donc quand j'en entends agiter l'argument xenophobe de "votre argent va partir chez les ricains"
A nouveau, un mot qui a rien a voir. C'est un réflexe protectionniste, absolument pas xenophobe qui n'a rien à voir.
Et le pire, c'est que thedude se permet de se la jouer "prof" en disant que xénophobe n'a rien a voir avec le racisme (alors que ce sont deux mots très proches (l'un est la discrimination sur la race, l'autre sur l'origine, les deux aussi péjoratif l'un que l'autre)) alors qu'il est même pas foutu de l'utiliser dans le bon sens.
Y'a aussi de bon truc niveau argumentation Rattrapes toi aux branches... 'tention!! craaaa-aaac!!! elle a pete...
Que du bon, du super respectueux, etc...
Bref, je vois pas en quoi la réponse est "disproportionné".
J'ai recopié ce que *tu* as écrit et montré au combien ça s'applique correctement à toi.
On doit pas avoir la même définition de démonstration alors.
C'est de la tartufferie ! Tu t'étrangles pas ?
C'est drole que tes seuls argument s'apparente à des attaques perso.
Pleinement... mais LOL LOL !!!!
Encore une fois, un argument incroyablement construit, plein de sagesse.
Encore ton truc sur la mémoire !!! qui on l'a vu est parfaitement juste.
idem que plus haut.
Que de sources mes amis. Si avec ça on a pas récupérer toute la bibliothèque d'alexandrie...
Et sache que je ne lui en ai pas attribué 15... tout au plus je l'ai traité de mytho lorsqu'il a corrigé le 15 (émis par une autre personne) en 2 car *clairement* il en a eu plus que 2
"C'est pas moi qui l'ai dis, j'ai juste dis qu'il mentait... sans aucune preuve ni source ni argument".
Ca change vraiment pas grand chose.
vu que tu as accepté les arguments de LittleBoy, on peut même être d'accord que c'est un fait !!!
Non.
Je suis d'accord que LittleBoy a apporté des élements.
A posteriori on peut tout dire, sauf que la tes affirmations, elles furent faites AVANT que littleboy le dise.
Toi tu as RIEN dit. Que dalle. Nada.
Et tu as refusé d'apporter le moindre élements. Donc sur ce point, tu ne peux pas parler. Littleboy lui peut parler.
Donc non, au moment de ton post ce n'était absolument pas un fait, tout au mieux une divagation de ta part.
Tu saisis la nuance ?
alors je vois pas pourquoi je devrais justifier ce chiffre de 15 n'en étant pas la personne qui en suit à l'origine ( https://linuxfr.org/comments/1052309,1.html ) (encore une fois, mais ça c'est ta super mémoire !).
et encore une fois, ce n'est pas de justifier du 15 ou du 14, mais justifier de TES AFFIRMATIONS.
Mais comme tu aime attaquer les gens sur leur mémoire, je présume que ta mémoire a toi est exemplaire...
Hum visiblement tu as du oublié comment on comprenait le francais pourtant...
Et jusquà preuve du contraire, kde et fwvm ne regroupe pas linux.
(et je crois qu'ils essaie de porter kde sous windows, donc il faut partie du monde windows maintenant ? )
J'ai dit NT specifiquement ? Non, j'ai dit les autres OS dont NT.
Oh je suis pas jaloux, tu peux aussi parler des autres os.
Juste que ton domaine de compétence, à ce que j'ai cru comprendre, est plus proche de nt que celui d'un os embarqué temps réel non unix.
Suffit de voir les premieres incantations de KDE ou fvwm pour rigoler un bon coup, ou Bonobo / KParts, ou SDL pour voir des elements piques directement chez MS
J'ai vu les premières incantations, et j'ai pas trouvé.
Mais bon pour quelqu'un qui place "toute l'interface graphique" sur le placement d'une icone et d'une horloge, après tout ca ne m'étonne pas trop...
blablabla ? Dans Windows avant
Avant ? Donc c'est incorporé quand dans kde , et ca existait quand dans windows ?
Perso je n'en sais rien, donc je me garde bien de dire "ouai c'est eux les vils copieurs", dans un sens... comme dans l'autre.
et si pour toi toute l'interface graphique s'arrête au placement de quelques icones et d'une toolbar ...
Bref, assez drole comme comparaison
Pas une comparaison, tout au mieux quelques affirmation (bien loin de montrer une partie importante de l'interface graphique, et encore plus loin de montrer en quoi linux, globalement, est touché).
A peu pres tout ce qui est relatif aux interfaces graphiques modernes pour commencer, ca fait bcp.
Désolé mais les interfaces graphiques que j'utilisait pendant un certain temps (e17 & consors) jamais vu d'équivalent chez ms.
Gimp, ah c'est le même principe que chez ms ?
etc...
Bref si tu avais des trucs plus précis que "je n'en sais rien, vais donner une catégorie tellement large qu'on peut tout y foutre (un peu comme un brevet trivial quoi), et sans rien pour confirmer mes dires (que confirmer quand c'est si large)."
(et pour le confirmer, il faut aussi prouver que ms en est bien le créateur (sinon on peut piquer sur l'origine))
surrtout quand c'est une position que tu n'aimes pas en fait
Si tu pouvais savoir comment je m'en tape qu'on me prenne pour le multi de quelqu'un ou pas....
ça ne me gêne pas, ca _m'amuse_
et ça m'amuse aussi la "chasse au sorcière" des multi. Il a un multi, cool, et ?
Ah ben rien.
Voui ça m'amuse beaucoup ce genre de poste où on voit "voui tu n'es qu'un multi de bidule d'abord".
pretends que ton interlocuteur n'a pas d'arguments quand il a passe 30 minutes a ecrire un truc
La qualité d'un post et son argumentaire ne se fait ni à la longueur, ni au temps passé.
(le cas des multi d'albert etait asses eloquent, j'avais ecrit un 50aine de ligne detaillant pourquoi albert etait un multi, apparement tu les a pas vu/lu)
Le cas du multi d'albert m'a été démontré par littleboy qui avait des argument objectifs, et sur lesquels, bizarrement je fus d'accord sans trop de souci.
A croire que tes arguments étaient moins bien présenté pour mon pauvre cerveau qui modifie tout que ceux de littleboy .
bref t'as une lecture et une comprehension des posts qui est pour le moins deroutante.
Et sur ce point, je pense ne pas être le seule.
C'est ce que j'ai fait avec toi...
No comment ...
Ce que tu as fait c'est "j'ai raison, t'es con. Prouve moi le contraire".
Pas d'argument, rien.
Tout ce thread montre *clairement* que tu ne regardes même pas à qui tu réponds et tu mêles les intervention de tout tes contradicteurs dans une seule personne fictive !
Ca montre surtout que tu lis pas les commentaires auquel tu répond.
Soit je me suis trompé entre allcolor et thedude.
Ok, j'assume pleinement cette erreur, ca ne me gene pas de reconnaitre mes erreurs.
Mais ça répond absolument pas à la question des sources et des arguments, et au fait que tu réponde jamais quand on te le demande, mais que des qu'on t'en donne pas tu nous fait un caca nerveux.
Marrant que tu ais "oublié" toute cette partie (qui est, de loin, amha, la plus intéressante).
Pour le truc d'Albert, sache que preuve il y a, il l'a désormais reconnu en changeant le nom affiché ! (ça c'est pour l'histoire de merde et de preuves).
Et sache qu'il a pas reconnu les 15 multi que certains lui attribuait...
Par contre pour tes dires, il n'y a pas la moindre petite preuve étant donné que ce que tu dis n'est jamais arrivé.
Pas plus qu'il y avait de preuve pour toi (qu'il l'ai reconnu a posteriori ne veut pas dire qu'il y avait de preuves avant).
A moins que tu ais accés aux logs de linuxfr ?
C'est exactement ce que tu es en train de faire.
Je pense que tu as du mal à lire.
et lance un wireshark sur les deux machines, lance un ping sur la paserelle et sors grosso modo les lignes qu'il y a (src/dest/...)
Aussi pense a changer l'adresse mac de ton serveur (si aucun service/licence ne dépend de lui)
ifconfig eth0 hw ether 00:80:48:BA:d1:20 (ou une adresse mac au pif)
[^] # Re: Marche pô
Posté par briaeros007 . En réponse au journal Encore un trou de sécurité, encore Brad qui s'amuse.... Évalué à 3.
Comment une faille de pulseaudio peut etre exploité si ... il n'y a pas pulseaudio (et donc pas la faille) ?
[^] # Re: (donc les systèmes utilisant SELinux sont vulnérables).
Posté par briaeros007 . En réponse au journal Encore un trou de sécurité, encore Brad qui s'amuse.... Évalué à 2.
Suse non
il n'y a même pas les outils d'installé.
Et suse est largement moins utilisé en "end user" que gentoo et debian (enfin de mon experience).
Quant à ubuntu, je serais fort étonné que selinux fonctionne par défaut.
et quand je regarde google, ca tend à me conforter dans mon hyptohèse.
Concernant ftp, aucune de ces distributions ne lance un serveur ftp par défaut,
Euh... ca dépend ce que tu coche lors de l'install. Si tu met "serveur de fichier" ou une connerie comme ça ...
pulseaudio c'est intégré par ces distros, alors même que bon ça reste un choix technique discutable, donc ils devraient assuré la conf SeLinux qui va avec
Tout a fait d'accord, mais ils ne le font pas /o\.
[^] # Re: (donc les systèmes utilisant SELinux sont vulnérables).
Posté par briaeros007 . En réponse au journal Encore un trou de sécurité, encore Brad qui s'amuse.... Évalué à 2.
On a non-SELinux system if the attacker was able to subvert any network facing daemon they won. They just tickled do the same thing. Take over daemon remotely, use pulseaudio to map the page, tickle the kernel bug, win. But what happens on an SELinux system? It doesn't work! Take over the network facing daemon, try the pulseaudio trick, crap, didn't get the page. Try to map the zero page directly. Crap it didn't work. Now what? You win, they lose. SELinux is stronger than non-SELinux.
This is because SELinux confines network facing daemons and doesn't give them permissions to map the 0 page. It's not about root or non-root. It's not about suid or non-suid. It's about the SELinux domain not allowing the daemon to map the 0 page. Yes, as an unconfined user you can map the page (and I'm looking at ways to fix that) but if your system is subverted remotely, you are likely much better protected with SELinux than without.
http://eparis.livejournal.com/606.html
[^] # Re: (donc les systèmes utilisant SELinux sont vulnérables).
Posté par briaeros007 . En réponse au journal Encore un trou de sécurité, encore Brad qui s'amuse.... Évalué à 3.
A number of people have claimed the SELinux made the system weaker. It did, but in other ways it was still stronger. I'm working to get the best of both worlds, but it isn't fair to claim a universal across the board weakening.
We, the SELinux team, made a decision to not require CAP_SYS_RAWIO (non techies can think of this as root, or uid=0) for mapping the 0 page. Instead we have an SELinux policy specific permission for this operation, mmap_zero. We made the choice to not require one to be root because WINE needs to do this operation and (sadly) there are a number of users out there who run windows applications inside WINE.
[^] # Re: Marche pô
Posté par briaeros007 . En réponse au journal Encore un trou de sécurité, encore Brad qui s'amuse.... Évalué à 2.
[^] # Re: Pulse Audio
Posté par briaeros007 . En réponse au journal Encore un trou de sécurité, encore Brad qui s'amuse.... Évalué à 2.
[^] # Re: (donc les systèmes utilisant SELinux sont vulnérables).
Posté par briaeros007 . En réponse au journal Encore un trou de sécurité, encore Brad qui s'amuse.... Évalué à 2.
Faux.
Un bon système de sécurité doit trouver le bon compromis entre apporter un plus de sécurité, et pas trop emmerder les utilisateurs pour qu'ils le désactive.
SeLinux c'est installé sur toutes les distribs modernes
Absolument pas. En tout cas pas activé sur toutes les distribs moderne. Ca serait même plutôt l'inverse.
debian le fait pas. gentoo non plus. mandriva il me semble pas. archlinux non plus. Y'a que fedora/red hat qui le fait de base il me semble.
et si tu crois vraiment que tout le monde configure au petit oignon SeLinux, hum bah, ouvre les yeux :D
Même chose pour le ftp. Et vient se plaindre parce que "oh un compte anonyme a pu se connecter" ben c'est ton problème. Tu as pas voulu voir ce que ca faisait, tu assumes.
la configuration par "défault sur la majorité des distro" n'est pas bonne (genre carrément insafe) et ça semble trop compliqué pour le commun des mortels à configurer => deux mauvaises choses pour un sous-système de sécurité.
Pas parce que tu n'aimes pas selinux qu'il te faut raconter des grosses conneries :
1°) la conf par défaut RAJOUTE de la sécu, ca n'en enlève jamais. Simplement, les services qu'ils connait pas, ils les fait tourner comme si selinux n'existait pas, pour éviter de les bloquer.
Ca leur donne pas plus de droit ni rien.
2°) ca semble trop compliqué pour ceux qui veulent pas si mettre. Tout comme la conf d'un ldap semble trop compliqué pour le commun des mortels, ou la conf d'iptables.
3°) un moment il faut aussi arrêter de vouloir une jolie interface avec juste deux bouton pour commencer à bosser réellement. Ca te plait pas, soit, ca veut pas dire que c'est mauvais.
[^] # Re: (donc les systèmes utilisant SELinux sont vulnérables).
Posté par briaeros007 . En réponse au journal Encore un trou de sécurité, encore Brad qui s'amuse.... Évalué à 3.
la "best practice" c'est plutôt de mettre tous les services que l'on connais pas en user_t (si selinux enabled), et ensuite, avec setroubleshoot ou des trucs comme ça d'essayer de faire la politique selinux.
De plus y'a pas vraiment de conf "par défaut" au niveau de selinux. C'est au choix de la distrib (entre targeted, strict, mls, ...).
Enfin, supposons que tu prenne targeted, qui effectivement de base fait tourner les daemons qu'il connais pas en unconfined, ca veut pas dire qu'il est bien configuré.
De base certains serveurs ftp sont configurées en anonymous. C'est une bonne conf ?
# (donc les systèmes utilisant SELinux sont vulnérables).
Posté par briaeros007 . En réponse au journal Encore un trou de sécurité, encore Brad qui s'amuse.... Évalué à 3.
En tout cas en ce qui concerne la première failles.
Les systèmes utilisant selinux et ... MAL CONFIGURE!
la première faille disait "ouais si je tourne en unconfined, alors woot je peux bypasser selinux" ... si ton service est en unconfined, selinux ne le contrôle pas, donc ...
[^] # Re: Aptitude dans une Konsole, c'est pas bien?
Posté par briaeros007 . En réponse au journal Les gens aiment les standards de fait. Évalué à 2.
non, le concept de sudo reste bancal :
c'est "ce programme a besoin de root, donc je le lance en root, même si tu n'est pas root".
Ca a un intérêt (typiquement lancer un service etc...)
mais pour tout ce qui touche directement à l'ensemble du système (voui, l'ajout/suppression du système touche à tout le système) je suis plutot aussi pour un véritable su (cad que si le gars qui a l'autorisation d'utiliser aptitude, il devrait avoir l'autorisation de tout faire).
sudo est un merveilleux outil, ca ne veut pas dire qu'il est la solution miracle.
Et si on veut être "granulaire" dans les droits, on se fait (bien chier avec) les roles/types/... kivabien avec selinux, et on permet donc d'agir _que_ ce sur quoi on autorise.
(voir même, de simple acl pour les droits d'écritures sur le rep /var/bidulechouette, et /opt/...)
puis en regardant rapidement le man d'aptitude, je vois l'option "-o Définit une option du fichier de configuration à la volée."
Ca me semble déjà interessant à regarder. (peut être aussi -S ?)
~/.aptitude/config overrides /etc/apt/apt.conf
et dans apt.conf , on peut mettre des uri, définir le proxy (donc modifier les repositery etc..)
[^] # Re: Similaire ou non
Posté par briaeros007 . En réponse au journal On s'éclate chez apple. Évalué à 2.
me semblait qu'il y a eu quelques beau feu, et aussi quelques brulures avec les laptops de dell
(tu me diras, y'a eu la même chose avec apple XD)
[^] # Re: Similaire ou non
Posté par briaeros007 . En réponse au journal On s'éclate chez apple. Évalué à 10.
Présume qu'en angleterre c'était la même chose...
A tiens non il a refusé le fric.
Apple joue au con parce qu'ils savent très bien qu'un procès comme ça ne mènera à rien (ya quoi au final ? un iphone cassé et c'est tout ... ya pas mort d'homme)
Euh comment dire, si il faut attendre qu'il y ait un mort pour faire quelque chose, fait moi penser de ne JAMAIS venir chez toi.
"Oh le piège a loup sur la voie public ? Non on va pas porter plainte, y'a pas mort d'hommes.
Quoi un type t'as planté ? Non mais t'es pas mort ca va.
Quoi ton iphone t'a rendu borgne ? Non t'es pas mort c'est bon. c'est normal".
tout en faisant gaffe parce qu'ils sont médiatiquement très exposés.
Ah mentir c'est faire gaffe ? Parce que l'histoire de l'anglaise et de l'américain, on en a entendu parler y'a au moins une semaine. Donc raconter qu'il n'y a eu aucun cas similaire, tu m'excusera, j'ai connu des gens qui faisait "plus gaffe" dans les conneries qu'ils disaient.
[^] # Re: Détails
Posté par briaeros007 . En réponse au message WAN HS lorsque le serveur est sur le réseau.. Évalué à 2.
Ce n'est pas génant, elle ne sont accessible qu'à partir du même sous réseau physique ;) (des que tu passe un routeur, c'est fini)
[^] # Re: Détails
Posté par briaeros007 . En réponse au message WAN HS lorsque le serveur est sur le réseau.. Évalué à 2.
avant d'envoyer un paquet ip, il fait une requête "arp". Cette requête arp permet de connaitre l'équivalence ip<->adresse mac.
(on peut voir le cache arp avec arp -a).
ensuite lorsqu'on envoie une requête ip (ping ou autre) :
met le paquet ip dans un paquet ethernet avec l'adresse mac de destination.
Donc si la freebox a la même mac que le serveur, lorsqu'un paquet est envoyé à destination de la freebox il peut etre intercepter par le serveur.
[^] # Re: Trop tard
Posté par briaeros007 . En réponse au journal La Suisse dépendante de Microsoft. Évalué à 2.
A fond, c'est toujours moi qui commence par insulter mon interlocuteur.
Je présume que pour toi, si une fille en mini jupe se fait violer c'est parce qu'elle l'avait cherché ?
Rien que dans ce fil, tu me la joues "j'ai une memoire d'elephant, pas toi, nananereuuu
Ah ? Bizarre ce n'était pas du tout le sens de mes propos. Si tu a cru ça, soit je me suis mal exprimé, soit tu as mal compris.
pour un commentaire plus tard faire "ah ouais, merde, en fait non, j'avias oublie que c'etait pas toi".
au départ c'était juste ironique, tu l'a mal pris, et je me suis trompé ensuite.
Je me suis d'ailleur excusé a ce titre.
Mais ca tu dois t'en souvenir, vu que tu nous raconte cette histoire ?
Tu disais etre quoi déjà avec ms ...
Ah oui, "objectif"
Heuuu... Une theorie qui se base sur de pseudos affirmations biologiques pour etablir une soit disante hierarchie des races (soit un mensonge pur et dur),
Pas forcément. Le racisme c'est "l'autre est différent (physiquement), il est forcément moins bien". Pas besoin de "pseudos théories biologiques".
l'autre qui est juste une peur humaine et courante de "l'inconnu" (pour simplifier), tu trouves ca proche?
L'autre qui dis "l'autre est différent (appartient pas au village/région/pays), il est forcément moins bien", voui je trouve ça proche.
Ensuite pour les excuses, y'a aussi des théories bidons pour la xenophobie, je te rassure (sont plus con là bas, la pollution/le soleil/l'air/... les rend cons, etc...)
Si je me permet de parler de wikipedia, c'est que tu vas me retorquer que "je n'ai pas d'arguments".
Mais parle, cite, ca ne me gene pas. Par contre le coup du martyr, arrête, tu vas me faire pleurer.
Ca ou ad hominem, au choix.
Hum... C'est un bon argument ça, y'a pas a dire. Précis, sourcé, tu cite ton interlocuteur pour montrer en quoi ca correspond bien .
[^] # Re: Plus en détail
Posté par briaeros007 . En réponse à la dépêche Microsoft se voit attribuer un brevet sur les traitements de texte utilisant XML. Évalué à 7.
Ce n'est pas un problème de "mensonge" ...
si les brevets s'ecrivaient en anglais normal cela ne rendrait pas leur profession obsolete et ne menacerait en rien leur position vu que leur specialisation est principalement ailleurs.
Un truc qui s'apelle le corporatisme, tu as en a déjà entendu parler ?
Tu fais le même truc ici : ca sert à quoi d'être de mauvaise foi sur ms et linux ici ? on est pas influent, on est pas des journalistes ni rien.
Pourtant tu l'as déjà été.
[^] # Re: Trop tard
Posté par briaeros007 . En réponse au journal La Suisse dépendante de Microsoft. Évalué à 3.
Perso je l'ai compris dans le sens où thedude arrête pas de défendre ms, et que donc le fait qu'il soit américain explique (en partie) sa volontée.
Nullement comme une attaque.
C'est un peu comme si je parlais de la tour eiffel en disant qu'elle est mieux que le monument dans tel pays, et qu'on me demande si je suis français.
Je vais pas m'offusquer et considéré qu'ils sont "anti étranger" parce qu'ils m'ont demandé ma nationalitée.
Le problème est que ça, c'est lourdement connoté (d'autant plus à cause du mot-qu-il-ne-faut-pas-dire ("raciste")), et que la répétition rajoute une dose par dessus.
En quoi est ce plus connoté que "xénophobe" ?
Si on commençait la réponse à tous tes posts par une telle phrase, ç'aurait forcément une influence très néfaste sur toi (car personne n'ira vérifier de toute façon).
Je t'invite a lire les nombreuses amabilité qu'a dit thedude ou pbpg pendant un certain nombre d'années sur mon compte.
Et c'est cette rhétorique qui m'a fortement déplu. C'est une réponse largement disproportionnée.
Par rapport à xénophobe ? Perso je trouve pas.
Allez je prend quelques morceaux choisis de thedude
Demande plutot des comptes a tes fonctionnaires, c'est eux qui ont chie dans la colle.
Quel tact, quel gentillesse de sa part, non ?
Les pti chuiches auraient prit du red hat que ca serait strictement le meme probleme.
On voit tout de suite un grand respect des suisses, alors qu'il s'offusque dès qu'on lui demande sa nationalité en traitant les gens de xénophobes...
donc quand j'en entends agiter l'argument xenophobe de "votre argent va partir chez les ricains"
A nouveau, un mot qui a rien a voir. C'est un réflexe protectionniste, absolument pas xenophobe qui n'a rien à voir.
Et le pire, c'est que thedude se permet de se la jouer "prof" en disant que xénophobe n'a rien a voir avec le racisme (alors que ce sont deux mots très proches (l'un est la discrimination sur la race, l'autre sur l'origine, les deux aussi péjoratif l'un que l'autre)) alors qu'il est même pas foutu de l'utiliser dans le bon sens.
Y'a aussi de bon truc niveau argumentation
Rattrapes toi aux branches... 'tention!! craaaa-aaac!!! elle a pete...
Que du bon, du super respectueux, etc...
Bref, je vois pas en quoi la réponse est "disproportionné".
[^] # Re: Si t'es pas content...
Posté par briaeros007 . En réponse au journal La Suisse dépendante de Microsoft. Évalué à 2.
On doit pas avoir la même définition de démonstration alors.
C'est de la tartufferie ! Tu t'étrangles pas ?
C'est drole que tes seuls argument s'apparente à des attaques perso.
Pleinement... mais LOL LOL !!!!
Encore une fois, un argument incroyablement construit, plein de sagesse.
Encore ton truc sur la mémoire !!! qui on l'a vu est parfaitement juste.
idem que plus haut.
Que de sources mes amis. Si avec ça on a pas récupérer toute la bibliothèque d'alexandrie...
Et sache que je ne lui en ai pas attribué 15... tout au plus je l'ai traité de mytho lorsqu'il a corrigé le 15 (émis par une autre personne) en 2 car *clairement* il en a eu plus que 2
"C'est pas moi qui l'ai dis, j'ai juste dis qu'il mentait... sans aucune preuve ni source ni argument".
Ca change vraiment pas grand chose.
vu que tu as accepté les arguments de LittleBoy, on peut même être d'accord que c'est un fait !!!
Non.
Je suis d'accord que LittleBoy a apporté des élements.
A posteriori on peut tout dire, sauf que la tes affirmations, elles furent faites AVANT que littleboy le dise.
Toi tu as RIEN dit. Que dalle. Nada.
Et tu as refusé d'apporter le moindre élements. Donc sur ce point, tu ne peux pas parler. Littleboy lui peut parler.
Donc non, au moment de ton post ce n'était absolument pas un fait, tout au mieux une divagation de ta part.
Tu saisis la nuance ?
alors je vois pas pourquoi je devrais justifier ce chiffre de 15 n'en étant pas la personne qui en suit à l'origine ( https://linuxfr.org/comments/1052309,1.html ) (encore une fois, mais ça c'est ta super mémoire !).
et encore une fois, ce n'est pas de justifier du 15 ou du 14, mais justifier de TES AFFIRMATIONS.
Mais comme tu aime attaquer les gens sur leur mémoire, je présume que ta mémoire a toi est exemplaire...
Hum visiblement tu as du oublié comment on comprenait le francais pourtant...
[^] # Re: pfiouuuu
Posté par briaeros007 . En réponse au journal Unix a 40 ans !. Évalué à 3.
Et jusquà preuve du contraire, kde et fwvm ne regroupe pas linux.
(et je crois qu'ils essaie de porter kde sous windows, donc il faut partie du monde windows maintenant ? )
[^] # Re: pfiouuuu
Posté par briaeros007 . En réponse au journal Unix a 40 ans !. Évalué à 2.
Oh je suis pas jaloux, tu peux aussi parler des autres os.
Juste que ton domaine de compétence, à ce que j'ai cru comprendre, est plus proche de nt que celui d'un os embarqué temps réel non unix.
Suffit de voir les premieres incantations de KDE ou fvwm pour rigoler un bon coup, ou Bonobo / KParts, ou SDL pour voir des elements piques directement chez MS
J'ai vu les premières incantations, et j'ai pas trouvé.
Mais bon pour quelqu'un qui place "toute l'interface graphique" sur le placement d'une icone et d'une horloge, après tout ca ne m'étonne pas trop...
[^] # Re: pfiouuuu
Posté par briaeros007 . En réponse au journal Unix a 40 ans !. Évalué à 2.
Avant ? Donc c'est incorporé quand dans kde , et ca existait quand dans windows ?
Perso je n'en sais rien, donc je me garde bien de dire "ouai c'est eux les vils copieurs", dans un sens... comme dans l'autre.
et si pour toi toute l'interface graphique s'arrête au placement de quelques icones et d'une toolbar ...
Bref, assez drole comme comparaison
Pas une comparaison, tout au mieux quelques affirmation (bien loin de montrer une partie importante de l'interface graphique, et encore plus loin de montrer en quoi linux, globalement, est touché).
[^] # Re: pfiouuuu
Posté par briaeros007 . En réponse au journal Unix a 40 ans !. Évalué à 2.
Désolé mais les interfaces graphiques que j'utilisait pendant un certain temps (e17 & consors) jamais vu d'équivalent chez ms.
Gimp, ah c'est le même principe que chez ms ?
etc...
Bref si tu avais des trucs plus précis que "je n'en sais rien, vais donner une catégorie tellement large qu'on peut tout y foutre (un peu comme un brevet trivial quoi), et sans rien pour confirmer mes dires (que confirmer quand c'est si large)."
(et pour le confirmer, il faut aussi prouver que ms en est bien le créateur (sinon on peut piquer sur l'origine))
[^] # Re: Si t'es pas content...
Posté par briaeros007 . En réponse au journal La Suisse dépendante de Microsoft. Évalué à 2.
Si tu pouvais savoir comment je m'en tape qu'on me prenne pour le multi de quelqu'un ou pas....
ça ne me gêne pas, ca _m'amuse_
et ça m'amuse aussi la "chasse au sorcière" des multi. Il a un multi, cool, et ?
Ah ben rien.
Voui ça m'amuse beaucoup ce genre de poste où on voit "voui tu n'es qu'un multi de bidule d'abord".
pretends que ton interlocuteur n'a pas d'arguments quand il a passe 30 minutes a ecrire un truc
La qualité d'un post et son argumentaire ne se fait ni à la longueur, ni au temps passé.
(le cas des multi d'albert etait asses eloquent, j'avais ecrit un 50aine de ligne detaillant pourquoi albert etait un multi, apparement tu les a pas vu/lu)
Le cas du multi d'albert m'a été démontré par littleboy qui avait des argument objectifs, et sur lesquels, bizarrement je fus d'accord sans trop de souci.
A croire que tes arguments étaient moins bien présenté pour mon pauvre cerveau qui modifie tout que ceux de littleboy .
bref t'as une lecture et une comprehension des posts qui est pour le moins deroutante.
Et sur ce point, je pense ne pas être le seule.
[^] # Re: Si t'es pas content...
Posté par briaeros007 . En réponse au journal La Suisse dépendante de Microsoft. Évalué à 2.
No comment ...
Ce que tu as fait c'est "j'ai raison, t'es con. Prouve moi le contraire".
Pas d'argument, rien.
Tout ce thread montre *clairement* que tu ne regardes même pas à qui tu réponds et tu mêles les intervention de tout tes contradicteurs dans une seule personne fictive !
Ca montre surtout que tu lis pas les commentaires auquel tu répond.
Soit je me suis trompé entre allcolor et thedude.
Ok, j'assume pleinement cette erreur, ca ne me gene pas de reconnaitre mes erreurs.
Mais ça répond absolument pas à la question des sources et des arguments, et au fait que tu réponde jamais quand on te le demande, mais que des qu'on t'en donne pas tu nous fait un caca nerveux.
Marrant que tu ais "oublié" toute cette partie (qui est, de loin, amha, la plus intéressante).
Pour le truc d'Albert, sache que preuve il y a, il l'a désormais reconnu en changeant le nom affiché ! (ça c'est pour l'histoire de merde et de preuves).
Et sache qu'il a pas reconnu les 15 multi que certains lui attribuait...
Par contre pour tes dires, il n'y a pas la moindre petite preuve étant donné que ce que tu dis n'est jamais arrivé.
Pas plus qu'il y avait de preuve pour toi (qu'il l'ai reconnu a posteriori ne veut pas dire qu'il y avait de preuves avant).
A moins que tu ais accés aux logs de linuxfr ?
C'est exactement ce que tu es en train de faire.
Je pense que tu as du mal à lire.
[^] # Re: Détails
Posté par briaeros007 . En réponse au message WAN HS lorsque le serveur est sur le réseau.. Évalué à 2.
/sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0
/sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
et lance un wireshark sur les deux machines, lance un ping sur la paserelle et sors grosso modo les lignes qu'il y a (src/dest/...)
Aussi pense a changer l'adresse mac de ton serveur (si aucun service/licence ne dépend de lui)
ifconfig eth0 hw ether 00:80:48:BA:d1:20 (ou une adresse mac au pif)