Posté par cg .
En réponse au message double authentification.
Évalué à 7.
Dernière modification le 20 février 2022 à 11:03.
Je n'avais jamais essayé sur mon ordi pour le login, mais avec une Yubikey "Security Key" (la bleue pas chère), ça fonctionne. J'ai suivi les instructions du wiki de Archlinux (coup de bol je suis sur Arch ;) ) :
Tout d'abord, vérifier qu'on a un backup sous la main, ou un système de secours genre live-usb.
Ensuite, s'ouvrir un shell root dans une console, au cas où.
Installer le package pam-u2f.
Se créer une empreinte de la clé (ici, mil c'est le nom de mon ordi) :
Ici, il y a des options :
* nouserok pour laisser entrer les users qui n'ont pas de clé u2f configurée
* cue pour afficher le message "please touch the device".
Sur ce second test, ça a activé le MFA sur le login console, lightdm, ssh, mais pas sudo : ce dernier utilise system-auth et pas system-login.
Dans le cas d'un homedir chiffré par la clé, il faut bien sûr mettre les clés en dehors du homedir, bien sûr.
Voilà pour un premier test concluant ;), bon dimanche !
Ce qui me les brise, sur gitlab et github, ce sont les pages qui interceptent le / qui sert normalement à chercher dans la page, et privilégie le moteur de recherche interne du site. Je peux certes faire ctrl-f, et sans doute que ça peut se désactiver avec du userscript, mais je n'y connais rien en la matière.
Les commandes sar (dans sysstat) et atop font la collecte de plein de métriques.
atop et sar peuvent tourner en démon et permettent de rejouer les fichiers. sadf permet de convertir les données collectées par sar en graphes, entre autres.
En lisant et relisant le texte en Anglais, je ne parviens pas à changer ma compréhension :
We’ve been contemplating a different config syntax which reverses the ordering of user and command. Instead of a user focused approach, specify the command first, then the set of permitted users. It should be equivalent in expression, but perhaps the reversed order would encourage users to think about minimal permission grants
puis :
Coming full circle, […] I have built the thing I hate
Pour résumer, j'avais une super idée, elle ne marchait pas/n'était pas pratique, et au final j'ai reproduit le schéma dont je souhaitais sortir.
plutôt que donner des droits à l'utilisateur, on indique la commande puis les utilisateurs autorisés. Ça devrait contraindre l'administrateur à être plus attentif.
Mmmm, c'était le plan, mais la syntaxe n'a pas suivi semble-t-il. D'après le man de doas.conf, on indique bien l'utilisateur en premier.
tedu peut exécuter en root la commande /usr/sbin/procmap :
Je pense que le filesystem non distribué qui se gère à la fois au niveau fichier, tout en faisant attention qu'on ne vient pas lui chatouiller les blocs par derrière n'existe pas.
En distribué, il y a Gluster, Ceph, mais tu n'en veux pas, soit (de toutes façons ton infra est trop petite pour que ça fonctionne bien, pas de regrets !).
NFS n'offre pas une copie locale, tout passe par le réseau, même si on peut avoir un cache local pour les lectures avec FS-Cache.
Mais Syncthing pourrait convenir. Sur une partition NON répliquée par DRDB, Syncthing va synchroniser les données au niveau fichier de manière bidirectionnelle et asynchrone. Tu peux choisir un délai de synchro (1 seconde, ou quelques minutes, ou seulement en cas de reconnexion au réseau). Ainsi, tu as ton filesystem tout simple, et une synchro des données avec gestion des conflits.
Vu tes contraintes, ça me semble pas trop loin de ce que tu peux espérer.
tu cherches un système de fichier qui permette de monter une partition sur plusieurs VMs depuis un même hyperviseur, tout en garantissant son intégrité ?
J'aimerais aussi qu'on force les fabricants de terminaux mobiles à mettre en place un dispositif de coupure physique des micros de ces espions
Edward Snowden avait posté une vidéo dans laquelle il montre comment supprimer les micros et caméras intégrés d'un smartphone. Ainsi, le téléphone ne peut plus écouter en permanence. Il faut alors brancher un micro externe (genre les fameux petits écouteurs/micro en Y) pour pouvoir parler dans le téléphone.
J'en avais utilisé dans un projet artistique (pour faire tomber des citations littéraires du plafond d'une médiathèque, avec la fonction "coupe de papier automatique" intégrée à l'imprimante). De mémoire, sous Linux c'était quand même pas gagné, c'est souvent des drivers un peu moisis et proprio, avec une doc minimaliste.
J'en ai aussi vu dans des expos d'art contemporain de temps en temps, en écriture automatique par exemple.
L'extrait ne dit pas si ces collaborations avec les chercheurs concernent du code ou des projets libres (ou même open source). L'abstract du papier d'origine ne le dit pas non plus.
Posté par cg .
En réponse au message chiffrement et chiffrement.
Évalué à 6.
Dernière modification le 04 février 2022 à 20:57.
Il y a confusion entre trois concepts :
le chiffrement des données pendant la transmission (dans le tuyau, sur le réseau) (par exemple, HTTPS ou STARTSSL).
le chiffrement des données au repos (sur un disque dur par exemple), ce chiffrement étant assurée par celui qui stocke (le serveur). (par exemple, Luks ou TrueCrypt).
le chiffrement de type zero knowledge, dans lequel c'est le client qui chiffre ses données avant de les envoyer au serveur, sans jamais envoyer la clé de déchiffrement. Le serveur stocke alors une "truc" dont il ne sait rien. (par exemple, Keepass ou Bitwarden, ou encore Framadrop ou Lufi).
Je pense que ce que tu appelles double-chiffrer, c'est le chiffrement des données par le client, avant l'envoi au serveur.
Après un peu de repos, oui bon, neutralité du net n'est sans doute pas la bonne expression. Merci pour les corrections.
Mais je continue à trouver cette décision très étrange :-/. C'est le site intermédiaire qui se fait condamner, et pas Google. Or, c'est bien Google qui sert les ressources sans demander le consentement.
La neutralité du net, ou neutralité d’internet, est une notion popularisée en 2003 par Tim Wu, professeur de droit à l'université Columbia à New York. On parle aussi de neutralité des réseaux ou encore d'internet ouvert. Son principe est de garantir l’égalité de traitement et d’acheminement de tous les flux d’information sur internet, quel que soit leur émetteur ou leur destinataire.
La neutralité du net est l’un des principes fondateurs d’internet, qui exclut la création d’accès à internet « à plusieurs vitesses », par une gestion favorisant certains flux d’information au détriment d’autres (discrimination), ou la création d’accès à internet limités (à certains contenus ou certaines plateformes).
Ici, on discrimine la plateforme de Google car c'est un Léviathan suceur de données personnelles. Mais ça a tout à fait à voir avec la neutralité du net.
À quel moment tu fixes la limite de "non là c'est trop". C'est arbitraire, je suis désolé.
D'ailleurs, ça recoupe les problématiques du genre "mon logiciel est libre mais pas si tu gagnes des sous avec ou que tu es méchant avec les campagnols".
Pour faire vite, ce que je voulais dire : je comprend le principe derrière la décision juridique, mais c'est un vrai nid à emmerdes légales, et ça peut déraper très vite.
Si je met sur mon site un appel à une ressource hébergée par un autre site (par exemple un logo ou un bout de JS type bootstrap), et que cet autre site se fait racheter par un géant de l'acabit de Google, mon site peut devenir l'objet d'une condamnation.
C'est une drôle de décision, car elle met à mal le principe de neutralité. Faire une requête vers un site tiers peut être, ou pas, condamnable, selon le site pointé.
Cloudflare, qui cache et protège plein de sites (via son CDN), et opère un DNS très utilisé (1.1.1.1) doit bien rigoler :).
Une bien chouette lecture, merci à Seb pour ce chouette article !
Un petit manque, toutefois : je trouve important de rappeler que la croyance en la valeur et la propriété (6 et 11) sont aussi des caractéristiques des monnaies et des titres de propriété habituels. C'est juste que le système est établi et très solide. On peut même se prêter à croire qu'il est constitué de plus de gens honnêtes que de voleurs.
Aussi, concernant l'exemple des licences de taxi, leur nombre est limité… Comme l'argent ! Si tout le monde en avait assez, personne n'en voudrait : il n'aurait aucune valeur.
L'arnaque se situe bien dans ce que ces blockchains sont vendues comme des alternatives alors qu'elles souffrent des mêmes défauts, et en ajoutent d'autres au passage.
# Le lobbying paie
Posté par cg . En réponse au journal Voter pour virer les emojis de Gitlab. Évalué à 9.
🤖 GitLab Bot 🤖 @gitlab-bot added popular proposal label 7 hours ago
[^] # Re: Quitte à râler
Posté par cg . En réponse au journal Voter pour virer les emojis de Gitlab. Évalué à 4.
En effet, pour Github ça fonctionne, merci !
Par contre il faut être logé pour ça : la préférence ne reste pas après le logout.
# ça fonctionne chez moi
Posté par cg . En réponse au message double authentification. Évalué à 7. Dernière modification le 20 février 2022 à 11:03.
Je n'avais jamais essayé sur mon ordi pour le login, mais avec une Yubikey "Security Key" (la bleue pas chère), ça fonctionne. J'ai suivi les instructions du wiki de Archlinux (coup de bol je suis sur Arch ;) ) :
Tout d'abord, vérifier qu'on a un backup sous la main, ou un système de secours genre live-usb.
Ensuite, s'ouvrir un shell root dans une console, au cas où.
Installer le package
pam-u2f
.Se créer une empreinte de la clé (ici,
mil
c'est le nom de mon ordi) :Premier test, en activant le MFA seulement pour ssh :
Essayer une connexion ssh sur localhost, youpi ça fonctionne !
Second test, globalement :
Ici, il y a des options :
*
nouserok
pour laisser entrer les users qui n'ont pas de clé u2f configurée*
cue
pour afficher le message "please touch the device".Sur ce second test, ça a activé le MFA sur le login console,
lightdm
,ssh
, mais passudo
: ce dernier utilisesystem-auth
et passystem-login
.Dans le cas d'un homedir chiffré par la clé, il faut bien sûr mettre les clés en dehors du homedir, bien sûr.
Voilà pour un premier test concluant ;), bon dimanche !
# Quitte à râler
Posté par cg . En réponse au journal Voter pour virer les emojis de Gitlab. Évalué à 10.
Ce qui me les brise, sur gitlab et github, ce sont les pages qui interceptent le
/
qui sert normalement à chercher dans la page, et privilégie le moteur de recherche interne du site. Je peux certes fairectrl-f
, et sans doute que ça peut se désactiver avec du userscript, mais je n'y connais rien en la matière.En attendant ça m'énerve :).
# Le problème avec les photos...
Posté par cg . En réponse au journal La « biobattery » technologie du futur ? Mon œil !. Évalué à 10.
… c'est qu'on a pas de repères d'échelle. En fait ce sont des thermomètres pour diplodocus. Les piles font 1m³ et pèsent 1,8 tonnes chacune.
# sar ou atop
Posté par cg . En réponse au message [résolu] visualiser charge CPU et mémoire | mesurer l'efficience. Évalué à 6.
Les commandes
sar
(danssysstat
) etatop
font la collecte de plein de métriques.atop
etsar
peuvent tourner en démon et permettent de rejouer les fichiers.sadf
permet de convertir les données collectées parsar
en graphes, entre autres.[^] # Re: Syntaxe du fichier de configuration
Posté par cg . En réponse à la dépêche Sudo 1.9.9 et Opendoas 6.8.2. Évalué à 2.
En lisant et relisant le texte en Anglais, je ne parviens pas à changer ma compréhension :
puis :
Pour résumer, j'avais une super idée, elle ne marchait pas/n'était pas pratique, et au final j'ai reproduit le schéma dont je souhaitais sortir.
Une vraie catharsis ;).
# Texte trompeur
Posté par cg . En réponse au lien Intel s'apprête à commercialiser des processeurs "Pay-As-You-Go" où vous payez pour débloquer.... Évalué à 10.
L'expression est reprise plusieurs fois :
Or, il s'agit de déverrouiller des fonctionnalités déjà présentes ! Point de FPGA permettant effectivement d'ajouter des possibilités dans le CPU.
[^] # Re: Si ça peut te rassurer
Posté par cg . En réponse au message QWERTY français. Évalué à 3.
Pareil, j'utilise us-intl au boulot et altgr-weur à la maison, c'est plus pratique que l'Azerty je trouve.
# Syntaxe du fichier de configuration
Posté par cg . En réponse à la dépêche Sudo 1.9.9 et Opendoas 6.8.2. Évalué à 3.
Mmmm, c'était le plan, mais la syntaxe n'a pas suivi semble-t-il. D'après le man de doas.conf, on indique bien l'utilisateur en premier.
tedu
peut exécuter enroot
la commande/usr/sbin/procmap
:[^] # Re: CEPH peut-etre ?
Posté par cg . En réponse au message Système de fichier partagé. Évalué à 2.
Manifestement, tu n'as pas lu l'article lié ;). On y lit que Proxmox = caca et Ceph = fesses avec du caca.
# Un compromis : syncthing
Posté par cg . En réponse au message Système de fichier partagé. Évalué à 3.
Je pense que le filesystem non distribué qui se gère à la fois au niveau fichier, tout en faisant attention qu'on ne vient pas lui chatouiller les blocs par derrière n'existe pas.
En distribué, il y a Gluster, Ceph, mais tu n'en veux pas, soit (de toutes façons ton infra est trop petite pour que ça fonctionne bien, pas de regrets !).
NFS n'offre pas une copie locale, tout passe par le réseau, même si on peut avoir un cache local pour les lectures avec FS-Cache.
Mais Syncthing pourrait convenir. Sur une partition NON répliquée par DRDB, Syncthing va synchroniser les données au niveau fichier de manière bidirectionnelle et asynchrone. Tu peux choisir un délai de synchro (1 seconde, ou quelques minutes, ou seulement en cas de reconnexion au réseau). Ainsi, tu as ton filesystem tout simple, et une synchro des données avec gestion des conflits.
Vu tes contraintes, ça me semble pas trop loin de ce que tu peux espérer.
[^] # Re: Proposition
Posté par cg . En réponse au lien Meta (facebook) ne menace pas de quitter l'Europe. Évalué à 4.
Facebook menace de retransmettre un concert du groupe Europe dans le metaverse.
L'ultimatum étant posé, le compte à rebours a commencé.
[^] # Re: Si j'ai bien compris
Posté par cg . En réponse au message Système de fichier partagé. Évalué à 2.
Pas mieux.
Peut-être que c'est possible avec une partition ext4 en lecture seule, ceci dit.
# Si j'ai bien compris
Posté par cg . En réponse au message Système de fichier partagé. Évalué à 2.
tu cherches un système de fichier qui permette de monter une partition sur plusieurs VMs depuis un même hyperviseur, tout en garantissant son intégrité ?
[^] # Re: Enfin une bonne nouvelle !
Posté par cg . En réponse au lien Meta menace de ne plus proposer Facebook et Instagram en Europe (même pas cap'). Évalué à 4.
Edward Snowden avait posté une vidéo dans laquelle il montre comment supprimer les micros et caméras intégrés d'un smartphone. Ainsi, le téléphone ne peut plus écouter en permanence. Il faut alors brancher un micro externe (genre les fameux petits écouteurs/micro en Y) pour pouvoir parler dans le téléphone.
Bon, faut un peu de matériel et avoir de bons yeux ;)
[^] # Re: Très, très intéressant
Posté par cg . En réponse au journal rétrospective sur la mise en page en console. Évalué à 5.
J'en avais utilisé dans un projet artistique (pour faire tomber des citations littéraires du plafond d'une médiathèque, avec la fonction "coupe de papier automatique" intégrée à l'imprimante). De mémoire, sous Linux c'était quand même pas gagné, c'est souvent des drivers un peu moisis et proprio, avec une doc minimaliste.
J'en ai aussi vu dans des expos d'art contemporain de temps en temps, en écriture automatique par exemple.
[^] # Re: Siphonnage des fonds publics par les GAFAM à tous niveaux
Posté par cg . En réponse au lien Le pillage de la communauté des logiciels libres. Évalué à 3.
Je savais bien que le cartel de la grosse saucisse AAAAA n'était pas loin :).
Il y aussi l'expression Big Tech, plus liée à Big Tobacco, Big Oil, Big Pharma, (mais pas Big Oudaine)…
[^] # Re: Siphonnage des fonds publics par les GAFAM à tous niveaux
Posté par cg . En réponse au lien Le pillage de la communauté des logiciels libres. Évalué à 3.
L'extrait ne dit pas si ces collaborations avec les chercheurs concernent du code ou des projets libres (ou même open source). L'abstract du papier d'origine ne le dit pas non plus.
Mais oui, c'est un (autre) problème.
# Confusion
Posté par cg . En réponse au message chiffrement et chiffrement. Évalué à 6. Dernière modification le 04 février 2022 à 20:57.
Il y a confusion entre trois concepts :
Je pense que ce que tu appelles double-chiffrer, c'est le chiffrement des données par le client, avant l'envoi au serveur.
[^] # Re: Neutralité du net ?
Posté par cg . En réponse au lien Bientôt la fin des CDN ?. Évalué à 2.
Après un peu de repos, oui bon, neutralité du net n'est sans doute pas la bonne expression. Merci pour les corrections.
Mais je continue à trouver cette décision très étrange :-/. C'est le site intermédiaire qui se fait condamner, et pas Google. Or, c'est bien Google qui sert les ressources sans demander le consentement.
[^] # Re: Neutralité du net ?
Posté par cg . En réponse au lien Bientôt la fin des CDN ?. Évalué à 3.
La neutralité du Net, ce n'est pas juste les tuyaux (mere conduit).
Extrait du site de l'Arcep :
La neutralité du net, ou neutralité d’internet, est une notion popularisée en 2003 par Tim Wu, professeur de droit à l'université Columbia à New York. On parle aussi de neutralité des réseaux ou encore d'internet ouvert. Son principe est de garantir l’égalité de traitement et d’acheminement de tous les flux d’information sur internet, quel que soit leur émetteur ou leur destinataire.
La neutralité du net est l’un des principes fondateurs d’internet, qui exclut la création d’accès à internet « à plusieurs vitesses », par une gestion favorisant certains flux d’information au détriment d’autres (discrimination), ou la création d’accès à internet limités (à certains contenus ou certaines plateformes).
Ici, on discrimine la plateforme de Google car c'est un Léviathan suceur de données personnelles. Mais ça a tout à fait à voir avec la neutralité du net.
À quel moment tu fixes la limite de "non là c'est trop". C'est arbitraire, je suis désolé.
D'ailleurs, ça recoupe les problématiques du genre "mon logiciel est libre mais pas si tu gagnes des sous avec ou que tu es méchant avec les campagnols".
Pour faire vite, ce que je voulais dire : je comprend le principe derrière la décision juridique, mais c'est un vrai nid à emmerdes légales, et ça peut déraper très vite.
# Neutralité du net ?
Posté par cg . En réponse au lien Bientôt la fin des CDN ?. Évalué à 1.
Si je met sur mon site un appel à une ressource hébergée par un autre site (par exemple un logo ou un bout de JS type bootstrap), et que cet autre site se fait racheter par un géant de l'acabit de Google, mon site peut devenir l'objet d'une condamnation.
C'est une drôle de décision, car elle met à mal le principe de neutralité. Faire une requête vers un site tiers peut être, ou pas, condamnable, selon le site pointé.
Cloudflare, qui cache et protège plein de sites (via son CDN), et opère un DNS très utilisé (1.1.1.1) doit bien rigoler :).
# Petit manque
Posté par cg . En réponse au lien Le(s) problème(s) avec les NFT. Évalué à 7. Dernière modification le 31 janvier 2022 à 21:08.
Une bien chouette lecture, merci à Seb pour ce chouette article !
Un petit manque, toutefois : je trouve important de rappeler que la croyance en la valeur et la propriété (6 et 11) sont aussi des caractéristiques des monnaies et des titres de propriété habituels. C'est juste que le système est établi et très solide. On peut même se prêter à croire qu'il est constitué de plus de gens honnêtes que de voleurs.
Aussi, concernant l'exemple des licences de taxi, leur nombre est limité… Comme l'argent ! Si tout le monde en avait assez, personne n'en voudrait : il n'aurait aucune valeur.
L'arnaque se situe bien dans ce que ces blockchains sont vendues comme des alternatives alors qu'elles souffrent des mêmes défauts, et en ajoutent d'autres au passage.
Pour résumer, c'est mieux mais en pire :D.
[^] # Re: je ne comprends pas
Posté par cg . En réponse au lien Le(s) problème(s) avec les NFT. Évalué à 10.
Avant : « ça va, pas besoin de crypto, on est pas une banque non plus ! »
Maintenant : « ça va, avec la crypto, pas besoin de banque ! »
J'en terre mon lapin :-/.