Un firewall sous windows empèche de sortir, sous linux, cela empèche d'entrer...
Mes firewalls sous Linux filtrent aussi la sortie. ça permet d'être sûr que seul le DNS fait des requêtes DNS, seul le serveur SMTP envoie des mails, ..., ... et ça me permet de pouvoir laisser des amis brancher leur portable sous Windows à mon LAN sans flipper de ce que leur machine peut bien faire à notre insu (et de ne pas me retrouver dans une blacklist, par exemple).
De manière générale, filtrer en sortie permet de limiter les dégâts en cas d'intrusion (sauf le cas où l'hôte piraté est celui qui fait tourner le firewall et que l'intrusion est un exploit r00t).
ça fonctionne, comme le driverloader de linuxant, avec un wrapper autour du ntfs.sys de Windows, et est donc réservé à ceux d'entre nous qui utilisent Linux sur x86.
Je suis allé voir, ça a l'air très bien foutu comme truc... Le fait que ce soit client/serveur résoud de manière assez classe la problème posé par la non-intégration noyau/GUI.
... Et il y aurait peut-être une autre solution, peut-être plus simple à mettre en oeuvre, qui utiliserait une libraire préchargée via LD_PRELOAD pour intercepter les appels connect() et compagnie; un peu comme la libtrash (http://m-arriaga.net/software/libtrash/(...)) intercepte unlink().
Les firewalls à la zonealarm sont des firewalls personnels, par opposition aux firewalls dédiés comme ipchains, iptables, ...
Ils fonctionnent en interceptant les appels systèmes (syscalls) liés au réseau, et existent sous Windows car la forte intégration noyau/interface graphique le permet.
A ma connaissance ça n'existe pas sous Linux. Un patch kernel pourrait apporter ce genre de fonctionnalités, mais de manière plus compliquée étant donnée la multiplicité d'interfaces et le fait que le noyau n'en connaisse rien. Il faudrait
a) modifier iptables pour que, lorsqu'il rencontre un paquet sans règle de gestion, un appel à un helper en userland (à la /sbin/hotplug) soit fait.
b) que ce helper pose la question à l'utilisateur (détecter si un serveur X est lancé, lequel est actif, y afficher une fenêtre en utilisant la variable DISPLAY, etc - la partie la moins facile à mon avis, et la plus "bidouille affreuse")
c) que ce helper mette à jour les règles iptables
d) qu'il rende la main au noyau pour laisser passer, ou non, le paquet.
Avec la difficulté supplémentaire de "suspendre" le paquet sans le rejeter, ni le dropper, en attendant la réponse.
Bref, pas évident, à mon avis.
Sinon tu peux regarder du côté de solutions comme Firewall Builder (http://www.fwbuilder.org/(...)), qui permet de créer facilement un jeu de règles - mais n'est pas interactif dans le sens où tu l'entends.
Tu as *vraiment* besoin de regarder ton autoradio pour changer un CD ? Moi, soit j'ai un passager pour le faire, soit je n'ai pas besoin de quitter la route des yeux - ça prend juste un peu plus de temps.
Avoir l'outil permet toujours de passer au crime plus facilement (il n'y a qu'à voir avec les armes à feu aux Etats Unis).
Pas forcément vrai, regarde Bowling for Columbine, le film de M. Moore. Il démontre bien qu'au Canada, malgré un nombre d'armes à feu par personne équivalent aux USA, il y a très peu (moins qu'en France, je crois me souvenir) de meurtres par balle.
A première vue ça touche tout le domaine du droit... Ma copine a fait un stage chez un notaire à Biarritz, et m'a appris qu'après avoir sorti un papier d'une imprimante laser, ils doivent le photocopier pour en faire un papier à valeur légale - les imprimantes laser n'étant pas encore certifiées par l'état.
Petite note aux modéros, ça fait trois mises à jour de cette news (à chaque fois pour du mieux), mais elles ne sont pas très visibles, ce serait bien un petit tag "MàJ (17h20): ..." ou un truc du genre.
Une des solutions les plus simples serait l'adaptateur pour brancher le disque sur un PC de bureau: http://www.pearl.fr/article-PE8233.html(...)
Ou, comme évoqué plus haut, un deuxième portable.
La seule solution dans ce cas, me semble être les droits d'accès au fichier texte.
Si les utilisateurs de ton softs ne sont pas dignes de confiance, il te faudra une solution du genre:
backend lancé par un utilisateur privilégié, se connecte à la base de données avec le mot de passe
frontend lancé par les utilisateurs non fiables, se connecte au backend, sans authentification, via localhost ou une socket unix.
Hélas non, les trolls sont plutôt tout l'inverse ;-)
Par exemple, si qqu'un décide de montrer certaines faiblesses de linux, certains ne vont pas pouvoir s'empêcher de le moinsser, même si ses arguments sont totalement vrais.
C'est pour ça qu'il faudrait vraiment que les gens notent en fonction du critère "constructif/inutile" au lieu de "d'accord/pas d'accord".
D'ailleurs on ne devrait pas pouvoir noter dans les fils de discussion auxquels on participe, histoire de laisser toutes ses chances à l'objectivité...
L'idéal serait d'avoir un système de métamodération, à la slashdot, où le travail des modérateurs est vérifié par d'autres.
Sur ./, un métamodérateur se voit offrir une liste de messages anonymisés (il n'en voit pas l'auteur), assorti d'un commentaire du genre de: "ce post a été modéré {Offtopic, Funny, Informative, ...}; était-ce juste ? [OUI] [NON]". Ainsi, les modérateurs modérant n'importe comment sont donc vite mis hors-circuit.
Peut-être qu'un truc du genre serait le bienvenu ici ? (j'admets que ça demandera du travail)...
La modification de note initiale ressemble aussi au système de slashdot, où les contributeurs avec un "karma" excellent peuvent poster avec un score de +2. (sauf qu'ici c'est avec la moyenne des derniers commentaires, là-bas c'est la moyenne depuis la création du compte).
Ce n'est pas le double buffering qu'Xv fournit, c'est l'overlay: en gros, transfert direct vers une zone de la mémoire vidéo sans passer par le CPU - ce qui provoque le bleu sur les captures d'écran lorsqu'un film joue.
C'est balot.
Ils viennent de se faire une contre-publicité monstre.
C'est vrai. La réflexion a court terme est rarement une bonne solution...
Envoyer un patch d'une ligne, comme suggéré sur la lkml, pour n'écrire "Warning, kernel tainted" qu'une fois par boot aurait été beaucoup plus intelligent.
Ah? C'est étrange. Peut-être que les drivers ati libres sont mieux optimisés que le nv. J'ai essayé un DVD sous MacOS X, avant de le désinstaller, puis sur Linux, et le rendu est très similaire - et en aucun cas ça ne rame. (Radeon 9200, iBook G4 933, 640Mo DDR). Le rafraîchissement est optimal et la netteté, les couleurs, sont impeccables.
J'ai juste dû ajouter une ligne dans xinit pour régler le gamma sous Linux.
ce qui est plus dur avec les DVDs qui interdisent généralement cette fonction pendant l'affichage de cette page.
Mplayer s'en fiche et laisse l'utilisateur zapper comme il veut ; ogle aussi. Je n'ai pas essayé xine ni vlc mais je suppose que c'est pareil pour eux... Vive l'opensource quand il s'agit de respect de l'utilisateur final :-)
[^] # Re: Yes yes yes !!!
Posté par Colin Leroy (site web personnel) . En réponse au journal IBM offre la migration de NT4 vers Linux !. Évalué à 3.
Chiffres de 2003:
Microsoft: 32 milliards
I.B.M.: 89 milliards
source http://www.usatoday.com/money/companies/2004-03-22-fortune-500-list(...)
(Chercher Microsoft, puis International Business Machines)
# associations d'idées
Posté par Colin Leroy (site web personnel) . En réponse au journal Virus et brevet. Évalué à 2.
C'est le moins qu'on puisse dire. Quand on voit l'assimilation que les gens ont fait entre les linuxiens et le virus qui DDoS-ait sco.com...
J'espère beaucoup que personne ne fera ce genre de trucs, ça ternirait une fois de plus l'image de la communauté entière.
[^] # Re: Firewalls personnels
Posté par Colin Leroy (site web personnel) . En réponse au journal firewall. Évalué à 2.
oui, il y a:
--match owner --uid-owner XXX
# Inaperçu? pas tout à fait :)
Posté par Colin Leroy (site web personnel) . En réponse au journal Le BASIC a 40 ans. Évalué à 4.
http://slashdot.org/articles/04/04/29/1932227.shtml?tid=126&tid(...)
[^] # Re: Captive NTFS
Posté par Colin Leroy (site web personnel) . En réponse à la dépêche Knoppix 3.4 est disponible. Évalué à 2.
En effet...
Pour les PPC, il y avait des problèmes avec le HFS+, mais le drivers est dans le noyau maintenant, il me semble.
Oui, et celui-ci est tout à fait libre et natif :-)
[^] # Re: Inutile
Posté par Colin Leroy (site web personnel) . En réponse au journal firewall. Évalué à 5.
Mes firewalls sous Linux filtrent aussi la sortie. ça permet d'être sûr que seul le DNS fait des requêtes DNS, seul le serveur SMTP envoie des mails, ..., ... et ça me permet de pouvoir laisser des amis brancher leur portable sous Windows à mon LAN sans flipper de ce que leur machine peut bien faire à notre insu (et de ne pas me retrouver dans une blacklist, par exemple).
De manière générale, filtrer en sortie permet de limiter les dégâts en cas d'intrusion (sauf le cas où l'hôte piraté est celui qui fait tourner le firewall et que l'intrusion est un exploit r00t).
# Captive NTFS
Posté par Colin Leroy (site web personnel) . En réponse à la dépêche Knoppix 3.4 est disponible. Évalué à 9.
http://www.jankratochvil.net/project/captive/(...)
ça fonctionne, comme le driverloader de linuxant, avec un wrapper autour du ntfs.sys de Windows, et est donc réservé à ceux d'entre nous qui utilisent Linux sur x86.
[^] # Re: Firewalls personnels
Posté par Colin Leroy (site web personnel) . En réponse au journal firewall. Évalué à 2.
Merci pour ce lien, j'essaierai dès que possible!
[^] # Re: Firewalls personnels
Posté par Colin Leroy (site web personnel) . En réponse au journal firewall. Évalué à 5.
# Firewalls personnels
Posté par Colin Leroy (site web personnel) . En réponse au journal firewall. Évalué à 10.
Ils fonctionnent en interceptant les appels systèmes (syscalls) liés au réseau, et existent sous Windows car la forte intégration noyau/interface graphique le permet.
A ma connaissance ça n'existe pas sous Linux. Un patch kernel pourrait apporter ce genre de fonctionnalités, mais de manière plus compliquée étant donnée la multiplicité d'interfaces et le fait que le noyau n'en connaisse rien. Il faudrait
a) modifier iptables pour que, lorsqu'il rencontre un paquet sans règle de gestion, un appel à un helper en userland (à la /sbin/hotplug) soit fait.
b) que ce helper pose la question à l'utilisateur (détecter si un serveur X est lancé, lequel est actif, y afficher une fenêtre en utilisant la variable DISPLAY, etc - la partie la moins facile à mon avis, et la plus "bidouille affreuse")
c) que ce helper mette à jour les règles iptables
d) qu'il rende la main au noyau pour laisser passer, ou non, le paquet.
Avec la difficulté supplémentaire de "suspendre" le paquet sans le rejeter, ni le dropper, en attendant la réponse.
Bref, pas évident, à mon avis.
Sinon tu peux regarder du côté de solutions comme Firewall Builder (http://www.fwbuilder.org/(...)), qui permet de créer facilement un jeu de règles - mais n'est pas interactif dans le sens où tu l'entends.
[^] # Re: Et la sécurité routiere?
Posté par Colin Leroy (site web personnel) . En réponse au journal Majors 1 Nous 0. Évalué à 2.
Tu as *vraiment* besoin de regarder ton autoradio pour changer un CD ? Moi, soit j'ai un passager pour le faire, soit je n'ai pas besoin de quitter la route des yeux - ça prend juste un peu plus de temps.
[^] # Re: merde aussi, camarade!
Posté par Colin Leroy (site web personnel) . En réponse au journal Tiens, 6 jours... billet d'humeur. Évalué à 2.
Moi j'utilise des oeufs. ça démolit pas, mais ça fait bien chier sur le parebrise (ça colle !).
Hélas je n'ai pas toujours le courage de mes actes et parfois je me cache, après. Ceci dit c'est très souvent efficace :-)
[^] # Re: fake ... cf full disclosure
Posté par Colin Leroy (site web personnel) . En réponse au journal Une faille dans OpenSSH ?. Évalué à 2.
[^] # Re: Why not
Posté par Colin Leroy (site web personnel) . En réponse au journal la "Piraterie", la Justice et l'Inertie. Évalué à 3.
Pas forcément vrai, regarde Bowling for Columbine, le film de M. Moore. Il démontre bien qu'au Canada, malgré un nombre d'armes à feu par personne équivalent aux USA, il y a très peu (moins qu'en France, je crois me souvenir) de meurtres par balle.
[^] # Re: Il doit quand même les utiliser ces outils ....
Posté par Colin Leroy (site web personnel) . En réponse au journal la "Piraterie", la Justice et l'Inertie. Évalué à 7.
# mises à jour de la news
Posté par Colin Leroy (site web personnel) . En réponse à la dépêche (petits) changements du système de notation. Évalué à 8.
Merci ;)
# adaptateur?
Posté par Colin Leroy (site web personnel) . En réponse au journal linux va sauver windows...j'espère. Évalué à 4.
http://www.pearl.fr/article-PE8233.html(...)
Ou, comme évoqué plus haut, un deuxième portable.
# Re: mot de passe et logiciel libre
Posté par Colin Leroy (site web personnel) . En réponse au journal mot de passe et logiciel libre. Évalué à 2.
Si les utilisateurs de ton softs ne sont pas dignes de confiance, il te faudra une solution du genre:
backend lancé par un utilisateur privilégié, se connecte à la base de données avec le mot de passe
frontend lancé par les utilisateurs non fiables, se connecte au backend, sans authentification, via localhost ou une socket unix.
(pour info, décompiler un .class est chose aisée avec, par exemple, Jad sous windows - http://kpdus.tripod.com/jad.html(...) ).
[^] # Re: Présomption d'innocence ou présomption de culpabilité
Posté par Colin Leroy (site web personnel) . En réponse au journal Présomption d'innocence ou présomption de culpabilité. Évalué à 4.
Hélas non, les trolls sont plutôt tout l'inverse ;-)
Par exemple, si qqu'un décide de montrer certaines faiblesses de linux, certains ne vont pas pouvoir s'empêcher de le moinsser, même si ses arguments sont totalement vrais.
C'est pour ça qu'il faudrait vraiment que les gens notent en fonction du critère "constructif/inutile" au lieu de "d'accord/pas d'accord".
D'ailleurs on ne devrait pas pouvoir noter dans les fils de discussion auxquels on participe, histoire de laisser toutes ses chances à l'objectivité...
[^] # Re: Présomption d'innocence ou présomption de culpabilité
Posté par Colin Leroy (site web personnel) . En réponse au journal Présomption d'innocence ou présomption de culpabilité. Évalué à 5.
Sur ./, un métamodérateur se voit offrir une liste de messages anonymisés (il n'en voit pas l'auteur), assorti d'un commentaire du genre de: "ce post a été modéré {Offtopic, Funny, Informative, ...}; était-ce juste ? [OUI] [NON]". Ainsi, les modérateurs modérant n'importe comment sont donc vite mis hors-circuit.
Peut-être qu'un truc du genre serait le bienvenu ici ? (j'admets que ça demandera du travail)...
La modification de note initiale ressemble aussi au système de slashdot, où les contributeurs avec un "karma" excellent peuvent poster avec un score de +2. (sauf qu'ici c'est avec la moyenne des derniers commentaires, là-bas c'est la moyenne depuis la création du compte).
[^] # Re: Modules non GPL et tours de passe-passe
Posté par Colin Leroy (site web personnel) . En réponse à la dépêche Modules non GPL et tours de passe-passe. Évalué à 1.
[^] # Re: Modules non GPL et tours de passe-passe
Posté par Colin Leroy (site web personnel) . En réponse à la dépêche Modules non GPL et tours de passe-passe. Évalué à 1.
Ils viennent de se faire une contre-publicité monstre.
C'est vrai. La réflexion a court terme est rarement une bonne solution...
Envoyer un patch d'une ligne, comme suggéré sur la lkml, pour n'écrire "Warning, kernel tainted" qu'une fois par boot aurait été beaucoup plus intelligent.
[^] # Re: Modules non GPL et tours de passe-passe
Posté par Colin Leroy (site web personnel) . En réponse à la dépêche Modules non GPL et tours de passe-passe. Évalué à 1.
J'ai juste dû ajouter une ligne dans xinit pour régler le gamma sous Linux.
[^] # Re: On se fait un DVD ce soir ? -> Prison !!!
Posté par Colin Leroy (site web personnel) . En réponse au journal On se fait un DVD ce soir ? -> Prison !!!. Évalué à 0.
Mplayer s'en fiche et laisse l'utilisateur zapper comme il veut ; ogle aussi. Je n'ai pas essayé xine ni vlc mais je suppose que c'est pareil pour eux... Vive l'opensource quand il s'agit de respect de l'utilisateur final :-)
[^] # Re: Spammeurs spammés
Posté par Colin Leroy (site web personnel) . En réponse au journal Spammeurs spammés. Évalué à 1.