-> Si il parle de pas s'emmerder a chercher tout ce qui est alloue justement avant d'appeler exit(0) ou quelque chose du genre il a raison
-> Si il parle en general c'est moins top
Limiter au maximum son utilisation ok, dire qu'il n'a pas sa place c'est aller un peu loin. (cf yetisport aussi :-) on peut faire des choses pratiques avec, c'est comme pour tout il faut choisir le bon outil pour la bonne tache
Tu es au courant que debian n'est pas la seul distrib a tourner sur autre chose que du x86 ? C'est pas d'un seul coup debian arrive et se rend compte que toutes les applis sont codees avec les pieds et les petits lutins qui vont fixer le code.
De nombreuses distrib (ou les BSD) tournent ou ont tournees sur ppc et alpha et tout le monde est logé a la meme enseigne. Des bugs non levés par ces deux la et qui se produisent autre part ca doit exister mais d'ici a dire qu'il y en a des masses....
Y'a une liste de tout les patchs fait par debian quelque part d'ailleur ? Ca m'interesserait. Les distribs passent pas leur temps a reecrire des patchs existant, si tu regardes les coreutils de gentoo doit y avoir au moins 20 patchs de mdk (oui les coreutils sont tellement bien maintenu qu'il y a dans les 45 patchs non integrés</hs>)
Dans le genre exemple a la con, la plus grosse toussa, les ports NetBSD doivent etre a 5500 pkgs et tourne sur 55 archis... Mais c'est debile comme raisonement :-)
Gentoo tourne aussi sur autant d'archi que debian seulement ils ont une approche differente, et les differentes archis n'evoluent pas en meme temps. Ca permet de ne pas emmerder les gens alors que ca tourne sur leur archi c'est un autre choix (le choix debian a aussi des avantages pour les gens devant changer d'archi)
> Tu as oublié dans ton calcul, de multiplier le résultat final par 11.
cas 1/ ca tourne et y'a rien a faire (ce doit etre 99.99% des paquets)
cas 2/ ca tourne pas et ca tournera jamais. Je suis pas sur que debian possede un .deb pour lilo sous ppc ou grub sous arm
cas 3/ ca demande une integration et la les mecs de debian peuvent eventuellement faire quelque chose.
Je connais pas la methode de dev de debian, mais bon ca sens quand meme le mec qui fait son paquet sur l'archi qu'il possede, une ferme de compilation aux fesses pour generer les binaires et on regarde si ca compile/fonctionne. Et encore le test de fonctionement j'ai des doutes qu'il soit fait a chaque fois pour toutes les archis...
(Au fait ton message fait quoi dans le thread ? On dirait du 007 :-)
> et peut se contenter d'une Woody pour son serveur.
On se contente de woody ou woody repond plainement a notre besoin ?
Vu la tournure de ta phrase on dirait que woody n'est pas le top mais qu'on peut faire avec... Dans ce cas pourquoi utiliser woody si au lieu de s'en contenter on peut avoir mieux (chez linux c'est pas vraiment les distribs qui manquent) ?
Oui j'ai expliqué ca a ma mere pour quelle puisse demonter sa cle USB et ses disquettes. Mais c'est sur que c'est pas bloquant... C'etait quoi deja l'histoire ? Linux pret pour le desktop ? :-)
> C'est facile à dire, mais trouve une distribution qui propose autant de paquetages...
FreeBSD en est a 11858 ports (et y'a pas de .deb -dev -lib -jesaispas quoi)
Gentoo un find /usr/portage -t d -maxdepth 2 | wc me donne 8079 applis et 16584 ebuilds (bin oui dans debian on trouve zsh 3.0, zsh 4.0, zsh-beta, dans compter zsh 3.0-doc zsh 4.0-doc zsh-beta-doc zsh-doc zsh 3.0-static et j'ai du en oublier !)
Pour debian wc me dit : 9157 allpackages.en.txt
Donc si on retire toutes les applis divisees en 12 .deb on doit tomber a moins de 6500/7500... C'etait pas tres dur en fait ! J'ai gagné quelque chose ?
> Je pensais que le noyau Linux aurait éventuellement bénéficié de progrès récents dans la technologie. Si on découvre un nouvel algorithme dans 6 mois, il ne pourra pas être disponible sur une machine actuelle.
Des progres... oui que la machine devienne intelligente; d'apres [1] ca serait pas possible :-)
Quand tu es a cours de memoire
1/ tu ne fais rien, la charge va s'envoler, la machine va partir au tas
2/ tuer la tache qui a le plus de memoire alloue : merde tu viens de tuer la BDD qui bouffait 8Go de RAM c'est con !
3/ tuer la tache qui a le debit d'allocation memoire le plus eleve, c'est pas dit que tu tue la bonne tache
4/ tuer une tache au hasard c'est pas mieux.
5/ tuer la tache qui vient de faire la demande d'allocation memoire, c'est pas dit que ce soit la bonne
6/ pouvoir proteger certains process de l'OOM killer c'est mieux
7/ indiquer les taches a tuer a l'OOM killer c'est lourd a gerer
8/ tu as une proposition ?
Le choix de l'action a prendre est SUBJECTIF. Il n'y a pas d'algorithme satisfaisant pour ce problème. C'est a l'administrateur de savoir administrer et aux developpeurs de fournir ce dont l'admin a besoin.
Linux te permet deja de faire pas mal de chose et autrement c'est pas enorme a coder.
solution : mettre des restrictions sur les utilisateurs et attendre les plaintes par ce que c'est trop restrictif. Apres si quelqu'un a un compte local c'est qu'il est digne de confiance et mettre une limit raisonable pour eviter les erreurs suffit en general.
[1] :
Alan Turing thought about criteria to settle the question of whether
machines can think, a question of which we now know that it is about as
relevant as the question of whether submarines can swim.
-- Dijkstra
> Je crois qu'HP ne vend plus de station de travail avec Itanium maintenant..
Je sais pas s'ils en vendent encore mais par contre je sais qu'ils proposent encore deux TER (master) pour bosser sur les compilo pour itanium. Donc ils doivent encore avoir des interets dedans. Je vais tenter de voir les sujets de cette annee savoir de quoi il en retourne.
En même temps qu'ils fassent devel/valider des trucs par des incompetents ayant du mal avec bases comme la gestion mémoire n'est pas forcement bon signe non plus :-)
Tout n'est pas fichier, tu crois que c'est quoi la mémoire anonyme....
man mlock aussi ca t'evitera de pouvoir grepper ton swap comme sous OS X pour retrouver les mdp que tu as oubliés. Il reste /dev/mem et /dev/kmem mais toutes applications soigneuses netoyent les buffers des qu'elle n'ont plus besoin de l'information.
Bref dans tout les cas tu as :
un mot de passe compromis (le master) = tout les mdps compris ! Ca me semble etre assez dissuasif pour ne pas utiliser ce genre de fonctionalités.
Bref quelqu'un qui a ton compte ou qui a la root ne peut intercepter que ce que tu tappes ce qui correspond generalement un sous ensemble nettement plus petit que l'ensemble de tes mdps (le temps de detecter la chose). Tu ne laisses rien trainer derriere toi.
Il parlait du nombre de dev qui ne sont pas @sun impliques dans le dev. Comme je l'avais dit recement si on matte la liste des devels une grande majorite est employee chez sun.
Reprendre un bebe comme OOo ca se fait pas en un mois, si tout les contributeurs sont exterieurs au projet initial.
>> "la" distribution que je conseil aux débutants.
> Arrêtez avec les distributions pour débutant ou élite.
> Linus Torvalds utilisait SuSE et ce n'est pas un débutant.
Apprend a lire, il a dit qu'il la conseil aux débutants, pas que c'etait une distrib destinees aux debutants...
Et comme tout le monde utilise les paquets de sa distrib c'est tres utile !
Au final tu as quinze utilisateurs de ton soft : Mr cameleon, MMe la magicienne, Mr casquette rouge etc.
La technique proposée est une des plus efficasse qui me vienne a l'esprit mais je suis sur que tu peux faire un bug report en expliquant ta methode et pourquoi elle est 10x mieux...
> Tu sais que y'a encore des serveurs ou on peut etre plusieurs utilisateurs locaux sans connexion distante et avec un clavier/souris chacun? :)
Oui je viens de t'expliquer que pam_console n'etait pas prevu pour gerer ce type d'utilisation. Si tu veux laisser l'access au lecteur de disquette dans ce cas de figure. Passe ton chemin ou met des permissions pour le groupe. Niveau secu c'est top je te dis pas... c'est *possible* ce n'est pas la configuration a la sortie de la boite.
> Parce que une station ou y'a qu'un utilisateur, je vois plus le probleme d'acces concurrent à un device ;)
pam_console ne resoud pas les access concurent (je le l'ai jamais dit 007 peut etre). pam_console empeche deux utilisateurs d'avoir les droits sur les peripheriques dans sa configuration de base.
-> gentil se log par gdm, il recupere les permissions sur tout les peripheriques locaux de la machine.
-> maichant se log par ssh, il ne peut plus s'amuser a aller jouer avec les peripheriques de gentil. Comme il est logger par ssh et dans le cas typique d'utilisation des stations, on s'en branle qu'il puisse monter la disquette, il n'est pas physiquement sur la machine. Si tu cherches du plus spécifique tu configures....
> Donc t'es en train de me dire de changer les droits dans la conf de pam_console?
boulet... Comme tout logiciel celui ci se parametre pour correspondre a tes besoins si la config par defaut ne te va pas. Tu connais un seul logiciel qui repond au besoin de tout les utilisateurs sur terre avec la config par defaut ? moi pas
> Oui, mais plusieurs utilisateurs peuvent se connecter depuis cette derniere et ceux avec un clavier/ecran chacun :)
encore une fois, tout est possible. ll est aussi possible de config pour que ca marche en ouvrant de joli probleme de secu.
> Tres mauvais exemple, tu me donnes un argument pour te prouver par a+b que c'est naze pam_console
Ha ? Je viens de te prouver qu'on pouvait faire que ca marche... Entre chercher en permanence quel sont les droits sur les periphs (un erreur est vite arrivee !) et remplir un chmod/chown automatique dans un fichier et avoir une vue clair de ce qui se passe en ce moment. Je sais lequel j'ai choisi.
M'enfin tout ce que tu prouves c'est que tu ne sais pas de quoi tu parles, que tu sais utiliser debian et pas mdk. Hormis ca je trouve pas. Et si tu n'avais pas compris, ils se partages certaines ressources sans problemes mais avec le bordel que ca amene en prime. Mais tu trouves aussi peut etre normal que lorsque quelqu'un s'absente en xlockant son term, on puisse passer derriere en ouvrant une autre session pour recuperer les donnees sur les disques amovibles...
Posté par ckyl .
En réponse au journal Mon ami John.
Évalué à 7.
remarques:
-> Un mdp aleatoire n'est pas forcement bon. Tu peux tres bien tomber sur quelque chose tres facile a cracker, ou possedant une signification que tu ignores.
Autant utiliser un moyen de memorisation qui te permettra de ne pas l'oublier et ne le rendra absolument pas plus faible
-> 2 maj 2min etc.
La tu diminue enormement l'ensemble des possibilites ! Tu te rends compte du temps que tu fais gagner en appliquant une regle comme ca ?
-> 8 caracteres inviolable ?!!!!
L'espace des cles DES se fait en un tout petit peu plus d'un mois sur une machine actuelle tout ce qu'il y a de plus banale.
Le chiffrement MD5/blowfish etant considerablement plus lent que le DES (pour se donner ordre de grandeur ca doit etre 100 et 1000). Le inviolable on peut toujours repasser, essayer l'ensemble des cles se parallelise tres tres bien, avec un petit reseau de machine infectées tu dois pouvoir obtenir assez rapidement ce que tu cherches.
Mais ce qui tombe bien c'est que l'attaquant n'aura jamais la possibilite de brute forcer tes mdp ! S'il a access aux hash c'est que ton systeme est compromis (ou tres mal configure), il a deja le root quel interet de casser du mot de passe ?
evidement pam_console est fait pour donner l'acces a des peripheriques predefinis a l'UTILISATEUR LOCAL(au singulier) actuellement loge localement sur la machine. Un station typique c'est UN utilisateur local.
Si c'est pas ta configuration ne l'utilise pas ou apprend a t'en servir (on peut changer les permissions par defaut).
Ta critique est infondée puisque tu l'utilise pour un usage qu'il n'est pas censé gérer !
Note: seul l'utilisateur se logguant depuis la console physique est considere, le autre n'ont rien.
Note 2: en sachant configurer la chose c'est possible, la preuve sur la machine de mes parents y'a 3 sessions X en permanences.... Meme si dans ce cas ca n'apporte rien, hormis d'etre plus facile a gerer qu'une floppee de chmod.
Si tu mets les utilisateurs locaux dans un groupe qui a toujours access au peripherique tu permets aux utilisateurs de voir les fichiers des autres.
Dans les lieux publiques du style universite t'as surement pas envie que toute la fac puisse recuperer les fichiers de ta cle usb...
A chaque probleme sa solution. Si pam_console n'est surement pas adapte pour ta machine perso, pour le moment sur certaines configuration je n'ai rien trouve de meilleur... Et on peut pas dire que je porte reellement ce module dans mon coeur.
> C'est anti unix
Le probleme d'unix c'est qu'il s'agit d'un modele qui va sur sa trentaine et que beaucoup aimerait voir comme la solution ultime car linux est basé dessus. Les groupes UNIX c'est pourtant un peu la misère quand meme hein... Et que tu vois l'etat des ACLs (chose de base par exemple) dans les projets libre ca fait plutot pleurer qu'autre chose. En l'occurence on a besoin de pam_console par ce que le systeme n'offre pas de meilleure alternative.
Un jour il faudra se remettre a evoluer quand meme dans le domaine du systeme.
> jusqu'à preuve du contraire PAM n'a pas rendu SU et SUDO inutiles
PAM n'a rien a voir avec SU ou SUDO. PAM fournit un ensemble de primitive aux developpeurs pour gerer l'authentification et une facon simple de configurer les regles d'access au administrateurs systemes.
Apres :
-> Si tu preferes recoder dans *chaque* appli la gestion de l'authentification aucun probleme. Enfin entre auditer LinuxPAM ou OpenPAM et auditer 3049565 applis gerant elles meme leur auth moi j'ai vite fait mon choix
-> Si tu preferes patche a la main les applis pour leur permet de changer de mode d'auth. ca me pose pas non plus de probleme.
Le seul problème avec PAM est que dans la floppee de module seul quelques uns ont ete audites correctement.
PAM est la pour etre utilise par su et sudo justement !
Pour la reponse simple : il existe d'autre noyaux libres que linux qui sont tout aussi avancés sur de nombreux points. Je sais ca fait mal a certains...
<troll>
les couches ip : Ha bon il y a plusieurs couches IP ? Je savais que chez linux ils aimaient bien faire les choses en double, tripple... mais a ce point...
les firewalls : Y'en a plusieurs dans linux (oui ipchains je sais) ? Ca serait pas chez BSD qu'il y a IPFW, IPF, PF ?
les FS: C'est sur que vu qu'il y a 16 FS qui font la meme chose ca va prendre un certain temps...
</troll>
# Ca depend
Posté par ckyl . En réponse au journal La mémoire ? On s'en fout !. Évalué à 3.
-> Si il parle de pas s'emmerder a chercher tout ce qui est alloue justement avant d'appeler exit(0) ou quelque chose du genre il a raison
-> Si il parle en general c'est moins top
C'est dans quel thread ?
[^] # Re: Le contenu, le contenu...
Posté par ckyl . En réponse au journal Un site avec sans Hack CSS ?. Évalué à 4.
http://wellstyled.com/tools/colorscheme2/index-en.html(...)
> Selon moi le Flash n'a pas sa place sur le web,
http://www.redbullrampage.com/(...)
Limiter au maximum son utilisation ok, dire qu'il n'a pas sa place c'est aller un peu loin. (cf yetisport aussi :-) on peut faire des choses pratiques avec, c'est comme pour tout il faut choisir le bon outil pour la bonne tache
[^] # Re: nautilus et fam
Posté par ckyl . En réponse à la dépêche Sortie de la Debian Woody 3.0r3. Évalué à 2.
[^] # Re: nautilus et fam
Posté par ckyl . En réponse à la dépêche Sortie de la Debian Woody 3.0r3. Évalué à 4.
Tu es au courant que debian n'est pas la seul distrib a tourner sur autre chose que du x86 ? C'est pas d'un seul coup debian arrive et se rend compte que toutes les applis sont codees avec les pieds et les petits lutins qui vont fixer le code.
De nombreuses distrib (ou les BSD) tournent ou ont tournees sur ppc et alpha et tout le monde est logé a la meme enseigne. Des bugs non levés par ces deux la et qui se produisent autre part ca doit exister mais d'ici a dire qu'il y en a des masses....
Y'a une liste de tout les patchs fait par debian quelque part d'ailleur ? Ca m'interesserait. Les distribs passent pas leur temps a reecrire des patchs existant, si tu regardes les coreutils de gentoo doit y avoir au moins 20 patchs de mdk (oui les coreutils sont tellement bien maintenu qu'il y a dans les 45 patchs non integrés</hs>)
Dans le genre exemple a la con, la plus grosse toussa, les ports NetBSD doivent etre a 5500 pkgs et tourne sur 55 archis... Mais c'est debile comme raisonement :-)
Gentoo tourne aussi sur autant d'archi que debian seulement ils ont une approche differente, et les differentes archis n'evoluent pas en meme temps. Ca permet de ne pas emmerder les gens alors que ca tourne sur leur archi c'est un autre choix (le choix debian a aussi des avantages pour les gens devant changer d'archi)
[^] # Re: nautilus et fam
Posté par ckyl . En réponse à la dépêche Sortie de la Debian Woody 3.0r3. Évalué à 2.
cas 1/ ca tourne et y'a rien a faire (ce doit etre 99.99% des paquets)
cas 2/ ca tourne pas et ca tournera jamais. Je suis pas sur que debian possede un .deb pour lilo sous ppc ou grub sous arm
cas 3/ ca demande une integration et la les mecs de debian peuvent eventuellement faire quelque chose.
Je connais pas la methode de dev de debian, mais bon ca sens quand meme le mec qui fait son paquet sur l'archi qu'il possede, une ferme de compilation aux fesses pour generer les binaires et on regarde si ca compile/fonctionne. Et encore le test de fonctionement j'ai des doutes qu'il soit fait a chaque fois pour toutes les archis...
(Au fait ton message fait quoi dans le thread ? On dirait du 007 :-)
[^] # Re: nautilus et fam
Posté par ckyl . En réponse à la dépêche Sortie de la Debian Woody 3.0r3. Évalué à 5.
On se contente de woody ou woody repond plainement a notre besoin ?
Vu la tournure de ta phrase on dirait que woody n'est pas le top mais qu'on peut faire avec... Dans ce cas pourquoi utiliser woody si au lieu de s'en contenter on peut avoir mieux (chez linux c'est pas vraiment les distribs qui manquent) ?
[^] # Re: nautilus et fam
Posté par ckyl . En réponse à la dépêche Sortie de la Debian Woody 3.0r3. Évalué à 3.
[^] # Re: nautilus et fam
Posté par ckyl . En réponse à la dépêche Sortie de la Debian Woody 3.0r3. Évalué à 8.
FreeBSD en est a 11858 ports (et y'a pas de .deb -dev -lib -jesaispas quoi)
Gentoo un find /usr/portage -t d -maxdepth 2 | wc me donne 8079 applis et 16584 ebuilds (bin oui dans debian on trouve zsh 3.0, zsh 4.0, zsh-beta, dans compter zsh 3.0-doc zsh 4.0-doc zsh-beta-doc zsh-doc zsh 3.0-static et j'ai du en oublier !)
Pour debian wc me dit : 9157 allpackages.en.txt
Donc si on retire toutes les applis divisees en 12 .deb on doit tomber a moins de 6500/7500... C'etait pas tres dur en fait ! J'ai gagné quelque chose ?
[^] # Re: Pk pas ca :
Posté par ckyl . En réponse au journal Comparatif entre systèmes d'exploitation. Évalué à 3.
[^] # Re: Pk pas ca :
Posté par ckyl . En réponse au journal Comparatif entre systèmes d'exploitation. Évalué à 3.
Des progres... oui que la machine devienne intelligente; d'apres [1] ca serait pas possible :-)
Quand tu es a cours de memoire
1/ tu ne fais rien, la charge va s'envoler, la machine va partir au tas
2/ tuer la tache qui a le plus de memoire alloue : merde tu viens de tuer la BDD qui bouffait 8Go de RAM c'est con !
3/ tuer la tache qui a le debit d'allocation memoire le plus eleve, c'est pas dit que tu tue la bonne tache
4/ tuer une tache au hasard c'est pas mieux.
5/ tuer la tache qui vient de faire la demande d'allocation memoire, c'est pas dit que ce soit la bonne
6/ pouvoir proteger certains process de l'OOM killer c'est mieux
7/ indiquer les taches a tuer a l'OOM killer c'est lourd a gerer
8/ tu as une proposition ?
Le choix de l'action a prendre est SUBJECTIF. Il n'y a pas d'algorithme satisfaisant pour ce problème. C'est a l'administrateur de savoir administrer et aux developpeurs de fournir ce dont l'admin a besoin.
http://lwn.net/Articles/104185/(...)
Linux te permet deja de faire pas mal de chose et autrement c'est pas enorme a coder.
solution : mettre des restrictions sur les utilisateurs et attendre les plaintes par ce que c'est trop restrictif. Apres si quelqu'un a un compte local c'est qu'il est digne de confiance et mettre une limit raisonable pour eviter les erreurs suffit en general.
[1] :
Alan Turing thought about criteria to settle the question of whether
machines can think, a question of which we now know that it is about as
relevant as the question of whether submarines can swim.
-- Dijkstra
[^] # Re: 30% d'écart : voulu !
Posté par ckyl . En réponse à la dépêche AMD64 vs Intel32 : 30% d'écart !. Évalué à 2.
Je sais pas s'ils en vendent encore mais par contre je sais qu'ils proposent encore deux TER (master) pour bosser sur les compilo pour itanium. Donc ils doivent encore avoir des interets dedans. Je vais tenter de voir les sujets de cette annee savoir de quoi il en retourne.
En même temps qu'ils fassent devel/valider des trucs par des incompetents ayant du mal avec bases comme la gestion mémoire n'est pas forcement bon signe non plus :-)
# Le plus complet ?
Posté par ckyl . En réponse à la dépêche AMD64 vs Intel32 : 30% d'écart !. Évalué à 2.
http://www.thejemreport.com/modules.php?op=modload&name=News&am(...)
Ca date juste de mars 04...
Et c'est bien plus interessant que des graphes a deux balles qui sortent dont ne sait où amha.
[^] # Re: tout est fichier
Posté par ckyl . En réponse au journal Complétion des formulaires. Évalué à 2.
man mlock aussi ca t'evitera de pouvoir grepper ton swap comme sous OS X pour retrouver les mdp que tu as oubliés. Il reste /dev/mem et /dev/kmem mais toutes applications soigneuses netoyent les buffers des qu'elle n'ont plus besoin de l'information.
Bref dans tout les cas tu as :
un mot de passe compromis (le master) = tout les mdps compris ! Ca me semble etre assez dissuasif pour ne pas utiliser ce genre de fonctionalités.
Bref quelqu'un qui a ton compte ou qui a la root ne peut intercepter que ce que tu tappes ce qui correspond generalement un sous ensemble nettement plus petit que l'ensemble de tes mdps (le temps de detecter la chose). Tu ne laisses rien trainer derriere toi.
[^] # Re: mozilla firefox thunderbird
Posté par ckyl . En réponse au journal Complétion des formulaires. Évalué à 1.
Quand on est parano on ne laisse pas ses mots de passes se balader sur sa machine...
On utilise ses petits doigts pour retapper les longs mots de passe tous differents.
[^] # Re: et OOO dans tout ca ?
Posté par ckyl . En réponse au journal "Get the fact" of Sun. Évalué à 5.
Reprendre un bebe comme OOo ca se fait pas en un mois, si tout les contributeurs sont exterieurs au projet initial.
> OOo est GPL. Il sera repris par d'autres.
s/sera/pourra être/
[^] # Re: Moi je vous comprend pas trop ??????????
Posté par ckyl . En réponse au journal Petition Mandrake: une réponse. Évalué à 2.
> Arrêtez avec les distributions pour débutant ou élite.
> Linus Torvalds utilisait SuSE et ce n'est pas un débutant.
Apprend a lire, il a dit qu'il la conseil aux débutants, pas que c'etait une distrib destinees aux debutants...
# Liens
Posté par ckyl . En réponse à la dépêche S5 : système de présentation utilisant les standards Web. Évalué à 3.
Ca me semble essentiel de pouvoir pointer vers une slide tout de même. Autrement je vais explorer plus tard ca semble interessant !
[^] # Re: ICMP protocole de comptage :)
Posté par ckyl . En réponse à la dépêche Sortie de Nvu 0.50. Évalué à 3.
Au final tu as quinze utilisateurs de ton soft : Mr cameleon, MMe la magicienne, Mr casquette rouge etc.
La technique proposée est une des plus efficasse qui me vienne a l'esprit mais je suis sur que tu peux faire un bug report en expliquant ta methode et pourquoi elle est 10x mieux...
[^] # Re: Différences ?
Posté par ckyl . En réponse à la dépêche Dropline Gnome 2.8 disponible (depuis le 07/10/2004). Évalué à 1.
> Tu sais que y'a encore des serveurs ou on peut etre plusieurs utilisateurs locaux sans connexion distante et avec un clavier/souris chacun? :)
Oui je viens de t'expliquer que pam_console n'etait pas prevu pour gerer ce type d'utilisation. Si tu veux laisser l'access au lecteur de disquette dans ce cas de figure. Passe ton chemin ou met des permissions pour le groupe. Niveau secu c'est top je te dis pas... c'est *possible* ce n'est pas la configuration a la sortie de la boite.
> Parce que une station ou y'a qu'un utilisateur, je vois plus le probleme d'acces concurrent à un device ;)
pam_console ne resoud pas les access concurent (je le l'ai jamais dit 007 peut etre). pam_console empeche deux utilisateurs d'avoir les droits sur les peripheriques dans sa configuration de base.
-> gentil se log par gdm, il recupere les permissions sur tout les peripheriques locaux de la machine.
-> maichant se log par ssh, il ne peut plus s'amuser a aller jouer avec les peripheriques de gentil. Comme il est logger par ssh et dans le cas typique d'utilisation des stations, on s'en branle qu'il puisse monter la disquette, il n'est pas physiquement sur la machine. Si tu cherches du plus spécifique tu configures....
> Donc t'es en train de me dire de changer les droits dans la conf de pam_console?
boulet... Comme tout logiciel celui ci se parametre pour correspondre a tes besoins si la config par defaut ne te va pas. Tu connais un seul logiciel qui repond au besoin de tout les utilisateurs sur terre avec la config par defaut ? moi pas
> Oui, mais plusieurs utilisateurs peuvent se connecter depuis cette derniere et ceux avec un clavier/ecran chacun :)
encore une fois, tout est possible. ll est aussi possible de config pour que ca marche en ouvrant de joli probleme de secu.
> Tres mauvais exemple, tu me donnes un argument pour te prouver par a+b que c'est naze pam_console
Ha ? Je viens de te prouver qu'on pouvait faire que ca marche... Entre chercher en permanence quel sont les droits sur les periphs (un erreur est vite arrivee !) et remplir un chmod/chown automatique dans un fichier et avoir une vue clair de ce qui se passe en ce moment. Je sais lequel j'ai choisi.
M'enfin tout ce que tu prouves c'est que tu ne sais pas de quoi tu parles, que tu sais utiliser debian et pas mdk. Hormis ca je trouve pas. Et si tu n'avais pas compris, ils se partages certaines ressources sans problemes mais avec le bordel que ca amene en prime. Mais tu trouves aussi peut etre normal que lorsque quelqu'un s'absente en xlockant son term, on puisse passer derriere en ouvrant une autre session pour recuperer les donnees sur les disques amovibles...
[^] # Re: Intéressant
Posté par ckyl . En réponse au journal Mon ami John. Évalué à 7.
-> Un mdp aleatoire n'est pas forcement bon. Tu peux tres bien tomber sur quelque chose tres facile a cracker, ou possedant une signification que tu ignores.
Autant utiliser un moyen de memorisation qui te permettra de ne pas l'oublier et ne le rendra absolument pas plus faible
-> 2 maj 2min etc.
La tu diminue enormement l'ensemble des possibilites ! Tu te rends compte du temps que tu fais gagner en appliquant une regle comme ca ?
-> 8 caracteres inviolable ?!!!!
L'espace des cles DES se fait en un tout petit peu plus d'un mois sur une machine actuelle tout ce qu'il y a de plus banale.
Le chiffrement MD5/blowfish etant considerablement plus lent que le DES (pour se donner ordre de grandeur ca doit etre 100 et 1000). Le inviolable on peut toujours repasser, essayer l'ensemble des cles se parallelise tres tres bien, avec un petit reseau de machine infectées tu dois pouvoir obtenir assez rapidement ce que tu cherches.
Mais ce qui tombe bien c'est que l'attaquant n'aura jamais la possibilite de brute forcer tes mdp ! S'il a access aux hash c'est que ton systeme est compromis (ou tres mal configure), il a deja le root quel interet de casser du mot de passe ?
[^] # Re: Différences ?
Posté par ckyl . En réponse à la dépêche Dropline Gnome 2.8 disponible (depuis le 07/10/2004). Évalué à 0.
evidement pam_console est fait pour donner l'acces a des peripheriques predefinis a l'UTILISATEUR LOCAL(au singulier) actuellement loge localement sur la machine. Un station typique c'est UN utilisateur local.
Si c'est pas ta configuration ne l'utilise pas ou apprend a t'en servir (on peut changer les permissions par defaut).
Ta critique est infondée puisque tu l'utilise pour un usage qu'il n'est pas censé gérer !
Note: seul l'utilisateur se logguant depuis la console physique est considere, le autre n'ont rien.
Note 2: en sachant configurer la chose c'est possible, la preuve sur la machine de mes parents y'a 3 sessions X en permanences.... Meme si dans ce cas ca n'apporte rien, hormis d'etre plus facile a gerer qu'une floppee de chmod.
[^] # Re: Différences ?
Posté par ckyl . En réponse à la dépêche Dropline Gnome 2.8 disponible (depuis le 07/10/2004). Évalué à 4.
my 2 cents.
[^] # Re: Différences ?
Posté par ckyl . En réponse à la dépêche Dropline Gnome 2.8 disponible (depuis le 07/10/2004). Évalué à 2.
Si tu mets les utilisateurs locaux dans un groupe qui a toujours access au peripherique tu permets aux utilisateurs de voir les fichiers des autres.
Dans les lieux publiques du style universite t'as surement pas envie que toute la fac puisse recuperer les fichiers de ta cle usb...
A chaque probleme sa solution. Si pam_console n'est surement pas adapte pour ta machine perso, pour le moment sur certaines configuration je n'ai rien trouve de meilleur... Et on peut pas dire que je porte reellement ce module dans mon coeur.
> C'est anti unix
Le probleme d'unix c'est qu'il s'agit d'un modele qui va sur sa trentaine et que beaucoup aimerait voir comme la solution ultime car linux est basé dessus. Les groupes UNIX c'est pourtant un peu la misère quand meme hein... Et que tu vois l'etat des ACLs (chose de base par exemple) dans les projets libre ca fait plutot pleurer qu'autre chose. En l'occurence on a besoin de pam_console par ce que le systeme n'offre pas de meilleure alternative.
Un jour il faudra se remettre a evoluer quand meme dans le domaine du systeme.
[^] # Re: Différences ?
Posté par ckyl . En réponse à la dépêche Dropline Gnome 2.8 disponible (depuis le 07/10/2004). Évalué à 1.
PAM n'a rien a voir avec SU ou SUDO. PAM fournit un ensemble de primitive aux developpeurs pour gerer l'authentification et une facon simple de configurer les regles d'access au administrateurs systemes.
Apres :
-> Si tu preferes recoder dans *chaque* appli la gestion de l'authentification aucun probleme. Enfin entre auditer LinuxPAM ou OpenPAM et auditer 3049565 applis gerant elles meme leur auth moi j'ai vite fait mon choix
-> Si tu preferes patche a la main les applis pour leur permet de changer de mode d'auth. ca me pose pas non plus de probleme.
Le seul problème avec PAM est que dans la floppee de module seul quelques uns ont ete audites correctement.
PAM est la pour etre utilise par su et sudo justement !
[^] # Re: Et oui
Posté par ckyl . En réponse au journal droit d'auteur... parfois ca fait peur. Évalué à 1.
<troll>
les couches ip : Ha bon il y a plusieurs couches IP ? Je savais que chez linux ils aimaient bien faire les choses en double, tripple... mais a ce point...
les firewalls : Y'en a plusieurs dans linux (oui ipchains je sais) ? Ca serait pas chez BSD qu'il y a IPFW, IPF, PF ?
les FS: C'est sur que vu qu'il y a 16 FS qui font la meme chose ca va prendre un certain temps...
</troll>
Donc autrement on est condamné a linux pour le reste de l'eternité selon toi ? Bizarre ca me rappel http://www.cs.bell-labs.com/who/rob/utah2000.pdf(...) :-/