Cyril Brulebois a écrit 670 commentaires

Les fichiers du dépôt en question semblent dater de 2006/2007, j'imagine que tu as envie de trouver un autre emplacement d'où télécharger des paquets ? :)

Debian Consultant @ DEBAMAX

Oh, j'ai oublié de mentionner l'existence de webkit2gtk, peut-être que son -dev est ce que tu cherches ?

Debian Consultant @ DEBAMAX

Tu peux utiliser https://tracker.debian.org/pkg/libwebkit-dev (ou l'autre), qui va automatiquement te rediriger du paquet binaire vers le paquet source correspondant → https://tracker.debian.org/pkg/webkitgtk

Dans la section « news » :

[2018-12-01] Removed 2.4.11-4 from unstable (Debian FTP Masters)
[2018-09-27] webkitgtk REMOVED from testing (Debian testing watch)

Nous voyons donc que le paquet n'était plus dans un état convenable pour rester dans testing d'une part, et que nous avons même été jusqu'à sa suppression d'unstable. En cliquant sur le premier lien (https://tracker.debian.org/news/1008054/removed-2411-4-from-unstable/), nous avons les détails de la suppression (https://bugs.debian.org/893863) avec notamment en résumé :

RoM; RoQA; unmaintained, over 100 CVEs that won't be fixed

Plus d'infos sur les acronymes → https://wiki.debian.org/ftpmaster_Removals

Debian Consultant @ DEBAMAX

Cf. https://fr.wiktionary.org/wiki/privado

Debian Consultant @ DEBAMAX

Avec parted et quelques contorsions en plus des droits superutilisateur :

kibi@armor:~$ sudo /sbin/parted -l /dev/sda 2>/dev/null | grep Model | head -1
Model: ATA SanDisk SD7SN6S- (scsi)

Avec lsblk, un peu plus direct…

kibi@armor:~$ lsblk -d -o +'MODEL' /dev/sda
NAME MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT MODEL
sda    8:0    0  477G  0 disk            SanDisk SD7SN6S-

kibi@armor:~$ lsblk -n -d -o 'MODEL' /dev/sda
SanDisk SD7SN6S-

Debian Consultant @ DEBAMAX

Note : Utiliser les ACL suppose d'installer le paquet acl2 et d'activer l'option sur le FS concerné.

Debian Consultant @ DEBAMAX

Je valide également pour borgbackup. Ça n'est pas forcément évident de mettre les mains dedans avec les différents choix pour --encryption mais une fois qu'on a compris les options et fait un choix, c'est un superbe outil !

Debian Consultant @ DEBAMAX

Je n'ai pas de PARTLABEL sous la main pour tester mais ça fonctionne avec LABEL= et PARTUUID= à tout le moins :

kibi@armor:~$ /sbin/blkid -t PARTUUID="63e124c2-01" -o device
/dev/sda1

Il y a plein d'options sympathiques dans blkid et lsblk, je te laisse faire ton marché. :)

Debian Consultant @ DEBAMAX

C'est activé :

$ grep SECCOMP /boot/config-4.19.0-10-amd64 
CONFIG_SECCOMP=y
CONFIG_HAVE_ARCH_SECCOMP_FILTER=y
CONFIG_SECCOMP_FILTER=y

Debian Consultant @ DEBAMAX

Pour compléter un tout petit peu, une socket UNIX est accessible en connaissant son chemin dans l'arborescence locale.

Tandis qu'une socket AF_INET/AF_INET6 (disons « internet ») sera en général exposée via un port TCP ou UDP, qui peut être limité à une écoute locale (type 127.0.0.1) ou distante (avec une IP donnée, ou en écoutant sur toute IP). Ces dernières peuvent ensuite être firewallées à coup d'iptables/nftables ou autre surcouche.

Debian Consultant @ DEBAMAX

La séparation que j'envisage, c'est justement pour ne pas avoir besoin de me poser la question de si j'ai confiance ou non.

Debian Consultant @ DEBAMAX

Je me permets de rebondir sur l'aspect technique plutôt que juridique.

Je vais me retrouver dans une situation similaire très prochainement, avec un poste mis à disposition par un client. Étant pour la toute première fois confronté à ce genre de situation (éventuel contrôle à distance par le client, pour déployer des composants/mises à jour… et donc accès root j'imagine, autant dire que je n'ai aucun contrôle), je me demandais comment limiter les effets de bord en local.

Mes pistes actuelles :

• Branchement sur un switch configuré avec des VLAN pour m'assurer que le poste ne voit que la Freebox pour sortir sur internet (la question de la sécurité se poserait toujours côté Freebox, mais ça limite la connexion aux autres équipements). Inconvénient : Il va falloir que je m'équipe et que j'apprenne rapidement comment on configure ce genre de choses.
• Utilisation du réseau invité de la Freebox. Inconvénient : Jamais utilisé jusque-là, je ne sais pas trop quel cloisonnement cela offre.

Debian Consultant @ DEBAMAX

Oui. Ce que tu proposes appelle le contenu de $1 en tant que commande en positionnant temporairement var1 à eval…

Debian Consultant @ DEBAMAX

Euh, ce n'est pas ce que je suggérais.

J'indiquais que dans certaines conditions, il peut être nécessaire de forcer l'enregistrement d'un système Linux dans la séquence de démarrage du firmware. Et que si on est dans le cas d'un dual-boot Windows/Linux, ce n'est pas trop délirant d'avoir Linux en premier puisque le chargeur de démarrage de celui-ci peut passer la main à Windows.

Si on est capable de lancer le système installé en forçant la main au démarrage une fois (en spécifiant le chemin complet jusqu'au bootloader), ou si on est capable de lancer un système d'installation, alors il est possible de faire la manipulation efibootmgr qui va bien pour modifier la séquence de démarrage du firmware. S'il n'y a pas de Windows dans l'équation, cela limite le risque de régression lors de manipulations à coup d'efibootmgr. :)

Debian Consultant @ DEBAMAX

Ajoute (un log dans) un constructeur de copie ?

Rien de spécifique à l'opérateur ternaire, je dirais. ;)

Debian Consultant @ DEBAMAX

J'ai déjà vu un certain nombre de cas similairement foireux lors d'install parties… Notamment quand cela implique Windows + une variante d'Ubuntu.

Pour l'instant, je n'ai pas trouvé mieux que d'intervenir de la façon suivante :

• Lancement d'un Linux en mode Live (plutôt qu'en mode installation).
• Incantation efibootmgr pour vérifier la configuration actuelle, et ajouter une entrée pour Linux.

L'idée est d'utiliser efibootmgr pour avoir Linux dans la séquence de démarrage du firmware, et ce de façon prioritaire. Du moment que le paquet os-prober est installé (et c'est le cas par défaut sur Debian + Ubuntu), Windows devrait être détecté et proposé dans le menu du chargeur de démarrage (GRUB), ce qui rend acceptable — la plupart du temps — le fait d'avoir Linux qui démarre dans tous les cas : il est possible de basculer sur Windows depuis le menu GRUB.

C'est un peu délicat de donner des instructions à l'aveuglette, c'est le genre de manipulation qui est bien plus facile à faire en direct. Je t'invite à vérifier si un GULL existe à proximité.

Debian Consultant @ DEBAMAX

Tu obtiens même the user variable is not set. avec deux espaces. ;)

Il y a une légère confusion : tu essaies de passer à ta fonction le nom de ta variable ou son éventuel contenu ?

Si tu passes son nom à la fonction, il va falloir demander à ton shell d'aller chercher son contenu. Cela peut se faire en utilisant eval (qui n'est pas trivial car il faut penser à la double évaluation que cela implique).

Si tu passes son contenu à la fonction, celle-ci n'a pas accès à son nom. Elle ne peut donc pas l'utiliser dans un éventuel message d'erreur.

Debian Consultant @ DEBAMAX

Tu n'as donc jamais eu affaire à quelqu'un qui s'est mélangé les pinceaux, a explosé le début du (mauvais) disque, et n'a pas pu récupérer ses données parce qu'en MBR il n'y a pas de sauvegarde de la table de partitions ?

Debian Consultant @ DEBAMAX

Tentative de connexion depuis la console (Ctrl+Alt+Fn) pour décorréler les sujets « connexion utilisateur » et « environnement graphique » ?

Debian Consultant @ DEBAMAX

Tu n'as pas marqué l'interface enx001e06300937 comme étant automatique, d'où le fait qu'elle est prise en charge par N-M ?

→ auto enx001e06300937 en plus.

(J'imaginais que tu avais déjà une configuration IPv4 et le morceau auto en place, c'est pour cela que je ne l'avais pas mentionné.)

Debian Consultant @ DEBAMAX

iface enx001e06300937 inet6 static
  address 2a01:e0a:195:1040:cdaf:219b:207e:d823
  netmask 64
  gateway 2a01:e0a:195:1040::1

Debian Consultant @ DEBAMAX

De ce que j'ai vu quand de telles vidéos ont commencé à être disponibles (à la louche, il y a 2 ans, je n'ai pas revérifié depuis), une des raisons pour lesquelles on n'a et n'aura pas de support x265 sur Freebox Revolution, c'est le manque de performances de la plateforme. Je ne serais donc pas aussi catégorique que toi sur l'aspect « très peu de puissance ».

Debian Consultant @ DEBAMAX

Pour gérer les certificats X.509 de quelques clients/serveurs, j'utilise xca, dont je suis plutôt content.

→ https://www.hohnstaedt.de/xca/

Debian Consultant @ DEBAMAX

On peut même faire un peu plus rigolo en utilisant borg mount sans le ::2020-04-16 final, histoire d'avoir sous la main toutes les sauvegardes incrémentales, et de pouvoir se balader dans chacune jusqu'à trouver celle(s) qui nous intéresse(nt). :)

Debian Consultant @ DEBAMAX

Si la clé est copiée sur le serveur une seule fois, c'est perdu, non ?

Debian Consultant @ DEBAMAX