Encore une fois, il y a une solution simple (IPv6 et pas de NAT), et d'autres solutions compliquées, c'est au choix.
IPv6 c'est l'opérateur qui décide, pas moi.
Note qu'IPv6 ne résous en rien le "le webservice doit pouvoir fonctionner même si couper d'internet (donc nom de domaine HS et pas moyen de mettre a jour le certificat)".
Pour l'instant c'est beaucoup de prises de tête pour peu de résultats (ne protège même pas d'un MITM d'un état sur l'hostname, juste utile pour se préserver des exit node tor corrompu par des pirates non étatiques).
Il est solide le bestiau? Je pense essayer de m'en procurer un dans un avenir pas trop lointain histoire de profiter de son octocore et de son gigabit (sacré différence avec le raspberry pi) ^ ^
Mais j'ai lu des commentaires sur le net qui énoncent des instabilités logiciel et je m’interroge sur la qualité des composants en utilisation permanente (h24/7).
Le Raspberry pi, bien que peu puissant tient bien dans la durée*1, quid du XU4?
Les trucs qui ont un peu du mal avec l'arm du raspberry pi (comme retroshare par exemple), ils ont toujours du mal sur le XU4?
Tu as déjà fait chauffer son processeur pour tâter son refroidissement? (qui le met fort bien en valeur sur photo) :)
*1 j'ai même balancé une surtension (par inadvertance) sur un hub USB qui a cramé et le RPI n'a pas cramé :P
Tu peux aussi installer ta clés USB comme si c'était un vulgaire disque dur.
Genre booter sur un liveDVD/USB et pratiquer l'installation (en évitant la partition swap, pas bon pour le technologie SD; tu peux mettre ou non grub dessus). Après le fonctionnement est exactement le même que si c'était un disque externe (le formatage est en ext4 qui est plus avantageux que fat32).
Quand le disque dur d'un pc portable rend l'âme et que l'on ne peut le remplacer, c'est une solution cheap pour redonner une seconde vie :)
youtube, dailymotion, redtube et autre doivent avoir une forte incidence sur les SSD aussi non?
Les vidéos sont-elles stockées en ram ou sur le disque système? Si elles sont sur le disque système, peut-on les envoyer en ram (jusqu’à une certaine limite pour pas overflow la ram) et ce sans bloquer les extensions Firefox de téléchargement de vidéos sur les dits sites? ^ ^
Je viens de tester sur deux de mes machines et je n'ai pas d'accès denied quand je tente de me connecter en root, il demande le password (qui ne fonctionne pas vu que PermitRootLogin est à no)
Note que j'ai testé sur ubuntu et raspbian, ça peut être différent sur debian
"AllowTcpForwarding local" semble valide mais ne m'empêche pas de contacter un autre serveur.
Par contre "PermitOpen 127.0.0.1:*" fait se que je demande
Si tu sais juste me renseigner comment revenir en arrière après mon "sudo usermod -s /bin/false jeSuisUnUser", j'en aurai terminé avec cet user grâce tes infos gros merci @wismerhill :)
En France, je crois qu'il faut être habilité pour délivrer un diplôme. Vu la tête de l'image mise en lien, on pourrait très bien t'accuser de vouloir escroquer les gens en leur délivrant de faux diplômes. Je crois que tu devrais changer le nom et appeler ça autrement.
Faut vérifier car en Belgique c'est autorisé. Tout diplôme n'est pas reconnu par l'état ni par le secteur privé (et certains sont reconnu par l'un et pas par l'autre).
Note : comment je fais pour l'annuler? (je pense (need verification) que cette méthode bloque l'ajout de nouvelle clés et doit donc être remis à la valeur par défaut avant d'ajouter un client)
usermod -s /bin/login jeSuisUnUser renvoie "-login : fonctionnement impossible sans être réellement le superutilisateur" lors de la tentative de connexion via ssh
pourquoi avoir choisi Xubuntu? pour un serveur, il n'y a généralement pas besoin d'un "bureau".
Disposer d'une interface a quelques avantages, sans oublier que le serveur sert aussi de télé :) Xubuntu intègre aussi beaucoup de drivers très utile pour les ordinosaures, drivers que Debian n'intègre pas par défaut :)
Est ce que l'utilisateur à la possibilité d'accéder physiquement à la machine?
Non, c'est un user dédié au proxy que je souhaite ré-utiliser sur X machines appartenant a X personnes tout en le protégeant contre une compromission d'un des clients.
Ensuite, je ne vois pas le lien entre ta demande et le tutoriel en question.
c'est juste pour montrer le contexte (je souhaite sécuriser deux users: un qui est dédié exclusivement a tunneler des connexions de clients vers le owncloud (uniquement vers 127.0.0.1), et un dédié exclusivement au montage SSHFS comme ici pour ranger les fichiers de mes webservices sur mon raid :) )
Dans les jeux vidéos on a des réactions pas mal aussi du genre des gens qui viennent pour bloquer un bot (qui auto joue) et qui se font lyncher par d'autres joueurs qui profitent des biens faits du bot, d'autres qui viennent tuer le bot jute pour voir si t'es la pour te poser une question (ou piquer tes golds ^ ^ ), des gens qui lancent des bots pour harceler tes bots, d'autres qui répondent au bot (genre le bot félicite un joueur d'avoir lvl up, le joueur qui le remercie retour :P ).
Je t'avoue que j'ai déjà songé à m’attaquer au DNS du réseau (le bidouiller ou le remplacer voir même a passer par du arp poisoning+etterfilter), limite ça pourrait être plus utile que l'hairpinning (qui, j'imagine, doit bugger si un client interroge le DNS quand il y a une coupure internet et que la box gérant le serveur DNS a été reboot).
On pourrait aussi imaginer un script qui modifie le fichier host (sur linux voir android) via regex s'il a détecté une mac address spécifique.
Question : en IPv6 le problème du hairpinning disparaîtra?
Question annexe : quand on sera en IPv6, comment je fais pour trouver l'adresse IP d'un raspberry pi fraîchement installé? (actuellement j'utilise nmap 192.168.1.2-254 en IPv4 local mais si j'ai bien compris ça ne fonctionnera plus en ipv6)
Si tu as un FAI qui te file une box sans hairpinning, je pense que IPv6 est aussi un mot de la langue étrangère pour lui…
C'est encore plus compliqué que ça : quand j'ai fais mon tuto sur syncthing j'ai remarqué que mes deux machines test communiquaient en IPv6 (en local mais que pour synchting, je les contrôlais via SSH en IPv4 au même moment)), mais j'ai jamais réussi a joindre un site web en IPv6, ni a configurer une adresse IPv6 (en suivant un tuto sur linuxfr), et quand je tente de mettre a jour mon DDNS en lui spécifiant IPv6 au lieu d'IPv4 ça ne fonctionne pas.
D'ailleurs, qu'est ce qui techniquement pose problème à LE d'utiliser https pour le renouvellement d'un certificat, vu que celui en cours est encore valide?
Si j'ai du ré-activer http sans TLS c'est pas pour le renouvellement (que toute façon j'ai pas encore réussi a automatiser) mais car Let's Encrypt casse les montages DAVFS2 de mes users tout les 90j et donc j'ai du remplacer par autre chose (SSH tunneling qui renvoi vers le http sans TLS, le tout over Tor Hidden Service comme ça sa règle d'avance tout problème lié au nom de domaine).
Mais non. C'est trop compliqué pour l'utilisateur qui veut héberger son blog sur un système distribué et redondant pour avoir une haute disponibilité. Or ça, excuse-moi mais c'est tout sauf un utilisateur lambda. Et accessoirement, ce n'est pas de l'auto-hébergement, à moins d'avoir plusieurs maisons.
Le problème apparaît aussi avec un seul serveur dans une seule maison … J'ai déjà pas mal galéré et j'ai pas encore réussi a automatiser let's encrypt (je suis fort probablement noob sur ce point, mais les gens que j'aide a monter leur owncloud sont encore plus noob que moi donc encore plus largué).
Cas de figure :
Utilisateur simple, tu as ton petiot VHOST simple (port 80 et 443 ouvert et un seul certificat TLS, celui de Let's Encrypt) pour ton owncloud. Admettons que tu veuilles faire ton montage DAVFS2 :
Depuis l'extérieur (de chez toi) :
- https://www.monDomaine.be ça fonctionne (note que j'ai pas vérifié si ça continue de fonctionner après un renouvellement)
Depuis l'Intérieur (LAN)
- tu retentes comme en WAN avec https://www.monDomaine.be mais la le routeur de ton FAI a beaucoup de chance de ne pas être compatible hairpinning, si tu peux le changer par un autre (ce qui n'est pas mon cas!), t'as bien de la chance
-donc tu veux que sa fonctionne quand même alors tu passe par https://adresseIPDuServeur mais comme le certificat n'est pas prévu pour ce hostname, il est traité par le logiciel comme un auto-signé (quand il va changer dans 90 jours, faudra tout recommencer)
Depuis Tor
- comme pour le lan, ton certificat n'étant pas prévu pour ce hostname, il est traité comme un auto signé, quand il changera hop tu peux tout recommencer.
Donc pour que ton montage DAVFS2 fonctionne sans devoir le refaire tout les nonantes jours, t'es obligé de repasser sur un auto signé ou de passer par http sans TLS (se qui, par sécurité, nécessite de remplacer par autre chose (Tor Hidden Service, SSH tunneling))
On pourrait rétorquer : t'as qu'a utiliser un auto signé pour tout sauf pour le WAN mais ca signifie complexifier le VHOST puis autant utiliser de l'auto signé partout a ce moment là.
Faut retenir qu'un serveur chez OVH c'est facile a gérer : un seul hostname, DMZ; un serveur auto-hébergé est face a plein de contraintes (multi hostname, hairpinning, NAT, IPv4/IPv6).
Je ne devais pas être au courant de ce détail, c'est pour ça que j'ai pu réussir à l'utiliser. Et sans problème, je dois dire.
Quel est donc ta solution donc pour que mon montage DAVFS2 ne casse pas à chaque renouvellement ? Je suis ouvert à toute astuce.
Décidément, c'est une manie…
Firefox, safari, chrome: ils empêchent tous l'utilisateur moyen d'avoir une expérience correct sur un site auto-hébergé utilisant des certificats auto signés. En auto signé je me fais souvent harceler par des users qui disent "ne pas savoir accéder" à mon site (ils trouvent pas le bouton habilement dissimulé par les navigateurs et ne comprennent pas le principe de l'exception de sécu).
Envoyer mes users harceler mozzila sur facebook/twitter n'a pas encore d'effet (ils sont pas assez nombreux) donc je me fais imposer soit la censure, soit Let's Encrypt.
Note : je rajouterai que TLS utilise un mécanisme très similaire a SSH, et que SSH ne force pas à renouveler ses clés tout les 90 jours (si non ca cassera pas mal d'automate et de montage)
Posté par EauFroide .
En réponse à la dépêche Firefox 49 en chansons.
Évalué à 1.
Dernière modification le 23 septembre 2016 à 02:33.
Le mode lecture s’enrichit d’une nouvelle fonction : « Lire à voix haute » !
Mozilla explique que cela participe à rendre son navigateur plus accessible (que vous soyez avec un handicap ou pas).
wowowowow
Je viens de le tester en me disant "génial je vais me faire la lecture d'un article wikipedia!" et paf ça utilise espeak ^ ^ (espeak qui ne veut pas utiliser autre chose que la langue anglaise dans mon cas)
:'( chagrin :'(
On peut utiliser (facilement et gratuitement) un autre système vocale?
PS: pour ceux qui veulent tester : Affichage => Passer en mode lecture => cliquer sur le bouton comme dans le screenshot (l'avant dernier bouton)
Donc tu es bien content de trouver Let’s Encrypt pour économiser 400 boules par an
Let's encrypt ne s'est pas annoncé comme le remplaçant des arnaqueurs qui vendent des certificat TLS signé contre la peau du cul, non Let's encrypt s'est annoncé comme le grand sauveur de l'humanité qui va faire disparaître les certificats auto signé (et faire diminuer le prix des arnaqueurs).
Pas de chance son mécanisme est trop compliqué pour l'utilisateur lambda qui veut se faire auto héberger son blog ou un owncloud.
Pire il est tout simplement incompatible avec l'auto hébergement, malgré que let's encrypt vise ce publique cible. (ben oui, les sites de e-commerce n'utilisent pas d'auto signé…)
tu ne rates pas la moindre occasion de cracher ta haine sur ce projet qui te pourrit la vie
J'ai lu plusieurs de ses articles, il donne son avis posément, haine est un bien grand mot qui pourrait plus tôt définir se que je penses de TLS et des navigateurs qui font peur inutilement aux users et fou une merde pas possible en cross network au point que je rêve de forker firefox.
Plus haut tu dis carrément qu’il faut « taper sur Let’s Encrypt » pour avoir ce qu’il te faut (gratuitement bien sûr — payer pour un service, non mais et puis quoi encore)…
mozzila google et co veulent nous (users d'auto signé) forcer à signer nos certificat. Let's encrypt rentre dans cette logique (je tapais mozzila au moins une fois par semaine sur les réseaux sociaux a cause de ses alertes de sécu, et j'étais pas le seul, let's encrypt a détourné la cible des clash)
gratuitement bien sûr — payer pour un service, non mais et puis quoi encore
On ne peut donc pas critiquer quelque chose de gratuit, surtout si ce quelque chose ne possède pas d’alternative (et qu'il est imposé)?
Mais en pratique, pour lire le trafic réseau, à part en cas d'utilisation par appareils mobile (et donc en wifi) avec lecture du trafic wifi, y a t'il possibilité pour un pirate d'écouter le trafic internet ?
quelqu'un aurait-il une référence d'un tuto pour utiliser un DokuWiki en https
si c'est sur ton serveur
1) tu actives les modules apache2
sudo a2enmod ssl
sudo a2enmod rewrite
2)soit tu configures ton VHOST pour accepter http et https, soit tu rediriges complètement tout le trafic http vers https comme dans l'exemple suivant:
<VirtualHost *:80>
ServerName monSite
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</VirtualHost>
note : n'est pas affiché la partie traitant de https; ma source est mon propre tuto qui date maintenant
@papap
Ensuite en ce qui concerne le trafic chiffré, là il faut avoir des moyens de calculs puissants pour les déchiffrer et là, la NSA et d'autres ont ces moyens.
Par facilité et économie de coûts: ils ont plus tôt tendance a attaquer avant le chiffrement (trojan sur le client, serveur compromis, faux certificat TLS signé par un CA, …)
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par EauFroide . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 1. Dernière modification le 26 septembre 2016 à 18:38.
IPv6 c'est l'opérateur qui décide, pas moi.
Note qu'IPv6 ne résous en rien le "le webservice doit pouvoir fonctionner même si couper d'internet (donc nom de domaine HS et pas moyen de mettre a jour le certificat)".
Pour l'instant c'est beaucoup de prises de tête pour peu de résultats (ne protège même pas d'un MITM d'un état sur l'hostname, juste utile pour se préserver des exit node tor corrompu par des pirates non étatiques).
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Planète ?
Posté par EauFroide . En réponse au sondage Les serveurs des geeks : écolos ?. Évalué à 1.
Il est solide le bestiau? Je pense essayer de m'en procurer un dans un avenir pas trop lointain histoire de profiter de son octocore et de son gigabit (sacré différence avec le raspberry pi) ^ ^
Mais j'ai lu des commentaires sur le net qui énoncent des instabilités logiciel et je m’interroge sur la qualité des composants en utilisation permanente (h24/7).
Le Raspberry pi, bien que peu puissant tient bien dans la durée*1, quid du XU4?
Les trucs qui ont un peu du mal avec l'arm du raspberry pi (comme retroshare par exemple), ils ont toujours du mal sur le XU4?
Tu as déjà fait chauffer son processeur pour tâter son refroidissement? (qui le met fort bien en valeur sur photo) :)
*1 j'ai même balancé une surtension (par inadvertance) sur un hub USB qui a cramé et le RPI n'a pas cramé :P
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: 32 ou 64 bits
Posté par EauFroide . En réponse au message installer linux portable sur cle usb 7 Go. Évalué à 1. Dernière modification le 24 septembre 2016 à 22:49.
Au même endroit que la 64bit : https://www.ubuntu-fr.org/telechargement#
Tu cliques sur "plus d'options…" et tu coches processeur 32bit
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# installation
Posté par EauFroide . En réponse au message installer linux portable sur cle usb 7 Go. Évalué à 2.
Tu peux aussi installer ta clés USB comme si c'était un vulgaire disque dur.
Genre booter sur un liveDVD/USB et pratiquer l'installation (en évitant la partition swap, pas bon pour le technologie SD; tu peux mettre ou non grub dessus). Après le fonctionnement est exactement le même que si c'était un disque externe (le formatage est en ext4 qui est plus avantageux que fat32).
Quand le disque dur d'un pc portable rend l'âme et que l'on ne peut le remplacer, c'est une solution cheap pour redonner une seconde vie :)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: access denied
Posté par EauFroide . En réponse au message [Debian] Connecter en root. Évalué à 1.
Et via serial console (dans ton screenshot)?
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: /bin/false
Posté par EauFroide . En réponse au message sécuriser user dédié pour tunnel ssh. Évalué à 1.
ce rush la? J'avais déjà tenté une fois avec rssh mais ça avait mal terminé ^ ^
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# et youtube ?
Posté par EauFroide . En réponse au message Firefox mange des bébés SSD. Évalué à 1.
youtube, dailymotion, redtube et autre doivent avoir une forte incidence sur les SSD aussi non?
Les vidéos sont-elles stockées en ram ou sur le disque système? Si elles sont sur le disque système, peut-on les envoyer en ram (jusqu’à une certaine limite pour pas overflow la ram) et ce sans bloquer les extensions Firefox de téléchargement de vidéos sur les dits sites? ^ ^
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# access denied
Posté par EauFroide . En réponse au message [Debian] Connecter en root. Évalué à 2. Dernière modification le 24 septembre 2016 à 18:46.
Je viens de tester sur deux de mes machines et je n'ai pas d'accès denied quand je tente de me connecter en root, il demande le password (qui ne fonctionne pas vu que PermitRootLogin est à no)
Note que j'ai testé sur ubuntu et raspbian, ça peut être différent sur debian
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: /bin/false
Posté par EauFroide . En réponse au message sécuriser user dédié pour tunnel ssh. Évalué à 1.
"AllowTcpForwarding local" semble valide mais ne m'empêche pas de contacter un autre serveur.
Par contre "PermitOpen 127.0.0.1:*" fait se que je demande
Si tu sais juste me renseigner comment revenir en arrière après mon "sudo usermod -s /bin/false jeSuisUnUser", j'en aurai terminé avec cet user grâce tes infos gros merci @wismerhill :)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: /bin/false
Posté par EauFroide . En réponse au message sécuriser user dédié pour tunnel ssh. Évalué à 1.
Oui je parlais de l'export de clés des clients avec la commande
ssh-copy-id -i ~/.ssh/id_ed25519 jeSuisUnUser@adresseServerSSH
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Diplôme ?
Posté par EauFroide . En réponse à la dépêche CatchChallenger version 2. Évalué à 2.
Faut vérifier car en Belgique c'est autorisé. Tout diplôme n'est pas reconnu par l'état ni par le secteur privé (et certains sont reconnu par l'un et pas par l'autre).
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: /bin/false
Posté par EauFroide . En réponse au message sécuriser user dédié pour tunnel ssh. Évalué à 1. Dernière modification le 24 septembre 2016 à 16:00.
Note : comment je fais pour l'annuler? (je pense (need verification) que cette méthode bloque l'ajout de nouvelle clés et doit donc être remis à la valeur par défaut avant d'ajouter un client)
usermod -s /bin/login jeSuisUnUser renvoie "-login : fonctionnement impossible sans être réellement le superutilisateur" lors de la tentative de connexion via ssh
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: /bin/false
Posté par EauFroide . En réponse au message sécuriser user dédié pour tunnel ssh. Évalué à 1. Dernière modification le 24 septembre 2016 à 15:51.
Wow @wismerhill ça fonctionne exactement comme je le souhaitais et sans faire des tonnes de modifications obscures !
Merci merci merci !
la commande :
sudo usermod -s /bin/false jeSuisUnUser
PS: tu sais si on peut aller jusqu'à restreindre les tunnels vers une seule IP (127.0.0.1 dans le cas présent)?
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: chroot
Posté par EauFroide . En réponse au message sécuriser user dédié pour tunnel ssh. Évalué à 1.
Oui j'ai déjà tenté d'en suivre plusieurs mais je me tape un "packet_write_wait: Connection to 192.168.1.42 port 22: Broken pipe" à chaque fois
Pour le moment j'ai
sudo su
cd /home/userNeedChroot/
On crée les dossiers des requis
mkdir bin dev lib lib/i386-linux-gnu lib/x86_64-linux-gnu lib64
On copie Bash
cp /bin/bash /home/userNeedChroot/bin/
Lister les requis
ldd /bin/bash
exemple
└─ # ▶ ldd /bin/bash
linux-vdso.so.1 => (0x00007ffc33cf1000)
libtinfo.so.5 => /lib/x86_64-linux-gnu/libtinfo.so.5 (0x00007fc810b11000)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fc81090d000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fc810543000)
/lib64/ld-linux-x86-64.so.2 (0x000055647a454000)
Trouver les requis
find /lib/ -name libdl.so.2
Copier les requis
cp /lib/i386-linux-gnu/libtinfo.so.* ./lib/i386-linux-gnu/
cp /lib/x86_64-linux-gnu/libtinfo.so.* ./lib/x86_64-linux-gnu/
cp /lib/i386-linux-gnu/libdl.so.* ./lib/i386-linux-gnu/
cp /lib/x86_64-linux-gnu/libdl.so.* ./lib/x86_64-linux-gnu/
cp /lib/i386-linux-gnu/libc.so.* ./lib/i386-linux-gnu/
cp /lib/x86_64-linux-gnu/libc.so.* ./lib/x86_64-linux-gnu/
cp /lib64/ld-linux-x86-64.so.* ./lib64/
Note : pas moyen de trouver linux-vdso.so.1
Accorder les bons droits et propriétaires
chown userNeedChroot:root -R ./*
chmod 770 -R ./*
Ajouter dans /etc/ssh/ sshd_config
Match user userDedieSSH
PasswordAuthentication no
ChrootDirectory /home/%u
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Quelques questions
Posté par EauFroide . En réponse au message sécuriser user dédié pour tunnel ssh. Évalué à 1. Dernière modification le 24 septembre 2016 à 14:32.
Disposer d'une interface a quelques avantages, sans oublier que le serveur sert aussi de télé :) Xubuntu intègre aussi beaucoup de drivers très utile pour les ordinosaures, drivers que Debian n'intègre pas par défaut :)
Non, c'est un user dédié au proxy que je souhaite ré-utiliser sur X machines appartenant a X personnes tout en le protégeant contre une compromission d'un des clients.
c'est juste pour montrer le contexte (je souhaite sécuriser deux users: un qui est dédié exclusivement a tunneler des connexions de clients vers le owncloud (uniquement vers 127.0.0.1), et un dédié exclusivement au montage SSHFS comme ici pour ranger les fichiers de mes webservices sur mon raid :) )
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# tuto
Posté par EauFroide . En réponse au message Mon linux xubuntu est bloqué. Évalué à 1.
salut
ce tuto va te fournir plusieurs méthodes pour récupérer ton mot de passe.
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Bot IRC
Posté par EauFroide . En réponse au journal Chroniques de l'automatisation : la guerre des bots. Évalué à 2. Dernière modification le 24 septembre 2016 à 01:04.
Dans les jeux vidéos on a des réactions pas mal aussi du genre des gens qui viennent pour bloquer un bot (qui auto joue) et qui se font lyncher par d'autres joueurs qui profitent des biens faits du bot, d'autres qui viennent tuer le bot jute pour voir si t'es la pour te poser une question (ou piquer tes golds ^ ^ ), des gens qui lancent des bots pour harceler tes bots, d'autres qui répondent au bot (genre le bot félicite un joueur d'avoir lvl up, le joueur qui le remercie retour :P ).
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par EauFroide . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 1.
Je t'avoue que j'ai déjà songé à m’attaquer au DNS du réseau (le bidouiller ou le remplacer voir même a passer par du arp poisoning+etterfilter), limite ça pourrait être plus utile que l'hairpinning (qui, j'imagine, doit bugger si un client interroge le DNS quand il y a une coupure internet et que la box gérant le serveur DNS a été reboot).
On pourrait aussi imaginer un script qui modifie le fichier host (sur linux voir android) via regex s'il a détecté une mac address spécifique.
Mais sa représente encore du boulot ^ ^
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par EauFroide . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 1. Dernière modification le 23 septembre 2016 à 15:05.
Question : en IPv6 le problème du hairpinning disparaîtra?
Question annexe : quand on sera en IPv6, comment je fais pour trouver l'adresse IP d'un raspberry pi fraîchement installé? (actuellement j'utilise nmap 192.168.1.2-254 en IPv4 local mais si j'ai bien compris ça ne fonctionnera plus en ipv6)
C'est encore plus compliqué que ça : quand j'ai fais mon tuto sur syncthing j'ai remarqué que mes deux machines test communiquaient en IPv6 (en local mais que pour synchting, je les contrôlais via SSH en IPv4 au même moment)), mais j'ai jamais réussi a joindre un site web en IPv6, ni a configurer une adresse IPv6 (en suivant un tuto sur linuxfr), et quand je tente de mettre a jour mon DDNS en lui spécifiant IPv6 au lieu d'IPv4 ça ne fonctionne pas.
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par EauFroide . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 1.
Si j'ai du ré-activer http sans TLS c'est pas pour le renouvellement (que toute façon j'ai pas encore réussi a automatiser) mais car Let's Encrypt casse les montages DAVFS2 de mes users tout les 90j et donc j'ai du remplacer par autre chose (SSH tunneling qui renvoi vers le http sans TLS, le tout over Tor Hidden Service comme ça sa règle d'avance tout problème lié au nom de domaine).
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par EauFroide . En réponse au message Let's Encrypt en prod en entreprise. Évalué à -1. Dernière modification le 23 septembre 2016 à 14:10.
Le problème apparaît aussi avec un seul serveur dans une seule maison … J'ai déjà pas mal galéré et j'ai pas encore réussi a automatiser let's encrypt (je suis fort probablement noob sur ce point, mais les gens que j'aide a monter leur owncloud sont encore plus noob que moi donc encore plus largué).
Cas de figure :
Utilisateur simple, tu as ton petiot VHOST simple (port 80 et 443 ouvert et un seul certificat TLS, celui de Let's Encrypt) pour ton owncloud. Admettons que tu veuilles faire ton montage DAVFS2 :
Depuis l'extérieur (de chez toi) :
- https://www.monDomaine.be ça fonctionne (note que j'ai pas vérifié si ça continue de fonctionner après un renouvellement)
Depuis l'Intérieur (LAN)
- tu retentes comme en WAN avec https://www.monDomaine.be mais la le routeur de ton FAI a beaucoup de chance de ne pas être compatible hairpinning, si tu peux le changer par un autre (ce qui n'est pas mon cas!), t'as bien de la chance
-donc tu veux que sa fonctionne quand même alors tu passe par https://adresseIPDuServeur mais comme le certificat n'est pas prévu pour ce hostname, il est traité par le logiciel comme un auto-signé (quand il va changer dans 90 jours, faudra tout recommencer)
Depuis Tor
- comme pour le lan, ton certificat n'étant pas prévu pour ce hostname, il est traité comme un auto signé, quand il changera hop tu peux tout recommencer.
Donc pour que ton montage DAVFS2 fonctionne sans devoir le refaire tout les nonantes jours, t'es obligé de repasser sur un auto signé ou de passer par http sans TLS (se qui, par sécurité, nécessite de remplacer par autre chose (Tor Hidden Service, SSH tunneling))
On pourrait rétorquer : t'as qu'a utiliser un auto signé pour tout sauf pour le WAN mais ca signifie complexifier le VHOST puis autant utiliser de l'auto signé partout a ce moment là.
Faut retenir qu'un serveur chez OVH c'est facile a gérer : un seul hostname, DMZ; un serveur auto-hébergé est face a plein de contraintes (multi hostname, hairpinning, NAT, IPv4/IPv6).
Quel est donc ta solution donc pour que mon montage DAVFS2 ne casse pas à chaque renouvellement ? Je suis ouvert à toute astuce.
Firefox, safari, chrome: ils empêchent tous l'utilisateur moyen d'avoir une expérience correct sur un site auto-hébergé utilisant des certificats auto signés. En auto signé je me fais souvent harceler par des users qui disent "ne pas savoir accéder" à mon site (ils trouvent pas le bouton habilement dissimulé par les navigateurs et ne comprennent pas le principe de l'exception de sécu).
Envoyer mes users harceler mozzila sur facebook/twitter n'a pas encore d'effet (ils sont pas assez nombreux) donc je me fais imposer soit la censure, soit Let's Encrypt.
Note : je rajouterai que TLS utilise un mécanisme très similaire a SSH, et que SSH ne force pas à renouveler ses clés tout les 90 jours (si non ca cassera pas mal d'automate et de montage)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# lecture à haute voix
Posté par EauFroide . En réponse à la dépêche Firefox 49 en chansons. Évalué à 1. Dernière modification le 23 septembre 2016 à 02:33.
wowowowow
Je viens de le tester en me disant "génial je vais me faire la lecture d'un article wikipedia!" et paf ça utilise espeak ^ ^ (espeak qui ne veut pas utiliser autre chose que la langue anglaise dans mon cas)
:'( chagrin :'(
On peut utiliser (facilement et gratuitement) un autre système vocale?
PS: pour ceux qui veulent tester : Affichage => Passer en mode lecture => cliquer sur le bouton comme dans le screenshot (l'avant dernier bouton)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par EauFroide . En réponse au message Let's Encrypt en prod en entreprise. Évalué à -1. Dernière modification le 22 septembre 2016 à 21:46.
Let's encrypt ne s'est pas annoncé comme le remplaçant des arnaqueurs qui vendent des certificat TLS signé contre la peau du cul, non Let's encrypt s'est annoncé comme le grand sauveur de l'humanité qui va faire disparaître les certificats auto signé (et faire diminuer le prix des arnaqueurs).
Pas de chance son mécanisme est trop compliqué pour l'utilisateur lambda qui veut se faire auto héberger son blog ou un owncloud.
Pire il est tout simplement incompatible avec l'auto hébergement, malgré que let's encrypt vise ce publique cible. (ben oui, les sites de e-commerce n'utilisent pas d'auto signé…)
J'ai lu plusieurs de ses articles, il donne son avis posément, haine est un bien grand mot qui pourrait plus tôt définir se que je penses de TLS et des navigateurs qui font peur inutilement aux users et fou une merde pas possible en cross network au point que je rêve de forker firefox.
mozzila google et co veulent nous (users d'auto signé) forcer à signer nos certificat. Let's encrypt rentre dans cette logique (je tapais mozzila au moins une fois par semaine sur les réseaux sociaux a cause de ses alertes de sécu, et j'étais pas le seul, let's encrypt a détourné la cible des clash)
On ne peut donc pas critiquer quelque chose de gratuit, surtout si ce quelque chose ne possède pas d’alternative (et qu'il est imposé)?
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# rien a voir avec le wifi
Posté par EauFroide . En réponse au message Sécurité, https, et Doku Wiki. Évalué à 4. Dernière modification le 25 septembre 2016 à 20:20.
Le câblage n'est pas plus sécurisé (arp poisoning).
si c'est sur ton serveur
1) tu actives les modules apache2
2)soit tu configures ton VHOST pour accepter http et https, soit tu rediriges complètement tout le trafic http vers https comme dans l'exemple suivant:
note : n'est pas affiché la partie traitant de https; ma source est mon propre tuto qui date maintenant
@papap
Par facilité et économie de coûts: ils ont plus tôt tendance a attaquer avant le chiffrement (trojan sur le client, serveur compromis, faux certificat TLS signé par un CA, …)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Un NAS ça compte aussi ?
Posté par EauFroide . En réponse au sondage Les serveurs des geeks : écolos ?. Évalué à 1. Dernière modification le 22 septembre 2016 à 17:46.
Oui je sais mais côté consommation par bit, ça doit sûrement être assez proche (voir un peu moins consommateur pour ceux des fai/data center).
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat