La négotiation ne prend pas de temps, on envoie et reçoit (le buffer par défaut de strace ne permet pas logguer l'ensemble des messages, on ne voit pas donc pas quelle "ressource" est demandée [ord.freedesktop…]
La "ressource" demandée n'est pas disponible/ne répond pas:
On essaie une foie encore [flag EAGAIN] et on "poll" avec un timeout de 25000ms. Comme rien ne se passe, on ouvre /etc/passwd une fois ces 25s passées:
Reboot intempestif … je suggère de faire le tour de tous les autres logs et plus particulièrement entre la fin de la session de l'utilisateur root et le moment où le démon ssh annonce son arrêt.
Je ne vois rien de "spécial".
1. root ferme sa session à 18:43:18
2. Le démon ssh s'arrête à 18:43:34 car il a reçu un signal STOP (signal 15)
Y a-t-il eu un reboot initié juste avant?
3. Le démon ssh démarre à 18:56:02
4. Les runuser sont liés au compte qpidd utilisé pour le Qpid messaging d'apache. runuser est plus "light"que su, mais ne peut être lancé que par root (d'où le uid=0 dans le fichier de log)
Pour le fail2ban,y a-t-il un logrotate qui éventuellement ferait un stop/restart?
gdb dit: 0x00103d99 in hide_cursor () at screen.c:99
printk() appelle putcar() et putcar() appelle hide_cursor()
Si je compare hide_cursor() à show_cursor(), les
variables suivantes ne sont pas fixées dans hide_cursor():
cursorX
cursorY
alors qu'elles le sont dans show_cursor():
cursorX = kX;
cursorY = kY;
Aller mettre un 0x0 à un endroit qui dépendent de variables non
fixées, normal que ça parte en SIGSEV.
Que se passe-t-il si les variables mentionnées sont fixées comme
dans show_cursor() ?
J'ai fait un tour rapide des sources, et le seul endroit où se trouve message d'erreur "send_files […]" et dans sender.c. Le message errno associé "Value too large […]" est fixé lors de la fonction do_open (appelée dans sender.c et définie dans syscall.c) et qui ne fait pratiquement que retourner le résultat de la fonction open.
Il semble donc que le rsync utilisé ne soit pas capable de gérer des fichiers larges. Est-ce que rsync a été compilé avec les options suivantes:
Ça me rappelle ce que j'avais codé il y a quelques années pour du Firewall CheckPoint.
Les règles étaient tellement nombreuses et il y avait tellement d'objets que cet "outil" était indispensable. J'avais également pris en compte les "jokers"pour répondre à ce genre de questions:
- Qui peut accéder en http sur le serveur X?
- Quels sont les serveurs qui sont accessibles en ssh?
Ça permettait de rajouter des objets dans les règles au meilleur endroit plutôt que de recréer une règle supplémentaire. Le code (Perl) est malheureusement resté dans la boîte pour laquelle je bossais à l'époque. Le seul soft que j'avais trouvé et qui faisait de l'analyse sur les règles était celui d'algosec. Entre temps, il semble que d'autres soient arrivés sur ce créneau comme niiconsulting
Il serait utile de connaître le message d'erreur/warning fourni par IE8, ça pourrait
donner des pistes.
Que donne la comparaison entre deux certificats créé par la même entité (celui qui pose des problèmes, et un qui fonctionne sans souci)? Au niveau de la hiérarchie et des différents champs (version, algorithme utilisé pour la signature, utilisation, ...)
Difficile de trouver la cause du problème avec les infos fournies:
Version de firefox? Pas de changement de version récemment?
Pas de proxy?
As-tu essayé avec un autre navigateur? Cela fonctionne-t-il?
Si oui, est-ce que les certificats sont bien les mêmes?
Le certificat n'est pas auto-signé, exact?
En lisant le man, j'ai l'impression qu'il faut utiliser soit background soit stamp mais pas les deux en même temps. As-tu essayé avec stamp uniquement ?
Autre piste : est-ce que les 2 fichiers ont la même résolution/taille ?
C'est étrange, dès que l'on veut passer a une autre méthode d'authentification (ce que l'on a, ce que l'on est), c'est uniquement les inconvénients qui sont pointés, alors que ceux du traditionnel mot de passe sont souvent ignorés:
un mot de passe:
- ça s'oublie,
- ça se transmet,
- ça se "rejoue" (sauf le one-time password),
- ça se sniffe (oui, la colle aussi),
- ça s'écrit sur un post-it,
- les politiques de mot de passe vous le font en général changer régulièrement dont il faut en trouver qui respecte les critères établis
- ça n'est pas à l'abri d'une attaque en brute-force, donc il faut mettre en oeuvre des mécanismes freinant les tentatives d'authentification répétitives
En ce qui concerne les wildcard certificats, il faut aussi vérifier dans l'offre des autorités de certification si les sous-domaines sont acceptés ou non.
*.domain.com n'inclut pas forcément *.*.domain.com
Il faut également savoir quel(s) usage(s) on compte faire de ces wildcards certificats.
1) Si c'est seulement pour le chiffrement de la connexion d'un serveur web (https pour faire simple), il faut vérifier le support de ce type de certificat par les navigateurs web. J'ai eu quelques soucis avec un IE6 qui ne faisait pas le match entre le wilcard '*' et le nom du serveur web. L'autorité de certification choisie permettait heureusement de générer une version de mon wildcard certificat enrichi avec le nom du serveur web, le tout sans supplément.
2) Si ce certificat est utilisé pour une application autre qu'un navigateur, il faudra là aussi vérifier que le wildcard certificate est supporté.
Oui enfin sous windows pour ne pas le nommer, tu mets tes fichiers dans "Shared Documents", et basta. C'est quand même pratique, il y a rien à dire.
Super pratique pour les virus effectivement ... Si on cherche 30s (voire moins, mais j'ai mal aux poignets en ce moment, donc je tape moins vite) sur le web, on trouve ça:
By default Windows XP has a Shared Documents folder that is fully accessible from anyone else on the network. This is a security concern and should be disabled
C'est pas compliqué, c'est juste normal. Le propriétaire du fichier fait ce qu'il faut pour donner les droits appropriés. Je préfère ce comportement à: par défaut tout ouvert. Si tu veux pas jouer avec des ACL, tu peux aussi utiliser un programme qui va surveiller toute nouvelle entrée dans le répertoire en question, et changer les droits des fichiers, mais c'est capilotracté.
Sinon, pour du travail collaboratif sur des mêmes fichiers, pourquoi ne pas utiliser un gestionnaire de versions ?
Version Détaillée:
Ce n'est pas à l'utilisateur de déterminer la durée du time-out, ou le nombre d'essais.
Proposition:
Maintenant, d'après ce que tu décris, si on ne demande JAMAIS de mot de passe à TOTO pour lancer les commandes privilégiées (toutes les commandes pour TOTO sont en NOPASSWD), alors essaye avec la commande suivante:
echo | sudo -v -S
Si TOTO est bien configuré dans /etc/sudoers, alors la commande rend la main de suite et la valeur de retour est 0 (d'après mes tests, sudo -v ne demande le mot de passe que si il existe au moins une commande qui demande le mot de passe)
Si TOTO n'est pas bien configuré alors, sudo lira l'entrée standard (option -S), recevra un mauvais mot de passe (on a mis un echo de rien dans le pipe) et la commande se terminera après 2 ou 3 secondes (time-out entre 2 tentatives d'entrées de mot de passe) avec une valeur de retour à 1
[^] # Re: Je n'ai peut-être pas compris la question
Posté par ecid . En réponse au message Récuperer noms d'un fichier pour l'envoyer dans une chaine de caractère dans un fichier. Évalué à 0.
Bon, ça gère pas le cas où le modem n'est pas déclaré dans /dev
auquel cas io_comm.ini ne contient que COM1=
# Commun un appel à l'ed
Posté par ecid . En réponse au message rechercher / remplacer multiligne. Évalué à 1.
Dans cet exemple, ça "matche" la ligne voulue, retourne 10 lignes en arrière et efface 15 lignes.
# DBUSquer le problème
Posté par ecid . En réponse au message Commande su très très lente. Évalué à 2.
Bonjour,
Voici mon analyse, pour ce qu'elle vaut:
Connexion à /var/run/dbus/system_bus_socket
La négotiation ne prend pas de temps, on envoie et reçoit (le buffer par défaut de strace ne permet pas logguer l'ensemble des messages, on ne voit pas donc pas quelle "ressource" est demandée [ord.freedesktop…]
La "ressource" demandée n'est pas disponible/ne répond pas:
On essaie une foie encore [flag EAGAIN] et on "poll" avec un timeout de 25000ms. Comme rien ne se passe, on ouvre /etc/passwd une fois ces 25s passées:
Voilà pour les 25s de perdues. Reste encore les 4 à 5 secondes restantes:
Après avoir fermé /etc/passwd, on clone le process:
Un peu plus loin, on attend que ce process fils se termine en utilisant wait4(). Cela prend 4.4s
Reste à savoir quelle ressource est demandée via dbus et ce que fait le process fils pour qu'il faille attendre encore 4.4s
Encore du strace en perspective.
# Dispo ailleurs
Posté par ecid . En réponse au message Fouiller dans le cache google (ou autre archives). Évalué à 1.
L'article a été repris (dans son intégralité ?) sur le site suivant:
http://tunisitri.wordpress.com/2013/08/21/la-tunisie-a-la-veille-de-la-guerre-civile/
[^] # Re: Qpid
Posté par ecid . En réponse au message Ouverture de session runuser. Évalué à 0.
Reboot intempestif … je suggère de faire le tour de tous les autres logs et plus particulièrement entre la fin de la session de l'utilisateur root et le moment où le démon ssh annonce son arrêt.
Qpid apache est un middleware orienté message:
MOM Wikipedia
Qpid apache
Cela me semble tout de même étrange d'avoir Qpid installé sans le savoir, à moins que cela ne soit une dépendance pour une application tierce.
# Qpid
Posté par ecid . En réponse au message Ouverture de session runuser. Évalué à 0.
Bonjour,
Je ne vois rien de "spécial".
1. root ferme sa session à 18:43:18
2. Le démon ssh s'arrête à 18:43:34 car il a reçu un signal STOP (signal 15)
Y a-t-il eu un reboot initié juste avant?
3. Le démon ssh démarre à 18:56:02
4. Les runuser sont liés au compte qpidd utilisé pour le Qpid messaging d'apache. runuser est plus "light"que su, mais ne peut être lancé que par root (d'où le uid=0 dans le fichier de log)
Pour le fail2ban,y a-t-il un logrotate qui éventuellement ferait un stop/restart?
[^] # Re: FirewallBuilder
Posté par ecid . En réponse au message Parser et outils graphique pour Iptables. Évalué à 0.
Bonjour,
En fouinant un peu, j'ai trouvé cela:
http://www.nccgroup.com/en/blog/2013/04/visualising-firewall-rulesets-simplifying-firewall-administration-and-spotting-the-pivot-point/
Le soft s'appelle visiwall. Juste un tout petit problème, il est pas [encore] disponible :)
[^] # Re: Port + Adresse
Posté par ecid . En réponse au message rediriger un port sur une interface réseau. Évalué à 0.
netcat ou rinetd devraient également faire l'affaire
rinetd home page
netcat TCP port forwarding
# Windows and MacOS
Posté par ecid . En réponse au message Système de fichiers compatible multi-OS. Évalué à 0.
Comme Linux me semble le plus accommodant dans ce domaine, il y a un bon résumé en anglais sur le partage d'un disque entre Windows et MacOS X:
http://blog.digitalfeed.net/2012/04/06/choosing-a-file-system-for-an-external-drive-for-mac-and-windows-fat32-exfat-ntfs-and-hfs/
# Avec fold
Posté par ecid . En réponse au message Couper une chaîne de caractère en deux. Évalué à 4.
Tant qu'on y est:
# hide_cursor()
Posté par ecid . En réponse au message Créer mini-os unix. Évalué à 2.
Bonjour,
gdb dit: 0x00103d99 in hide_cursor () at screen.c:99
printk() appelle putcar() et putcar() appelle hide_cursor()
Si je compare hide_cursor() à show_cursor(), les
variables suivantes ne sont pas fixées dans hide_cursor():
cursorX
cursorY
alors qu'elles le sont dans show_cursor():
cursorX = kX;
cursorY = kY;
Aller mettre un 0x0 à un endroit qui dépendent de variables non
fixées, normal que ça parte en SIGSEV.
Que se passe-t-il si les variables mentionnées sont fixées comme
dans show_cursor() ?
[^] # Re: stat
Posté par ecid . En réponse au message [Urgent] Problème avec rsync : file too large. Évalué à 0.
J'ai fait un tour rapide des sources, et le seul endroit où se trouve message d'erreur "send_files […]" et dans sender.c. Le message errno associé "Value too large […]" est fixé lors de la fonction do_open (appelée dans sender.c et définie dans syscall.c) et qui ne fait pratiquement que retourner le résultat de la fonction open.
Il semble donc que le rsync utilisé ne soit pas capable de gérer des fichiers larges. Est-ce que rsync a été compilé avec les options suivantes:
-D_LARGEFILE_SOURCE -D_LARGEFILE64_SOURCE -D_FILE_OFFSET_BITS=64
# stat
Posté par ecid . En réponse au message [Urgent] Problème avec rsync : file too large. Évalué à 0.
Hello,
Les 2 sont en 64bits? Il y a d'autres messages sur le net avec le même genre d'erreur, et la commande stat serait impliquée (stat EOVERFLOW)
# Souvenirs ...
Posté par ecid . En réponse au journal less suitable for work (lsfw). Évalué à 1.
Bonjour,
Ça me rappelle ce que j'avais codé il y a quelques années pour du Firewall CheckPoint.
Les règles étaient tellement nombreuses et il y avait tellement d'objets que cet "outil" était indispensable. J'avais également pris en compte les "jokers"pour répondre à ce genre de questions:
- Qui peut accéder en http sur le serveur X?
- Quels sont les serveurs qui sont accessibles en ssh?
Ça permettait de rajouter des objets dans les règles au meilleur endroit plutôt que de recréer une règle supplémentaire. Le code (Perl) est malheureusement resté dans la boîte pour laquelle je bossais à l'époque. Le seul soft que j'avais trouvé et qui faisait de l'analyse sur les règles était celui d'algosec. Entre temps, il semble que d'autres soient arrivés sur ce créneau comme niiconsulting
[^] # Re: Aiguille et botte de foin
Posté par ecid . En réponse au message souci authentification ssl avec firefox. Évalué à 0.
Bonjour,
Il serait utile de connaître le message d'erreur/warning fourni par IE8, ça pourrait
donner des pistes.
Que donne la comparaison entre deux certificats créé par la même entité (celui qui pose des problèmes, et un qui fonctionne sans souci)? Au niveau de la hiérarchie et des différents champs (version, algorithme utilisé pour la signature, utilisation, ...)
# Aiguille et botte de foin
Posté par ecid . En réponse au message souci authentification ssl avec firefox. Évalué à 1.
Bonjour,
Difficile de trouver la cause du problème avec les infos fournies:
Version de firefox? Pas de changement de version récemment?
Pas de proxy?
As-tu essayé avec un autre navigateur? Cela fonctionne-t-il?
Si oui, est-ce que les certificats sont bien les mêmes?
Le certificat n'est pas auto-signé, exact?
As-tu essayé la manip décrite ici:
http://www.rlweiner.com/firefox-error-sec_error_untrusted_issuer
[^] # Re: OS
Posté par ecid . En réponse au message OS pour un PowerPC. Évalué à 0.
Bonjour,
Sur le site suivant, il y a un guide d'install pour la version 5.0.2 de yellow dog
sur un JS21:
http://www.yellowdoglinux.com/support/installation/ibm-js21-install.shtml
# Yellowdog
Posté par ecid . En réponse au message OS pour un PowerPC. Évalué à 5.
Bonjour,
Yellowdog linux supporte le matériel IBM JS2x
(http://www.yellowdoglinux.com)
C'est une distrib qui existe depuis 1999 et qui
est dédié au support de l'architecture Power.
# stamp ou background
Posté par ecid . En réponse au message pdftk et watermark. Évalué à 0.
En lisant le man, j'ai l'impression qu'il faut utiliser soit background soit stamp mais pas les deux en même temps. As-tu essayé avec stamp uniquement ?
Autre piste : est-ce que les 2 fichiers ont la même résolution/taille ?
[^] # Re: Dangereux
Posté par ecid . En réponse au message Cherche système d'authentification par clé USB. Évalué à 1.
un mot de passe:
- ça s'oublie,
- ça se transmet,
- ça se "rejoue" (sauf le one-time password),
- ça se sniffe (oui, la colle aussi),
- ça s'écrit sur un post-it,
- les politiques de mot de passe vous le font en général changer régulièrement dont il faut en trouver qui respecte les critères établis
- ça n'est pas à l'abri d'une attaque en brute-force, donc il faut mettre en oeuvre des mécanismes freinant les tentatives d'authentification répétitives
[^] # Re: https, certificats...
Posté par ecid . En réponse au message Questions signatures électroniques et certificats. Évalué à 3.
*.domain.com n'inclut pas forcément *.*.domain.com
Il faut également savoir quel(s) usage(s) on compte faire de ces wildcards certificats.
1) Si c'est seulement pour le chiffrement de la connexion d'un serveur web (https pour faire simple), il faut vérifier le support de ce type de certificat par les navigateurs web. J'ai eu quelques soucis avec un IE6 qui ne faisait pas le match entre le wilcard '*' et le nom du serveur web. L'autorité de certification choisie permettait heureusement de générer une version de mon wildcard certificat enrichi avec le nom du serveur web, le tout sans supplément.
2) Si ce certificat est utilisé pour une application autre qu'un navigateur, il faudra là aussi vérifier que le wildcard certificate est supporté.
# Caractère de ^cochon
Posté par ecid . En réponse au message Retirer les ^[[00m avec vim. Évalué à 4.
:,$s/^V^[\[00m//g
Légende:
^V : control V
^[ : control [
[^] # Re: Réponse
Posté par ecid . En réponse au message Travail collaboratif et partage de fichiers. Évalué à 0.
Oui enfin sous windows pour ne pas le nommer, tu mets tes fichiers dans "Shared Documents", et basta. C'est quand même pratique, il y a rien à dire.
Super pratique pour les virus effectivement ... Si on cherche 30s (voire moins, mais j'ai mal aux poignets en ce moment, donc je tape moins vite) sur le web, on trouve ça:
By default Windows XP has a Shared Documents folder that is fully accessible from anyone else on the network. This is a security concern and should be disabled
[^] # Re: Réponse
Posté par ecid . En réponse au message Travail collaboratif et partage de fichiers. Évalué à 1.
Sinon, pour du travail collaboratif sur des mêmes fichiers, pourquoi ne pas utiliser un gestionnaire de versions ?
# deçu de sudo ?
Posté par ecid . En réponse au message [SUDO] Vérifier si un user est bien déclaré dans SUDO à partir d'un user lambda. Évalué à 2.
Non
Version Détaillée:
Ce n'est pas à l'utilisateur de déterminer la durée du time-out, ou le nombre d'essais.
Proposition:
Maintenant, d'après ce que tu décris, si on ne demande JAMAIS de mot de passe à TOTO pour lancer les commandes privilégiées (toutes les commandes pour TOTO sont en NOPASSWD), alors essaye avec la commande suivante:
echo | sudo -v -S
Si TOTO est bien configuré dans /etc/sudoers, alors la commande rend la main de suite et la valeur de retour est 0 (d'après mes tests, sudo -v ne demande le mot de passe que si il existe au moins une commande qui demande le mot de passe)
Si TOTO n'est pas bien configuré alors, sudo lira l'entrée standard (option -S), recevra un mauvais mot de passe (on a mis un echo de rien dans le pipe) et la commande se terminera après 2 ou 3 secondes (time-out entre 2 tentatives d'entrées de mot de passe) avec une valeur de retour à 1