Foxy a écrit 662 commentaires

Tout d'abord puisque tu n'abordes pas ce point dans ton article, il aurait mieux valu présenter de quel projet tu parles : NewPKI http://www.newpki.org/index.php(...) porjet de PKI open-source utilisant OpenSSL.

Pour participer et suivre quelques projets open-source de près, voici plusieurs points essentiels pour que ton projet est un "visibilité" et attirent les contributions :

- "faire de la pub" pour ton projet via Freshmeat.net et publier la sortie de nouvelles versions
- avoir un system de bug-tracking (OK pour NewPKI via Sourceforge)
- avoir un système de "features whishlist" ou publier une TODO liste MAJ fréquemment
- avoir une mailing-liste "utilisateurs" et une pour les "développeurs"
- ouvrir un channel IRC (sur Freenode par ex.) pour accueillir les discussions d'utilisateurs et de développeurs qui utiliseraient ton projet
- publier de la doc à jour pour ne pas avoir "trop" de support à faire
- avoir une attitude assez ouverte comme mainteneur du projet (appliquer les patchs, discuter de la qualité du code...) pour ne pas faire fuir les dev intéressés

Avec des avis tels que celui-ci, on tombe dans la logique "tous les outils d'audit de sécurité sont des outils de pirates".

On voit où cela peut mener quand on sait qu'une loi est (était, je ne sais plus au juste) en préparation pour condamner toute personne développant ou possédant des outils sur son ordinateur permettant de réaliser une "attaque" informatique.

Mais surtout ne rien comprendre aux technos réseaux et à la sécurité que de faire cet amalgamme.

Exemple "jusqu'au boutiste" : si j'envoie un paquet TCP SYN avec hping vers un port d'une machine sur mon réseau, je suis aussi un "pirate" ?

J'ai regardé le support de Token USB de ce type sous Linux il y a pas longtemps pour un token USB Raibow.

Le projet OpenSC/OpenCT http://www.opensc.org/(...) fournit une librairie et des outils pour utiliser ces tokens (et aussi les équivalents en carte à puces). Il y a des patchs pour utiliser un token de ce type avec SSH.

Perso, je voudrais m'en servir pour stocker des certificats X509 de manière sûre et monter des VPN avec.

Ces tokens USB sont bien plus sécurisés qu'un simple clé USB pour cela car il possède un "vrai" container pour gérer des certificats avec la norme PKCS#15.

Mouais, sauf qu'un Soekris c'est pas vraiment la même catégorie. Dedans, il y a un équivalent 486 à 133 Mhz ou un Geode.

C'est fait pour faire un firewall/routeur sous Linux ou OpenBSD, certainement pas un multimedia-Box comme un Barebone ou une CM Via.

Mouais mais pour faire un firewall personnel sous Linux, une VIA Eden 800, c'est une machine de guerre que tu utilises.

Perso, j'utilise un vieux PC 133 sous OpenBSD pour protéger ma ligne ADSL et cela tourne très bien (firewalling + QoS, VPN) et est loin d'être chargé.

Tu iras dire ça au projet de traduction des docs (HOWTO, manpages...) Linux en français : http://www.traduc.org(...)

Cela fait des années que des gens "se cassent le cul" pour traduire les docs et softs (KDE, Gnome) en français pour que le logiciel libre soit plus largement diffusé en France.

Merci, je ne connaissais pas ce site qui réference les périphériques USB et leur fonctionnement sous Linux.

Mauvaise nouvelle : le chipset ZC0301 de ma Webcam n'est pas supporté sous Linux :-(

Je confirme, je suis sur FreeADSL depuis octobre 2002 et dégroupe (avec Freebox) depuis septembre 2003.

FreeADSL fonctionne très bien : jamais de perte de la connexion ADSL (à part lors des MAJ peu fréquentes des DSLAM ou du firmware de la Freebox). Quelques pbs avec les DNS Free de temps en temps mais jamais bien longtemps (quelques minutes tout au plus).

C'est clair que cette news n'est pas très bien rédigée : elle nécessite de connaitre les BSD et leur système des ports.

Cette news veut surtout dire que les 2 sites en question présentent l'arborescence des ports OpenBSD sous la forme d'un site Web : accès aux softs portés via une subdivision par catégorie (net, security, devel,...) puis pour chacun version du port en cours, résumé, nom du responsable du port.

Cela évite d'avoir à installer l'arborescence /usr/ports sur son disque et de la mettre à jour via CVS.

Si vous vous intéressez aux ports OpenBSD (mais c'est aussi vrai pour ceux "proches" de Net et Free), allez l'article de ce mois ci sur Daemon News : http://ezine.daemonnews.org/200312/ports.html(...)

Il suffit de supprimer les 6 consoles lancées en standard lors du boot sur toutes les distribs Linux : modification de /etc/inittab

Pour les foux furieux de sécurité (ou les serveurs "sensibles"), l'outil DigSig est un module kernel qui permet de vérifier l'authenticité d'un binaire avant son exécution :

* on signe les binaires à protéger avec l'outil bsign avec un couple clé publique/clé privée (ajout d'une signature "à la GPG" dans les headers ELF du binaire)
* à chaque appel du syscall "exec", on vérifie la signature du binaire vis à vis de la clé publique GPG stockée sur un support fiable

Ce système permet d'assurer l'intégrité des binaires du système et empêche l'utilisation d'une partie d'un rootkit (modification de ps, ls, netstat...).
Mais visiblement, cela diminue les perfs du système (normal, pour chaque 'exec', on fait une vérif de signature). Avec ça, plus besoin d'avoir une vérif d'intégrité régulière, elle est fait systématiquement à chaque exécution.

URL de DigSig : http://sourceforge.net/projects/disec/(...)

Je l'ai installé il y a quelques jours sur ma MDK 9.1 : Gaim nécessite la librairie GtkSpell pour la correction orthographique (via aspell).

Un petit coup de 'urpmi libgtkspell0' permet de l'installer facilement et d'installer toutes les dépendances RPM qui manqueraient.

Non, le record dans les Hunaudières (avant les chicanes) est bien à plus de 400 km/h par une Peugeot 905 en 1992 ou 1993 (les années de leurs victoires au Mans) conduite par Yannick Dalmas, si je me souviens bien.

DBDesigner est un bon soft open-source pour concevoir des schémas de BDD relationnelles : http://www.fabforce.net/dbdesigner4/index.php(...)

Il tourne sous Linux et Windows et utilise des widgets de Kylix (Borland) :-(

Je l'ai un peu utilisé et il est vraiment pas mal. Il permet aussi de générer le schéma de la base en SQL pour créer les tables, index... pour différents SGDBR : MySQL, PostgreSQL, Oracle

Le document "IPSec HOWTO" est une réference pour l'utilisation d'IPSec avec le kernel 2.6 mais c'est dommage pour l'instant, il manque la partie sur l'utilisation de FreeSWan (pour toutes les versions du kernel d'ailleurs), qui reste aujourd'hui la solution VPN la plus utilisée sous Linux. L'auteur ne traite pour l'instant que de l'utilisation d'Isakmpd (démon IKE d'OpenBSD) et de Racoon (démon IKE de FreeBSD).

Pour ceux qui ne le saurait pas, en kernel 2.6, de nombreux algos de crypto ont eté intégrés au kernel (3DES, AES...) et l'IPSec est géré par le noyau.
La seule appli 'userland' que l'on doit alors utiliser est un démon IKE pour faire la phase d'authentification IPSec (Pluto de FreesWan, Racoon ou Isakmp). En 2.6, plus besoin de la partie Klips de Freeswan qui est utilisé dans les kernel 2.4

Ouais "The Hackademy" ce sera sympa à lire le jour où ils arrêteront de l'imprimer sur du papier chiotte ;-)

Linux Mag, ils ont fait ça pour le numéro 1 après ils ont eu assez de ventes pour faire un effort qur la qualité du papier. "The Hack..." se fout de la gueule de ses lecteurs sur ce coup-là.

Non, ce n'est pas l'objectif d'un outil comme Zebra que de gérer du multi-accès Internet.

Pour cela, il faut faire de la QoS et du routage avancé sur ta passerelle qui gère le routage entre ton LAN et tes multiples accès Internet.

Voir à ce propos, l'excellent LARTC (Linux Advanced Routing & Traffic Control HOWTO) : http://lartc.org/(...)

Cool mon nmap 3.45 (auquel tu as contribué si j'en crois la doc de Fyodor) me donne :

# /usr/local/bin/nmap -P0 -sV -vv -p21 oss.sgi.com
Initiating SYN Stealth Scan against oss.SGI.COM (192.48.159.27) at 00:28
Adding open port 21/tcp
The SYN Stealth Scan took 1 second to scan 1 ports.
Initiating service scan against 1 service on 1 host at 00:28
The service scan took 0 seconds to scan 1 service on 1 host.
Interesting ports on oss.SGI.COM (192.48.159.27):
PORT STATE SERVICE VERSION
21/tcp open ftp Pure-FTPd

Nmap run completed -- 1 IP address (1 host up) scanned in 0.713 seconds

Effectivement, c'est du bon serveur FTP ça ;-)

C'est clair, dans le code C que j'écris pour un projet Gnome, l'utilisation de "g_strdup_printf" simplifie grandement la manipulation des strings et évite de se prendre la tête à tout bout de champ.

Pour des explications techniques sur les buffer overflow et les manières des les éviter avec une bonne pratique du codage en C, voir ces 2 documents PDF en français :

- http://www.k-otik.com/papers/Exploitation_Avancee_BOF.pdf(...)
- http://www.k-otik.com/papers/Bugtraq_Fr_Buffers.pdf(...)

Désolé mais les archives WWW de Bugtraq fonctionnent très bien : http://www.securityfocus.com/archive/1(...)

A l'heure actuelle le dernier message s'intitule "GLSA: openssl (200309-19)" et date du 01/10/2003.

Même problème avec ma carte Banshee.

Vu les autres commentaires, sûrement un problème lié aux cartes 3DFx :-(

Putain, j'avais jamais vu qu'IDefense avait une politique affichée de rémunérations des contributeurs pour les failles et les exploits.

Super dérive : je trouve une faille sur un produit, eh bien je ne préviens pas le développeur du soft mais je vends mon info à IDefense qui préviendra le développeur :-(

Quand je vois des annonces de failles de sécurité venant d'ISS avec un exploit utilisable, je me demande toujours s'ils ne l'ont pas achété à quelque vil black hat ?