gUI a écrit 5517 commentaires

De ce que j'en comprends il ne faut donc pas mixer les architectures, et rester par exemple sur 2 machines x86 ou 2 machines ARM ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Il pippote là ?

Pas forcément. Web Out of Browser a peut-être été choisi naïvement.

Bon, la naïveté n'a pas forcément duré longtemps, mais on peut toujours lui laisser le bénéfice du doute lors de la création.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

C'est un changement qui n'apporte rien pour toi

Et un bénéfice qui n'apporte rien pour toi

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Je pense que c'est probable en effet. Perso ça ne me dérangera pas, voire je pense que c'est pas un mal, mais je mise 2 Francs sur le fait que ça va arriver oui.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Alors du coup faites une dépêche collaborative :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Sans vouloir faire le modo de base, ce serait sympa un petit journal sur le pixel art avec Gimp.

La description de ta méthode de travail, quelques astuces, quelques exemples… ça fera toujours plaisir :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Heu… non, rien en fait :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

J'admire Ben, car j'aspire plus ou moins à la même chose. J'ai régulièrement des idées, qui valent ce qu'elles valent, mais je n'arrive pas à me discipliner les mettre en place, à minima, "juste pour voir".

On a la chance d'être dans un métier où on peut mettre en place une idée pour 50€ (nom de domaine + VPS payé pour un an), quelques heures de travail, et d'avoir ainsi immédiatement accès à une audiance mondiale. C'est quand même un truc génial quand on y pense.

Peut-être qu'on est déjà blasés ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

cherchez ailleurs, vous aurez moins cher, et mieux

Ah moi ça m'intéresse ! Tu aurais un exemple ?

EDIT : ah pardon, j'ai lu trop vite. je vais regarder ça :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Mon expertise à base de cellulose me dit que sans système incendie aux normes il n'a pas d'assurance. Aurait-il également fait l'impasse sur une assurance ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

j'ai viré le système de rsync entre mon Kimsufi et mon laptop

Perso je pense que c'est pas une grande idée : mettre tous ses oeufs chez le même fournisseur c'est s'exposer par exemple au classique "nous avons détecté une utilisation frauduleuse de votre compte, alors nous avons coupé tous les accès", ou au moyen de paiement périmé ou…

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Courbe de température du CPU

https://twitter.com/_Skunnyk_/status/1369638092810895366

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Par contre dans la floppée, il y en a des rigolos : "The firewalls are probably also on fire"

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Surtout quand on voit la qualité de la geoloc par IP (pour avoir été considéré Russe pendant des mois sur ma connexion ADSL en France métropolitaine, je peux témoigner des emmerdes que ça m'a généré).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

… de faire de l'auto-promo

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Alors j'ai lu en diagonale, mais je suis étonné que le J.O. décide du vocabulaire maintenant.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Miser sur le fait que l’attaquant ne trouvera pas le login, c’est une mauvaise idée.

En tous cas, si tu considères l'attaque par brute-force possible du mot de passe, ça rajoute des bits d'entropie (va falloir réessayer tous les mots de passes pour tous les logins avant d'en trouver qui matche).

Mais couplé à fail2ban, ça devient compliqué de brute-forcer quoi que ce soit. Ou alors il faut être sacrément organisé (et jouer avec des IPs différentes sur chaque tentative).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Ah pardon oui. Il y a un côté anti-DDOS dans l'utilisation de fail2ban en effet.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

C'est des tentatives qui ont étaient bloquées au niveau du firewall plutôt que d'openssh

Un firewall détecte 3 tentatives infructueuses consécutives de login ? Si oui, ça a en effet plus de sens de le mettre sur un firewall… encore faut-il en avoir un (et bien configuré pour ça).

fail2ban out-of-the-box est déjà paramétré pour openssh. C'est encore plus facile à installer que de changer le port de SSH :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Si ton compte perso peut utiliser sudo

Oui mais ce que je veux dire c'est que déjà il faut le connaître. Les scripts tentent des login standard uniquement. Par contre celui qui me connait et veut attaquer mon serveur n'aura en effet pas de mal à trouver le login. Reste ensuite la barrière du mot de passe, là, même qqu'un qui me connait aura du mal.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Bin j'ai eu 34000 ban en quelques mois. C'est pas négligeable je trouve. Vu que le ban arrive après plusieurs tentatives et que donc il n'y a pas de raison que ça s'arrête, c'est au moins 34000 tentatives supplémentaires qui n'ont pas eu lieu.

Non ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Je suis peut-être un admin un poil parano, mais de l’authentification SSH par mot de passe (autrement que sur un réseau local sûr) ça me fait froid dans le dos rien que d’y penser.

Alors tu m'inquiètes, c'est ce que je fais depuis toujours :)

Bon, à ma décharge, voici mes "mitigation" :
- pas de connexion root
- seul mon compte perso est accessible (login original donc)
- fail2ban activé

Donc niveau script merdiques, je suis tranquille, et brute force, ça va être compliqué. Après, je suis particulièrement peu parano j'avoue…

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Si c'était le cas, les installations standard utiliseraient un port random par exemple, ou t'inciteraient fortement à en changer.

Bon, l'ANSI recommande de changer le port. Par contre ils recommandent surtout de rester sur un port privilégié (< 1024) pour pas se le faire usurper par un autre service "utilisateur".

Au passage ils parlent de risque sur les comptes avec mot de passe faible. Je pense que cette recommandation est faite pour des serveurs où il y a bcp d'utilisateurs non maîtrisés (ce qui n'est pas le cas chez moi où il n'y a qu'un utilisateur : moi).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

pourquoi ne pas le faire ?

Parce que tu sors des standards. Rien que pour ça c'est un argument pour moi (rester dans les standards est toujours une bonne pratique).

Disons que c'est un réglage supplémentaire à faire à chaque client, c'est le risque (minime c'est vrai) d'utiliser un jour une autre application qui utilise ce même port et c'est reparti pour un réglage de plus, c'est le risque d'oublier quel est le port en question (si t'as pas ton client fétiche sous la main dans lequel tu as fait le réglage, et que tu as vraiment choisi un port random, et pas 2222 comme bcp font)… bref tu sors des standards quoi :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Des gens qui scannent?

Bin oui. C'est la base d'une attaque ciblée. Seuls les petits scripts simplistes tentent pi/raspberry sur le port 22 et c'est tout, mais si qqu'un veut précisément jouer avec ton serveur, il va commencer par regarder quels ports sont ouverts et avec quels services (c'est trivial et ça prend quelques secondes).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.