On se place dans le cas d'un firewall configuré automatiquement : est-ce vraiment envisageable ? Faut-il demander à l'utilisateur de déclarer quel programme va lui servir pour le web (et s'il veut aussi le ftp, et le https), quel programme pour le courrier électronique (et s'agit-il de pop ou d'imap ?), quel programme pour la messagerie instantanée (et je ne suis pas sûr que le port soit le même pour chaque type de messagerie)... et quand il veut faire de l'irc pan il faut reconfigurer son firewall.
Je ne connais pas le firewall automatisé de XP-SP2 mais je me demande s'il est aussi compliqué que cela. Je ne vois pas le premier venu réussir à répondre à ces questions.
Dernier point, tu parles des "autres machines du réseau", attention moi je parle des machines dont l'admin est l'utilisateur, en gros l'utilisation privée mais pas professionnelle (dans ce dernier cas l'admin connaît peu ou prou l'informatique et la configuration/sécurisation).
Ok, bloquer l'ouverture de ports hauts par des programmes non sollicités. Je n'avais pas pensé à cela au début (ça fait trop longtemps que je n'ai pas utilisé Windows sûrement).
Donc ce cas de figure est totalement inutile si on utilise Linux (en tous cas pour l'instant). Ça ne résoud pas ma question car sous Linux aussi on "conseille fortement l'utilisation d'un firewall".
Je crois qu'un des ex dernier virus a la mode se propagais par le reseau sur un port ouvert des windows (134 je crois). Dans le cas ou tu a un firewall, meme configurer automatiquement qui ne laisse entré que ce qui a ete demandé par exemple et bien le virus ne peut entrer.
De deux choses l'une : ou ce service est utile, et alors le firewall va supprimer la fonctionnalité de ce service, donc on corrige le mauvais problème ; ou ce service est inutile, et alors le firewall bloque quelque chose qu'on pourrait tout simplement désactiver/enlever, donc on corrige encore une fois le mauvais problème.[1]
De meme dans le cadre d'un virus se progageant avec son MTA (mail transefert agent) si la personne la machine est infecté mais que seul un logiciel a le droit d'utiliser le service smtp, ledit virus ne pourat envoyer ca progeniteur par dela le net et ne contaminera personne d'autre.
Question de neuneu peut-être mais : ce virus possède l'identité de Outlook Express quand il envoie sa progéniture non ? Il n'est pas exécuté "comme un script" ou un handler d'attachement par outlook ?
De meme le nombre de port ouverts de base pour des services potentiellement utilisé
Dans le cas "utilisation traditionnelle bureautique/internet" je ne vois pas quels ports l'utilisateur a besoin d'ouvrir ? À part le p2p peut-être, mais c'est pas de l'utilisation traditionnelle d'internet ça :) Pour les jeux en réseau, tous les joueurs se connectent au serveur il me semble, il n'y a pas de connexion directe (ça permet entre autre d'éviter les emmerdements avec les réseaux NATtés d'ailleurs).
[1] en pratique, il peut se présenter deux autres cas de figure :
- ce service est utile pour la machine elle-même, et inutile pour l'extérieur, et présente un problème potentiel de sécurité ; mais ce cas est parfaitement traité par l'utilisation de INADDR_LOOPBACK (le kernel n'accepte de connexion sur ce port que depuis 127.0.0.1)
- ce service est utile pour le réseau local (de confiance) et inutile pour l'extérieur ; mais dans ce cas de figure, tout réseau qui se respecte étant en NAT, personne ne peut se connecter sur une machine donnée depuis l'extérieur s'il n'y a pas une règle particulière sur le routeur pour faire cela, donc cas traité aussi
Et il faut être épais pour suivre à la lettre ce qu'un e-mail nous dit d'exécuter!
Ben non. Ces emails utilisent des adresses forgées. C'est quelqu'un de connu qui t'écrit. S'il t'écrit dans la même langue que d'habitude, et que tu sais que c'est un copain qui s'y connait en ordinateurs par exemple, tu tombes dans le panneau.
Pense a vérifier la config de ton Fire Wall et de tout ce qui touche a la sécurité
quand t'auras installé pasque c'est hyper important et la MDK n'est pas extra niveau config de la sécurité (je pense a SSH qu'il faut désactiver).
? Ssh n'est pas installé par défaut, seulement si l'utilisateur a coché une option du genre "networked computer" pendant l'install. Et d'autre part, même si évidemment pas de ssh c'est plus secure que ssh, ssh n'est quand même pas un énorme trou de sécurité en lui-même, faut arrêter le délire..
Pour le reste, mdk fournit un outil de configuration automatique de firewall comme nombre de ses concurrents, et il n'y a pas de raison qu'il soit pire que les autres.
Et si tu conseilles à un newbie de prendre en charge tout seul la vérif et config de son firewall, t'as bien plus de risque qu'il casse tout qu'autre chose.
D'autre part, il me semble que Frozen Bubble et Tux Racer sont tous deux sur Suse aussi.
Les 2.6 supportent l'écriture sur NTFS il me semble.
T'as plus de précisions ? Parce qu'aux dernières nouvelles c'est possible mais t'as de grandes chances de détruire tes données (comme cela a toujours été le cas, quoi).
si le monsieur veut du C il me semble que bool sort un peu du cadre.. d'autre part il me semble que t'as oublié "long long" qui est sur 8 octets... sur un x86.
parce que tout ce dont tu parles c'est sur x86, ce n'est pas du tout assuré d'être le cas sur d'autres architectures.
si tu veux vraiment un entier non signé sur 32 bit il faut utiliser "uint32" (il me semble, je n'ai pas retrouvé la norme précise).
si tu veux manipuler le type entier "naturel" pour le processeur, utilise "int" ou "unsigned int". ce sera 32 bit sur un x86, 64 bit sur un amd64... mais surtout ce sera quelque chose que le processeur manipule rapidement et efficacement.
sinon moi j'ai mis tous les packages du DVD 10.0 sur mon dur, configuré ça comme première source et cooker comme source secondaire, afin qu'il aille chercher en local s'il peut, et j'ai eu ensuite des soucis : un "urpmi --auto-select" qui ne finissait jamais... il me semble que pour solutionner j'ai enlevé puis remis toutes les sources. mais bon...
Le cloop de Knoppix est un hack sur le loop.c officiel du noyau.
Dans la MandrakeMove, il a été décidé de reprendre ce cloop, mais on avait besoin aussi du patch Red Hat qui permet de bouger à chaud les loop. Le problème était que le hack de Knoppix ne s'intégrait pas du tout à ce patch.
Il a donc été décidé de ré-implémenter un cloop plus clean à partir du loop officiel avec le patch RH, ça s'appelle gzloop. C'est compatible avec le "fichiers cloop officiels" de Knoppix, à ma connaissance. Tu peux peut-être te baser là-dessus si tu recherches plus de propreté. Par contre je ne trouve pas où c'est dans le CVS de Mandrake :/. Tu peux en demander les sources à pixel (at) mandrakesoft (point) com, ou sinon on dirait que c'est maintenant dans les sources du noyau de base de Mandrake.
Non c'est parce qu'il a été le premier à fournir une solution d'accès abordable, et ensuite le premier à faire un virage efficace vers la "professionalisation".
Il y a rpmdb.
C'est bien que ça existe, c'est dommage que ce soit si cryptique d'utilisation et c'est peut-être pour cela que c'est si peu connu ?
Les distros plus avancées comme Debian et Mandrake possèdent une commande pour rechercher quel package fournit tel fichier/programme ("apt-cache search" et "urpmf"). Chez gentoo il y a emerge/qpkg qui est pas mal mais qui n'a pas cette fonction (corrigez-moi). Chez Suse c'est possible graphiquement il me semble mais je ne sais pas si ça l'est en ligne de commande.
Il y a une chose qui est sûre : ce n'est pas grâce à ses features que Red Hat est le "standard Linux de l'industrie". On peut installer des addon comme apt-rpm, mais comme ce n'est pas "standard" on ne le trouvera pas dans 90% des Red Hat installées et c'est bien le problème.
J'espère aussi que la mise en ½uvre de postgresql sera facilitée. Il n'est pas évident du tout à un débutant d'aller éditer /var/lib/pgsql/data/postgresql.conf pour y ajouter tcpip_socket = true et d'aller modifier /var/lib/pgsql/data/pg_hba.conf pour y permetter la connexion en mode local (par localhost).
Je suis convaincu que ces deux points ont été des obstacles insurmontables pour beaucoup de personnes et ont gravement porté préjudice au développement de posgresql. Il est indispensable de donner une configuration par défaut qui soit directement utilisable (comme Access).
Faut différencier la facilité de configuration, de l'utilité de la configuration par défaut.
L'éditeur du logiciel fournit une configuration par défaut qu'il pense convenir à ses utilisateurs. Le distributeur (Debian, Mandrakesoft, ChaperonRouge) se doit de changer cette configuration par défaut en fonction de ses choix et de son public.
La politique de Mandrakesoft par exemple est que tout logiciel installé, puisque désiré (puisque installé), est utile, il faut donc que le service soit activé par défaut. S'ensuit que le configuration par défaut doit représenter quelque chose d'utile lorsque pertinent, ou être absente (ou désactivée) lorsque non pertinent. Par exemple, pour un serveur DHCP une configuration par défaut est pertinente, pour un serveur DNS non. La configuration par défaut doit donc être adaptée et choisie avec soin.
Au contraire, à ma connaissance la politique de Debian et ChaperonRouge est de ne pas activer le service par défaut (pour mettre l'accent à fond sur la sécurité, et parce qu'une configuration par défaut est considérée peu utile), dans ce cas-là la distribution a plus de latitude pour conserver la configuration par défaut proposée par l'éditeur (mais souvent en la sécurisant ou la restreignant, on n'est jamais trop prudent).
Tout ça pour dire que pour le logiciel qui touche le neuneu, comme il arrive par le distributeur et non pas l'éditeur, sa configuration par défaut n'est plus de la responsabilité de l'éditeur.
Ensuite, si l'on veut parler de la facilité de configurer, il y a beaucoup d'outils graphiques qui facilitent la configuration de postgresql, et la documentation est abondante pour accéder aux fichiers de configuration, il ne me semble pas y avoir de problème au contraire.
1. de bugs dans le programme
2. de manque de suivi de "bonnes pratiques" (utilisation de code généré sans le faire dans les règles de l'art... "pas de soucis tant que nos tests montrent que ça marche")
Cette technologie est-elle vraiment utile et nécessite-t-elle que l'on "corrige" tous ces logiciels ?
Oui elle est très utile car elle permet la protection automatique contre la principale voie qu'emprunte les exploits, les buffer overflow.
Comment ce passe(ra)-t-il la "migration" avec Linux ?
On a le source et plein de gens motivés pour faire avancer les logiciels. Donc le point 1 sera résolu rapidement et sans soucis (ce qui n'est pas le cas pour les logiciels propriétaires car on doit attendre la bonne volonté de l'éditeur). Le point 2 sera peut-être un peu plus lent mais la solution sera aussi relativement simple une fois que ça aura été fait une première fois.
Je suis totalement outré par le contenu de cet article mais je voudrais quand même dire que "Si vous êtes un citoyen grec ayant payé à travers vos impôts la construction des stades olympiques et l'organisation des jeux" c'est assez pipo : de nos jours les gros sponsors dont on parle fournissent beaucoup d'argent pour l'organisation des jeux, il faudrait savoir le budget pour comparer avec la contribution grecque, mais la vérité est loin d'être ce que tu affirmes.
[^] # Re: c'est au niveau application que ça se passe
Posté par gc (site web personnel) . En réponse au message l'utilité d'un firewall. Évalué à 3.
Je ne connais pas le firewall automatisé de XP-SP2 mais je me demande s'il est aussi compliqué que cela. Je ne vois pas le premier venu réussir à répondre à ces questions.
Dernier point, tu parles des "autres machines du réseau", attention moi je parle des machines dont l'admin est l'utilisateur, en gros l'utilisation privée mais pas professionnelle (dans ce dernier cas l'admin connaît peu ou prou l'informatique et la configuration/sécurisation).
[^] # Re: bloquer les communications *sortantes*
Posté par gc (site web personnel) . En réponse au message l'utilité d'un firewall. Évalué à 2.
Donc ce cas de figure est totalement inutile si on utilise Linux (en tous cas pour l'instant). Ça ne résoud pas ma question car sous Linux aussi on "conseille fortement l'utilisation d'un firewall".
[^] # Re: Virus, trojan et attaque...
Posté par gc (site web personnel) . En réponse au message l'utilité d'un firewall. Évalué à 3.
De deux choses l'une : ou ce service est utile, et alors le firewall va supprimer la fonctionnalité de ce service, donc on corrige le mauvais problème ; ou ce service est inutile, et alors le firewall bloque quelque chose qu'on pourrait tout simplement désactiver/enlever, donc on corrige encore une fois le mauvais problème.[1]
De meme dans le cadre d'un virus se progageant avec son MTA (mail transefert agent) si la personne la machine est infecté mais que seul un logiciel a le droit d'utiliser le service smtp, ledit virus ne pourat envoyer ca progeniteur par dela le net et ne contaminera personne d'autre.
Question de neuneu peut-être mais : ce virus possède l'identité de Outlook Express quand il envoie sa progéniture non ? Il n'est pas exécuté "comme un script" ou un handler d'attachement par outlook ?
De meme le nombre de port ouverts de base pour des services potentiellement utilisé
Dans le cas "utilisation traditionnelle bureautique/internet" je ne vois pas quels ports l'utilisateur a besoin d'ouvrir ? À part le p2p peut-être, mais c'est pas de l'utilisation traditionnelle d'internet ça :) Pour les jeux en réseau, tous les joueurs se connectent au serveur il me semble, il n'y a pas de connexion directe (ça permet entre autre d'éviter les emmerdements avec les réseaux NATtés d'ailleurs).
[1] en pratique, il peut se présenter deux autres cas de figure :
- ce service est utile pour la machine elle-même, et inutile pour l'extérieur, et présente un problème potentiel de sécurité ; mais ce cas est parfaitement traité par l'utilisation de INADDR_LOOPBACK (le kernel n'accepte de connexion sur ce port que depuis 127.0.0.1)
- ce service est utile pour le réseau local (de confiance) et inutile pour l'extérieur ; mais dans ce cas de figure, tout réseau qui se respecte étant en NAT, personne ne peut se connecter sur une machine donnée depuis l'extérieur s'il n'y a pas une règle particulière sur le routeur pour faire cela, donc cas traité aussi
[^] # Re: Moi ce que j'en dis...
Posté par gc (site web personnel) . En réponse au journal Mise à jour WP SP2: gare à la casse.... Évalué à 4.
Ben non. Ces emails utilisent des adresses forgées. C'est quelqu'un de connu qui t'écrit. S'il t'écrit dans la même langue que d'habitude, et que tu sais que c'est un copain qui s'y connait en ordinateurs par exemple, tu tombes dans le panneau.
[^] # Re: Mandrake
Posté par gc (site web personnel) . En réponse au message 3075. Évalué à 2.
Mais encore... ?
[^] # Re: réponse a ta question
Posté par gc (site web personnel) . En réponse au message 3075. Évalué à 2.
quand t'auras installé pasque c'est hyper important et la MDK n'est pas extra niveau config de la sécurité (je pense a SSH qu'il faut désactiver).
? Ssh n'est pas installé par défaut, seulement si l'utilisateur a coché une option du genre "networked computer" pendant l'install. Et d'autre part, même si évidemment pas de ssh c'est plus secure que ssh, ssh n'est quand même pas un énorme trou de sécurité en lui-même, faut arrêter le délire..
Pour le reste, mdk fournit un outil de configuration automatique de firewall comme nombre de ses concurrents, et il n'y a pas de raison qu'il soit pire que les autres.
Et si tu conseilles à un newbie de prendre en charge tout seul la vérif et config de son firewall, t'as bien plus de risque qu'il casse tout qu'autre chose.
D'autre part, il me semble que Frozen Bubble et Tux Racer sont tous deux sur Suse aussi.
[^] # Re: Choix sans install
Posté par gc (site web personnel) . En réponse au message 3075. Évalué à 2.
[^] # Re: Possible
Posté par gc (site web personnel) . En réponse au message Transfert de donnees.... Évalué à 3.
T'as plus de précisions ? Parce qu'aux dernières nouvelles c'est possible mais t'as de grandes chances de détruire tes données (comme cela a toujours été le cas, quoi).
# bind VS djb
Posté par gc (site web personnel) . En réponse au journal En finir avec BIND et ProFTPD :). Évalué à 5.
[^] # Re: unsigned short
Posté par gc (site web personnel) . En réponse au message Type pour un chiffre. Évalué à 2.
parce que tout ce dont tu parles c'est sur x86, ce n'est pas du tout assuré d'être le cas sur d'autres architectures.
si tu veux vraiment un entier non signé sur 32 bit il faut utiliser "uint32" (il me semble, je n'ai pas retrouvé la norme précise).
si tu veux manipuler le type entier "naturel" pour le processeur, utilise "int" ou "unsigned int". ce sera 32 bit sur un x86, 64 bit sur un amd64... mais surtout ce sera quelque chose que le processeur manipule rapidement et efficacement.
# fichier source
Posté par gc (site web personnel) . En réponse au message Prioblème de lecture fichier. Évalué à 2.
[^] # Re: namespace
Posté par gc (site web personnel) . En réponse au message c++ compile pas sur mandrake 10. Évalué à 6.
[^] # Re: to be...
Posté par gc (site web personnel) . En réponse au sondage Citation. Évalué à 2.
[^] # Re: a propos des virux sous linus ;)
Posté par gc (site web personnel) . En réponse à la dépêche Editor's Choice Awards de Linux Journal pour 2004. Évalué à 2.
# meuh
Posté par gc (site web personnel) . En réponse au message urpmi sur cooker : bugs à la con. Évalué à 3.
sinon moi j'ai mis tous les packages du DVD 10.0 sur mon dur, configuré ça comme première source et cooker comme source secondaire, afin qu'il aille chercher en local s'il peut, et j'ai eu ensuite des soucis : un "urpmi --auto-select" qui ne finissait jamais... il me semble que pour solutionner j'ai enlevé puis remis toutes les sources. mais bon...
# cloop
Posté par gc (site web personnel) . En réponse au journal cloop, packages Slackware, etc.. Évalué à 3.
Le cloop de Knoppix est un hack sur le loop.c officiel du noyau.
Dans la MandrakeMove, il a été décidé de reprendre ce cloop, mais on avait besoin aussi du patch Red Hat qui permet de bouger à chaud les loop. Le problème était que le hack de Knoppix ne s'intégrait pas du tout à ce patch.
Il a donc été décidé de ré-implémenter un cloop plus clean à partir du loop officiel avec le patch RH, ça s'appelle gzloop. C'est compatible avec le "fichiers cloop officiels" de Knoppix, à ma connaissance. Tu peux peut-être te baser là-dessus si tu recherches plus de propreté. Par contre je ne trouve pas où c'est dans le CVS de Mandrake :/. Tu peux en demander les sources à pixel (at) mandrakesoft (point) com, ou sinon on dirait que c'est maintenant dans les sources du noyau de base de Mandrake.
[^] # Re: distro
Posté par gc (site web personnel) . En réponse au message Une fonction de RedHat me manque ( psselect ), comment l'obtenir ?. Évalué à 2.
Non c'est parce qu'il a été le premier à fournir une solution d'accès abordable, et ensuite le premier à faire un virage efficace vers la "professionalisation".
Il y a rpmdb.
C'est bien que ça existe, c'est dommage que ce soit si cryptique d'utilisation et c'est peut-être pour cela que c'est si peu connu ?
# distro
Posté par gc (site web personnel) . En réponse au message Une fonction de RedHat me manque ( psselect ), comment l'obtenir ?. Évalué à 2.
Il y a une chose qui est sûre : ce n'est pas grâce à ses features que Red Hat est le "standard Linux de l'industrie". On peut installer des addon comme apt-rpm, mais comme ce n'est pas "standard" on ne le trouvera pas dans 90% des Red Hat installées et c'est bien le problème.
[^] # Re: Windows ??
Posté par gc (site web personnel) . En réponse à la dépêche Appel à participation pour l'amélioration de l'ergonomie de Mandrakelinux. Évalué à 2.
[^] # Re: Quelque liens complémentaires
Posté par gc (site web personnel) . En réponse à la dépêche Première bêta de PostgreSQL 8. Évalué à 6.
Je suis convaincu que ces deux points ont été des obstacles insurmontables pour beaucoup de personnes et ont gravement porté préjudice au développement de posgresql. Il est indispensable de donner une configuration par défaut qui soit directement utilisable (comme Access).
Faut différencier la facilité de configuration, de l'utilité de la configuration par défaut.
L'éditeur du logiciel fournit une configuration par défaut qu'il pense convenir à ses utilisateurs. Le distributeur (Debian, Mandrakesoft, ChaperonRouge) se doit de changer cette configuration par défaut en fonction de ses choix et de son public.
La politique de Mandrakesoft par exemple est que tout logiciel installé, puisque désiré (puisque installé), est utile, il faut donc que le service soit activé par défaut. S'ensuit que le configuration par défaut doit représenter quelque chose d'utile lorsque pertinent, ou être absente (ou désactivée) lorsque non pertinent. Par exemple, pour un serveur DHCP une configuration par défaut est pertinente, pour un serveur DNS non. La configuration par défaut doit donc être adaptée et choisie avec soin.
Au contraire, à ma connaissance la politique de Debian et ChaperonRouge est de ne pas activer le service par défaut (pour mettre l'accent à fond sur la sécurité, et parce qu'une configuration par défaut est considérée peu utile), dans ce cas-là la distribution a plus de latitude pour conserver la configuration par défaut proposée par l'éditeur (mais souvent en la sécurisant ou la restreignant, on n'est jamais trop prudent).
Tout ça pour dire que pour le logiciel qui touche le neuneu, comme il arrive par le distributeur et non pas l'éditeur, sa configuration par défaut n'est plus de la responsabilité de l'éditeur.
Ensuite, si l'on veut parler de la facilité de configurer, il y a beaucoup d'outils graphiques qui facilitent la configuration de postgresql, et la documentation est abondante pour accéder aux fichiers de configuration, il ne me semble pas y avoir de problème au contraire.
# meuh
Posté par gc (site web personnel) . En réponse au journal Technologie No eXecute. Évalué à 6.
AMHA cela vient potentiellement :
1. de bugs dans le programme
2. de manque de suivi de "bonnes pratiques" (utilisation de code généré sans le faire dans les règles de l'art... "pas de soucis tant que nos tests montrent que ça marche")
Cette technologie est-elle vraiment utile et nécessite-t-elle que l'on "corrige" tous ces logiciels ?
Oui elle est très utile car elle permet la protection automatique contre la principale voie qu'emprunte les exploits, les buffer overflow.
Comment ce passe(ra)-t-il la "migration" avec Linux ?
On a le source et plein de gens motivés pour faire avancer les logiciels. Donc le point 1 sera résolu rapidement et sans soucis (ce qui n'est pas le cas pour les logiciels propriétaires car on doit attendre la bonne volonté de l'éditeur). Le point 2 sera peut-être un peu plus lent mais la solution sera aussi relativement simple une fois que ça aura été fait une première fois.
[^] # Re: dvd+rw-tools
Posté par gc (site web personnel) . En réponse au message Probleme gravure dvd sous K3B mandrake 10 :/. Évalué à 2.
# cdrecord
Posté par gc (site web personnel) . En réponse au message Probleme gravure dvd sous K3B mandrake 10 :/. Évalué à 2.
# moxo
Posté par gc (site web personnel) . En réponse au journal Planète à gogos. Évalué à 3.
[^] # Re: Je ne sais pas mais...
Posté par gc (site web personnel) . En réponse au journal Planète à gogos. Évalué à 2.