Yann Hirou a écrit 237 commentaires

vu les tarifs, c'était carrément intéressant pour le service rendu ! (à service équivalent, deux fois moins cher qu'une presta équivalente chez un autre gros - genre Cable & Wireless, UUNet, etc) Pour Free, je note. Quelqu'un dans la salle a des retours d'expérience de hosting chez Online ? (euh... question conne, j'ai ma réponse via quelques machines hostées chez Proxad... :)) Donc effectivement je vais y jeter un coup d'oeil sérieux, merci :)

précision: il ne s'agit pas que des touches, mais de MAJ+touche (en clair, les lettres en majuscule)

Il est disponible sous Linux (RPMs pour suse et redhat; version 0.60 disponible sur RedHat; disponible mais masqué sous gentoo),

sous debian unstable, apt-get install enigma installe la 0.70.

La question est où se fera le découplage ligne electrique <=> internet. Est-ce que ce sera au niveau du transfo de dernier niveau, ou est-ce qu'EDF a vraiment une vocation à devenir opérateur Telecom en faisant du transit sur ses lignes hautes tensions ?

Je sens bien un truc comme les plaques ADSL, en remplaçant les centraux téléphoniques par les transfo 20 000 V, où chaque opérateur le souhaitant pourra y tirer ses LS pour venir chercher les connexions locales.

ca fait pareil mais avec des avantages en plus

les systèmes de fichiers journalisés, c'est super puissant quand même ! la machine plante, et tout seul le système de fichiers kille les process restants, fout les partoches en read only, et reboot... tout ça simplement en appuyant sur le boutont "power" de la machine. Balaize ;)

Et la, on est d'accord. <--- c'est le but non ? tout à fait :-)

on est d'accord. je m'opposais à un proxy sur firewall pour le cas 1, rien de plus :-) Il ne s'agit pas d'apporter de la sécurité, juste de supprimer des cascades de problèmes.

En réfléchissant, quand tu fais du masquage, c'est un peu une fonction de proxy... au niveau des paquets. Tu vois un proxy qui a besoin de réassembler les paquets pour travailler, donc nécéssairement applicatif. Je ne prendrais que l'exemple d'un proxy ARP. Un paquet ARP fragmenté, faut être carrément vicieux quand même ;) Ce qui fait la difference, c'est le contexte dans lequel on l'utilise, et donc son but. Un "firewall" (pour autant que se terme est encore un sens) peut mettre en oeuvre aussi bien du filtrage de paquets que des proxies pour faire du filtrage applicatif, du moment que c'est la pour securiser le truc. Le problème avec le filtrage applicatif sur le pare-feu, c'est que: - ça consomme de la ressource en plus, donc les performances de filtrage diminuent - si le filtre plante, que se passe-t-il ? - si le filtre est exploitable, que se passe-t-il ? Je maintiens que rajouter des filtres applicatifs sur un pare-feu, c'est rajouter des faiblesses. FW1 a un belle collection de proxies, les PIX aussi, ca n'a l'air de faire bondir personne ;) Tu m'étonnes, il y a toujours des couillons pour les acheter :) Pour ce qui est de FW1 et ses proxies, je n'aurais qu'une seule réponse: faut être fou pour les utiliser ;-) Oui, j'utilise du FW1. Non, je n'activerais *jamais* autre chose, y compris checkpoint certified, sur la machine. (euh... et non, j'ai pas le choix pour ce FW ;)

On est d'accord. Je parlais d'un proxy de type "applicatif", et non de proxy travaillant au niveau des paquets.

un proxy et un firewall sur la même machine ? c'est contraire aux règles élémentaires de sécurité. Un Firewall ne doit faire QUE firewall, tout service supplémentaire sera une faille potentielle rajoutée sur le firewall.

Bon, ok, là je parle d'un point de vue professionnel. Un particulier "normal" n'a pas 3 machines à sa dispo - son poste de travail, un FW, et un proxy dans sa DMZ ;)

Mais bon, trop d'admins systèmes prétendent s'y connaitre en sécurité alors qu'ils sont capable de tout foutre sur la même machine, en prétendant avoir une solution top sécure de la mort qui tue...

justement, il y a beau y avoir l'historique, c'est souvent bien plus rapide que de remonter dans l'historique, puis taper 12 fois sur <- pour aller enfin modifier le texte.

et pour !une_lettre, mieux vaut taper !plusieurs_lettres, sinon attention aux dégâts ;-) (ceci dit, ya a pas plus rapide pour remonter dans l'historique... mais mieux vaut taper la commande complète, un !ssh vaut mieux qu'un !s, surtout s'il y a un shutdown qui traine ;))

"je sais plus comment", c'est Rosenberg.
Pour ceux qui veulent des infos, yaka chercher sur google "époux rosenberg".

le "facilement" est de trop.

il faut juste savoir qu'aujourd'hui presque plus aucune attaque ne se fait en utilisant sa propre IP... vu que les ISP n'activent pas tous l'anti-spoofing - voire comme le faisait remarquer Raphael Bouaziz à propos du blacklistage des serveurs mails de nerim (cf http://linuxfr.org/2002/11/06/10234.html(...) pour la news, http://www.culte.org/listes/linux-31/2002-11/msg00208.html(...) pour la réponse de Raphael) "Aujourd'hui le client d'un FAI *ne veux absolument pas de filtrage*. Nous avons eu des problèmes avec certains clients car un ex-fournisseur (Isdnet) filtrait le spoof sur son réseau backbone, empêchant les clients d'expédier des paquets avec une autre adresse IP qu'une adresse Nerim."

Donc les logs servent à remonter une étape, mais ne donnent pas forcément l'adresse de l'attaquant.

Conclusion: pour attaquer la machine perso de votre boss, yapluka utiliser l'adresse IP d'une major, en rebondissant sur quelques machines pour brouiller les pistes.

Une seule réponse: http://www.paypalsucks.com/(...)

Pour les cravates, c'est pas trop grave... comme on peut le voir sur http://openstuff.net/index.py/prod_picture/prod_id/9/ph_name/dscf00(...) il n'y en a eu que 10 de commandées :)

Sinon, y a pas une autre option que le virement bancaire pour payer ?
D'ailleurs c'est naze, il faut se créer un compte puis remplir les 4 étapes avant de savoir comment on va pouvoir payer.... à moins que j'aie une cravate dans les yeux ;)

autre petit détail: sous débian, c'est dans /usr/lib/xscreensaver qu'il faut aller chercher.

petit détail: si vous n'avez pas d'économiseur d'écran installé, le package à rajouter s'appelle... xscreensaver.

http://www.securitybugware.org/backend.rss(...)

et aussi fr.lolix.org / joinux.org (je viens de les contacter pour leur demander un backend RSS et non pas celui existant actuellement)

on dit pas quadricapilosection, mais quadricapilectomie. -1, parce qu'on s'en fout.

mod_ssl
apache-ssl
openssh
postfix-tls

je précise, c'est pas forcément évident pour tout le monde que SSH soit basé sur OpenSSL...

tous à vos compilos, ou apt/rpm/autoinstallerX !

Parce que tu crois que jusqu'à présent tous les logiciels étaient égaux devant bugtraq ?

suffit de regarder le tolé d'ISS suite à la faille apache... où l'on a appris que leur "disclosure policy" impliquant 30 jours de carence ne s'appliquait concrètement qu'aux produits commerciaux...

Ils te font bien remplir un papier te demandant si t'as eu des activités nazis, si t'as consommé de la drogue, et je sais plus quoi d'autre encore avant de rentrer sur le territoire américain.
Alors la question "Faites vous partie du réseau de Ben Laden?", ils sont parfaitement capable de la poser !

-1 car hors sujet.

> Personnellement, des environnements comme Afterstep, GNUStep,
> Fluxbox, fvwm, larswm ;) me semblent encore plus légers...
> A vous de juger...

NON, ce ne sont pas des environements, mais simplement des gestionaires de fenêtres.

Ximian GNOME et KDE sont des environements, gérant la communication entre applications, alors que enlightenment, Afterstep, GNUStep, fvwm, etc... ne sont que des gestionaires de fenêtres.

Ce sont deux choses distinctes, et il est parfaitement possible d'utiliser KDE ou GNOME avec un autre gestionnaire de fenêtres que celui proposé par défaut !

Le test parle donc bien d'un environnement, que j'appelle un "bureau actif", et non du gestionnaire de fenêtres qui vient par dessus; les deux seuls bureaux actifs disponibles aujourd'hui étant GNOME et KDE, le test est complet... ensuite le test aurait pu envisager plusieurs gestionaires de fenêtre pour prendre le plus léger, mais c'est un autre point.

Effectivement on n'a pas la même conception du métier d'admin. Pour moi, faire de l'admin c'est maitriser les différents produits utilisés ainsi que leur configuration, maintenir le tout à jour, appliquer les patchs quand ils sortent, développer ses propres outils d'admins.

Oui, mon métier est admin. A temps plein. Mais non, je ne connais pas suffisament le code source des produits que j'utilise pour écrire moi-même les patchs sécurité. Si t'es capable de patcher le noyau linux, squid, apache, php, zlib, postfix, proftpd, rsync, etc... sur des serveurs critiques avant le patch officiel, chapeau.

Je sais lire un code source, appliquer un patch à la main, mais ce n'est pas en lisant un source de temps en temps qu'on en maitrise le concept et les implications des modifications. Je préfère laisser ça aux développeurs du produit - à moins qu'il ne s'agisse d'un produit qui m'intéresse pour d'autres raisons et pour lequel je connais son fonctionnement interne - auquel cas oui, je me risquerais à faire un patch.

A priori dès qu'un bug sort sur ce genre de produit (ie avec plus d'un développeur), les développeurs cherchent à corriger le problème. Si je commence à chercher où se trouve la faille dans le source, comment patcher sans faire foirer les trucs à côté, tester sur une config de test pour minimiser l'impact sur la production... avant la fin de ma recette le patch officiel sera sorti. Donc non, faire des patchs suite à des failles de sécurité ce n'est pas mon métier.

Par contre oui, patcher pour ajouter des fonctionalités à un produit fait partie de ma tâche d'admin. Mais à ce moment là j'ai tout mon temps pour lire le source, comprendre sa logique, tester mon patch, etc...

ouaips, mais justement, pour l'instant il n'y a pas de patch... et je pense que le patch va prendre la forme d'un patch-2.4.19 et patch-2.2.21.

Coder moi-même le patch, je pense que ca rentre pas trop dans mes fonctions d'admin, les serveurs dont je m'occupe sont assez critiques ;-) Je préfère laisser faire ceux qui connaissent très bien le noyau, ils feront moins de conneries que moi...