vu les tarifs, c'était carrément intéressant pour le service rendu ! (à service équivalent, deux fois moins cher qu'une presta équivalente chez un autre gros - genre Cable & Wireless, UUNet, etc)
Pour Free, je note.
Quelqu'un dans la salle a des retours d'expérience de hosting chez Online ?
(euh... question conne, j'ai ma réponse via quelques machines hostées chez Proxad... :))
Donc effectivement je vais y jeter un coup d'oeil sérieux, merci :)
La question est où se fera le découplage ligne electrique <=> internet. Est-ce que ce sera au niveau du transfo de dernier niveau, ou est-ce qu'EDF a vraiment une vocation à devenir opérateur Telecom en faisant du transit sur ses lignes hautes tensions ?
Je sens bien un truc comme les plaques ADSL, en remplaçant les centraux téléphoniques par les transfo 20 000 V, où chaque opérateur le souhaitant pourra y tirer ses LS pour venir chercher les connexions locales.
les systèmes de fichiers journalisés, c'est super puissant quand même ! la machine plante, et tout seul le système de fichiers kille les process restants, fout les partoches en read only, et reboot... tout ça simplement en appuyant sur le boutont "power" de la machine. Balaize ;)
on est d'accord. je m'opposais à un proxy sur firewall pour le cas 1, rien de plus :-)
Il ne s'agit pas d'apporter de la sécurité, juste de supprimer des cascades de problèmes.
En réfléchissant, quand tu fais du masquage, c'est un peu une fonction de proxy... au niveau des paquets. Tu vois un proxy qui a besoin de réassembler les paquets pour travailler, donc nécéssairement applicatif. Je ne prendrais que l'exemple d'un proxy ARP. Un paquet ARP fragmenté, faut être carrément vicieux quand même ;)
Ce qui fait la difference, c'est le contexte dans lequel on l'utilise, et donc son but. Un "firewall" (pour autant que se terme est encore un sens) peut mettre en oeuvre aussi bien du filtrage de paquets que des proxies pour faire du filtrage applicatif, du moment que c'est la pour securiser le truc.
Le problème avec le filtrage applicatif sur le pare-feu, c'est que:
- ça consomme de la ressource en plus, donc les performances de filtrage diminuent
- si le filtre plante, que se passe-t-il ?
- si le filtre est exploitable, que se passe-t-il ?
Je maintiens que rajouter des filtres applicatifs sur un pare-feu, c'est rajouter des faiblesses.
FW1 a un belle collection de proxies, les PIX aussi, ca n'a l'air de faire bondir personne ;)
Tu m'étonnes, il y a toujours des couillons pour les acheter :)
Pour ce qui est de FW1 et ses proxies, je n'aurais qu'une seule réponse: faut être fou pour les utiliser ;-)
Oui, j'utilise du FW1. Non, je n'activerais *jamais* autre chose, y compris checkpoint certified, sur la machine. (euh... et non, j'ai pas le choix pour ce FW ;)
un proxy et un firewall sur la même machine ? c'est contraire aux règles élémentaires de sécurité. Un Firewall ne doit faire QUE firewall, tout service supplémentaire sera une faille potentielle rajoutée sur le firewall.
Bon, ok, là je parle d'un point de vue professionnel. Un particulier "normal" n'a pas 3 machines à sa dispo - son poste de travail, un FW, et un proxy dans sa DMZ ;)
Mais bon, trop d'admins systèmes prétendent s'y connaitre en sécurité alors qu'ils sont capable de tout foutre sur la même machine, en prétendant avoir une solution top sécure de la mort qui tue...
justement, il y a beau y avoir l'historique, c'est souvent bien plus rapide que de remonter dans l'historique, puis taper 12 fois sur <- pour aller enfin modifier le texte.
et pour !une_lettre, mieux vaut taper !plusieurs_lettres, sinon attention aux dégâts ;-) (ceci dit, ya a pas plus rapide pour remonter dans l'historique... mais mieux vaut taper la commande complète, un !ssh vaut mieux qu'un !s, surtout s'il y a un shutdown qui traine ;))
il faut juste savoir qu'aujourd'hui presque plus aucune attaque ne se fait en utilisant sa propre IP... vu que les ISP n'activent pas tous l'anti-spoofing - voire comme le faisait remarquer Raphael Bouaziz à propos du blacklistage des serveurs mails de nerim (cf http://linuxfr.org/2002/11/06/10234.html(...) pour la news, http://www.culte.org/listes/linux-31/2002-11/msg00208.html(...) pour la réponse de Raphael) "Aujourd'hui le client d'un FAI *ne veux absolument pas de filtrage*. Nous avons eu des problèmes avec certains clients car un ex-fournisseur (Isdnet) filtrait le spoof sur son réseau backbone, empêchant les clients d'expédier des paquets avec une autre adresse IP qu'une adresse Nerim."
Donc les logs servent à remonter une étape, mais ne donnent pas forcément l'adresse de l'attaquant.
Conclusion: pour attaquer la machine perso de votre boss, yapluka utiliser l'adresse IP d'une major, en rebondissant sur quelques machines pour brouiller les pistes.
Sinon, y a pas une autre option que le virement bancaire pour payer ?
D'ailleurs c'est naze, il faut se créer un compte puis remplir les 4 étapes avant de savoir comment on va pouvoir payer.... à moins que j'aie une cravate dans les yeux ;)
Parce que tu crois que jusqu'à présent tous les logiciels étaient égaux devant bugtraq ?
suffit de regarder le tolé d'ISS suite à la faille apache... où l'on a appris que leur "disclosure policy" impliquant 30 jours de carence ne s'appliquait concrètement qu'aux produits commerciaux...
Ils te font bien remplir un papier te demandant si t'as eu des activités nazis, si t'as consommé de la drogue, et je sais plus quoi d'autre encore avant de rentrer sur le territoire américain.
Alors la question "Faites vous partie du réseau de Ben Laden?", ils sont parfaitement capable de la poser !
> Personnellement, des environnements comme Afterstep, GNUStep,
> Fluxbox, fvwm, larswm ;) me semblent encore plus légers...
> A vous de juger...
NON, ce ne sont pas des environements, mais simplement des gestionaires de fenêtres.
Ximian GNOME et KDE sont des environements, gérant la communication entre applications, alors que enlightenment, Afterstep, GNUStep, fvwm, etc... ne sont que des gestionaires de fenêtres.
Ce sont deux choses distinctes, et il est parfaitement possible d'utiliser KDE ou GNOME avec un autre gestionnaire de fenêtres que celui proposé par défaut !
Le test parle donc bien d'un environnement, que j'appelle un "bureau actif", et non du gestionnaire de fenêtres qui vient par dessus; les deux seuls bureaux actifs disponibles aujourd'hui étant GNOME et KDE, le test est complet... ensuite le test aurait pu envisager plusieurs gestionaires de fenêtre pour prendre le plus léger, mais c'est un autre point.
Effectivement on n'a pas la même conception du métier d'admin. Pour moi, faire de l'admin c'est maitriser les différents produits utilisés ainsi que leur configuration, maintenir le tout à jour, appliquer les patchs quand ils sortent, développer ses propres outils d'admins.
Oui, mon métier est admin. A temps plein. Mais non, je ne connais pas suffisament le code source des produits que j'utilise pour écrire moi-même les patchs sécurité. Si t'es capable de patcher le noyau linux, squid, apache, php, zlib, postfix, proftpd, rsync, etc... sur des serveurs critiques avant le patch officiel, chapeau.
Je sais lire un code source, appliquer un patch à la main, mais ce n'est pas en lisant un source de temps en temps qu'on en maitrise le concept et les implications des modifications. Je préfère laisser ça aux développeurs du produit - à moins qu'il ne s'agisse d'un produit qui m'intéresse pour d'autres raisons et pour lequel je connais son fonctionnement interne - auquel cas oui, je me risquerais à faire un patch.
A priori dès qu'un bug sort sur ce genre de produit (ie avec plus d'un développeur), les développeurs cherchent à corriger le problème. Si je commence à chercher où se trouve la faille dans le source, comment patcher sans faire foirer les trucs à côté, tester sur une config de test pour minimiser l'impact sur la production... avant la fin de ma recette le patch officiel sera sorti. Donc non, faire des patchs suite à des failles de sécurité ce n'est pas mon métier.
Par contre oui, patcher pour ajouter des fonctionalités à un produit fait partie de ma tâche d'admin. Mais à ce moment là j'ai tout mon temps pour lire le source, comprendre sa logique, tester mon patch, etc...
ouaips, mais justement, pour l'instant il n'y a pas de patch... et je pense que le patch va prendre la forme d'un patch-2.4.19 et patch-2.2.21.
Coder moi-même le patch, je pense que ca rentre pas trop dans mes fonctions d'admin, les serveurs dont je m'occupe sont assez critiques ;-) Je préfère laisser faire ceux qui connaissent très bien le noyau, ils feront moins de conneries que moi...
[^] # Re: Coup de gueule contre un hébergeur
Posté par Yann Hirou . En réponse au journal Coup de gueule contre un hébergeur. Évalué à 2.
# Re: A la lecture d'un mail sous Mutt
Posté par Yann Hirou . En réponse au message [Mail] A la lecture d'un mail sous Mutt. Évalué à 1.
# Re: Sortie de Enigma 0.70
Posté par Yann Hirou . En réponse à la dépêche Sortie de Enigma 0.70. Évalué à 10.
sous debian unstable, apt-get install enigma installe la 0.70.
[^] # Re: Internet par le réseau électrique, c'est parti
Posté par Yann Hirou . En réponse à la dépêche Internet par le réseau électrique, c'est parti. Évalué à 1.
Je sens bien un truc comme les plaques ADSL, en remplaçant les centraux téléphoniques par les transfo 20 000 V, où chaque opérateur le souhaitant pourra y tirer ses LS pour venir chercher les connexions locales.
[^] # Re: En cas de Freeze de la machine
Posté par Yann Hirou . En réponse au message [Terminal] En cas de Freeze de la machine. Évalué à 1.
les systèmes de fichiers journalisés, c'est super puissant quand même ! la machine plante, et tout seul le système de fichiers kille les process restants, fout les partoches en read only, et reboot... tout ça simplement en appuyant sur le boutont "power" de la machine. Balaize ;)
[^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi
Posté par Yann Hirou . En réponse à la dépêche HS LMF 12 : Le firewall, votre meilleur ennemi. Évalué à 1.
[^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi
Posté par Yann Hirou . En réponse à la dépêche HS LMF 12 : Le firewall, votre meilleur ennemi. Évalué à 1.
[^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi
Posté par Yann Hirou . En réponse à la dépêche HS LMF 12 : Le firewall, votre meilleur ennemi. Évalué à 1.
[^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi
Posté par Yann Hirou . En réponse à la dépêche HS LMF 12 : Le firewall, votre meilleur ennemi. Évalué à 1.
[^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi
Posté par Yann Hirou . En réponse à la dépêche HS LMF 12 : Le firewall, votre meilleur ennemi. Évalué à 3.
Bon, ok, là je parle d'un point de vue professionnel. Un particulier "normal" n'a pas 3 machines à sa dispo - son poste de travail, un FW, et un proxy dans sa DMZ ;)
Mais bon, trop d'admins systèmes prétendent s'y connaitre en sécurité alors qu'ils sont capable de tout foutre sur la même machine, en prétendant avoir une solution top sécure de la mort qui tue...
[^] # Re: Intéressant mais...
Posté par Yann Hirou . En réponse au message [Terminal] c'est cool ^-^. Évalué à 1.
et pour !une_lettre, mieux vaut taper !plusieurs_lettres, sinon attention aux dégâts ;-) (ceci dit, ya a pas plus rapide pour remonter dans l'historique... mais mieux vaut taper la commande complète, un !ssh vaut mieux qu'un !s, surtout s'il y a un shutdown qui traine ;))
[^] # Re: Une souris ou la vie
Posté par Yann Hirou . En réponse à la dépêche La prison à vie pour le piratage informatique. Évalué à 2.
Pour ceux qui veulent des infos, yaka chercher sur google "époux rosenberg".
[^] # Re: Peer to peer : Réponse au P2P Piracy Prevention Act
Posté par Yann Hirou . En réponse à la dépêche Peer to peer : Réponse au P2P Piracy Prevention Act. Évalué à 7.
il faut juste savoir qu'aujourd'hui presque plus aucune attaque ne se fait en utilisant sa propre IP... vu que les ISP n'activent pas tous l'anti-spoofing - voire comme le faisait remarquer Raphael Bouaziz à propos du blacklistage des serveurs mails de nerim (cf http://linuxfr.org/2002/11/06/10234.html(...) pour la news, http://www.culte.org/listes/linux-31/2002-11/msg00208.html(...) pour la réponse de Raphael) "Aujourd'hui le client d'un FAI *ne veux absolument pas de filtrage*. Nous avons eu des problèmes avec certains clients car un ex-fournisseur (Isdnet) filtrait le spoof sur son réseau backbone, empêchant les clients d'expédier des paquets avec une autre adresse IP qu'une adresse Nerim."
Donc les logs servent à remonter une étape, mais ne donnent pas forcément l'adresse de l'attaquant.
Conclusion: pour attaquer la machine perso de votre boss, yapluka utiliser l'adresse IP d'une major, en rebondissant sur quelques machines pour brouiller les pistes.
[^] # Re: La réponse du responsable de ces affreusetés
Posté par Yann Hirou . En réponse à la dépêche Openstuff.net: Open Source Stuff for European Geeks. Évalué à 1.
[^] # Re: La réponse du responsable de ces affreusetés
Posté par Yann Hirou . En réponse à la dépêche Openstuff.net: Open Source Stuff for European Geeks. Évalué à 1.
Sinon, y a pas une autre option que le virement bancaire pour payer ?
D'ailleurs c'est naze, il faut se créer un compte puis remplir les 4 étapes avant de savoir comment on va pouvoir payer.... à moins que j'aie une cravate dans les yeux ;)
[^] # Re: Un fond d'écran
Posté par Yann Hirou . En réponse au message [X-Window] Un fond d'écran "vivant". Évalué à 1.
# Re: Un fond d'écran
Posté par Yann Hirou . En réponse au message [X-Window] Un fond d'écran "vivant". Évalué à 1.
# Re: Selectionnez vos boites utilisateurs...
Posté par Yann Hirou . En réponse à la dépêche Selectionnez vos boites utilisateurs.... Évalué à 1.
et aussi fr.lolix.org / joinux.org (je viens de les contacter pour leur demander un backend RSS et non pas celui existant actuellement)
[^] # Re: Quadricapilosection
Posté par Yann Hirou . En réponse à la dépêche L'association Gulliver tiendra son assemblée générale le 28 septembre 2002 à Rennes. Évalué à -3.
# Quelques programmes concernés
Posté par Yann Hirou . En réponse à la dépêche Failles de sécurité dans openssl. Évalué à 10.
apache-ssl
openssh
postfix-tls
je précise, c'est pas forcément évident pour tout le monde que SSH soit basé sur OpenSSL...
tous à vos compilos, ou apt/rpm/autoinstallerX !
[^] # Re: Euh ...
Posté par Yann Hirou . En réponse à la dépêche Une newsletter antivirus. Évalué à 9.
suffit de regarder le tolé d'ISS suite à la faille apache... où l'on a appris que leur "disclosure policy" impliquant 30 jours de carence ne s'appliquait concrètement qu'aux produits commerciaux...
[^] # Re: note du moderateur
Posté par Yann Hirou . En réponse à la dépêche Mozilla interdit en Afghanistan !. Évalué à -2.
Alors la question "Faites vous partie du réseau de Ben Laden?", ils sont parfaitement capable de la poser !
-1 car hors sujet.
# Confusion gestionaire de fenêtres - environements
Posté par Yann Hirou . En réponse à la dépêche Ximian ou KDE sur une petite machine?. Évalué à 10.
> Fluxbox, fvwm, larswm ;) me semblent encore plus légers...
> A vous de juger...
NON, ce ne sont pas des environements, mais simplement des gestionaires de fenêtres.
Ximian GNOME et KDE sont des environements, gérant la communication entre applications, alors que enlightenment, Afterstep, GNUStep, fvwm, etc... ne sont que des gestionaires de fenêtres.
Ce sont deux choses distinctes, et il est parfaitement possible d'utiliser KDE ou GNOME avec un autre gestionnaire de fenêtres que celui proposé par défaut !
Le test parle donc bien d'un environnement, que j'appelle un "bureau actif", et non du gestionnaire de fenêtres qui vient par dessus; les deux seuls bureaux actifs disponibles aujourd'hui étant GNOME et KDE, le test est complet... ensuite le test aurait pu envisager plusieurs gestionaires de fenêtre pour prendre le plus léger, mais c'est un autre point.
[^] # Re: Mettre à jour...
Posté par Yann Hirou . En réponse à la dépêche Faille de sécurité dans les noyaux Linux. Évalué à 10.
Oui, mon métier est admin. A temps plein. Mais non, je ne connais pas suffisament le code source des produits que j'utilise pour écrire moi-même les patchs sécurité. Si t'es capable de patcher le noyau linux, squid, apache, php, zlib, postfix, proftpd, rsync, etc... sur des serveurs critiques avant le patch officiel, chapeau.
Je sais lire un code source, appliquer un patch à la main, mais ce n'est pas en lisant un source de temps en temps qu'on en maitrise le concept et les implications des modifications. Je préfère laisser ça aux développeurs du produit - à moins qu'il ne s'agisse d'un produit qui m'intéresse pour d'autres raisons et pour lequel je connais son fonctionnement interne - auquel cas oui, je me risquerais à faire un patch.
A priori dès qu'un bug sort sur ce genre de produit (ie avec plus d'un développeur), les développeurs cherchent à corriger le problème. Si je commence à chercher où se trouve la faille dans le source, comment patcher sans faire foirer les trucs à côté, tester sur une config de test pour minimiser l'impact sur la production... avant la fin de ma recette le patch officiel sera sorti. Donc non, faire des patchs suite à des failles de sécurité ce n'est pas mon métier.
Par contre oui, patcher pour ajouter des fonctionalités à un produit fait partie de ma tâche d'admin. Mais à ce moment là j'ai tout mon temps pour lire le source, comprendre sa logique, tester mon patch, etc...
[^] # Re: Mettre à jour...
Posté par Yann Hirou . En réponse à la dépêche Faille de sécurité dans les noyaux Linux. Évalué à 10.
Coder moi-même le patch, je pense que ca rentre pas trop dans mes fonctions d'admin, les serveurs dont je m'occupe sont assez critiques ;-) Je préfère laisser faire ceux qui connaissent très bien le noyau, ils feront moins de conneries que moi...