barmic 🦦 a écrit 6114 commentaires

oui depuis le début je dis que c'est un outil unique qui peut être utile pour n protocoles.

C’est ce que je réfute, il ne sert à rien pour ssh, il est très limité pour http, il faut faire extrêmement attention avec avec IMAP,…

D'où l'intérêt dans le cadre serveur unique / autohébergement où les utilisateurs ne sont pas forcément des spécialistes de chaque composant.

Et donc c’est bien de se dire de le mettre face à un ssh où il ne sert à rien par exemple ?

Non mais ça ne se met pas en place aussi simplement.

J’explique à la fois que d’autres solutions ne sont pas nécessairement plus complexe et que s’assurer que fail2ban est pertinent n’est pas si trivial.

Un peu de pragmatisme ne fait pas de mal.

On est pas sur du pragmatisme. On dit joyeusement qu’une solution ferait tout toute seule alors que pour ssh c’est plus simple de configurer correctement son serveur, que pour http la protection qu’il offre est parcellaire et que pour imap ce n’est pas aussi simple.

Si tu considère que c’est troller de dire ça tu va me voir troller longtemps. Le fait que ce soit un VPS n’y change rien. C’est comme si tu disais que pour un serveur perso franchement mettre du TLS c’est chiant c’est un truc de pro.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

il est évident pour moi que le monde part en vrille

Sache que c’est difficile à décrire de manière rationnelle. Mis à part la crise écologique, la quasi totalité des indicateurs s’améliore : la mortalité quelque soit la forme, la pauvreté diminue, les guerres aussi, la sous-nutrition, la situation des minorités et des minorisés s’améliore,… Le fait que les statistiques globalement s’améliore ne dit pas que tu n’a pas localement des backlash et ça ne dit rien de l’aspect dramatique de ces situations.

Les sociologues semble expliquer nos perceptions par le fait que moins la société est violente moins la violence est supportable.

OK boomer

J’aurais pu mettre un smiley. Si cette expression a était inventée en pointant du doigt une génération ce n’est factuellement plus le cas. Chlöe Swarbrick s’en est servi pour répondre à quelqu’un qui n’était pas un baby boomer. Ça dit simplement que les propos sont réactionnaires, mais réactionnaire a un aspect très partisan en tout cas en France.

Au vu des questions que tu pose cette vidéo pourrait t’intéresser : https://www.youtube.com/watch?v=H6gjVulG-Ls

Je n'ai pas voulu "taper sur" les réseaux sociaux, mais le peu que j'en perçois ne me donne pas envie. Je ne nie pas leur intérêt dans certains cas, mais le rapport signal/bruit est rédhibitoire pour moi.

Note je me fou des RS, j’explique juste qu’ils ne sont qu’une continuité.

Et je comprends, j'admets, j'accepte sans souci que la jauge puisse être différente pour d'autres personnes. J'essaie, avec la meilleure volonté possible, de comprendre le monde dans lequel je vis. Et je fais des erreurs. Comme tout le monde.

Pas la peine de te flageller. Personne ne comprends rien au monde. Nous avons simplement des points de vu. Point de vu qui est un mélange de notre subjectivité et de notre information.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

ça montre soit que j'ai mal rédigé mon post, soit que tu l'as mal lu.

Je comprends et je serais très heureux de pouvoir considérer que quelqu’un qui dit ça est ironique, mais ce n’est pas le cas général. Entre ceux qui considèrent simplement que tout est foutu et donc on une bonne excuse pour absolument pas remettre en cause leur façon de vivre et d’autres croyances ésotériques mais pour autant effectivement cru (de « on va aller sur mars » à « on va trouver une solution technologique qui va tout sauver »).

absent des réseaux sociaux, j'ai plutôt l'habitude des discussions sereines

Ils ont bons dos les réseaux sociaux. Les flameware existaient avant facebook. Et avant internet nous avions en France par exemple les duels (donc le très connu dernier duel entre Defferre et Ribièrs). C’est facile de taper sur les réseaux sociaux, mais c’est une erreur d’idéaliser le reste. Et si tu trouve que la remise en perspective n’est pas quelque chose de serein, je ne sais pas trop quoi te dire.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

ModSecurity ne va pas sécuriser ton serveur imap

• ça sécurise SSH
• non
• non mais ça sécurise mon serveur web
• bof
• non mais t’a pas compris ça sécurise IMAP
• …

Tu va passer au crible tous les protocoles comme ça ? Tu aura toujours les même limitations, tu n’es pas au bon endroit pour gérer ce que tu souhaite. En IMAP tu peut tenter plusieurs login sur la même connexion TCP et fail2ban ne sera pas en mesure de cut la connexion déjà établi. Bien sûr tu peut configurer ton serveur pour limiter le nombre de tentatives et bien sûr il faut loguer chaque tentatives et limiter la durée de la connexion non authentifiée (même non idle). Bref il faut prendre le temps de regarder sérieusement les protocoles et la configuration de chaque protocole et fail2ban est une option parmi d’autres. Mais si l’ensemble serveur applicatif/fail2ban ne sont pas correctement adaptés (en fonction de chaque protocole) il ne sécurise pas forcément grand chose.

toutes les solutions les plus complètes que j'ai utilisé s'installent en amont du flux des connections sur ton réseau sur une machine dédiée, on est très loin du cas de figure "petit vps unique ouvert au web".

Je ne comprends pas l’argument ? Les solutions les plus complètes auquel j’ai eu accès avait des firewall sur des machines dédiées, c’est une raison pour ne pas en configurer sur un VPS ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ça peut aussi avoir du sens de vouloir logger des erreurs http mais de filtrer ce qui est généré par des botnets. Accessoirement si je n'ai pas wordpress mais que des bots cherchent à accéder à un wp-login.php sur mon serveur web, je ne veux pas juste supprimer les logs vers wp-login.php, je ne veux tout simplement plus que cette ip touche à mon infra.

Un WAF fera ça de manière bien plus rigoureuse parce qu’il va permettre de blacklist tout un tas de tentatives d’injection de code par exemple.

fail2ban c'est juste un apt install

Ce n’est qu’une question de packaging et la manière de présenter fail2ban comme l’état de l’art n’aide pas à pousser des solutions plus efficaces en presque tout point.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Cette différence, semble avoir été principale, par rapport aux autres raisons.

Je serais surpris d’apprendre que Jobs avait le moindre avis là dessus et le noyau Windows NT est une forme de microkernel. David Neil Cutler est largement plus impliqué dans un microkernel que Jobs ne l’a jamais était.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Donc qu'il se rencontre n'est pas surprenant, c'est d'ailleurs plutôt étonnant que cela n'ait jamais eu lieu plus tôt.

Moi ça ne m’étonne pas car l’essentiel de la carrière de Gates est dans le monde de l’entreprenariat quelque soit ses compétences techniques. Linus est toujours resté dans l’univers technique assez pur. Si en plus de sa tu ajoute le fait que le monde du FLOSS et de Microsoft ont pendant des décennies créé des évènements qui non seulement sont disjoins mais en plus sont extrêmement différents (notamment avec les keynotes marketing chez MS). Ce n’est pas surprenant que l’occasion ai mis si longtemps.

Tout comme ce n’est pas surprenant que ce soit grâce à Azure que cela c’est organisé.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Gates est infiniment plus technique que Jobs, mais ses plus grandes réalisations sont en tant qu’entrepreneur. C’est pour ça qu’il est largement plus connu que n’importe quel programmeur.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour ceux qui ne savent pas

1. Mark Russinovich CTO de Microsoft Azure
2. Bill Gates le papa de Microsoft
3. Linus Torvalds le papa de Linux
4. Dave Neil Cutler le papa de Windows NT

mais pour être honnête chacun d’eux travaillent au quotidiens avec des cadors du code et des systèmes ce n’est pas ce qui est particulièrement remarquable ici amha. Mais plus l’échange Windows NT/Linux et évidement la première rencontre historique entre Linus et 2 grands architectes de Windows (pour la symbolique).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

fail2ban n'est pas dédié à ssh.

Oui mais je répondais à un commentaire qui parlait de son usage pour ssh. Plus généralement c’est la pratique du "j’ajoute une couche ça peut pas faire de mal" qui n’est pas une vérité générale.

et dans certains cas de la bande passante

Si c’est le problème une bonne configuration du firewall (sans autre chose) résous presque systématiquement les choses.

Comme d'autre l'ont déjà dit, ça peut aider à supprimer du traffic inutile qui génère des logs non pertiments

Si le problème c’est le log, alors ce qu’il faut corriger c’est probablement les logs, par exemple il est possible de définir des conditions sur les logs de nginx. Si c’est pour de la sécurité un WAF comme OWASP ModSecurity élèvera de beaucoup le niveau de sécurité.

fail2ban c’est un hack qui se veut flexible, mais je n’ai pas encore trouvé de situation où configurer correctement les composants déjà existant ne fait pas largement mieux avec moins de ressources.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Techniquement, on pourrait par exemple se croire protégé sur la partie ssh parce qu'on a une clé pour se connecter. Sauf qu'il y a des protocoles pourris, qui sont encore utilisés, des configs pourries aussi, et des gens qui suivent des tutos qui ont 20 ans d'âge, et donc la protection peut être assez relative. Si le débutant qui a mis ça en place a quand même aussi mis en place fail2ban paramétré à peu près potablement, il ajoute une couche qui limite énormément le débordement. Il améliore encore ses chances en passant sur un port non standard, en autorisant uniquement certaines ip, en utilisant un bastion, etc. Rien de tout ça, seul, n'est suffisant non plus.

Comment fai2ban va bloquer quelque chose qui ne serait pas bloqué par l’interdiction de l’authentification par mot de passe ? Le cas d’un bot qui brute force des clefs ? Pour les mots de passe, le brute force en ligne n’existe pas, le coût réseau le rend prohibitif, ce qui existe c’est des tentatives avec des mots de passes connu ou cohérent avec ton domaine. Du brute force de clefs en ligne, même les États ne l’envisagent pas, ils utilisent les faiblesses qu’ils connaissent. Donc il font très peu de tentatives.

un port non standard

C’est pas de la sécurité mais de l’obfuscation.

en utilisant un bastion

Ça n’a aucun intérêt si tu n’a qu’un seul serveur ou que les serveurs sont sur un réseau publique.

Et avec un peu de chance, on aura ajouté assez de couches dans la lasagne pour qu'aucun problème n'arrive à notre serveur.

La sécurité ce n’est pas mettre des couches en se disant que plus il y a de couches moins tu as de problèmes. Prendre du temps pour configurer correctement SSH est plus important qu’ajouter fail2ban par exemple. Au contraire virer des couches peut améliorer la sécurité par exemple en retirant SSH.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

On te parle des conséquences des progrès technologiques et du consumérisme effréné.

Non pas que. Le replis identitaire on savait faire sans ordinateur par exemple.

la perte de confiance en les sciences et le journalisme professionnel, la désinformation galopante, la fabrique du mensonge assistée par les IA, la haine en ligne, l'abrutissement par les réseaux sociaux

Sans parler de périodes de guerre faut pas s’être renseigner sur les journaux de la première moitié du siècle dernier pour imaginer qu’il y avait tout autant de désinformation, de défiance envers le journalisme, d’abrutissement des masses. En France c’est assez facile de se renseigner là dessus au travers de l’affaire Dreyfus par exemple.

Ah, et puis les guerres, aussi.

Pour quelqu’un vivant en France dire que les guerre n’ont pas changées entre avant et après 62, c’est probablement une mauvaise compréhension de ce qu’est un théâtre d’opération avec des conscrits avec des dizaine de milliers de morts français (dont plusieurs milliers de civils).

les nourrissons biberonnés aux écrans

C’est clair qu’avant 1960 les biberonner à l’alcool et avoir un taux de mortalité infantile 10 fois supérieur à maintenant c’est enviable.

---

Faut faire attention à la nostalgie de périodes qu’on a pas connues et à tout un tas de biais qui peuvent venir avec. Notre monde est loin d’être parfait et c’est bien de le questionner mais :

• idéaliser un passé (que ce soit les 30 glorieuses, le début du siècle dernier, l’antiquité,…) c’est quasiment toujours des idées reçu et du cherry-picking. Il y a des choses qui se passaient mieux, mais est-ce que la vie était plus agréable c’est généralement pas aussi clair.
• la collapsologie à la petite semelle : « de toute façon c’est fichu autant s’amuser » n’apporte rien de bon.

TL;DR: ok boomer

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C’est probablement mon niveau d’anglais, mais j’ai rien compris au lien.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

un nouveau gestionnaire de heu? de quoi tiens ? juste d'affichage ? de sièges (seat) ? de périphériques d'entrées ? seulement clavier/souris ou les manettes ça compte? et pourquoi pas le son (après tout quand on lit une vidéo on aimerait bien avoir le son aussi) ?

La question c’est comment doit être organisé la stack. L’affichage, le son, l’accélération matèrielle, les input, la gestion d’accès à tout ça… quel acteur (l’appli, le toolkit, le "système" - serveurs d’affichage ou autre) devrait en avoir la charge ou l’accès ?

Mais c’est immensément complexe de faire ce travail dans la non cathédrale qu’est linux.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

je trouve qu'on a pas de leçon à leur donner

Ce n’est pas vraiment la question. Ils ont un paquet de choses critiquables si vraiment ça devait être un concourt et la démocratie est toujours plus compliquée à l’échelle. Même avec du fédéralisme, le bon niveau pour prendre les bonnes décisions et comment faire le lien entre toutes ces entités.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Statistiquement, à moins d'être un pays impérialiste et colonialiste comme la France ou les USA, c'est avec tes voisins que tu as le plus de risque d'être en guerre, d'autant plus si tu te veux neutre et que tu ne t'imisce pas dans les interventions des nations unies.

Réduire cela à une seule variable est simpliste. L’idée de l’UE c’est qu’en créant des échanges politiques ET démocratiques on évite la guerre et c’est comme ça que des pays limitrophes et qui ont des siècles de conflits derrière eux se retrouve à faire des partenariats militaires entre autre. Ne pas y participer est un choix de la Suisse. Ils préfèrent avoir leur liberté économiques (pour ne pas dire être un paradis fiscal) que participer à cet effort de paix.

Si tu veux être cynique, tu peut aussi dire qu’au moment où l’un de leur voisin aura des visées expansionnistes ce ne sera pas leur aviation qui les protègera.

que tu ne t'imisce pas dans les interventions des nations unies.

C’est pour moi cette dépolitisation qui est le nœud : on dit souvent que si tu ne t’intéresse pas à la politique c’est elle qui s’intéressera à toi. La politique ce n’est pas sale et ce n’est pas forcément partir en guerre, mais c’est avoir un impact sur les décisions.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Très bien mais pour le moment c’est la France qui le fait pour eux. J’ai entendu suffisamment de gens m’expliquer que quelque chose est trivial et que dès qu’il le décide, il le fait en un claquement de doigt pour savoir ne pas faire confiance à cela.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

ça impose une communication constante des vols avec 4 pays voisins.

A comparer avec la communication constante qu’il faut avec ces 4 voisins pour pouvoir demander à l’un d’eux d’intervenir en quelques minutes ?

[…] changerait de méthode si elle était en guerre contre un de ses voisins.

Ce que sont entrains de découvrir un paquet de pays depuis 2020 c’est que ce genre de changement prend beaucoup plus de temps que les variations de situation.

Dans tous les cas ce pays est trop petit pour justifier de développer les siens et doit donc à un moment faire confiance à un partenaire industriel "allié", ce qui était le cas des USA au moment de la décision d'achat des FA-18.

Quand tu choisi de délégué, c’est un choix politique dont on préfère généralement ne pas montrer tous les effets de bord ou à minima les minimiser. Par exemple, il serait possible pour la Suisse d’acheter au sein de l’union et de faire partie de l’UE dans ce cas ce ne serait pas simplement des achats à un allié mais à des partenaires avec les quels elle a des relations démocratiques.

Mais la Suisse se sent plus concerné par sa souveraineté économique avec la quelle elle ne veut pas transiger que pour la sureté nationale où elle bénéficie de la paix de l’UE.

Ce sont des choix et pas des obligations ou sorte de there is no alternative

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Si demain la France dit à la Suisse d'aller se faire voir, la Suisse fera un effort et ses F-18 seront en l'air quand il faut.

Ça c'est un espoir. Un plan jamais exécuté, c'est juste un espoir. Pour des capacités de défense, la plupart des pays considèrent que ce n'est pas suffisant et l'arrivée de Trump qui te fait rire fait pas mal réfléchir en Suisse au sujet de ces achats d'avions.

Ensuite, la souveraineté, c'est un spectre. […]

Relis mon premier commentaire, je dis que le débat c'est quelle dépendance dans quel contexte, avec quel risque et combien ça coûte. Ces questions sont parfaitement indépendantes de la question de savoir si Trump est suivi ou non par son armée.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Sa c’est du copyleft.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Rien compris, mais je suis Suisse, ou je vis n'a genre en en a voir avec ce que je pense sur ce sujet.

La Suisse n’est pas en mesure de contrôler son espace aérien, en tout cas pas à toute heure et demande à la France d’intervenir pour une escorte aérienne.

Cette tendance à assigner des raisons sur tout et n'importe quoi sans avoir l'once du début d'un argument est lassante…

Je dit que le point de vu sur le sujet peut varier en fonction des pays par exemple. Tu as une dizaine de commentaire qui semble montrer que tu ne te sent pas très concerner par la question de la souveraineté, ne fais pas comme si ça venait de nulle part. Tu porte les arguments de la fin de l’histoire de Francis Fukuyama globalement : on est tous interdépendant donc plus de guerre. Je trouve que si on pouvait encore argumenter ce point de vu, il y a quelques années, ça me parait difficile à argumenter actuellement.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je crois que votre discussion n'a pas pris un sens très pertinent. On s'en fout de Trump, de MS ou de qui que ce soit. Remplace les par Xi Jinping et un BATX si ça t'arrange.

Il est question d'une dépendance forte à une entité avec la quelle on partage une relation de droit à minima diffu.

Notre état de droit a des moyens limités pour contraindre ce prestataire. On a un paquet d'exemples pour cela qui ne réclament pas de parler de Trump.

C'est ça le sens de souveraineté. Toi tu parle de confiance dans le marché comme si la fin de l'histoire n'avait pas du plomb dans l'aile.

Le sens de souverain c'est qu'on en ai démocratiquement me contrôle sans interference type patriot act, l'un de ses successeurs ou n'importe quel autre tour de manche qu'une puissance étrangère pourrait mettre en place pour faire jouer son soft power à nos dépend.

La question de quels critères font de quel service et dans quel contexte quelque chose de critique et les difficultés que ça représente sont intéressants. Après la Suisse a abandonné la souveraineté même de fonctions régaliennes donc je me doute que si tu vis en Suisse tu as un point de vue sur la souveraineté assez lointain

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je comprends bien le problème d’attribution, […]

Tu ommet par contre la question du copyleft, qui n'est pas présente dans toutes les licences mais qui est un point important.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

La botte secrète est de produire un fichier des hashs des autres fichiers dans chaque paquet qu'on produit, puis de hasher ce nouveau fichier.

Ça ne vaudrait pas le coup d’utiliser plutôt une archive type cpio ? Pour capturer de manière plus complète l’input ? Pour inclure les droits et éventuellement les types ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J'ai plus de noms sous la main mais je me souviens avoir vécu ça parfois sur mon ancienne adresse mail avec mon propre nom de domaine.

Je doute que ce soit autre chose que de l'amateurisme. Google et Microsoft au moins permettent aux gens d'avoir leur propres nom de domaine, c'est pas forcément très utilisé par des particuliers mais ça l'est pour les entreprises et les associations (qui peuvent en bénéficier gratuitement - hors location du nom de domaine).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll