Ce champs de valeur est complétement orthogonal avec celui qui est développé dans nos sociétés ou la richesse est vénérée (ou haïe, ce qui reviens au même).
Je ne connais pas de courant de pensée qui haïe la richesse. On en connaît par contre tous qui détestent les inégalités. Le problème pour ces courants n'est pas d'être riche ou non, mais d'être riche en laissant des gens dans la misère. La richesse pour eux est toujours comparé à ceux qui ont des problèmes pour joindre les 2 bouts.
Placer les 2 sur un pied d'égalité me donne la même mauvaise impression que quand Trump renvoyait dos à dos les suprémacistes blancs et les militants contre le racisme au sujet de Charlottesville en 2017…
Et l'ensemble est à 2 doigts du bon vieux « l'argent ne fais pas le bonheur » chère à ceux qui ont de quoi vivre décemment surtout quand ils sont face à plus pauvre qu'eux.
Tu l'a dis tu n'es pas très à l'aise à en parler et je n'ai pas trop de doute que ce n'est pas ce que tu voulais dire, mais je me suis permis de réagir pour souligner les problèmes à mon sens que peuvent amener ce genre de discours. Changer de valeurs c'est possible et ça a même déjà était fait et le rêve vendu ces 60 dernières années en occident (la maison résidentielle + voiture entre autre) est un des problèmes de notre société à la quelle on a du mal à sortir, mais ta phrase me semble vouloir ringardiser les luttes contre les inégalités hors elles sont, elles aussi une partie du problème. C'est entre autre ce que soutenait René Dumont il y a 50 ans.
Donc bon. une fois qu'on a dit ça, on fait quoi ? Perso, je retourne a mes bouquins et mes conférences passionnante, je partage des bon moments avec mes proches, j'écoute un peu de musique. C'est pas forcément un mauvais programme en attendant la fin du monde.
Cette tranquillité est un privilège. L'insouciance quant à comment va se passer le reste de ton mois, l'accès facile à la culture,… Ce n'est pas donné à tous. Je ne cherche pas à être culpabilisant, mais il faudrait pas non plus oublier que ça en est d'une part et devenir méprisant en vers ceux qui tentent de changer les choses.
Quand les gens autour de moi penserons a David Elbaz plutôt qu'a Elon Musk quand on leur parlera de l'espace, je commencerai peut-être à sortir le nez des bouquins.
Je ne sais pas qui est David Elbaz et je pourrait renchérir en disant que tant qu'on cherchera des idoles autant tous crever (ou attendre la fin du monde c'est facile à dire tant que ça n'est qu'un concept que l'on manipule avec légèreté).
En vrai, j'attends une solution libre avec grand intérêt, mais ce truc va vraiment s'infiltrer partout bientôt.
Je ne serait pas surpris que la majorité du code soit libre ou qu'OpenIA soit prêt à le libérer demain. Le code n'a pas grande importance, c'est l'entrainement GTP3 qui donne se résultat (et ils prépare GPT4). Ce sont des volumes de données énormissimes qui lui sont injectés.
Je ne vois pas de projet communautaire capable de faire ça. Outre la puissance de calcul et l'expertise, la gouvernance de ce qui est injecté ou non va mécaniquement entrainer le projet dans des combats sans fins.
Posté par barmic 🦦 .
En réponse au lien Start a Fucking Blog.
Évalué à 3.
Dernière modification le 05 janvier 2023 à 00:00.
Ah et je crois que seamonkey est toujours maintenu et incluait un éditeur web wysiwyg et j'ai aussi entendu parler d'un truc appelé bluegriffon.
Seamonkey, Mozilla composer, nvu ou bluegriffon c'est plus ou moins la même chose c'est juste ceux qui travaillent sur l'un des projets pour créer le suivants. Ils se remplacent les uns les autres. Il fut un temps où il était primordial de reset sa base d'utilisateurs pour être certain d'échouer. Maintenant ça fait tout de même pas mal de temps que le dernier reste bluegriffon. Il semble d'une stabilité à toute épreuve avec son absence de commit depuis 4 ans. Il semble que les utilisateurs se donnent le mot pour repasser à Seamonkey qui n'est pas un éditeur uniquement mais toute une suite internet à la manière de Netscape pour ceux à qui a parle.
Bref là c'est juste avoir la bonne version du bon logiciel qui semble complexe…
C'est en effet pratique, mais ça reprend la propagande des uns et des autres.
C'est important pour moi. La question de pourquoi GraphicsMagick existe alors qu'ImageMagick est là c'est ce que tu trouve dans ce genre de « propagande » et ça donne une idée de la direction que se donne un projet (performance/compatibilité/fonctionnalités/autre ?). C'est vraiment ce que j'attends du genre de paragraphe qu'il a écrit.
C'est ensuite dans la suite que l'on peut comparer les projets entre eux et effectivement GraphicsMagick semble mal en point.
Centos utilise Gnome parce que RedHat contribue à Gnome. Et RedHat contribue à Gnome parce que fut un temps c'était l'option qui paraissait la plus pertinente pour proposer un bureau face aux concurrents de RedHat. Aujourd'hui Gnome semble suffisamment les satisfaire pour ne pas se tourner vers une autre option.
Quand tu commence à réfléchir comme ça tu peux en arriver à te dire que tu veux seulement une allow list d'ips. Pour tes ips fixes pas de problème et pour les autres le plus classique c'est le port knocking, mais tout est imaginable.
C'est bien vrai mais le principe des lois c'est de les écrire en continue au cas où, un jour, tu ai besoin de comprendre un comportement. Comme ça n'est pas prédictible, il n'y a pas vraiment le choix.
Une rotation avec compression et il se fatiguera avant toi.
Mais bon c'était surtout pour dire que personne ne tente un brute force réseau.
L'intérêt de fail2ban est aussi d'éviter du DDoS (au sens large).
Ça il faut voir. Je serais pas surpris qu'il soit possible de DDoS via fail2ban.
Là où SSH va juste ouvrir/fermer des connexions. fail2ban doit parser les logs, mettre ) jour les règles iptables pour ban et pour unban. Il me semble avoir vérifié récemment les configurations récentes d'iptables utilisent bien des set d'IP pour ne pas avoir à décharger/recharger tout le parfeu, mais ça n'a pas toujours était le cas. Et bon le principe des DDoS c'est d'avoir pleins d'ip et d'agréger les bandes passantes. Si tu as pris le temps d'analysé le comportement du fail2ban adverse tu peut potentiellement le charger dans une boucle de ban/unban.
Tout ça pour dire que c'est pas magique et qu'il faut faire attention à sa configuration.
Soyons clair si fail2ban peu très bien ajouter de la sécurité, je suis convaincu qu'il doit tout son succès à ceux qui réagissent mal à ceux genre de photos : https://i.redd.it/8pldpxudj7h01.jpg (par sympathie pour les concernés je met juste le lien :) )
C'est ce que j'ai expliqué il faut un mot de passe fort !
Et un mot de passe fort à l'heure actuelle c'est au moins 12 caractères avec minuscules, majuscules et chiffres (ou une phrase de passe en français).
Tu as lu ce que j'ai écris ?
Mot de passe 8 caractères 62 symboles d'alphabet → 48bits d'entropie donc très faible d'après l'ANSII
Nombre de tentatives pour le casser : 2**48 → 281 474 976 710 656 tentatives
C'est un truc qui nécessite une puissance de calcul et un temps phénoménal pour le casser par essais successifs, plusieurs dizaines d'années au moins.
Le coût calculatoire n'a plus aucun sens quand tu as une requête réseau obligatoire.
Donc fail2ban ne sert strictement à rien de ce cas, d'un point de vue sécurité (cela à d'autres usages).
C'est un peu comme quand tu dis a un gars qui utiliserait un mot de passe de 13 caractères (plutôt que ta recommandation à 12) que ça ne sert à rien d'un point de vu sécurité.
Note que ta recommandation est d'utiliser ce que l'ANSII considère comme un mot de passe faible (une entropie inférieure à 80bits).
À chaque fois que j'ai vu un serveur se faire compromettre via SSH, c'est toujours le même scénario : l'adminsys a fait une énorme boulette en attribuant d'une manière ou d'une autre un mot de passe bidon à utilisateur. Et malgré un fail2ban parfaitement configuré, le serveur est compromis en quelque heures / jours.
C'est une expérience. Moi je n'ai jamais vu de serveur ssh compromis, j'ai donc pas besoin de désactiver la connexion root et de me poser des questions sur l'utilisation de mot de passe ou de clef ?
Si tu as sécurisé ton service avec des mots de passe forts ou des méthodes authentification qui sont insensibles aux attaques par force brute, fail2ban est inutile d'un point de vue sécurité.
Si tu as des mots passe faible, fail2ban ne fera que retarder (un peu) la compromission du service car une IP finira bien par essayer le bon mot de passe.
Aucune méthode est insensible au brute force. La question c'est uniquement quelle est l'espérance de l'attaquant pour passer. L'entropie d'un mot de passe c'est l'estimation du log en base 2 du nombre de tentatives nécessaires pour trouver le bon.
Un mot de passe de 8 caractères avec un alphabet de 62 symboles (majuscules, minuscules, chiffres) a une entropie de 48bits, il est considéré comme très faible par l'ANSII et il faut 281 474 976 710 656 tentatives pour le trouver.
Sans trop te poser de question (utilisation de cartes graphiques, fpga, etc) tu peux tenter plusieurs milliards de mot de passe par seconde. Tu met moins d'une semaine pour passer au travers? Mais ça c'est quand tu as un fichier à déchiffrer. Si tu dois faire un accès réseau et qu'un fail2ban te ban 1s toutes les 15 tentatives1, tu en a pour un paquet d'années si je ne m'abuse.
Je ne crois pas que les attaques autres que par dictionnaires soient fonctionnelles sur ssh.
J'aime pas fail2ban et je ne m'en sert pas, mais on peut pas lui reprocher de ne pas être un outil de sécurité.
évidement un attaquant très motivé aura un paquet d'IPs pour limiter cette gêne. ↩
Je l'ajoute au thread des améliorations possible. Le chapeau ne dit rien de ce qu'est le projet ou de ces objectifs. Pour moi qui suit d'une manière assez distraite le projet quand je suis tombé sur la première référence à BeOS je ne savais plus si BeOS était l'OS d'origine ou l'un des autres projets qui tentent de maintenir l'écosystème.
et qu'on peut donc se donner des définitions avec des mots du dictionnaire ("libre", "ouvert", "open source") sans avoir besoin de l'aval de ces gens.
Dans un contexte de logiciel, c'est un appel à la notion de logiciel libre. C'est une volonté de créer de la confusion. C'est malveillant et c'est bien pour ça que c'est critiquable et critiqué.
Mais c'est aussi assez bête comme procédé. J'y vois très clairement la volonté d'amalgamer « libre » avec « en accord avec ma morale ». C'est un comportement très répandu, mais particulièrement pas malin ici.
S'amalgamer au logiciel libre, c'est s'amalgamer à ce milieu où les GAFAM capitalistes sont très influents et très importants. Pourquoi ne pas simplement dire que c'est un logiciel anti-capitaliste par exemple ? Non seulement ça distingue de ce capitalisme1, mais ça permet de mettre en lumière leur combat (ce qui semble être l'objectif quand on crée une licence justement pour ça).
Aussi quitte à ne pas reprendre les définitions du milieu proposer les siennes pour entre autres, expliquer ce qu'ils veulent dire par là semble un minimum et permet encore une fois de parler de leurs idées ça devrait leur plaire.
il est important de comprendre que le logiciel libre s'il peut être vu comme un partage proche de l'anarchisme peut aussi être vu comme le graal de la concurrence « libre et non faussée » chère aux libéraux (et qui satisfait les capitalistes capables d'éliminer la concurrence autrement) ↩
Non, ils ne tentent pas de le faire (donner l'encodage) ; c'est une incompréhension : ça dit juste que c'est du multi-octets (là l'algo naif de combinaisons discriminantes et le fait qu'il y ait peu de choix fait que ça tomber juste) ou du 7 bits (ascii) ou du 8 bits (dit ascii étendu)
S'il voulait dire que c'est du multi-octets il indiquerait multi-octets. Là il indique ascii, iso-8859-1 ou utf8 qui sont des encodages.
Mais du coup en quoi est-ce différent (dans le sens plus sécurisé) que de mettre un mot de passe très long (genre une clé rsa en base64) avec un gestionnaire de mots de passes ?
Dans ce que je vois rapidement :
Avec un mot de passe long, tu n'a qu'un seul moyen de t'authentifier à un compte. Là où avec une clef tu as une clef par moyen d'accès (généralement par machine).
Avec un mot de passe long, pour te protéger du brute force tu dois ajouter des trucs en plus : un gestionnaire de mot de passe avec synchro, un fail2ban,… Quand tu utilise des clefs, c'est de la configuration des outils que tu utilise de toute manière.
Avec un mot de passe long, tu va devoir utiliser ton gestionnaire de mot de passe à chaque nouvelle connexion (alors oui tu peux multiplexer tes connexions, mais ça n'est pas vraiment transparent), avec une clef tu la met dans ton agent et c'est tranquille.
C'est les mêmes qui ont l'accès root aussi sur les serveurs en question ?
Non, mon utilisation était de me connecter de temps en temps CHEZ MOI depuis mon boulot pour des raisons persos. Genre récupérer des vidéos à partager avec les collègues (il n'était pas rare que le temps de la pause de midi on se fasse un épisode ou deux d'une série quelconque en mangeant au bureau)
Utilisation complètement illégitime, j'en conviens :)
Typiquement le genre de cas où le chiffrement de clef me paraît évident.
Pour le formuler autrement ces personnes veulent qu'on leur fournisse un accès par mot de passe et rien d'autre.
J'entends (de la part de l'utilisateur) "viens pas nous embêté avec ton truc que je connais pas. On a toujours fais comme ça et c'est pas toi qui va me faire changer". C'est le même genre d'arguments qu'on a vu pour expliquer que c'était inacceptable que Firefox ne supporte plus FTP. L'utilisateur veut pas.
Il faut l'accompagner, mais il faut vraiment que l'utilisateur comprenne qu'il n'est pas seul sur Internet et que les pratiques se doivent d'évoluer. C'est l'une des fonctions des gens de la tech de faire ce devoir de conseil.
D'autant qu'il y a d'autres apports à l'usage de clefs. Tu peux supprimer une clef sans impact sur les autres usages et tu n'a pas de secret partagé.
Moi je parle d'une paire de clés publique/privé générée sans mot de passe.
Pour ne pas la chiffrer il faut avoir bien ignoré ton logiciel qui t'a dit que ce serait bien que tu mette une passphrase. Je comprends que dans certains cas, on puisse trouver contraignant de chiffrer sa clef (avoir un agent ssh lancé avec ta session demande un peu de configuration), mais s'il est admis que c'est une machine partagée je ne vois pas comment on peut se dire que c'est une bonne idée. Sans mettre en cause la probité de tes collègues, ça évite aussi des maladresses.
De toute façon les sysadmin avaient les mots de pass root sur toutes les machines, donc là encore ils auraient pu accéder à ma clé privée très simplement.
C'est les mêmes qui ont l'accès root aussi sur les serveurs en question ?
j'ai eu besoin d'acceder à ma machine (je ne sais plus pour quelle raison) de l'extérieur une fois, j'ai installé une appli ssh sur mon ordiphone et me suis connecté en ssh.
Sans mot de passe j'aurais été coincé.
Ton ordiphone peu utiliser une clef, surtout si tu as des besoins irrésistibles de te connecter n'importe où.
Je ne suis pas d'accord là dessus.
Dans mon ancien boulot, je me connectais de temps en temps chez moi par ssh, et je n'ai pas envie qu'une personne qui utilise "ma" machine, car oui, il m'arrivait de laisser ma machine à un collegue sans être derrière lui, puisse se loguer sans soucis chez moi.
Et ceci est valable du coup pour nimporte qui qui aurait eu acces à cette machine, de façon légitime ou pas.
Je ne comprends pas. Comment pourrait-il accéder à ta clef ? Ça fait longtemps que ça ne m'est pas arrivé, mais si c'était le cas d'une je coupe tous les shell ssh et de 2 je vire toutes les entrées de mon agent. Comme tu dois de toute manière faire l'un ajouter l'autre ne demande pas plus de rigueur. Il est même possible que tu fasse déjà quelque chose de suffisant avec un pkill ssh. Perso je préfère garder mon agent en vie, mais c'est un détail.
du coup indirectement ça "augmente" le force du mot de passe
Faut faire attention avec ce genre de sentiment. Personnellement je ne m'autorise pas ce genre d'hypothèse sans qu'un gars un minimum plus sérieux que moi en sécurité le confirme.
Au final la bonne solution est un compromis.
Oui, interdire l'accès par mot de passe sauf si tu as une bonne raison.
C'est idiot. Il y a des cas où l'on a besoin d'un accès par mot de passe. Il faut simplement utiliser des mots de passe forts.
Jamais rencontré de cas de besoin de mot de passe. L'usage de clef n'est pas simplement immensément plus sécurisé que n'importe quel mot de passe dit fort, il est aussi infiniment plus pratique à l'usage.
Je suis d'accord avec toi sur le principe, mais dans la pratique les seuls cas que j'ai vu c'est une crainte quant à la mise en place, mais une fois c'est très confortable.
En outre, mes commerçants n'essaient jamais de me "faire passer le plus de temps chez eux" (en fait, on se met à passer du temps chez certains, mais parce que ça devient des potes et qu'on discute avec eux! 😅), ni de me faire acheter des trucs que je ne voulais pas.
Le placement des produits, les affichages, l'organisation de l'étalage, la pratique de la "criée", le positionnement des commerçants les uns par rapport aux autres, le choix des jours de marché,… Tout ça est choisi entre autre pour te faire acheter et c'est normal.
C'est quand même triste de croire que ce genre de comportements entrepreneuriaux ne sont pas des "dark patterns" et que c'est totalement normal. Dire "c'est le jeu", ça implique qu'on considère que c'est normal si les commerçants "jouent" avec ta vie et tes désirs
Comme dirait Bourdieu, c'est pas une analyse personnelle des gens. Les gens se comportent comme le système les pousse à se comporter et oui les commerçants doivent vendre pour vivre. Tu connais peut être des commerces qui sont à l'aise et ne cherchent pas à faire plus, mais ce n'est pas ce que le système économique dont ils font partie les pousse à faire.
Juger les agents sur ce que le système les pousse à faire est à mon avis manquer sa cible. Tu ne peux pas changer le comportement des acteurs sans changer le système.
Ensuite tenter d'élargir les définitions est à mon avis un autre problème. Tout comme on voit souvent des gens vouloir amalgamer leur morale à "libre" et libre à leur morale, je trouve que vouloir faire passer toutes les pratiques commerciales peu scrupuleuses dans dark patterns le vide de son sens et cache se pourquoi le terme a été créé.
Pourtant il tente de le faire. Si une fonction marche aussi mal généralement soit on la retire soit on tente de la corriger, pourquoi refuser ? La dépendance peut tout à fait être optionnelle voir passer par une interface pour accepter d'autres bibliothèques ou éviter des problèmes de licences.
[^] # Re: Message pour la modération: étiquettes
Posté par barmic 🦦 . En réponse au lien L'assureur MAIF consacre 10% de ses bénéfices à la planète. Évalué à 2.
Je ne connais pas de courant de pensée qui haïe la richesse. On en connaît par contre tous qui détestent les inégalités. Le problème pour ces courants n'est pas d'être riche ou non, mais d'être riche en laissant des gens dans la misère. La richesse pour eux est toujours comparé à ceux qui ont des problèmes pour joindre les 2 bouts.
Placer les 2 sur un pied d'égalité me donne la même mauvaise impression que quand Trump renvoyait dos à dos les suprémacistes blancs et les militants contre le racisme au sujet de Charlottesville en 2017…
Et l'ensemble est à 2 doigts du bon vieux « l'argent ne fais pas le bonheur » chère à ceux qui ont de quoi vivre décemment surtout quand ils sont face à plus pauvre qu'eux.
Tu l'a dis tu n'es pas très à l'aise à en parler et je n'ai pas trop de doute que ce n'est pas ce que tu voulais dire, mais je me suis permis de réagir pour souligner les problèmes à mon sens que peuvent amener ce genre de discours. Changer de valeurs c'est possible et ça a même déjà était fait et le rêve vendu ces 60 dernières années en occident (la maison résidentielle + voiture entre autre) est un des problèmes de notre société à la quelle on a du mal à sortir, mais ta phrase me semble vouloir ringardiser les luttes contre les inégalités hors elles sont, elles aussi une partie du problème. C'est entre autre ce que soutenait René Dumont il y a 50 ans.
Cette tranquillité est un privilège. L'insouciance quant à comment va se passer le reste de ton mois, l'accès facile à la culture,… Ce n'est pas donné à tous. Je ne cherche pas à être culpabilisant, mais il faudrait pas non plus oublier que ça en est d'une part et devenir méprisant en vers ceux qui tentent de changer les choses.
Je ne sais pas qui est David Elbaz et je pourrait renchérir en disant que tant qu'on cherchera des idoles autant tous crever (ou attendre la fin du monde c'est facile à dire tant que ça n'est qu'un concept que l'on manipule avec légèreté).
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
# Découverte
Posté par barmic 🦦 . En réponse au journal analyse de données avec Duckdb. Évalué à 2.
Je connaissais pas du tout l'hanukkah of data. Ça peut être bien marrant de s'y essayer :)
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Message pour la modération: étiquettes
Posté par barmic 🦦 . En réponse au lien L'assureur MAIF consacre 10% de ses bénéfices à la planète. Évalué à 2.
Les climatologues sont vraiment nuls en acronyme
C'est pas le but amha. L'objectif c'est de le nommer pour pouvoir communiquer. Ils auraient pu appeler tout ça "Bernard" ou Ragnarök.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: C'est gratuit
Posté par barmic 🦦 . En réponse au journal imagemagick, GraphicsMagick, vips, chatgpt. Évalué à 3.
Je ne serait pas surpris que la majorité du code soit libre ou qu'OpenIA soit prêt à le libérer demain. Le code n'a pas grande importance, c'est l'entrainement GTP3 qui donne se résultat (et ils prépare GPT4). Ce sont des volumes de données énormissimes qui lui sont injectés.
Je ne vois pas de projet communautaire capable de faire ça. Outre la puissance de calcul et l'expertise, la gouvernance de ce qui est injecté ou non va mécaniquement entrainer le projet dans des combats sans fins.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Je m'insurge
Posté par barmic 🦦 . En réponse au lien Start a Fucking Blog. Évalué à 3. Dernière modification le 05 janvier 2023 à 00:00.
Seamonkey, Mozilla composer, nvu ou bluegriffon c'est plus ou moins la même chose c'est juste ceux qui travaillent sur l'un des projets pour créer le suivants. Ils se remplacent les uns les autres. Il fut un temps où il était primordial de reset sa base d'utilisateurs pour être certain d'échouer. Maintenant ça fait tout de même pas mal de temps que le dernier reste bluegriffon. Il semble d'une stabilité à toute épreuve avec son absence de commit depuis 4 ans. Il semble que les utilisateurs se donnent le mot pour repasser à Seamonkey qui n'est pas un éditeur uniquement mais toute une suite internet à la manière de Netscape pour ceux à qui a parle.
Bref là c'est juste avoir la bonne version du bon logiciel qui semble complexe…
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Méfie-toi des outils magiques
Posté par barmic 🦦 . En réponse au journal imagemagick, GraphicsMagick, vips, chatgpt. Évalué à 5.
C'est important pour moi. La question de pourquoi GraphicsMagick existe alors qu'ImageMagick est là c'est ce que tu trouve dans ce genre de « propagande » et ça donne une idée de la direction que se donne un projet (performance/compatibilité/fonctionnalités/autre ?). C'est vraiment ce que j'attends du genre de paragraphe qu'il a écrit.
C'est ensuite dans la suite que l'on peut comparer les projets entre eux et effectivement GraphicsMagick semble mal en point.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Utilisateur de Xfce4
Posté par barmic 🦦 . En réponse à la dépêche Xfce 4.18 est sorti !. Évalué à 4.
Centos utilise Gnome parce que RedHat contribue à Gnome. Et RedHat contribue à Gnome parce que fut un temps c'était l'option qui paraissait la plus pertinente pour proposer un bureau face aux concurrents de RedHat. Aujourd'hui Gnome semble suffisamment les satisfaire pour ne pas se tourner vers une autre option.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Pas une alternative?
Posté par barmic 🦦 . En réponse au lien fq : une alternative à jq, yq, MediaInfo et bien plus encore. Évalué à 5.
Le lien indique
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Paramètres par défaut des distributions
Posté par barmic 🦦 . En réponse au journal ssh : et si nous sensibilisions par un label, ou autre impératif?. Évalué à 4.
Quand tu commence à réfléchir comme ça tu peux en arriver à te dire que tu veux seulement une allow list d'ips. Pour tes ips fixes pas de problème et pour les autres le plus classique c'est le port knocking, mais tout est imaginable.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Paramètres par défaut des distributions
Posté par barmic 🦦 . En réponse au journal ssh : et si nous sensibilisions par un label, ou autre impératif?. Évalué à 2.
C'est bien vrai mais le principe des lois c'est de les écrire en continue au cas où, un jour, tu ai besoin de comprendre un comportement. Comme ça n'est pas prédictible, il n'y a pas vraiment le choix.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Paramètres par défaut des distributions
Posté par barmic 🦦 . En réponse au journal ssh : et si nous sensibilisions par un label, ou autre impératif?. Évalué à 2.
C'est à dire ?
Une rotation avec compression et il se fatiguera avant toi.
Mais bon c'était surtout pour dire que personne ne tente un brute force réseau.
Ça il faut voir. Je serais pas surpris qu'il soit possible de DDoS via fail2ban.
Là où SSH va juste ouvrir/fermer des connexions. fail2ban doit parser les logs, mettre ) jour les règles iptables pour ban et pour unban. Il me semble avoir vérifié récemment les configurations récentes d'iptables utilisent bien des set d'IP pour ne pas avoir à décharger/recharger tout le parfeu, mais ça n'a pas toujours était le cas. Et bon le principe des DDoS c'est d'avoir pleins d'ip et d'agréger les bandes passantes. Si tu as pris le temps d'analysé le comportement du fail2ban adverse tu peut potentiellement le charger dans une boucle de ban/unban.
Tout ça pour dire que c'est pas magique et qu'il faut faire attention à sa configuration.
Soyons clair si fail2ban peu très bien ajouter de la sécurité, je suis convaincu qu'il doit tout son succès à ceux qui réagissent mal à ceux genre de photos : https://i.redd.it/8pldpxudj7h01.jpg (par sympathie pour les concernés je met juste le lien :) )
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Paramètres par défaut des distributions
Posté par barmic 🦦 . En réponse au journal ssh : et si nous sensibilisions par un label, ou autre impératif?. Évalué à 3.
Tu as lu ce que j'ai écris ?
Le coût calculatoire n'a plus aucun sens quand tu as une requête réseau obligatoire.
C'est un peu comme quand tu dis a un gars qui utiliserait un mot de passe de 13 caractères (plutôt que ta recommandation à 12) que ça ne sert à rien d'un point de vu sécurité.
Note que ta recommandation est d'utiliser ce que l'ANSII considère comme un mot de passe faible (une entropie inférieure à 80bits).
C'est une expérience. Moi je n'ai jamais vu de serveur ssh compromis, j'ai donc pas besoin de désactiver la connexion root et de me poser des questions sur l'utilisation de mot de passe ou de clef ?
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Paramètres par défaut des distributions
Posté par barmic 🦦 . En réponse au journal ssh : et si nous sensibilisions par un label, ou autre impératif?. Évalué à 4. Dernière modification le 02 janvier 2023 à 15:06.
Aucune méthode est insensible au brute force. La question c'est uniquement quelle est l'espérance de l'attaquant pour passer. L'entropie d'un mot de passe c'est l'estimation du log en base 2 du nombre de tentatives nécessaires pour trouver le bon.
Un mot de passe de 8 caractères avec un alphabet de 62 symboles (majuscules, minuscules, chiffres) a une entropie de 48bits, il est considéré comme très faible par l'ANSII et il faut 281 474 976 710 656 tentatives pour le trouver.
Sans trop te poser de question (utilisation de cartes graphiques, fpga, etc) tu peux tenter plusieurs milliards de mot de passe par seconde. Tu met moins d'une semaine pour passer au travers? Mais ça c'est quand tu as un fichier à déchiffrer. Si tu dois faire un accès réseau et qu'un fail2ban te ban 1s toutes les 15 tentatives1, tu en a pour un paquet d'années si je ne m'abuse.
Je ne crois pas que les attaques autres que par dictionnaires soient fonctionnelles sur ssh.
J'aime pas fail2ban et je ne m'en sert pas, mais on peut pas lui reprocher de ne pas être un outil de sécurité.
évidement un attaquant très motivé aura un paquet d'IPs pour limiter cette gêne. ↩
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: il en manque
Posté par barmic 🦦 . En réponse au sondage Quel mot de franglais vous horripile le plus ?. Évalué à 4.
C'est pas mal comme communication :p
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Page de don ?
Posté par barmic 🦦 . En réponse à la dépêche Sortie de la version R1 beta 4 de Haiku. Évalué à 3.
Je l'ajoute au thread des améliorations possible. Le chapeau ne dit rien de ce qu'est le projet ou de ces objectifs. Pour moi qui suit d'une manière assez distraite le projet quand je suis tombé sur la première référence à BeOS je ne savais plus si BeOS était l'OS d'origine ou l'un des autres projets qui tentent de maintenir l'écosystème.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Non open source
Posté par barmic 🦦 . En réponse au lien Une intro à Bookwyrm. Évalué à 4.
Dans un contexte de logiciel, c'est un appel à la notion de logiciel libre. C'est une volonté de créer de la confusion. C'est malveillant et c'est bien pour ça que c'est critiquable et critiqué.
Mais c'est aussi assez bête comme procédé. J'y vois très clairement la volonté d'amalgamer « libre » avec « en accord avec ma morale ». C'est un comportement très répandu, mais particulièrement pas malin ici.
S'amalgamer au logiciel libre, c'est s'amalgamer à ce milieu où les GAFAM capitalistes sont très influents et très importants. Pourquoi ne pas simplement dire que c'est un logiciel anti-capitaliste par exemple ? Non seulement ça distingue de ce capitalisme1, mais ça permet de mettre en lumière leur combat (ce qui semble être l'objectif quand on crée une licence justement pour ça).
Aussi quitte à ne pas reprendre les définitions du milieu proposer les siennes pour entre autres, expliquer ce qu'ils veulent dire par là semble un minimum et permet encore une fois de parler de leurs idées ça devrait leur plaire.
il est important de comprendre que le logiciel libre s'il peut être vu comme un partage proche de l'anarchisme peut aussi être vu comme le graal de la concurrence « libre et non faussée » chère aux libéraux (et qui satisfait les capitalistes capables d'éliminer la concurrence autrement) ↩
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Commande file
Posté par barmic 🦦 . En réponse à la dépêche Sortie de uchardet 0.0.8 pour la détection de codages de caractères. Évalué à 2.
S'il voulait dire que c'est du multi-octets il indiquerait multi-octets. Là il indique ascii, iso-8859-1 ou utf8 qui sont des encodages.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Paramètres par défaut des distributions
Posté par barmic 🦦 . En réponse au journal ssh : et si nous sensibilisions par un label, ou autre impératif?. Évalué à 2. Dernière modification le 01 janvier 2023 à 16:50.
Dans ce que je vois rapidement :
Typiquement le genre de cas où le chiffrement de clef me paraît évident.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Paramètres par défaut des distributions
Posté par barmic 🦦 . En réponse au journal ssh : et si nous sensibilisions par un label, ou autre impératif?. Évalué à 4.
J'entends (de la part de l'utilisateur) "viens pas nous embêté avec ton truc que je connais pas. On a toujours fais comme ça et c'est pas toi qui va me faire changer". C'est le même genre d'arguments qu'on a vu pour expliquer que c'était inacceptable que Firefox ne supporte plus FTP. L'utilisateur veut pas.
Il faut l'accompagner, mais il faut vraiment que l'utilisateur comprenne qu'il n'est pas seul sur Internet et que les pratiques se doivent d'évoluer. C'est l'une des fonctions des gens de la tech de faire ce devoir de conseil.
D'autant qu'il y a d'autres apports à l'usage de clefs. Tu peux supprimer une clef sans impact sur les autres usages et tu n'a pas de secret partagé.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Paramètres par défaut des distributions
Posté par barmic 🦦 . En réponse au journal ssh : et si nous sensibilisions par un label, ou autre impératif?. Évalué à 3.
Pour ne pas la chiffrer il faut avoir bien ignoré ton logiciel qui t'a dit que ce serait bien que tu mette une passphrase. Je comprends que dans certains cas, on puisse trouver contraignant de chiffrer sa clef (avoir un agent ssh lancé avec ta session demande un peu de configuration), mais s'il est admis que c'est une machine partagée je ne vois pas comment on peut se dire que c'est une bonne idée. Sans mettre en cause la probité de tes collègues, ça évite aussi des maladresses.
C'est les mêmes qui ont l'accès root aussi sur les serveurs en question ?
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Paramètres par défaut des distributions
Posté par barmic 🦦 . En réponse au journal ssh : et si nous sensibilisions par un label, ou autre impératif?. Évalué à 2.
Je connais pas d'appli sftp qui ne soient pas en mesure de gérer des clefs.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Paramètres par défaut des distributions
Posté par barmic 🦦 . En réponse au journal ssh : et si nous sensibilisions par un label, ou autre impératif?. Évalué à 3.
Ton ordiphone peu utiliser une clef, surtout si tu as des besoins irrésistibles de te connecter n'importe où.
Je ne comprends pas. Comment pourrait-il accéder à ta clef ? Ça fait longtemps que ça ne m'est pas arrivé, mais si c'était le cas d'une je coupe tous les shell ssh et de 2 je vire toutes les entrées de mon agent. Comme tu dois de toute manière faire l'un ajouter l'autre ne demande pas plus de rigueur. Il est même possible que tu fasse déjà quelque chose de suffisant avec un
pkill ssh. Perso je préfère garder mon agent en vie, mais c'est un détail.Faut faire attention avec ce genre de sentiment. Personnellement je ne m'autorise pas ce genre d'hypothèse sans qu'un gars un minimum plus sérieux que moi en sécurité le confirme.
Oui, interdire l'accès par mot de passe sauf si tu as une bonne raison.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Paramètres par défaut des distributions
Posté par barmic 🦦 . En réponse au journal ssh : et si nous sensibilisions par un label, ou autre impératif?. Évalué à 2.
Jamais rencontré de cas de besoin de mot de passe. L'usage de clef n'est pas simplement immensément plus sécurisé que n'importe quel mot de passe dit fort, il est aussi infiniment plus pratique à l'usage.
Je suis d'accord avec toi sur le principe, mais dans la pratique les seuls cas que j'ai vu c'est une crainte quant à la mise en place, mais une fois c'est très confortable.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Bar des sports.
Posté par barmic 🦦 . En réponse au journal Tentative de partage de mon expérience, vécue depuis l'extérieur, des réseaux sociaux. Évalué à 1.
Le placement des produits, les affichages, l'organisation de l'étalage, la pratique de la "criée", le positionnement des commerçants les uns par rapport aux autres, le choix des jours de marché,… Tout ça est choisi entre autre pour te faire acheter et c'est normal.
Comme dirait Bourdieu, c'est pas une analyse personnelle des gens. Les gens se comportent comme le système les pousse à se comporter et oui les commerçants doivent vendre pour vivre. Tu connais peut être des commerces qui sont à l'aise et ne cherchent pas à faire plus, mais ce n'est pas ce que le système économique dont ils font partie les pousse à faire.
Juger les agents sur ce que le système les pousse à faire est à mon avis manquer sa cible. Tu ne peux pas changer le comportement des acteurs sans changer le système.
Ensuite tenter d'élargir les définitions est à mon avis un autre problème. Tout comme on voit souvent des gens vouloir amalgamer leur morale à "libre" et libre à leur morale, je trouve que vouloir faire passer toutes les pratiques commerciales peu scrupuleuses dans dark patterns le vide de son sens et cache se pourquoi le terme a été créé.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Commande file
Posté par barmic 🦦 . En réponse à la dépêche Sortie de uchardet 0.0.8 pour la détection de codages de caractères. Évalué à 4. Dernière modification le 31 décembre 2022 à 08:24.
Pourtant il tente de le faire. Si une fonction marche aussi mal généralement soit on la retire soit on tente de la corriger, pourquoi refuser ? La dépendance peut tout à fait être optionnelle voir passer par une interface pour accepter d'autres bibliothèques ou éviter des problèmes de licences.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll