Sur ta box internet par exemple. J'ai toujours pensé que c'était un bon endroit pour ca. Ton blog, tes photos, tes mails, tes data de rs etc. Un raid 1 et un sync quotidien vers un gros s3 pour backup. Pareil pour le streaming, avec les fibres que l'on a aujourd'hui on pourrait très bien le faire.
L'idée c'est que les gens payent ce que ça coûte réellement.
Je forme des jeunes encore à l'école depuis quelques années et je me suis rendu compte que pour eux l'informatique c'est uniquement leur smartphone et leur laptop.
Alors pour quelques centaines d'euro j'ai acheté du hardware d'occasion. Puis j'ai démarré les 3 dl380g7 et le switch cisco Catalyst 2960G dans le bureau.
Maintenant ils ont une idée de à quoi ça ressemble une prod :)
Oui, donc une application un peu grosse, codée n'importe comment, c'est difficile à maintenir … Que ce soit en python ou dans n'importe quoi ça ne change rien.
J'écris une application en python un tantinet complexe, ingestion de données de multiples source, etl, pipeline de datascience, api pour application web et mobile. Tout est en django et ca marche plutôt très bien. Alors oui je fais la guerre à mes développeurs. Notre cicd ne pardonne rien et on traque tout dans sonar. Mais je pense que ça doit être le cas quel que soit le langage. Ce n'est en rien spécifique au python.
Concernant les maj on a des images de base qu'on maintient. Essentiellement deux, une datascience avec tout les tools et une web avec django et ses dépendances. Quand on doit mettre à jour on update ces images-là. Sinon on ne copie que le code.
Honnêtement je viens de la prod web java, websphère, oracle. Eh bien jamais j'y reviens. Python c'est bien, c'est simple, ça fait tout. Certes c'est pas très rapide mais on peut facilement avec k8s en faire tourner plein.
Je suis passé à systemd pour le réseau et c'est quand même vachement bien. Bon ok on fait des trucs bizarre avec le réseau. Plusieurs tables de routage différentes, des vlan, des vxlan, du nftables. Avec systemd tout est dans des fichiers facilement manipulable avec ansible. Mais il est vrai que pour un desktop le fichier interfaces c'était pas mal simple.
Pour moi le seul truc qui manque vraiment à linux aujourd'hui c'est des logs standardisé, en particulier pour le hardware. J'ai fais bcp d'Aix à une époque et la proximité entre l'os et le hardware était vraiment cool.
J'en connais qui vont encore plus loin. Ils vendent des formations fabriquées avec des llm … Et ils sont caliopi et tout hein. Et le patron vois pas le PB. 'on vend plus '…
Non. On peut pas. La page de tarification est tellement longue et compliquée que ça doit être un vrai métier de s'y retrouver.
Par contre ce que je peux dire c'est que c'est le business de ma boîte de récupérer les clients des gafam qui en ont marre de trop payer.
Alors je ne sais pas si c'est vrai. Mais en tout les cas c'est ce qu'ils disent être la raison principale, la seconde étant d'avoir des professionnels de la prod.
Au début c'était pas cher. Mais avec le temps les factures augmentent. Ce qui est logique quand tu payes à la consommation. Chez nous le tarif est fixe et nos clients aiment ça.
Parce que si on veut comprendre comment ça marche. On peut. Et si on veut un truc qui marche, tout le temps. On peut aussi. J'ai des bureaux dans un "tiers lieu" depuis pas mal d'années maintenant. Je fréquente donc au bureau des gens "normaux", windows, office, imprimante prof installée par la mairie etc. J'ai, je pense, de quoi écrire un bon tome d'anecdote bien drôle par an. Chez nous c'est debian stable pour tout le monde. Et ça marche parfaitement. Tellement bien qu'il n'y aurait vraiment rien à raconter :(
Je vais faire mon gauchiste de merde. Mais pourquoi pas faire un service public universel sous l'égide de l'ONU qui développerai les outils et les services universel en opensource ? Navigateur web et moteur de recherche dans un premier temps. Pour la suite c'est pas les idées qui manque 😇
Chez nous on fait de l'admin, on a plein, plein plein plein de bare métal chez OVH. Et on fait du dev data science. On a besoin de pas mal de ram et maintenant pas mal de carte graphique avec plein de ram. Alors je me suis dis, on ya qu'à utiliser les machines qu'on a chez OVH. Et bien non ça marche pas. Ça rame c'est un enfer, x, vnc, x2go, nomachine, j'aitoit essayé. Ça rame un enfer.
Alors pour envoyer des mails ou faire du word ça doit le faire. Mais ni admin, ni dev.
Alors depuis 2015 on achète des grosses machines pour le desktops. Les nouvelles de l'an dernier sont des corei9 64go ram nvme pci5. C'est 4ke mais ça dure dix ans.
Même en étant indépendant la partie gestion d'entreprise n'est vraiment pas à négliger. Collecter la tva, remplir les ursaff, déclarer ses impôts, gérer sa relation cliente, savoir quel type de structure, si je me salarie ou si je me paye en dividende. Il y a beaucoup de chose à savoir et à faire et ce n'est pas anodin. En tous les cas moi j'en aurais été incapable.
Posté par oau .
En réponse au journal cherche nouveau boulot.
Évalué à 6.
Dernière modification le 12 septembre 2024 à 13:45.
Hello
Je dirais que ça dépend de ton état d'esprit. Il y a des gens pour qui le salariat convient. Je fais mes heures, j'accepte ce qu'on me demande de faire dans rechigner, je joue avec les règles et je les applique à la lettre. Voire si la boîte est grosse je me syndique.
Et puis y'a les gens comme moi. Qui ouvrent trop grand leur grande gueule, qui disent au management qu'ils sont totalement incompétent. Et bien sûr ça se termine mal. Mais avec un chèque conséquent et 2ans de chômage pendant lesquels j'ai créé ma boîte. Je fais ce que je faisais avant mais comme moi je l'entends. Et ça marche. J'ai juste mis mon CV sur malt et j'arrive à choper 1 ou 2 nouveau client par an. On grossit tranquillement mais c'est cool. Je ne gagne pas mieux ma vie qu'avant. Mais j'ai un bureau sympa que j'ai choisi, je fais qq notes de frais (internet, téléphone ce genre de truc) et je peux renouveler mon matos tout les 3/4 ans sans problème.
Un warning énorme cependant. Monter une boîte n'est pas du tout à la portée de n'importe qui. Et je le vois tous les jours. Pour y arriver, ça va faire 10ans, je me suis associé à quelqu'un qui savait monter une boîte, à quelqu'un déjà introduit dans ce monde la. Qui sait parler à un banquier et faire payer un client qui paye pas.
Bref. Ça n'a rien de simple. Mais aujourd'hui il n'y a plus rien de simple …
Mon conseil au final, fait une rupture conventionnelle, dis à l'ANPE que tu montes une boîte, comme ça il te laisseront tranquille, prend des vacances pendant 6mois, repose toi et prend du recul, puis monte une auto entreprise et inscrit toi sur malt.fr. Vois si ça te convient. Sinon cherche du taf salarié.
L'erreur initiale du bitcoin, et autre systèmes de votes alternatifs, c'est de penser que le problème est le média, le moyen, le système.
La monnaie comme le système de vote est un contrat social. Les gens, le peuple, les citoyens doivent y consentir pour que le système fonctionne, et pour y consentir ils doivent le comprendre. Qu'importe que ce soit des billets, des coquillages ou des bits.
Tenter de résoudre un problème social politique avec de la technologie est rarement une bonne idée.
C'est le problème des gens intelligents et des ingénieurs. Apporter de la technique là ou il faut du consensus.
certes, mais comment ce code malicieux arrive juste que sur ma machine. C'est ça que je n'arrive pas à comprendre. C'est si courant que ça d'avoir un remote root exploit dans nginx, ssh, haproxy (c'est tout ce qui écoute sur mes serveurs) ? Je n'en ai vraiment pas l'impression.
Pour commencer j'insiste sur le fait que ce n'est vraiment pas du troll et que j'essaie de comprendre à côté de quoi je passe sachant que je n'ai rien de tout ça sur les serveurs que j'administre.
Mais la question est "est ce que ça doit se passer dans le kernel", ce qui implique de
savoir ce que "ça" recouvre exactement. De ce que je comprends, Falcon sensor est un >outil >de monitoring pour la sécurité. Par exemple, tu as un process qui commence à ouvrir des >connexions tcp vers tout ton lan sur tout les ports, la plateforme est censé le voir, et >c'est signe soit qu'une machine s'est fait pourrir et que les attaquants scannent le lan, >soit qu'un salarié faire n'imp. pour faire ça, faut pouvoir intercepter des appels systémes. >Y a qu'un endroit pour faire ça, le kernel.
Je suis perplexe. J'ai un outil de monitoring qui me remonte en temps réel les users connecté et les commandes exécuté sur la machine par un user connecté. Le tout sur un serveur hors de l'infra. Autre pays, autre DC autre range d'ip. Tout est remonté dans une console de monitoring. J'ai dans la console qui est connecté où et qui fait quoi et bien sur devant cette console il y a 3 personnes et chaque alerte génère la création d'un ticket.
Ici pas besoin d'attaquer le kernel pour faire ça.
J'ai ce même outil qui me remonte à intervalle régulier (1min) la liste des processus qui tourne, les ports et les connexions ouvertes. De la même manière uniquement les processus, les ports et les connexions autorisé ne déclenchent pas d'alerte. Tout ce qui n'est pas explicitement autorisé déclenche une alerte et ça remonte dans la console et ouvre un ticket.
Tout ça sans module kernel.
La seule chose que je vois pour contourner ce système ce serait de remplacer les binaires (ps, ss etc) et donc que la personne soit root sur une machine dont le ssh n'est accessible que via un lan et ou chaque personne et chaque commande lancé est tracé dans un outil externe. Toutes les applications tournent avec un user non root. Mais c'est vrai que ça tourne dans un crio qui lui tourne en root.
Une personne pourrait arriver à injecter du code dans une application web (on ne fait que du web), sortir du serveur d'application, rentrer dans le container, passer root, sortir du container, rester root et remonter sur une des machines du cluster. Sur le papier c'est un chemin qui me semble possible mais vraiment pas simple. Ca fait un paquet de zéro day à exploiter.
Mais pour moi ce genre de chose c'est une attaque ciblée. Et il est bien plus simple de troller un des salariés pour avoir son mdp que de monter un truc aussi complexe.
Donc que pourrait m'apporter ce système ? Sur twitter on m'a dit que ça permettait de découvrir des 0day inconnu et ceci grâce à l'IA. Là j'y vois surtout de la com. Je vois aussi surtout un binaire dont j'ai pas le code, qui se loge dans le kernel, qui est root et qui se connecte à internet. Dans le temps on appelait ça un trojan.
Si les 2 partis (en l’occurrence OVH et Microsoft) arrivent à un accord, je ne vois pas > de quel droit la justice devrait aller contre leur souhait dans une dispute économique.
A préciser que cet accord doit être légal avant tout. Je ne sais pas trop de quoi il s'agit réellement mais la loi est au dessus des accords entre entreprise. Et encore heureux. Si "l'institution" est mise au courant d'un problème de légalité elle peut s'auto saisir et enquêter.
[^] # Re: pathétique
Posté par oau . En réponse au lien Forum "Stop aux data centers" à Marseille le 15 mars. Évalué à 2 (+1/-0).
L'idée c'est de leur montrer. Pas de garder tout ce bordel allumé toute la journée 😆
[^] # Re: pathétique
Posté par oau . En réponse au lien Forum "Stop aux data centers" à Marseille le 15 mars. Évalué à 3 (+2/-0).
Sur ta box internet par exemple. J'ai toujours pensé que c'était un bon endroit pour ca. Ton blog, tes photos, tes mails, tes data de rs etc. Un raid 1 et un sync quotidien vers un gros s3 pour backup. Pareil pour le streaming, avec les fibres que l'on a aujourd'hui on pourrait très bien le faire.
L'idée c'est que les gens payent ce que ça coûte réellement.
Je forme des jeunes encore à l'école depuis quelques années et je me suis rendu compte que pour eux l'informatique c'est uniquement leur smartphone et leur laptop.
Alors pour quelques centaines d'euro j'ai acheté du hardware d'occasion. Puis j'ai démarré les 3 dl380g7 et le switch cisco Catalyst 2960G dans le bureau.
Maintenant ils ont une idée de à quoi ça ressemble une prod :)
[^] # Re: Huhu
Posté par oau . En réponse au lien Difficile de recommander Python en production . Évalué à 4 (+3/-0).
Oui, donc une application un peu grosse, codée n'importe comment, c'est difficile à maintenir … Que ce soit en python ou dans n'importe quoi ça ne change rien.
J'écris une application en python un tantinet complexe, ingestion de données de multiples source, etl, pipeline de datascience, api pour application web et mobile. Tout est en django et ca marche plutôt très bien. Alors oui je fais la guerre à mes développeurs. Notre cicd ne pardonne rien et on traque tout dans sonar. Mais je pense que ça doit être le cas quel que soit le langage. Ce n'est en rien spécifique au python.
Concernant les maj on a des images de base qu'on maintient. Essentiellement deux, une datascience avec tout les tools et une web avec django et ses dépendances. Quand on doit mettre à jour on update ces images-là. Sinon on ne copie que le code.
Honnêtement je viens de la prod web java, websphère, oracle. Eh bien jamais j'y reviens. Python c'est bien, c'est simple, ça fait tout. Certes c'est pas très rapide mais on peut facilement avec k8s en faire tourner plein.
[^] # Re: C'est pas que je veuille cramer systemd, mais ...
Posté par oau . En réponse au lien 14 ans de systemd. Évalué à 2 (+1/-0).
Je suis passé à systemd pour le réseau et c'est quand même vachement bien. Bon ok on fait des trucs bizarre avec le réseau. Plusieurs tables de routage différentes, des vlan, des vxlan, du nftables. Avec systemd tout est dans des fichiers facilement manipulable avec ansible. Mais il est vrai que pour un desktop le fichier interfaces c'était pas mal simple.
Pour moi le seul truc qui manque vraiment à linux aujourd'hui c'est des logs standardisé, en particulier pour le hardware. J'ai fais bcp d'Aix à une époque et la proximité entre l'os et le hardware était vraiment cool.
[^] # Re: Marre
Posté par oau . En réponse au journal LLM (encore), effondrement et travail humain. Évalué à 1 (+0/-0).
J'en connais qui vont encore plus loin. Ils vendent des formations fabriquées avec des llm … Et ils sont caliopi et tout hein. Et le patron vois pas le PB. 'on vend plus '…
[^] # Re: Marre
Posté par oau . En réponse au journal LLM (encore), effondrement et travail humain. Évalué à 4 (+3/-0).
Non. On peut pas. La page de tarification est tellement longue et compliquée que ça doit être un vrai métier de s'y retrouver.
Par contre ce que je peux dire c'est que c'est le business de ma boîte de récupérer les clients des gafam qui en ont marre de trop payer.
Alors je ne sais pas si c'est vrai. Mais en tout les cas c'est ce qu'ils disent être la raison principale, la seconde étant d'avoir des professionnels de la prod.
Au début c'était pas cher. Mais avec le temps les factures augmentent. Ce qui est logique quand tu payes à la consommation. Chez nous le tarif est fixe et nos clients aiment ça.
# c'est pour ca que j'aime linux
Posté par oau . En réponse au journal Ethernet, Udev, systemd et CUPS sont dans un bateau, tout le monde saute à l’eau. Évalué à 5 (+4/-0).
Parce que si on veut comprendre comment ça marche. On peut. Et si on veut un truc qui marche, tout le temps. On peut aussi. J'ai des bureaux dans un "tiers lieu" depuis pas mal d'années maintenant. Je fréquente donc au bureau des gens "normaux", windows, office, imprimante prof installée par la mairie etc. J'ai, je pense, de quoi écrire un bon tome d'anecdote bien drôle par an. Chez nous c'est debian stable pour tout le monde. Et ça marche parfaitement. Tellement bien qu'il n'y aurait vraiment rien à raconter :(
gros bisous :)
# pdm
Posté par oau . En réponse au journal UV un énième packageur python. Évalué à 1.
nous on utilise pdm et on est content. Un peu long pour upgrade les packages mais ca va.
# service public universel
Posté par oau . En réponse au lien Le gouvernement américain veut que Google vende son navigateur Chrome, le plus utilisé au monde. Évalué à 2.
Je vais faire mon gauchiste de merde. Mais pourquoi pas faire un service public universel sous l'égide de l'ONU qui développerai les outils et les services universel en opensource ? Navigateur web et moteur de recherche dans un premier temps. Pour la suite c'est pas les idées qui manque 😇
[^] # Re: on a essayé, on a eut des problèmes
Posté par oau . En réponse au lien Microsoft invente un nouveau type de PC : il n’y a pas d’ordinateur dedans . Évalué à 1.
Certes, mais jupyter c'est pour faire du prototypage. Par pour faire du dev, des librairies etc.
# on a essayé, on a eut des problèmes
Posté par oau . En réponse au lien Microsoft invente un nouveau type de PC : il n’y a pas d’ordinateur dedans . Évalué à 3.
Hello,
Chez nous on fait de l'admin, on a plein, plein plein plein de bare métal chez OVH. Et on fait du dev data science. On a besoin de pas mal de ram et maintenant pas mal de carte graphique avec plein de ram. Alors je me suis dis, on ya qu'à utiliser les machines qu'on a chez OVH. Et bien non ça marche pas. Ça rame c'est un enfer, x, vnc, x2go, nomachine, j'aitoit essayé. Ça rame un enfer.
Alors pour envoyer des mails ou faire du word ça doit le faire. Mais ni admin, ni dev.
Alors depuis 2015 on achète des grosses machines pour le desktops. Les nouvelles de l'an dernier sont des corei9 64go ram nvme pci5. C'est 4ke mais ça dure dix ans.
Ah oui. Pas de portable sauf pour l'astreinte.
Voilou
[^] # Re: désactivé par défaut
Posté par oau . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 1.
hello,
je n'ai pas lu mais cups ça écoute pas sur 127.0.0.1 par défaut ?
oau
[^] # Re: i3
Posté par oau . En réponse au journal KDE-Plasma, c'est fini pour moi. Évalué à 1.
j'avoue je ne sais pas du tout si j'utilise wayland ou pas … J'ai une vieille debian stable que j'apt upgrade de temps en temps …
# i3
Posté par oau . En réponse au journal KDE-Plasma, c'est fini pour moi. Évalué à 3.
https://i3wm.org/ juste excellent avec 6 écran, gnome-terminal et firefox. C'est le paradis.
[^] # Re: Les grosses boites peuvent avoir des moyens
Posté par oau . En réponse au journal cherche nouveau boulot. Évalué à 2.
olalala on est bien d'accord.
[^] # Re: bien sûr ça dépend
Posté par oau . En réponse au journal cherche nouveau boulot. Évalué à 3.
Même en étant indépendant la partie gestion d'entreprise n'est vraiment pas à négliger. Collecter la tva, remplir les ursaff, déclarer ses impôts, gérer sa relation cliente, savoir quel type de structure, si je me salarie ou si je me paye en dividende. Il y a beaucoup de chose à savoir et à faire et ce n'est pas anodin. En tous les cas moi j'en aurais été incapable.
# bien sûr ça dépend
Posté par oau . En réponse au journal cherche nouveau boulot. Évalué à 6. Dernière modification le 12 septembre 2024 à 13:45.
Hello
Je dirais que ça dépend de ton état d'esprit. Il y a des gens pour qui le salariat convient. Je fais mes heures, j'accepte ce qu'on me demande de faire dans rechigner, je joue avec les règles et je les applique à la lettre. Voire si la boîte est grosse je me syndique.
Et puis y'a les gens comme moi. Qui ouvrent trop grand leur grande gueule, qui disent au management qu'ils sont totalement incompétent. Et bien sûr ça se termine mal. Mais avec un chèque conséquent et 2ans de chômage pendant lesquels j'ai créé ma boîte. Je fais ce que je faisais avant mais comme moi je l'entends. Et ça marche. J'ai juste mis mon CV sur malt et j'arrive à choper 1 ou 2 nouveau client par an. On grossit tranquillement mais c'est cool. Je ne gagne pas mieux ma vie qu'avant. Mais j'ai un bureau sympa que j'ai choisi, je fais qq notes de frais (internet, téléphone ce genre de truc) et je peux renouveler mon matos tout les 3/4 ans sans problème.
Un warning énorme cependant. Monter une boîte n'est pas du tout à la portée de n'importe qui. Et je le vois tous les jours. Pour y arriver, ça va faire 10ans, je me suis associé à quelqu'un qui savait monter une boîte, à quelqu'un déjà introduit dans ce monde la. Qui sait parler à un banquier et faire payer un client qui paye pas.
Bref. Ça n'a rien de simple. Mais aujourd'hui il n'y a plus rien de simple …
Mon conseil au final, fait une rupture conventionnelle, dis à l'ANPE que tu montes une boîte, comme ça il te laisseront tranquille, prend des vacances pendant 6mois, repose toi et prend du recul, puis monte une auto entreprise et inscrit toi sur malt.fr. Vois si ça te convient. Sinon cherche du taf salarié.
# Le média n'est pas le sujet
Posté par oau . En réponse au journal Pourquoi le rêve du bitcoin est fini.. Évalué à 10.
L'erreur initiale du bitcoin, et autre systèmes de votes alternatifs, c'est de penser que le problème est le média, le moyen, le système.
La monnaie comme le système de vote est un contrat social. Les gens, le peuple, les citoyens doivent y consentir pour que le système fonctionne, et pour y consentir ils doivent le comprendre. Qu'importe que ce soit des billets, des coquillages ou des bits.
Tenter de résoudre un problème social politique avec de la technologie est rarement une bonne idée.
C'est le problème des gens intelligents et des ingénieurs. Apporter de la technique là ou il faut du consensus.
[^] # Re: L'informatique
Posté par oau . En réponse au journal Ford: Quand les brevets ne sont pas pensés par les informaticiens. Évalué à 5.
C'est fait. Pour moi c'est le cantal avec la fibre, la 5g et de l'immobilier vraiment pas cher. Et franchement on est bien :). Viendez !
[^] # Re: Pourquoi la voiture propose une maj en roulant...
Posté par oau . En réponse au lien il paralyse Sète en lançant une mise à jour Tesla au feu rouge. Évalué à 3.
la boite de dialogue dit explicitement que la mise à jour peut prendre jusqu’à 20min. Mais qui lit les boites de dialogue :) ?
# journal d'excellente qualité
Posté par oau . En réponse au journal Fin d’OCSP chez Let’s Encrypt : quid ?. Évalué à 6.
Voilà c'est tout. Merci beaucoup.
[^] # Re: Toujours la même rengaine
Posté par oau . En réponse au lien Every Microsoft employee is now being judged on their security work - OSnews. Évalué à 2.
Et moi qui pensait que j'étais un peu vache avec ms. Sacré article au vitriol.
[^] # Re: Microsoft -> CrowdStrike
Posté par oau . En réponse au lien Une panne géante de Microsoft paralyse de nombreuses entreprises dans le monde. Évalué à 2.
Bonjour,
certes, mais comment ce code malicieux arrive juste que sur ma machine. C'est ça que je n'arrive pas à comprendre. C'est si courant que ça d'avoir un remote root exploit dans nginx, ssh, haproxy (c'est tout ce qui écoute sur mes serveurs) ? Je n'en ai vraiment pas l'impression.
[^] # Re: Microsoft -> CrowdStrike
Posté par oau . En réponse au lien Une panne géante de Microsoft paralyse de nombreuses entreprises dans le monde. Évalué à 9.
Pour commencer j'insiste sur le fait que ce n'est vraiment pas du troll et que j'essaie de comprendre à côté de quoi je passe sachant que je n'ai rien de tout ça sur les serveurs que j'administre.
Je suis perplexe. J'ai un outil de monitoring qui me remonte en temps réel les users connecté et les commandes exécuté sur la machine par un user connecté. Le tout sur un serveur hors de l'infra. Autre pays, autre DC autre range d'ip. Tout est remonté dans une console de monitoring. J'ai dans la console qui est connecté où et qui fait quoi et bien sur devant cette console il y a 3 personnes et chaque alerte génère la création d'un ticket.
Ici pas besoin d'attaquer le kernel pour faire ça.
J'ai ce même outil qui me remonte à intervalle régulier (1min) la liste des processus qui tourne, les ports et les connexions ouvertes. De la même manière uniquement les processus, les ports et les connexions autorisé ne déclenchent pas d'alerte. Tout ce qui n'est pas explicitement autorisé déclenche une alerte et ça remonte dans la console et ouvre un ticket.
Tout ça sans module kernel.
La seule chose que je vois pour contourner ce système ce serait de remplacer les binaires (ps, ss etc) et donc que la personne soit root sur une machine dont le ssh n'est accessible que via un lan et ou chaque personne et chaque commande lancé est tracé dans un outil externe. Toutes les applications tournent avec un user non root. Mais c'est vrai que ça tourne dans un crio qui lui tourne en root.
Une personne pourrait arriver à injecter du code dans une application web (on ne fait que du web), sortir du serveur d'application, rentrer dans le container, passer root, sortir du container, rester root et remonter sur une des machines du cluster. Sur le papier c'est un chemin qui me semble possible mais vraiment pas simple. Ca fait un paquet de zéro day à exploiter.
Mais pour moi ce genre de chose c'est une attaque ciblée. Et il est bien plus simple de troller un des salariés pour avoir son mdp que de monter un truc aussi complexe.
Donc que pourrait m'apporter ce système ? Sur twitter on m'a dit que ça permettait de découvrir des 0day inconnu et ceci grâce à l'IA. Là j'y vois surtout de la com. Je vois aussi surtout un binaire dont j'ai pas le code, qui se loge dans le kernel, qui est root et qui se connecte à internet. Dans le temps on appelait ça un trojan.
[^] # Re: Pusillanimité ou corruption ?
Posté par oau . En réponse au lien Microsoft signs antitrust truce with OVHcloud . Évalué à 4.
A préciser que cet accord doit être légal avant tout. Je ne sais pas trop de quoi il s'agit réellement mais la loi est au dessus des accords entre entreprise. Et encore heureux. Si "l'institution" est mise au courant d'un problème de légalité elle peut s'auto saisir et enquêter.