Olivier a écrit 889 commentaires

Bonjour,

j'ai écrit un script de configuration de Netfilter : http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/(...)

Il n'est pas graphique, mais une fois configuré il se fait oublié et protège la machine efficacement. L'explication de la configuration est en ligne sur cette URL.

J'ai apporté pas mal de modifications, mais la nouvelle version n'est pas encore publiée, par manque de temps pour faire les rajouts de documentations. Si cela t'intéresse, je peux te l'envoyer (mon adresse email est sur le site).

J'ai aussi écris une doc sur Netfilter et la sécurité sous Linux : http://olivieraj.free.fr/fr/linux/information/firewall/(...) . Elle est longue, mais se veut simple d'accès. Une news est parue sur LinuxFR lors de sa parution : http://linuxfr.org/2003/07/21/13334.html(...)

la premiere observée c'est que captive-ntfs prends bcp de mémoire (compte 300Mo apres quelques minutes)

300Mo ? Oups....

OK, je vais faire des tests de toute façon. Pas mal de personnes me demande comment gérer l'échange de fichiers entre des partitions Linux et Windows, et jusqu'à présent je me débrouillais avec une partition d'échange en FAT32...

Excellent !! Merci !

Voila qui va faciliter l'installation de Linux chez les newbee en dual boot !

NTFS write support by using a linux kernel loader for native
windows ntfs.sys (if present on the corresponding ntfs partition).

Quelqu'un a plus d'informations là-dessus ? Cela veut-il dire qu'il est possible d'écrire, de manière sécurisé, sur du NTFS en utilisant ce fichier Windows ? Et comment sont gérés les droits d'accès aux fichiers ? Peut-ton ajouter/supprimer/modifier les droits d'accès à un fichier sur du NTFS ?

Bravo pour ce journal ! On fait comment pour plussoyer l'auteur ?

Aujourd'hui oui, mais en 1996-97 peu de societes etaient branchees sur internet, les virus se promenaient pas sur les reseaux.

Je ne sais pas où tu étais à cette époque. Mais personnellement, j'administrais à temps partiel un réseau dans une école qui ait une connexion Numeris à Internet. Et bien, qu'est-ce que j'ai eu comme problèmes avec les virus-macro Word, et autres trucs que les élèves ramennaient ou emportaient chez eux, via leurs disquette de sauvegarde...

J'ai connu aussi les premiers virus de type vers, quand les sécrétaires ou les élèves double-cliquaient sur un executable recu par mail, et que ces cochonneries voulaient contacter un ou l'autre serveur FTP...

La situation etait differente. Quand t'es isole dans ton coin, sans e-mail et sans connection internet t'as pas les memes imperatifs de securite

A cette époque, il y avait encore les disquettes que tout le monde trimballait d'une machine à l'autre, personnelle ou professionnelle. Et avec elles se repartissaient tout leurs virus....

NT4 plein de gens pouvaient l'installer et en faire un petit serveur de fichiers etc... sans connaissances particulieres, tu les verrais faire ca avec un BSD d'il y a 6 ans ?

Oui, avec NT4 n'importe qui peut installer un petit serveur de fichiers et d'impression pour le réseau local de sa PME ou autre.

Mais ce n'importe qui peut aussi se faire pirater aussi sec sa machine, parce qu'il n'a pas installé un firewall, restraint son partage de fichiers à son interface réseau local, installé le derniers SP, etc... Et cette brillante machine se trouve du jour au lendemain un sac de virus, qui va passer son temps à faire du DoS contre www.sco.com ou www.microsoft.com... Un juste retour des choses en somme ! :)

Oui, avec Windows bon nombre de personnes qui ni connaissent rien à l'informatique sont capable d'installer un truc bancal. Mais celui-ci s'effondrera au premier souffle (je ne parle même pas de tempête) d'un quelquonque virus ou vers.

Un exemple typique : Il y a quelques années, j'ai vu un jeune embauché de ma SSII se la peter en disant "moi aujourd'hui j'ai installé 3 Windows NT, avec serveur IIS et tout le bataclan. Je suis trop fort". Mais en creusant un peu, je me suis rendu compte qu'il n'avait ni installé AUCUN SP (à l'époque, le 6 était sortie depuis belle lurette), et avait laissé les réglages par defaut de IIS, MMC, serveur SMTP, et autres joyeusetés... Et il a fait cela bien entendu chez un client. Je n'ose pas imaginer ce que cette machine s'est pris dès le premier I-love-you, blaster ou autre...

OK, Windows *semble* simple à configurer. Mais c'est une erreur de le laisser installer et utiliser par des personnes qui ni connaissent rien. D'un autre coté, cela booste la vente de support téléphonique de ta boîte, et celles de sociétés de services spécialisées dans le dépannage d'urgence... Personnellement, quand je dois aider des collègues qui sont sous Windows, j'ai vraiment l'impression de passer mon temps à combattre des feux de forêt qui s'allument partout en même temps, et que l'on ne peut pas éteindre complètement.

En ces temps rudes où les virus se multiplient partout, ente un serveur mal configuré sous Windows et pas de serveur du tout sous Linux/BSD, je préfère ne pas avoir de de serveur du tout...

Danned, est-ce là la preuve que c'est eux qui en sont les auteurs ? :=))

Un exploit ptrace ou brk sur des machines non patchées, et en 20 secondes, le travail est fait. Par contre, pour les Windows, je ne trouve pas aussi facilement des exploits qui me donneraient un accès Terminal Server distant pour devenir root facilement.

Je crois que tu te mets un peu le doigt dans l'oeil quand même. L'été dernier, alors que MSBlaster faisait des carnages sur les XP, j'ai trouvé en 5 minutes un site qui fournissait une démo du même exploit qu'utilisait blaster pour rentrer par le port 135. Le site était parfaitement légal (un sité de sécurité réseau, je l'avais trouvé à partir de http://www.k-otik.net/(...) ).

5 minutes pour comprendre le README, 5 secondes de compilation, et j'avais un shelld sur la machine d'un collègue, sur lequel j'ai fait un "echo toto > c:\hacked.txt". Pour quelque chose de plus violent, je pouvais au choix :
- lancer n'importe quelle commande de FTP / TFTP pour télécharger et executer sur la machine un troyen quelconque.
- arrêter les programmes pénibles : antivirus, firewall,
- mettre/récupérer des données dans la base de registre
- etc...

Alors franchement, trouver des exploits pour Windows, c'est loin d'être difficile ! Tu n'as pas du chercher sur les "bons" sites !

Dans le même genre, j'ai un affaire à un truc rigolo (enfin, si on peu dire...). Machine assez récente (cela se passait l'année dernière) :
- Athlon 1800
- 256Mo de RAM
- CM ASUS (bonne qualité quoi)
- Carte son SoundBaslter Live! 1024 (donc pas une carte son à 2 balle).

Aucun problème sous Linux, tout marche nickel.

Installation sous Windows XP+SP1 (le SP1 était intégré au CD de XP), aucun drivers additionnel utilisé (j'ai laissé Windows se débrouiller seul avec son CD), la machine JAMAIS connectée à Internet et ne faisant tourner que le softs contenu sur le CD de XP. Lorsqu'on passe des MP3 (Windows Media Player), au bout d'un temps variable la sortie son se coupe. Il faut passer par le mixeur et éteindre/rallumer la sortie son. Au bout de 2-3 plantages de ce type, écran bleu ou reboot. Malgrès une réinstallation "from scratch" minimaliste, le problème persiste.

J'ai cherché un bout de temps la cause du problème, quand au final j'ai fini par télécharger les derniers drivers de Creative Labs. Depuis, Le problème ne s'est plus reproduit... Mais l'utilisateur de la machine a été trop dégouté, et il ne l'utilise pour ainsi dire plus que sous Linux ! :)

Conclusion : Le problème est sans doute dût au driver de la carte son. Pourquoi en parler alors ? Tout simplement parce que c'est le driver fournit par MS dans le CD qui plantait, et qu'il avait passé le "lab test" des drivers Windows (ou en tout cas, aucun message d'alerte n'indiquait le contraire).

Que doit t'on en conclure alors :
- MS ne sait pas faire un driver pour cette carte son ?
- MS a utilisé un vieux driver buggé de Creative Labs, et mis son nom à la place (dans les "A propros" du drivers, c'est MS qui est indiqué comme le propriétaire du driver)
- Windows XP est instable ? :)

Bref, sur qui doit on taper ? Si, c'est MS qui a fait le driver, cela veut dire que les équipes de dev de drivers de MS ne sont pas fichus de faire un driver correct ? Auquel cas, il faut que PBPG précisent que quand ils parlent des drivers qui font planter Windows, c'est de TOUS les drivers dont il faut se méfier, même ceux de MS... Mais un PC sans drivers, on peut l'utiliser ?

En tout cas, une chose est sur : Avec cette machine, dont les composants sont de bonne qualité et qui marche très bien (*), un Windows XP-SP1 "out of the box" ne marche pas. Est-ce que l'on peut vraiment parler de stabilité dans ce cas là ?

(*) Hormis la carte son, le reste des composants étaient neuf. La carte son avait tournée sans souccis pendant 2 ans dans une autre machine, sous Windows 98. Et la nouvelle machine fonctionne toujours aujourd'hui avec les mêmes composants

Ce que je ne comprend pas, c'est pourquoi seul l'industrie du disque serait la bénéficière de cette redevance ? Sur internet, il n'y a pas que de la musique qui est téléchargée, mais aussi des films, des CD de jeux ou de programmes non libres, des bandes déssinées, etc...

Et surtout, comment serait redistribué cette taxe ? Quel part donner à quelle editeur/fournisseur ? En fonction de quels critères ? De ce qui est écouté / vu /utilisé sur les supports réels ? Cela me semble particulièrement aléatoire comme critères car, de ce que j'ai lu, l'industrie des films X se dit le plus touchée par le P2P, alors qu'en-dehors d'Internet, je doute que le volume de films X soit si important par rapport aux autres films...

Enfin, une telle taxation de l'upload serait parfaitement inique : Cela me ferait mal de devoir payer de la Starac ou du TopStar lorsque j'envoie par mails des photos de vacances ou de la famille...

Oui, en placant un ampèremetre EN SERIE avec le PC, puis de multiplier la valueur lue (en ampère donc) par la tension (220V) et en divisant par la racine carré de 2 (tension alternative).

Attention, il est très facile de se tromper en faisant un tel montage, donc si tu n'es pas sûr de ce que tu vas faire, ne le tente pas : C'est le court-circuit assuré si tu te plantes, et ton PC ou l'appareil de mesure peuvent ne pas s'en remettre... 1 à 4 ampères en 220v alternatif qui passent dans le circuit, cela fait beaucoup d'énergie...

Le code source ouvert permet de trouver les failles et de les exploiter

C'est le discours classique de ceux qui pensent que la meilleur sécurité s'obtient pas l'oburentisme et le manque d'informations. C'est typiquement ce qui s'est passé au niveau des cartes banquaires : Tant que personne ne decouvre le truc, ca marche. Et puis quand il y a tro pde fraude, on change le système (et accessoirement, ce sont les commercants et les clients qui payent l'ardoise).

Il serait intéressant de lui demander ce qu'il pense de l'application de cette technique à CSS, le système de cryptage des DVD : Tout repose sur une serie de codes, dont un a été trouvé par un adolescent de 15 ans(*) dans un lecteur de DVD Windows... 4 ans plus tard, et bien que les techniques de décryptage des DVD aient évolées (libdvdcss), le consortium de DVD ne peut toujours pas empécher la lecture des films par des logiciels n'ayant pas payés leur license (mplayer, xine, etc)....

Le reste de son discours est typique de certains dirigeants : Tant que personne ne sait qu'il y a un problème, le problème n'existe pas...

(*) Son age n'enlevant en rien les capacités de ce garçon

Bravo à toi Fabien pour la création de ce site, et bravo à toute l'équipe pour tout le boulot que vous faites.

LinuxFR est une excellente source d'informations, et toujours intéressante à lire, même si il y a toujours quelques raleurs...

Pour toute machine neuve que j'achete, ou changement de carte mère / mémoire, je lance systématiquement un memtest pendant une durée assez longue : 8h par exemple. Cela permet de bien faire chauffer la machine, et de detecter les instablités de la mémoire dues à la chaleur.

L'avantage de memtest, c'est qu'il permet vraiment de ne tester qu'une partie bien définit de la machine, à savoir le CPU + bus mémoire + mémoire. Pour les autres composants, on peut utiliser d'autres tests.

Par contre, il ne teste en fait pas que la ram. Sur une machine qui plantait de manière très aléatoire, au bout d'un certain temps de "chauffe", il s'est avéré que ce n'était pas la ram qui était défectueuse, mais bien la carte mère. Spécialement lorsque des motifs de type 0000100000 étaient inscrits, le "1" passait spontanément à "0". Le problème devait être dût à une piste sur la CM qui était "influencée" par les courants des pistes attenantes (vraissemblablement par courant induit).

Enfin, si une barrette de ram est un peu fragile, car mal fabriquée, memtest peut la détruite. Sur un PC à "prix tiré" vendu par une grand marque de distribution, j'ai vu une barette de 256Mo se transformer en 128Mo ! Et cela, en seulement 2h de test... Mais bon, la barette avait peut-être été affaiblie avec la précédente alimentation qui était partie en fumée...

Lorsque je me connecte via Wanadoo et que j'utilise postfix en temps que serveur de mail, smtp.wanadoo.fr me renvoie un message disant qu'il n'accepte pas les mails relayés. Or, lorsque j'utilise Free comme FAI, l'équivalent passe sans problème.

Dans un cas comme dans l'autre :
- j'utilise relayhost=smtp.le.fai (smtp.wanadoo.fr ou smtp.free.fr)
- la resolution des noms passe bien par les DNS des fai, et je recopie bien le /etc/resolve.conf dans le /etc du chroot de mon serveur postfix...

Jusqu'à présent, je pensais que c'était un problème de configuration des serveurs de Wanadoo (afin de limiter le spam par exemple), mais si certains ici arrivent à faire fonctionner Postfix chez Wanadoo, je vais me repencher sur la question.

Actuellement, il culmine à 389XPs, ce qui, à mon avis, n'est pas le fruit d'un moinssage effréné de notre part.

J'ai souvenir d'un de ses postes, ou il disait l'année dernière à propos de ses XP "t'en fait pas, j'ai un stock pour finir l'hiver" (je cite de mémoire). A l'époque, il en avait environ 1000... Sois plus de 600 points en moins en 1 an...

En tout honneté, et au vu des résultats, je pense qu'on peut dire que certains se sont acharnés sur lui...

Personnellement, je ne suis en général pas du même avis que lui. Mais ce n'est pas pour autant que j'utilise le "-"...

Etant donné que la 1ère ligne de votre pose est, je cite " L'oiseau en question, il vous emmerde" on comprend pourquoi il a été "scoré" négativement : Un minimum de politesse ne fait pas de mal.

Ceci étant, le message auquel vous répondez "une interview de l'oiseau en question" n'était non plus très courtois.

Pour la liste de vos dernières réponse sur ce site, on peut cependant les visualiser sur la gauche de cette page ci http://linuxfr.org/~philippl/(...) .

le nombre de User Agents est passé de 1804 à 2437 (+35%)

Comment peut-il y avoir autant de user agents différents ? Sur http://linuxfr.org/stats/usage_200311.html#TOPAGENTS(...) , on voit un certain nombre d'agents un peu exotique, mais sans plus. Mais la somme des 15 premiers represente 91,12% de la totalité des UA, et le 15ème ne représente à lui seul que 0,30% des UA.

Alors question : Le reste des UA, ce sont des chaînes aléatoires crées à la volé par le navigateur ou quoi ?

Est-ce qu'ils auraient seulement le choix ? Je veux dire par là que les systèmes de fichiers FAT et NTFS sont tout ce qu'il y a de pratique pour les fabriquants :
- Les PC sous Windows (95% du parc) les lisent sans problème
- Les dernières versions de Windows (la plus grosse partie du parc de Windows) gèrent tout seul les clefs USB (hotpug, rien à faire pour l'installer)
=> Donc la clef USB (ou les appareils photos numériques, et autres materiels de ce type) est très facile à utiliser, car aucune installation de logiciels n'est nécéssaire. Pour la plupart des utilisateurs de PC, c'est du "plug and play" sans souccis.

Si demain les fabriquants se mettent à utiliser un autre format de partition (ext2/3, reiserFS, autre, etc....), il faudra :
- qu'ils developpent un drivers, libre si possible pour nous. C'est un côut de developpement.
- qu'ils demandent à l'utilisateur d'installer ce driver, avec tout les problèmes d'installation que cela représente...

Si ces fabriquants ont 2 sous de bon sens, ils refuseront de payer cette dîme à Microsoft et implémenterons un autre format de fichiers (libre, ce serait bien). Mais la force de l'inertie de certaines industriels ne me laisse pas que de l'espoir...

<extrait>
FAT File System-Related Patents
The FAT file system licensing program includes rights to a number of U.S. Patents, including:
* U.S. Patent #5,579,517
* U.S. Patent #5,745,902
* U.S. Patent #5,758,352
* U.S. Patent #6,286,013
</extrait>

<mode=humour>
Et c'est dans un de ces brevets qu'il est décrit comment stocker n'importe comment un fichier, et de générer ainsi de la fragmentation ? :=)
</mode=humour>

Je ne l'avais pas vu. Ca arrive, non ? Il faut peut-être que je change de lunettes ;-)

Peut-être que si tu avais mis un autre titre j'aurais pu le voir plus facilement ? :))

Fais 8h de test avec memtest (lance le la nuit...), avec le boitier fermé (histoire que la machine monte en température). Pense à ejecter la disquette une fois le teste lancé. Si tu retrouves ta machine sous ton Linux (ou ton Windows), c'est qu'elle a rebooté, et que memtest a réussi à la faire planter. Dans ce cas : Problème possible sur les mémoires ou sur la carte mère.

la ligne
"L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître)."
est donc de trop :)

Le but n'était pas de lancer un troll ! :=)
J'ai trouvé l'info (pour savoir si il fallait ou non mettre à jour ma Mdk 9.2), donc je la partage...

Les correctifs sont disponibles chez Mandrake depuis hier : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA(...)
A noter que la version 9.2 n'est pas vulnérable à ce problème, car il a été précédement patché :
<extrait>
The Mandrake Linux 9.2 kernels are not vulnerable to this problem as the fix for it is already present in those kernels.
</extrait>