Benoît Sibaud a écrit 10017 commentaires

J'ai juste accolé deux demi-photos (dont une avec les lunettes Trip Glasses de Mitch Altman, testées lors d'un CCC à Berlin).

De mon côté je bosse sur la partie installation complète dans un conteneur lxc stretch avec ansible, histoire de pouvoir créer des conteneurs de développement/test plus facilement. Potentiellement ça me débroussaille le boulot merci.

D'ailleurs je dois publier la partie ansible sur un dépôt public aussi (ça couvre les serveurs hôtes, les conteneurs sites web DLFP, les sauvegardes, mais aussi les conteneurs de courriel et de supervision par exemple).

Le fichier est root:root 0644 sur une Debian 9, une CentOS 7 ou une Ubuntu 14 par exemple. (ma remarque mal formulée était plus sur le fait de laisser un fichier en écriture à tous, que ça soit du 0666 ou du 0777 ou pire)

Un chmod 0755 est largement suffisant. Personne ne devrait jamais utiliser chmod 777 sans comprendre ce que ça fait (et ceux qui comprennent ne le font pas dans la quasi totalité des cas…).

https://tls.imirhil.fr/https/linuxfr.org

Score A
Protocole   60 / 100   (pas content car encore du TLS 1.0 et 1.1 mais il est encore un peu tôt pour les enlever)
Échange de clef 100 / 100
Chiffrement     90 / 100 (pas content car Diffie Hellman : ECC 256 bits DH 2048 bits?)
Global  84.0 / 100

https://www.ssllabs.com/ssltest/analyze.html?d=linuxfr.org&latest

Score A
DNS CAA     No (de toute façon notre DNS via TuxFamily ne le permet pas)
Certificate 100 / 100
Protocol Support 95 / 100  (TLS 1.0 et 1.1)
Key Exchange 90 / 100
Cipher Strength 90 / 100

https://observatory.mozilla.org/analyze/linuxfr.org

HTTP Score D
Score:  30/100
Tests Passed:   7/11
HTTP: Pas de CSP, de HPKP (mouais), de HSTS, de Referrer Policy, de Subresource Integrity (SRI), de X-Content-Type-Options et de X-Frame-Options. Cookie non préfixé

TLS Score I
Pas de AEAD partout, et TLS 1.0 et 1.1

SSH Score D
Add these key exchange algorithms: curve25519-sha256@libssh.org
Add these encryption ciphers: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
Remove these encryption ciphers: aes128-cbc, aes192-cbc, aes256-cbc

htbridge.com

Grade A
Score:  110/100   (gni?)
Pas de OCSP STAPLING, TLS 1.0, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, pas de TLSv1.3, pas de HSTS, pas de HPKP

https://securityheaders.com/?followRedirects=on&hide=on&q=linuxfr.org

Score D
Manquantes Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, Referrer-Policy, Feature-Policy
Dupliquée X-Content-Type-Options

https://hstspreload.org/?domain=linuxfr.org (y a une typo sur le site de Mozilla Observatory avec un ? au lieu d'un = dans l'URL)

No HSTS header

C'est amusant de te voir donner des conseils d'expression en public et de modération vu ta signature.

Et une photo de Charles Bronson est une image de quelqu'un qui n'existe pas non plus.

La mémoire du noyau c'est en gros une suite d'octets en binaire. Pour éviter de devoir retrouver on ne sait trop comment que le 42679^e octet contient dans le bit n°3 la valeur du comportement du noyau en cas de out-of-memory (sachant que ça changera en cas de redémarrage ou de mise à jour du noyau), il est plus facile de pouvoir faire un cat /proc/sys/vm/panic_on_oom pour savoir si ça vaut zéro ou non actuellement. C'est principalement un aspect practicité/faisabilité (un peu dans le style https://xkcd.com/378/ ). Soyons fous, disons que le /proc est au noyau ce qu'une API REST est à un composant web, en gros une interface d'accès aux données et de contrôle des comportements.

Il s'avère que c'est le gagnant. Félicitations à Alex Makas.

Oui, fait. Merci.

Sauf erreur ou oubli:

• Ada Lovelace
• Grace Hopper
• Dorothy Vaughan
• Hypatie d'Alexandrie
• Ingrid Daubechies
• Jocelyne Troccaz (pas encore de page en français ou en anglais, voici la page wikidata)
• Shafi Goldwasser
• Cynthia Dwork
• Pascale Vicat-Blanc
• Anne-Marie Kermarrec (pas encore de page en français, voici la page en anglais)
• Hedy Lamarr
• Rose Dieng-Kuntz
• Cordelia Schmid (pas encore de page en français, voici la page en anglais)
• Joëlle Coutaz (pas encore de page en français, voici la page en anglais)
• Marie-Paule Cani

Journal transféré vers les forums

Un bon exemple de commentaire inutile, qui n'apporte rien sur le fond (pas de réponse à la question) comme sur la forme (ni pédagogique ni bienveillant), par un compte nouvellement créé juste pour rabrouer bêtement un nouveau venu sur le site.

Corrigé, merci.

Il n'est pas vraiment tombé, il a transité de manière sinueuse vers une alternative plus moderne au niveau système, d'une manière plus ou moins contrôlée tendance talons aiguilles sur verglas. Bref on n'a (enfin) plus de Debian Jessie nulle part.

tas de tâches : mise à jour de prod, merger la branch stretch

Et hop deux tâches faites.

Sinon, je ne sais toujours pas ce que signifie "Il vous reste xx avis".

Le nombre de fois que l'on peut noter pertinent/inutile des contenus ou commentaires, sur une journée, calculé suivant le karma. Cf https://linuxfr.org/aide#aide-karma

Le contenu du commentaire actuellement est « Commentaire supprimé par l’auteur. » Il y a bien été masqué par quelqu'un de la modération ensuite. Il n'y a donc pas de bug, par contre il y a plutôt une erreur d'un modérateur.

Mise à jour : corrigé.

Parce qu'on vire le spam.

C'est la modération qui a fermé ses deux précédents comptes. Le premier spammait trop ouvertement. Le second faisait des annonces peu pertinentes (pas de lien vers l'annonce, pas toutes les infos, et sans réponse aux questions posées, tout en continuant à poster d'autres annonces, bref un peu trop spam à notre goût). À voir si les choses s'améliorent ou pas.

Mise à jour: Visiblement non, vu la volonté d'ouvrir des comptes multiples et de tromper. Et du coup le décompte est désormais de 4 comptes fermés.

Corrigé, merci.

Tu ne confondrais pas presse écrite et presse papier ? (Le papier est tout gomme :)

Les articles rédigés en ligne pourraient/devraient survivre (avec des problématiques de putaclics, de fond, d'investigation, de concurrence de la vidéo, de financement, de pub, d'analyse comportementale des lecteurs, etc.).

Nous partîmes soixante cinq mille cinq cent trente cinq ; mais par un blocage retors
Nous nous vîmes soixante cinq mille cinq cent trente quatre en arrivant au port (P. Corneille, docteur es TCP)

$ cat bonjour.c 
#include <stdio.h>

int main(){
         fprintf(stdout, "bonjour");
         return 0;
}

$ gcc -o bonjour_dyn bonjour.c
$ ldd bonjour_dyn 
    linux-vdso.so.1 (0x00007ffd071a9000)
    libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f33a5de3000)
    /lib64/ld-linux-x86-64.so.2 (0x00007f33a5fdc000)
$ ls -nhl bonjour_dyn
-rwxr-xr-x 1 1000 1000 17K janv. 20 20:20 bonjour_dyn
$ /sbin/ldconfig --help
Usage : ldconfig [OPTION...]
Configuration dynamique des éditions de liens lors de l'exécution.

$ gcc -static -o bonjour_sta bonjour.c
$ ldd bonjour_sta
    n'est pas un exécutable dynamique
$ ls -nhl bonjour_sta
-rwxr-xr-x 1 1000 1000 738K janv. 20 20:21 bonjour_sta

Dans le premier cas, la fonction est fournie dynamiquement. Dans le second cas, elle est embarquée dans le binaire. Avec des conséquences sur la taille du binaire, la disponibilité de la bibliothèque à l'exécution, la possibilité de remplacer cette bibliothèque pour correction ou par malveillance, etc.

Pour aller plus loin (mais ça devient plus technique), une discussion twitter récente #prod365 #fr Un peu de #linux #internals: quels sont les mécanismes du #kernel pour lire et executer un programme?

Corrigé, merci. Et merci.

Corrigé, merci.