LinuxFr.org : première quinzaine d’août 2023

Deux cent onzième épisodes dans la communication entre les différentes équipes de bénévoles autour du site LinuxFr.org : l’idée est de tenir tout le monde au courant de ce qui est fait par la rédaction, l’administration web et système, la modération, le développement, l’association, etc.

L’actu résumée ([*] signifie une modification du sujet du courriel) :

Statistiques

Du 01 au 15 août 2023

1138 commentaires publiés (dont 2 masqués depuis), comme suit :
- 326 commentaires publiés sur les liens (dont 0 masqué depuis) ;
- 582 commentaires publiés sur les journaux (dont 1 masqué depuis) ;
- 75 commentaires publiés sur les dépêches (dont 0 masqué depuis) ;
- 151 commentaires publiés sur les entrées de forum (dont 1 masqué depuis) ;
- 1 commentaire publié sur les sondages (dont 0 masqué depuis) ;
- 3 commentaires publiés sur les entrées dans le système de suivi (dont 0 masqué depuis) ;
- 0 commentaire publié sur les pages wiki (dont 0 masqué depuis) ;
480 étiquettes posées ;
51 comptes ouverts (dont 11 fermés depuis) ;
24 entrées de forum publiées (dont 4 masquées depuis) ;
81 liens publiés (dont 5 masqués depuis) ;
11 dépêches publiées ;
18 journaux publiés (dont 0 masqué depuis) ;
2 entrées nouvelles, 0 corrigée et 0 invalide dans le système de suivi ;
0 sondage publié ;
1 page wiki publiée (dont 0 masquée depuis).

Listes de diffusion (hors pourriel)

Liste ca@ - [restreint]

R.A.S.

Liste linuxfr-membres@ - [restreint]

R.A.S.

Liste moderateurs@ - [restreint]

[Modérateurs] Représentant(e) de la famille de Bram Moolenaar

Liste prizes@ - [restreint]

R.A.S.

Liste redacteurs@ - [restreint]

R.A.S.

Liste team@ - [restreint]

[team linuxfr] [Huma] point sur la préparation de l’espace numérique
[team linuxfr] compte fermé

Liste webmaster@ - [restreint]

R.A.S.

Canal IRC adminsys (résumé)

remplacement d’une clé ssh rsa perso par une ed25519

Groupe Signal (résumé)

remplacement des clés ssh rsa pour les sauvegardes par des ed25519

Tribune de rédaction (résumé)

Du 16 au 31 juillet 2023

gestion de la dépêche suite au décès de Bram Moolenaar

Tribune de modération (résumé)

Du 01 au 15 août 2023

118 messages sur 154 sont des notifications automatiques
- 1 La bannière Capitole du Libre 2023 a été créée
- 1 La bannière Framasoft et pourquoi pas vous ? a été supprimée
- 1 La bannière Soutenez Framasoft a été modifiée
- 1 La bannière Soutenez Framasoft a été supprimée
- 5 La dépêche a été mise à la une
- 2 La dépêche a été supprimée en rédaction
- 6 Le commentaire a été masqué
- 4 Le compte a été désactivé
- 3 Le compte a été privé de tribune pendant 30 jours
- 1 Le compte a été réactivé
- 2 Le journal a été supprimé
- 6 Le lien a été supprimé
- 5 Le message a été supprimé
- 3 Les commentaires ont été bloqués pendant 30 jours
- 24 L’étiquette est désormais cachée, modifiée
- 53 L’étiquette vient d’être créée
proposition d’une image par Ysabeau pour une nouvelle section langages ou programmation (pour ceux qui n’ont pas leur propre section notamment)
un jour il faudra mettre des confirmations sur se déconnecter et oublier tout, parce que les gros doigts et les décalages d’affichage à la dernière seconde, c’est pénible 😉
un pénible qui revient, au moins transitoirement

Commits/pushs de code https://github.com/linuxfrorg/

Admin. sys. :

Use ed25519 ssh key for duplicity, instead of rsa ones

Divers / TODO / pense-bête

aide / FAQ : synthèse en cours d’écriture sur le karma ;
finaliser un peu le code qui permet de tester actuellement 283 adresses du site.

# RSA → ed25519 ?

Qu'est ce qui motive ce choix ? Simple mise à jour ? De nouvelles attaques ?
Merci pour ces nouvelles.

« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

[^] # Re: RSA → ed25519 ?

Posté par Benoît Sibaud (site web personnel) le 23 août 2023 à 14:36. Évalué à 6.

https://metadata.ftp-master.debian.org/changelogs//main/o/openssh/openssh_9.2p1-2_changelog

openssh (1:8.8p1-1) unstable; urgency=medium

  * New upstream release (https://www.openssh.com/releasenotes.html#8.8p1,
    closes: #996391):
    - This release disables RSA signatures using the SHA-1 hash algorithm by
      default.  (Existing RSA keys may still be used and do not need to be
      replaced; see NEWS.Debian if you have problems connecting to old SSH
      servers.)

(et peut-être RequiredRSASize directive to set a minimum RSA key length je n'ai pas vérifié la valeur par défaut)

Depuis un post client en Debian 12, il n'était plus possible de se connecter à certains serveurs sans modifier sa configuration ssh pour ces serveurs. Et les connexions depuis ces serveurs problématiques vers des Debian 12 pour les sauvegardes ne fonctionnaient plus non plus. -> il était temps de remplacer certaines clés RSA

Ensuite sur le choix : ECDSA n'a pas trop la côte ("Possible NSA backdoor" sur sshcheck.com par exemple), donc il reste ed25519 ou RSA-SHA2. C'est plus facile de changer d'algo pour voir si on n'a rien oublié et les clés ed25519 sont plus courts, deux arguments pas spécialement sécu pour arbitrer entre les deux choix possibles.

[^] # Re: RSA → ed25519 ?

Posté par Benoît Sibaud (site web personnel) le 23 août 2023 à 19:39. Évalué à 3.

man sshd_config

     RequiredRSASize
             Specifies the minimum RSA key size (in bits) that sshd(8) will accept.  User and host-based authentication keys smaller than this limit will
             be refused.  The default is 1024 bits.  Note that this limit may only be raised from the default.

et c'est toujours la valeur par défaut

# sshd -T|grep -i requiredrsasize
requiredrsasize 1024

# RSA → ed25519 ?

Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) le 23 août 2023 à 09:15. Évalué à 4.

Qu'est ce qui motive ce choix ? Simple mise à jour ? De nouvelles attaques ?
Merci pour ces nouvelles.

« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
- [^] # Re: RSA → ed25519 ?
  
  Posté par Benoît Sibaud (site web personnel) le 23 août 2023 à 14:36. Évalué à 6.
  https://metadata.ftp-master.debian.org/changelogs//main/o/openssh/openssh_9.2p1-2_changelog
```
openssh (1:8.8p1-1) unstable; urgency=medium

  * New upstream release (https://www.openssh.com/releasenotes.html#8.8p1,
    closes: #996391):
    - This release disables RSA signatures using the SHA-1 hash algorithm by
      default.  (Existing RSA keys may still be used and do not need to be
      replaced; see NEWS.Debian if you have problems connecting to old SSH
      servers.)
```
  (et peut-être RequiredRSASize directive to set a minimum RSA key length je n'ai pas vérifié la valeur par défaut)
  
  Depuis un post client en Debian 12, il n'était plus possible de se connecter à certains serveurs sans modifier sa configuration ssh pour ces serveurs. Et les connexions depuis ces serveurs problématiques vers des Debian 12 pour les sauvegardes ne fonctionnaient plus non plus. -> il était temps de remplacer certaines clés RSA
  
  Ensuite sur le choix : ECDSA n'a pas trop la côte ("Possible NSA backdoor" sur sshcheck.com par exemple), donc il reste ed25519 ou RSA-SHA2. C'est plus facile de changer d'algo pour voir si on n'a rien oublié et les clés ed25519 sont plus courts, deux arguments pas spécialement sécu pour arbitrer entre les deux choix possibles.
  - [^] # Re: RSA → ed25519 ?
    
    Posté par Benoît Sibaud (site web personnel) le 23 août 2023 à 19:39. Évalué à 3.
    man sshd_config
```
     RequiredRSASize
             Specifies the minimum RSA key size (in bits) that sshd(8) will accept.  User and host-based authentication keys smaller than this limit will
             be refused.  The default is 1024 bits.  Note that this limit may only be raised from the default.
```
    et c'est toujours la valeur par défaut
```
# sshd -T|grep -i requiredrsasize
requiredrsasize 1024
```

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.