philpep a écrit 9 commentaires

  • # Antispam et auto-classification ?

    Posté par  . En réponse au journal Gandi, passe de « no bullshit » à « bait and switch » ?. Évalué à 2.

    Je lis avec intérêt toutes les suggestion de services pour remplacer gandi mail.

    Mais il me semble qu'il y a un angle mort qui est compliqué à distinguer chez ces fournisseurs de service mail c'est l'efficacité et les fonctionnalités avancées de l'antispam.

    Pour le spam j'imagine que la plupart utilisent rspamd ou spamassasin, ok ça fonctionne généralement bien.

    Mais gandi fournit aussi de l'auto-classification avec le header X-GND-Status : https://docs.gandi.net/en/gandimail/sieve/getting_started.html#x-gnd-status

    C'est très pratique et ça permet de faire des filtres SIEVE avancés, ou encore aux webmails de faire des "vues" basées sur ces classifications (un peu comme sur gmail avec "promotions" / "réseau sociaux" / "notifications" etc).

    Chez Renater il ont aussi cette fonctionnalité https://services.renater.fr/antispam/refdocs/marquages

    Connaissez vous un logiciel libre qui fournit ce service (ou à défaut un SaaS EU à prix raisonnable) ? Et est-ce que les fournisseurs de mail sus-mentionnés le font ?

    Mon hypothèse est que gandi utilisait un service propriétaire (type vade secure ou autre) pour faire ça.

  • # Suppression de DSPAM

    Posté par  . En réponse à la dépêche Debian 8 : Jessie l’écuyère est en selle !. Évalué à 3.

    On peut aussi noter la disparition de dspam dans jessie, dspam était un très bon antispam mais il n'est plus maintenu upstream et le mainteneur debian a donc demandé sa suppression de debian.

    Je vais donc probablement migrer vers spamassassin vu que le plugin dovecot antispam que j'utilisais s’intègre avec maintenant.

    Et vous, quel antispam (bayésien ou non) utilisez vous sur debian jessie ?

  • [^] # Re: LXC

    Posté par  . En réponse à la dépêche Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013). Évalué à 2.

    On ne peut pas juste faire un « lxc.cap.drop = a » comme pour « lxc.cgroup.devices.drop » et n'autoriser explicitement que celles dont on a besoin ?

    Justement non puisque les capabilities sont permissives par défaut. Si les développeurs du noyau rajoutent une capability essentielle pour lancer ton container (par exemple CAP_SETUID en est une), il ne redémarrera pas suite à la mise à jours, ce qui est une regression.

  • [^] # Re: LXC

    Posté par  . En réponse à la dépêche Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013). Évalué à 1.

    Certaines capabilities sont obligatoires pour faire tourner une debian (par exemple). Le but de lxc n'est pas la sécurité mais l'isolation, d'où la liste d'exclusion et toutes les capabilities actives par défaut. Et l'apparition de nouvelles capabilities ne vont pas introduire de regression ni de nouvelle "faille" dans tes containers (au pire, il sera moins secure qu'il ne pourrait l'être).

    Mais jeter un coup d'oeil au changelog et en particulier aux capabilities(7) quand on met à jours le kernel c'est toujours une bonne pratique ;)

  • # LXC

    Posté par  . En réponse à la dépêche Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013). Évalué à 6.

    containers LXC : TODO renforcer la sécurité en suivant le LxcSecurity d'Ubuntu, notamment le lxc.cap.drop ?

    Voilà les cap.drop que j'utilise:

    # drop capabilities
    lxc.cap.drop = audit_control
    lxc.cap.drop = audit_write
    lxc.cap.drop = fsetid
    lxc.cap.drop = ipc_lock
    lxc.cap.drop = ipc_owner
    lxc.cap.drop = lease
    lxc.cap.drop = linux_immutable
    lxc.cap.drop = mac_admin
    lxc.cap.drop = mac_override
    lxc.cap.drop = mac_admin
    lxc.cap.drop = mknod
    lxc.cap.drop = setfcap
    lxc.cap.drop = setpcap
    lxc.cap.drop = sys_admin
    lxc.cap.drop = sys_boot
    lxc.cap.drop = sys_module
    lxc.cap.drop = sys_nice
    lxc.cap.drop = sys_pacct
    lxc.cap.drop = sys_ptrace
    lxc.cap.drop = sys_rawio
    lxc.cap.drop = sys_resource
    lxc.cap.drop = sys_time
    lxc.cap.drop = sys_tty_config
    lxc.cap.drop = net_admin
    lxc.cap.drop = syslog
    

    Par contre si on drop net_admin, il ne faut pas oublier de configurer l'ip et gw en static (lxc.network.ipv4, lxc.network.ipv4.gateway).

    Voir aussi sur mon blog pour un exemple de config grsec et iptables pour renforcer l'isolation.

  • # Monté dans le domaine public

    Posté par  . En réponse à la dépêche Apollinaire dans le domaine public 94 ans et 272 jours après sa mort !. Évalué à 3.

    On ne "tombe" pas dans le domaine public, on y monte: http://www.bortzmeyer.org/monte-dans-domaine-public.html

  • # Press and Move

    Posté par  . En réponse au journal XKCD - The world is big !. Évalué à 0.

    Voir aussi "Press and Move" http://xkcd.kajakklubben.org/ via L'oujevipo

    Par contre en ce moment ça lag …

  • # Idéal pour tester la communication série

    Posté par  . En réponse à la dépêche Socat, un outil en ligne de commande pour maîtriser vos sockets. Évalué à 10.

    Je me sert beaucoup de socat pour développer des programmes utilisant le port série (RS232):

    socat PTY,link=/tmp/ttyS0,raw,echo=0 PTY,link=/tmp/ttyS1,raw,echo=0
    
    

    Il suffit alors de lancer un programme sur /tmp/ttyS0 et l'autre sur /tmp/ttyS1 et on a une communication bidirectionnelle série. Très pratique.

  • [^] # Re: Reverse Proxy

    Posté par  . En réponse à la dépêche On est parti ! nginx 1.0.0 est sorti. Évalué à 5.

    Si tu veux réécrire ce qui arrive du serveur web avant de le transmettre au client : SubModule.

    Sinon si tu veux faire des choses très très spécifiques et que tu sais faire du C, l'api pour coder des modules nginx est assez accessible.