quand j'ai créé la premiere ligne internet officielle au cameroun (.cm) , on avait 64kbits pour tout le pays :-)
les 2Mb/s c'etait la totalité des communications internationales qui etaient possibles en parallele (ils ne payaient plus la facture a la france), et la le soir on re-essayait souvent avant d'avoir une ligne internationnale !!
bonjour les emmerdes quand tu es développeur ou que tu fais un peu de R&D et que tu testes des logiciels (libres par ex)
pour les tests on a des machines spécifiques, dans une salle de test, avec des règles de parefeu différentes, et des accès admin. la salle est "louée" officiellement (clefs), avec la description des tests.
les tests ne se font pas sur les postes de travail.
Ca me ferait bien ch*er de ne pouvoir utiliser Firefox et Thunderbird et de devoir utiliser IE et Outlook.
perdu, on utilise notes (pas le choix) et on a fait une intégration avec wine pour les postes de travail linux.
on ne prend pas les gens pour des enfants (surtout dans un milieu de cadres où on est jugé sur les résultats et où on a une autonomie dans sa façon d'organiser le travail).
nous sommes loin d'avoir que des cadres, et la liberté des autres amène des tas de problèmes de gestion des machines. un exemple ?
=> M. machin trouve interessant de developper un script VB qui va interroger une db. c'est cool, tellement qu'il le passe a ses potes ... mais y'a un bug (session db pas fermée) => DoS de la DB. Qui est tresponsable pour la direction ? M. machin ou le service informatique ?
les gens "ne sont pas des enfants", mais ne sont pas assez grand pour gerer correctement leurs mots de passe (echanges ...), font des developpements pirates que nous sommes sencé maintenir quand ils démissionnent, ...
Tu as tout a fait raison, jai pris le 6500 pour montrer les extremes ...
Ajoutons aux différences, le fait que le PC routeur aura plus de pannes hardwares (disque dur ...), qu'il fait du bruit par rapport a un 7200
(NB: le 6500 ... c'est carrement bruyant !)
par contre sur un PC/Linux on peut facilement ajouter du netfiter, du rrdtool, sniffer le traffic pour debugger, faire tourner snort ...
le PC => plus souple, plus fragile, perf moyenne.
le 7200 => plus intégré, moins souple, perf moyenne.
le 6500 => carrement robuste, bruyant, performant et hors de prix.
La fonction de routage réseau est une fonction assez simple a rendre relativement performante vu que les informations sont traitées en mémoire seulement (pas besoin de passer pas les performances dramatiques d'un disque dur).
Donc on peut obtenir des performances satisfaisantes avec un PC comme routeur, meme en firewall.
cependant il faut savoir ce que l'on compare:
-> un PC actuel a du mal a remplir 1 lien gigabit avec un transfert de mémoire a mémoire ... sauf a posséder un bus PCI 64bits.
D'après mes tests, avec un bus PCI 32bits, il est peu raisonnable de penser dépasser 700MB (megabits), alors que les bus PCI 64bits permettent de remplir une interface Gigabit simplement.
-> les connecteurs PCI 64bits sont rares dans un PC, au mieux il y en a 1, donc difficile de router quoi que ce soit (il faudrait deux cartes, ou une carte quad, et en plus surveiller la performance du bus ...)
a coté de cela, un routeur 6500 de cisco traite plusieurs millions de paquets par seconde, genre 400 millions de paquets/s (attention hein pas des paquets de 1500octets, mais des paquets de taille moyenne) et 20Gigabit/s en firewall pix
(vitesse du fond de panier: 720 Gigabits/s)
Mais en as tu besoin ?
Si le besoin est de router entre plusieurs interfaces a 100full, un PC y parvient, meme avec la fonction parefeu... et les cartes quad (4 ports RJ45 sont légions).
pour reprendre tes questions:
-> ou est la limite: < 700Mbps en PCI32bits, surement la moitié meme avec le partage du bus sur 2 cartes. je ne sais pas en PCI 64bits mais on peut penser au double ?
-> est-ce atteingnable: en PCI32 oui, il suffit d'une carte quad a 100full. et je ne parle pas du gigabit. en PCI64 aussi surtout que le nombre de slots est très limité.
Ben voyons, on va faire confiance a un truc qui tourne sur le poste client pour gerer le parefeu ....
La verité c'est que lepremier que je prend a faire tourner http-tunnel sur sa machine, il prend un avertissement des RH. C'est pas une action anodine, c'est vouloir contourner volontairement les dispositifs de sécurité de la société.
L'utilisateur, il est la pour bosser.
L'équipe informatique est la pour lui apporter de quoi bosser.
Si il lui manque des trucs, ils fait une demande offcielle et une solution sera proposée.
La solution sera documentée, maintenue, monitorée, ... au standard des autres solutions, et les évolutions futures (proxy/parefeu/...) en tiendront compte.
AH ? comment ?
On me signale que l'utilisateur ne veut pas faire de demande officielle a son manager pour pouvoir faire du mail perso en imap pendant les heures de boulot ?
Je caricature, mais je peux certifier que quand il y a un nouveau besoin PROFESSIONNEL il nous arrive officiellement (mail) très rapidement.
L'inadéquation c'est pas entre les admins sécurité et les utilisateurs, c'est surtout avec les développeurs qui ont besoin d'une masse critique d'utilisateurs de leur appli et qui trouvent malin de ratisser dans les entreprises en essayant de contourner les filtres.
Le grand perdant sera l'utilisateur bidouilleur:
De plus en plus les solutions de sécurité se gèrent jusqu'au poste utilisateur.
D'une console centrale on gère les parefeux personnels sur les postes, l'antivirus ... et on supprime la possibilité de bidouiller l'install du poste aux users, en monitorant que tout est toujours conforme (softs présents sur la machine ...).
Ainsi les postes de travail fournis ne contiendront que des softs approuvés.
c'est assez vrai mais le journal a un sens quand meme !!
sans vouloir tout copier, on peut se demander pourquoi c'est OOwriter qui tient la dragée haute sous linux pour les personnes qui migrent MS->linux. alors que OO est lourdingue a lancer.
comparer (le but de ce journal) ne veut pas dire recopier a l'identique mais COMPRENDRE ce que la concurence a de pontentiellement interessant.
c'est de "l'intelligence" (au sens renseignement/espionage) donc non pas stupide :-)
C'est pas *completement* faux, mais je doit dire que j'ai acheté pas mal de leur numéros:
- pas cher,
- aussi facile a lire qu'un "voici" ou "gala" (a la plage ....)
je ne l'ai jamais pris pour un magazine serieux, (eux non plus d'ailleur) mais la lecture m'étais agréable.
quand lu => poubelle alors que les "misc" on les garde ...
bref pas le meme crénau. et des cotés sympa qui disparaissent.
donc domage.
rsh est vieux comme le monde, n'est pas chiffré, ni authentifié par clef ...
rsh n'a RIEN a voir avec ssh.
bref ne fait pas ce qui est ecrit ci-dessus, utilise ssh qui permet la meme chose que rsh mais avec plus de sécurité !!!!
sinon SNMP c'est pas mal ... mais attention aussi, ne pas s'arreter au protocole SNMP v2 parce que l'udp non authentifié (ou si peu: mot de passe en clair ...) ça va pas vers l'amélioration !!!
un dernier conseil:
le premier commentaire la haut, dit qu'en passant les commandes sur la meme ligne que "ssh ..." cela marchera et c'est vrai. mais en général, si tu te lance dans cette manip, tu va creer une clef ssh applicative utilisée par ton script, et cette clef n'aura pas de passphrase (sinon il ne pourra plus tourner tout seul ...).
du coup cette clef sans passphrase permer de compromettre les machines une par une en rebondissant.
la méthode pour empecher cela c'est d'associer la clef a un scipt sur le serveur:
detail de la méthode:
tu cree un user "monitoring" et une clef ssh sans passphrase pour ce user.
sur chaque serveur a monitorer, tu cree un script /bin/monitor.sh qui effectue les actions. puis tu associe la clef publique du user "monitoring" a cette action en mettant cela dans le authorized_keys:
command="/bin/monitor.sh" rsa ..... (la clef publique).
du coup, certes la clef du user monitoring est sans passphrase, mais elle ne peut QUE servir a lancer ce script (et non pas n'importe quelle commande).
bien sur il reste a ecrire le script /bin/monitor.sh correctement (recuperer les CTRL-C ...) afin d'assurer encore un peu mieux la sécurité du tout.
> Je vois mal comment vérifier le contenu du traffic s'il est chiffré, par exemple comment surveiller le traffic https ?
le produit commercial que je connais qui fait cela (verifier le https) ne se gène pas: il est installé sur le proxy http/https et fait "tout simplement" une attaque "man in the middle": le client se connecte sur le proxy en question au lieu du serveur distant (mais avec un certificat reconnu dans l'entreprise ...), et le proxy dechiffre tout pour controler le contenu.
En general on privilegie le DROP au REJECT parce que invariablement il a de l'information dand l'icmp qui est emis en REJECT. Ces icmp permettent de deviner l'OS voire contiennent des morceaux de buffer memoire non initialisee (vieux bug de certains OS).
De plus ça ralenti les scans de ceussent qui scannent comme des porcs.
bref ça peu s'expliquer dans certains cas.
quand tu parle d'une connection tu pense a une interface reseau, auquel cas il est tres simple de conaitre le debit en relevant les compteurs regulierement (/proc/net/dev).
Si par contre tu pense a une connection TCP, le mieux que j'ai trouvé c'est d'utiliser une bibliotheque d'accès a libpcap et d'additionner les tailles de chaque paquets ...
Si quand tu ferme mozilla, et que ce dernier n'apparait plus dans la liste des process, tu estimes que tu n'as pas recupere la memoire ...
c'est que la "fuite" n'est PAS dans mozilla :-))
il faut donc chercher dans d'eventuelles librairies et le kernel.
mais qu'est-ce qui te fait dire que mozilla a une "fuite memoire" ?
et que cette memoire n'est pas recouvrée en fermant le bestiaux ?
Tu peux *aussi* expliquer a ta responsable marqueting que sa jolie signature n'est jolie que sur SON pc.
Les autres (ses destinataires) recevront peut-etre un truc illisible a la place...
Par exemple, je suis en charge d'une passerelle mail+antivirus et nous supprimons tous les tags HTML a la volée ... nos utilisateurs ne reçoivent QUE du texte.
Presque d'accord avec toi ... sauf que les chaine de test automatiques du kernel utilisent ce "make oldconfig". C'est meme pour pouvoir tester des kernels avec des config equivalente que cette cible de makefile a ete ajoutee.
bref "make oldconfig" DEVRAIT marcher. le 2.6 est censé etre "stable" et donc pas besoin de raisonnements compliqués comme tu le décris plus haut. un kernel stable n'a que des ajout/suppressions de drivers et des corrections de bugs, rien qui demande une intelligence incroyable pour adapter le .config
Et moi cela ne me satisfait pas puisque nous devons rebooter nos OSpour changer de profile alors que *rien* ne nous y oblige (cela se configure a chaud).
Je me suis bien fait un script a moi qui reconfigure une redhat a la volee mais je n'utilise pas les profile reseau a-la-redhat, qui ne couvent pas tout (proxy web ...) et qui sont compliqués.
[ pourquoi ompliqué ? -> utilise des tas de soffts binaires alors que de simples liens symboliques pourraient faire l'affaire, est limite a redhat alors que lma technique ci-dessous pourrait tres bien marcher sur n'importe quel unix (pas AIX), ... ]
Mon systeme est simple:
un repertoire /etc/PROFILES
une copie de /etc/sysconfig, /etc/host, /etc/resolv.conf ... dans chaque sous repertoire de PROFILE par exemple:
/etc/PROFILES/maison/hosts
/etc/PROFILES/maison/sysconfig/...
/etc/PROFILES/maison/rsolv.conf
ensuite un lien symbolique dans /etc/PROFILES pointe sur le profile en cours d'utilisation:
/etc/PROFILES/courant -> /etc/PROFILES/maison
reste a remplacer les fichiers de /etc par des liens symboliques adequat:
/etc/hosts -> /etc/PROFILES/courant/hosts
ma commande "hostprofile" (un shell script) permet de lister les profiles disponibles et d'en changer a la volée. on peut aussi lui demander quel est le profile en cours.
ainsi, je change en une commande le serveur ntp,dns, le nom de domaine, les config reseau, le proxy pour mozilla, le serveur de mail pour mozilla, la passerelle dans mon licq ... et sans rebooter.
j'ai le projet (vieux) de RPMiser cela et d'automatiser un peur plus le procede ... faut que je trouve le temps.
C'est clair !!
pour avoir déja installé des dmz derriere des routeurs Oleane, en general il suffit d'un coup de fil pour qu'ils activent le HSRP ...
bien mieux que des scripts !!
avant de raler pour les gens, tu ferais bien de reprendre contact avec eux et la réalité.
pas faux, mais a sa décharge, je ne connais pas KDE ni kedit ni kate ...
le newbie avec sa distrib plantée, il m'appelle, je me loggue et tape "vi" ...
apporter des choses "user friendly" ne devrait pas etre synonime de suppression de ce qui a fait Unix depuis des decennies. Je ne connais pas d'unix sans vi.
De toutes manieres dans les changements il y a des lésés.
Tu ajoutes aux vrais lésés:
- ceux qui manifestent parce de l'autre bord politique
- ceux qui manifestent car ils ont peur du changement (fréquent)
Plus le fait qu'un pourcentage meme faible (10%) de personnes
dans la rue ca fait du bruit.
et tu obtient la France: impossible de modifier quoi que ce soit sans se faire tapper dessus. Se faire tapper dessus ne devrait pas etre un probleme après tout, si on *sait* que la réforme est bonne, ne pas obtenir de nouveau mandat n'est pas grave, on a quand meme oeuvré pour la nation. Ajoute donc aux postulats ci dessus que les politiciens sont carieristes et ne sont pas la pour *servir* mais pour conserver leur poste ... et tu obtient la politique Française: SURTOUT NE RIEN FAIRE.
Moi j'en ai marre de cela. Je veux des politiciens qui croient en leurs solutions et qui les appliquent, puis qui assument leur choix. Quel choix ? peu importe en l'espèce, il y a un moment ou il faut AGIR, marre de l'inertie.
mais je pense que tu parles de Checkpoint en te référant à la version 4.1
ben y'a pas besoin de "penser", je l'ai écrit dans mon post.
NG nous avons réussi a l'éviter. Mais sinon:
- TOUTES les personnes qui l'utilisent pour faire du VPN me disent que c'est encore pire qu'en 4.1.
- Les aures m'ont clairement dit "not worth the money"...
En gros, sur la 20aine de personnes différentes réparties dans les entreprises que je cotoie (en France, Allemagne, Angleterre, USA, ...) , AUCUNE ne m'a dit du bien de NG. (exemples de contournements a mettre en place pour que cela marche, lots d"astuces" pour que le biniou veuille bien faire ce qu'on lui demande, ... jusqu'aux migrations pas du tout simples de 4.1 a NG).
De la a renforcer mon opinion sur checkpoint et éviter de payer pour NG ...
Quand à Cisco ... restons sérieux ... un pix n'est pas un vrai firewall !!! Ce sont des access list avec du NAT ... rien d'autre !
un pix c'est quand meme un firewall statefull, un mode de clustering exemplaire de simplicité, des acl oui, mais c'est le lot de tout firewall les acls. Ton checkpoint fait la meme chose !! Tu crois vraiment qu'un checkpoint fait plus ??? lol.
maintenant si pour toi un firewall se doit de comprendre aussi les proxy applicatifs, ben effectivement ça ne le fait pas. mais c'est un + a mes yeux, les proxy applicatifs n'ont rien a faire dans un équipement réseau.
j'aimerais bien voir ou on arrive a imposer ce genre de "bonnes pratiques"
moi chez mes clients.
le routage interne (intranet) a une route par defaut vers /dev/null.
le firewall externe a une seule route (celle par défaut) vers le grand ternet (autrement dit il ne connait pas le réseau interne et ne peut pas y acceder, les seules machines qu'il voit sont les proxy applicatifs qui sont dans son netmask.
seuls les protocoles pour lesquel j'ai installé un proxy applicatif sont utilisables.
c'est lourd, cela oblige a réflechir pour chaque nouvelle demande, mais j'aime bien.
de plus par rapport a l'avantage de l'interface de checkpoint "qui permet de'appliquer les règles necessaires a tous les parefeu sur la route", ben ce ne sert plus a rien puisque AUNCUN traffic en passe plusieurs parefeux :-))
[^] # Re: reviendu
Posté par PLuG . En réponse au journal FreeADSL se met en 4 pour me passer en 2048. Évalué à 6.
les 2Mb/s c'etait la totalité des communications internationales qui etaient possibles en parallele (ils ne payaient plus la facture a la france), et la le soir on re-essayait souvent avant d'avoir une ligne internationnale !!
ça c'est de la fracture.
[^] # Re: Oui bonne nouvelle :)
Posté par PLuG . En réponse à la dépêche Sortie officielle de Flumotion. Évalué à 5.
tu demande a ta copine d'installer netmeeting sur son windows et hop ça roulaize.
[^] # Re: Justement !
Posté par PLuG . En réponse à la dépêche Firefox 1.0 RC1 et autres nouvelles de Mozilla. Évalué à 1.
bonjour les emmerdes quand tu es développeur ou que tu fais un peu de R&D et que tu testes des logiciels (libres par ex)
pour les tests on a des machines spécifiques, dans une salle de test, avec des règles de parefeu différentes, et des accès admin. la salle est "louée" officiellement (clefs), avec la description des tests.
les tests ne se font pas sur les postes de travail.
Ca me ferait bien ch*er de ne pouvoir utiliser Firefox et Thunderbird et de devoir utiliser IE et Outlook.
perdu, on utilise notes (pas le choix) et on a fait une intégration avec wine pour les postes de travail linux.
on ne prend pas les gens pour des enfants (surtout dans un milieu de cadres où on est jugé sur les résultats et où on a une autonomie dans sa façon d'organiser le travail).
nous sommes loin d'avoir que des cadres, et la liberté des autres amène des tas de problèmes de gestion des machines. un exemple ?
=> M. machin trouve interessant de developper un script VB qui va interroger une db. c'est cool, tellement qu'il le passe a ses potes ... mais y'a un bug (session db pas fermée) => DoS de la DB. Qui est tresponsable pour la direction ? M. machin ou le service informatique ?
les gens "ne sont pas des enfants", mais ne sont pas assez grand pour gerer correctement leurs mots de passe (echanges ...), font des developpements pirates que nous sommes sencé maintenir quand ils démissionnent, ...
tu vois le topo ?
[^] # Re: Utilité ?
Posté par PLuG . En réponse au sondage Le chiffrement des emails (gpg...). Évalué à 1.
le prochain voisin qui fait du tapage nocturne j'organise une virée ou on détruit tout son matériel sono, tu participe ?
[^] # Re: OpenBGPd
Posté par PLuG . En réponse à la dépêche Sortie de OpenBGPd. Évalué à 3.
Ajoutons aux différences, le fait que le PC routeur aura plus de pannes hardwares (disque dur ...), qu'il fait du bruit par rapport a un 7200
(NB: le 6500 ... c'est carrement bruyant !)
par contre sur un PC/Linux on peut facilement ajouter du netfiter, du rrdtool, sniffer le traffic pour debugger, faire tourner snort ...
le PC => plus souple, plus fragile, perf moyenne.
le 7200 => plus intégré, moins souple, perf moyenne.
le 6500 => carrement robuste, bruyant, performant et hors de prix.
[^] # Re: OpenBGPd
Posté par PLuG . En réponse à la dépêche Sortie de OpenBGPd. Évalué à 10.
Donc on peut obtenir des performances satisfaisantes avec un PC comme routeur, meme en firewall.
cependant il faut savoir ce que l'on compare:
-> un PC actuel a du mal a remplir 1 lien gigabit avec un transfert de mémoire a mémoire ... sauf a posséder un bus PCI 64bits.
D'après mes tests, avec un bus PCI 32bits, il est peu raisonnable de penser dépasser 700MB (megabits), alors que les bus PCI 64bits permettent de remplir une interface Gigabit simplement.
-> les connecteurs PCI 64bits sont rares dans un PC, au mieux il y en a 1, donc difficile de router quoi que ce soit (il faudrait deux cartes, ou une carte quad, et en plus surveiller la performance du bus ...)
a coté de cela, un routeur 6500 de cisco traite plusieurs millions de paquets par seconde, genre 400 millions de paquets/s (attention hein pas des paquets de 1500octets, mais des paquets de taille moyenne) et 20Gigabit/s en firewall pix
(vitesse du fond de panier: 720 Gigabits/s)
Mais en as tu besoin ?
Si le besoin est de router entre plusieurs interfaces a 100full, un PC y parvient, meme avec la fonction parefeu... et les cartes quad (4 ports RJ45 sont légions).
pour reprendre tes questions:
-> ou est la limite: < 700Mbps en PCI32bits, surement la moitié meme avec le partage du bus sur 2 cartes. je ne sais pas en PCI 64bits mais on peut penser au double ?
-> est-ce atteingnable: en PCI32 oui, il suffit d'une carte quad a 100full. et je ne parle pas du gigabit. en PCI64 aussi surtout que le nombre de slots est très limité.
[^] # Re: Justement !
Posté par PLuG . En réponse à la dépêche Firefox 1.0 RC1 et autres nouvelles de Mozilla. Évalué à 6.
La verité c'est que lepremier que je prend a faire tourner http-tunnel sur sa machine, il prend un avertissement des RH. C'est pas une action anodine, c'est vouloir contourner volontairement les dispositifs de sécurité de la société.
L'utilisateur, il est la pour bosser.
L'équipe informatique est la pour lui apporter de quoi bosser.
Si il lui manque des trucs, ils fait une demande offcielle et une solution sera proposée.
La solution sera documentée, maintenue, monitorée, ... au standard des autres solutions, et les évolutions futures (proxy/parefeu/...) en tiendront compte.
AH ? comment ?
On me signale que l'utilisateur ne veut pas faire de demande officielle a son manager pour pouvoir faire du mail perso en imap pendant les heures de boulot ?
Je caricature, mais je peux certifier que quand il y a un nouveau besoin PROFESSIONNEL il nous arrive officiellement (mail) très rapidement.
L'inadéquation c'est pas entre les admins sécurité et les utilisateurs, c'est surtout avec les développeurs qui ont besoin d'une masse critique d'utilisateurs de leur appli et qui trouvent malin de ratisser dans les entreprises en essayant de contourner les filtres.
Le grand perdant sera l'utilisateur bidouilleur:
De plus en plus les solutions de sécurité se gèrent jusqu'au poste utilisateur.
D'une console centrale on gère les parefeux personnels sur les postes, l'antivirus ... et on supprime la possibilité de bidouiller l'install du poste aux users, en monitorant que tout est toujours conforme (softs présents sur la machine ...).
Ainsi les postes de travail fournis ne contiendront que des softs approuvés.
[^] # Re: supaire
Posté par PLuG . En réponse au journal Que manque t'il à Abiword ?. Évalué à 10.
sans vouloir tout copier, on peut se demander pourquoi c'est OOwriter qui tient la dragée haute sous linux pour les personnes qui migrent MS->linux. alors que OO est lourdingue a lancer.
comparer (le but de ce journal) ne veut pas dire recopier a l'identique mais COMPRENDRE ce que la concurence a de pontentiellement interessant.
c'est de "l'intelligence" (au sens renseignement/espionage) donc non pas stupide :-)
[^] # Re: Ca ne va pas plaire à tout le monde, mais je le dis quand même...
Posté par PLuG . En réponse au journal Adieu virus.... Évalué à 8.
- pas cher,
- aussi facile a lire qu'un "voici" ou "gala" (a la plage ....)
je ne l'ai jamais pris pour un magazine serieux, (eux non plus d'ailleur) mais la lecture m'étais agréable.
quand lu => poubelle alors que les "misc" on les garde ...
bref pas le meme crénau. et des cotés sympa qui disparaissent.
donc domage.
[^] # Re: Solution de monitoring
Posté par PLuG . En réponse au message lancer et recupérer le résultat d'une commande à distance. Évalué à 3.
rsh est vieux comme le monde, n'est pas chiffré, ni authentifié par clef ...
rsh n'a RIEN a voir avec ssh.
bref ne fait pas ce qui est ecrit ci-dessus, utilise ssh qui permet la meme chose que rsh mais avec plus de sécurité !!!!
sinon SNMP c'est pas mal ... mais attention aussi, ne pas s'arreter au protocole SNMP v2 parce que l'udp non authentifié (ou si peu: mot de passe en clair ...) ça va pas vers l'amélioration !!!
un dernier conseil:
le premier commentaire la haut, dit qu'en passant les commandes sur la meme ligne que "ssh ..." cela marchera et c'est vrai. mais en général, si tu te lance dans cette manip, tu va creer une clef ssh applicative utilisée par ton script, et cette clef n'aura pas de passphrase (sinon il ne pourra plus tourner tout seul ...).
du coup cette clef sans passphrase permer de compromettre les machines une par une en rebondissant.
la méthode pour empecher cela c'est d'associer la clef a un scipt sur le serveur:
detail de la méthode:
tu cree un user "monitoring" et une clef ssh sans passphrase pour ce user.
sur chaque serveur a monitorer, tu cree un script /bin/monitor.sh qui effectue les actions. puis tu associe la clef publique du user "monitoring" a cette action en mettant cela dans le authorized_keys:
command="/bin/monitor.sh" rsa ..... (la clef publique).
du coup, certes la clef du user monitoring est sans passphrase, mais elle ne peut QUE servir a lancer ce script (et non pas n'importe quelle commande).
bien sur il reste a ecrire le script /bin/monitor.sh correctement (recuperer les CTRL-C ...) afin d'assurer encore un peu mieux la sécurité du tout.
[^] # Re: umask
Posté par PLuG . En réponse au message Umask ?. Évalué à 1.
enfin, comme tout masque, ça marche par operation logique plutot (AND NOT masque)
[^] # Re: pareil
Posté par PLuG . En réponse au journal iptables, un futur firewall applicatif ?. Évalué à 1.
le produit commercial que je connais qui fait cela (verifier le https) ne se gène pas: il est installé sur le proxy http/https et fait "tout simplement" une attaque "man in the middle": le client se connecte sur le proxy en question au lieu du serveur distant (mais avec un certificat reconnu dans l'entreprise ...), et le proxy dechiffre tout pour controler le contenu.
[^] # Re: scan de ports illegal ?
Posté par PLuG . En réponse à la dépêche Nmap 3.70 est sorti. Évalué à 5.
De plus ça ralenti les scans de ceussent qui scannent comme des porcs.
bref ça peu s'expliquer dans certains cas.
[^] # Re: Unix *is* user-friendly. It's just picky about who is friends are...
Posté par PLuG . En réponse au sondage Citation. Évalué à 1.
# libpcap
Posté par PLuG . En réponse au message Avoir le debit d'une connexion. Évalué à 0.
[^] # Re: AAaaaragh !
Posté par PLuG . En réponse à la dépêche Sortie de Mozilla 1.7. Évalué à 1.
c'est que la "fuite" n'est PAS dans mozilla :-))
il faut donc chercher dans d'eventuelles librairies et le kernel.
mais qu'est-ce qui te fait dire que mozilla a une "fuite memoire" ?
et que cette memoire n'est pas recouvrée en fermant le bestiaux ?
[^] # Re: Possibilité d'éditer le source d'un message HTML ?
Posté par PLuG . En réponse à la dépêche Sortie de Thunderbird 0.7. Évalué à 5.
Les autres (ses destinataires) recevront peut-etre un truc illisible a la place...
Par exemple, je suis en charge d'une passerelle mail+antivirus et nous supprimons tous les tags HTML a la volée ... nos utilisateurs ne reçoivent QUE du texte.
[^] # Re: 2.6.3-2.6.6 !!!!
Posté par PLuG . En réponse au journal Kernel 2.6, 6 mois après. Évalué à 1.
bref "make oldconfig" DEVRAIT marcher. le 2.6 est censé etre "stable" et donc pas besoin de raisonnements compliqués comme tu le décris plus haut. un kernel stable n'a que des ajout/suppressions de drivers et des corrections de bugs, rien qui demande une intelligence incroyable pour adapter le .config
# pas satisfasant :-)
Posté par PLuG . En réponse au message [Terminal] Choisir son profil reseau au démarrage (Redhat). Évalué à 1.
Je me suis bien fait un script a moi qui reconfigure une redhat a la volee mais je n'utilise pas les profile reseau a-la-redhat, qui ne couvent pas tout (proxy web ...) et qui sont compliqués.
[ pourquoi ompliqué ? -> utilise des tas de soffts binaires alors que de simples liens symboliques pourraient faire l'affaire, est limite a redhat alors que lma technique ci-dessous pourrait tres bien marcher sur n'importe quel unix (pas AIX), ... ]
Mon systeme est simple:
un repertoire /etc/PROFILES
une copie de /etc/sysconfig, /etc/host, /etc/resolv.conf ... dans chaque sous repertoire de PROFILE par exemple:
/etc/PROFILES/maison/hosts
/etc/PROFILES/maison/sysconfig/...
/etc/PROFILES/maison/rsolv.conf
ensuite un lien symbolique dans /etc/PROFILES pointe sur le profile en cours d'utilisation:
/etc/PROFILES/courant -> /etc/PROFILES/maison
reste a remplacer les fichiers de /etc par des liens symboliques adequat:
/etc/hosts -> /etc/PROFILES/courant/hosts
ma commande "hostprofile" (un shell script) permet de lister les profiles disponibles et d'en changer a la volée. on peut aussi lui demander quel est le profile en cours.
ainsi, je change en une commande le serveur ntp,dns, le nom de domaine, les config reseau, le proxy pour mozilla, le serveur de mail pour mozilla, la passerelle dans mon licq ... et sans rebooter.
j'ai le projet (vieux) de RPMiser cela et d'automatiser un peur plus le procede ... faut que je trouve le temps.
# ttyS0
Posté par PLuG . En réponse au journal Comment sauvegarder les kernel panic. Évalué à 5.
mais le plus simple c'est le cable null-modem.
tu boot ton kernel avec l'option console=ttyS0 et les messages seront redirigés sur le port série.
il suffit d'avoir un minicom lancé sur l'autre PC, et d'activer le mode "logging" pour que l'autre PC enregistre tout dans un fichier.
[^] # Re: Et au niveau du router
Posté par PLuG . En réponse au journal Redondance de passerelle par défaut. Évalué à 2.
pour avoir déja installé des dmz derriere des routeurs Oleane, en general il suffit d'un coup de fil pour qu'ils activent le HSRP ...
bien mieux que des scripts !!
[^] # Re: Mandrakelinux 10.0 Official est arrivée !
Posté par PLuG . En réponse à la dépêche Mandrakelinux 10.0 Official est arrivée !. Évalué à 4.
pas faux, mais a sa décharge, je ne connais pas KDE ni kedit ni kate ...
le newbie avec sa distrib plantée, il m'appelle, je me loggue et tape "vi" ...
apporter des choses "user friendly" ne devrait pas etre synonime de suppression de ce qui a fait Unix depuis des decennies. Je ne connais pas d'unix sans vi.
[^] # Re: La Cabale contre Mandrake ?
Posté par PLuG . En réponse au journal La Cabale contre Mandrake ?. Évalué à 3.
humm partiellement.
De toutes manieres dans les changements il y a des lésés.
Tu ajoutes aux vrais lésés:
- ceux qui manifestent parce de l'autre bord politique
- ceux qui manifestent car ils ont peur du changement (fréquent)
Plus le fait qu'un pourcentage meme faible (10%) de personnes
dans la rue ca fait du bruit.
et tu obtient la France: impossible de modifier quoi que ce soit sans se faire tapper dessus. Se faire tapper dessus ne devrait pas etre un probleme après tout, si on *sait* que la réforme est bonne, ne pas obtenir de nouveau mandat n'est pas grave, on a quand meme oeuvré pour la nation. Ajoute donc aux postulats ci dessus que les politiciens sont carieristes et ne sont pas la pour *servir* mais pour conserver leur poste ... et tu obtient la politique Française: SURTOUT NE RIEN FAIRE.
Moi j'en ai marre de cela. Je veux des politiciens qui croient en leurs solutions et qui les appliquent, puis qui assument leur choix. Quel choix ? peu importe en l'espèce, il y a un moment ou il faut AGIR, marre de l'inertie.
[^] # Re: Article sur la haute-disponibilité de firewalls sur OpenBSD
Posté par PLuG . En réponse à la dépêche Article sur la haute-disponibilité de firewalls sur OpenBSD. Évalué à 3.
ben y'a pas besoin de "penser", je l'ai écrit dans mon post.
NG nous avons réussi a l'éviter. Mais sinon:
- TOUTES les personnes qui l'utilisent pour faire du VPN me disent que c'est encore pire qu'en 4.1.
- Les aures m'ont clairement dit "not worth the money"...
En gros, sur la 20aine de personnes différentes réparties dans les entreprises que je cotoie (en France, Allemagne, Angleterre, USA, ...) , AUCUNE ne m'a dit du bien de NG. (exemples de contournements a mettre en place pour que cela marche, lots d"astuces" pour que le biniou veuille bien faire ce qu'on lui demande, ... jusqu'aux migrations pas du tout simples de 4.1 a NG).
De la a renforcer mon opinion sur checkpoint et éviter de payer pour NG ...
Quand à Cisco ... restons sérieux ... un pix n'est pas un vrai firewall !!! Ce sont des access list avec du NAT ... rien d'autre !
un pix c'est quand meme un firewall statefull, un mode de clustering exemplaire de simplicité, des acl oui, mais c'est le lot de tout firewall les acls. Ton checkpoint fait la meme chose !! Tu crois vraiment qu'un checkpoint fait plus ??? lol.
maintenant si pour toi un firewall se doit de comprendre aussi les proxy applicatifs, ben effectivement ça ne le fait pas. mais c'est un + a mes yeux, les proxy applicatifs n'ont rien a faire dans un équipement réseau.
[^] # Re: Article sur la haute-disponibilité de firewalls sur OpenBSD
Posté par PLuG . En réponse à la dépêche Article sur la haute-disponibilité de firewalls sur OpenBSD. Évalué à 3.
moi chez mes clients.
le routage interne (intranet) a une route par defaut vers /dev/null.
le firewall externe a une seule route (celle par défaut) vers le grand ternet (autrement dit il ne connait pas le réseau interne et ne peut pas y acceder, les seules machines qu'il voit sont les proxy applicatifs qui sont dans son netmask.
seuls les protocoles pour lesquel j'ai installé un proxy applicatif sont utilisables.
c'est lourd, cela oblige a réflechir pour chaque nouvelle demande, mais j'aime bien.
de plus par rapport a l'avantage de l'interface de checkpoint "qui permet de'appliquer les règles necessaires a tous les parefeu sur la route", ben ce ne sert plus a rien puisque AUNCUN traffic en passe plusieurs parefeux :-))