PLuG a écrit 1010 commentaires

J'avais jamais lu cette doc, je viens de la parcourir.
C'est clair qu'elle explique pas mal de choses, mais je lui trouve pas mal de defauts aussi:

- pedagogie: on decouvre les regles des exemples au fur et a mesure qu'on avance dans l'article. C'est bien mais c'est pas comme ca qu'on va faire un script de firewall qui est maintenable dans le temps. Ca permet néanmoins de *comprendre* les notions.
le lecteur prendra soint de réfléchir en premier a se politique de sécurité (quelle architecture donner aux regles ?) avant de se lancer a corps perdu comme c'est fait dans l'article, sinon avec un firewall muni de 4 interfaces ca va finir en beau bordel.

- brouillon : la partie FTP est inutilement compliquée. le module contrack_ftp laissera passer les connections ftp-data (ESTABLISHED,RELATED) sans faire toutes ces manipulations douteuses : c'est un firewall statefull avec analyse de certains protocoles quand meme (FTP).

- pas de mention de la taget RETURN qui permet des choses assez sympa pourtant.

finalement le script résultat est contestable : l'anti spoofing n'est pas vraiment la, il n'est pas optimal (le *statefull* (--state ESTABLISHED) est activé au cas par cas, ce qui veut dire que pour certains protocoles c'est la n ieme regle qui va matcher ... prevoir une machine puissante pour tenir du 100 full duplex)

Si j'ai du courage je redigerai un contre-article sur la configuration iptables "a la main", que je trouve bien plus puissante que toute les interfaces graphiques disponibles. Reste a savoir a qui l'envoyer pour publication ...

A noter que jusqu'a preuve du contraire, quand tu compile un kernel la version de glibc qu'utilise ton systeme a peu d'influence sur le resultat (le kernel ne depend pas de la glibc).
mes 2cents.

Et c'est bien la le probleme de la France.
Faire du social c'est évidement louable, mais ca fait fuire les riches qui sont les seuls a pouvoir financer le social en question. Il est donc PRIMORDIAL d'arreter de prelever trop d'impots sur les gros salaires AVANT qu'il n'y ait plus de gros salaires en France.
On aura l'air malin avec 50 millions de smicards en France, le reste des français vivant et cotisant ailleur ...

Ca c'est oublier les multiples semaines de greves qu'ils ont du faire ...
ton gosse est pas tombé malade a cette epoque toi :-)

note s'il te plait que je n'ai traité personne de "salaud" dans mon post que je voulais sur un ton "balancé" ou "pesé".

je voulais juste signaler que le cout de la greve etait réparti entre greviste et parents.

sinon, la creche me coute plus cher qu'une assistante maternelle agréé (nounou) et dédiée... car les couts de la creche sont indexés sur le salaire. pour moi c'était moins cher quand ma fille était chez sa nounou (salaud de riche).

si je la met a la creche c'est bien parce que je pense que ces salauds de fonctionnaires grévistes font bien leur boulot et que la vie en collectivité (60 gamins) profite a l'éducation de ma fille, sinon en bon capitaliste de pere j'emploierai quelqu'un a plein temps chez moi pour garder les gosses et faire le menage + rangement. ca me couterai un peu plus cher mais avec beaucoup plus de services ... [et avec 2 gosses c'est meme moins cher que 2x creche !]

Sinon, calcule: je paye plus de 3500FF / mois / enfant.
y a quand meme de quoi faire une bonne creche privée a ce tarif (60 gamins a 3500 francs par mois, ca fait 26000FF / mois et par fonctionnaire (ils sont 8). a mon avis c'est plus que rentable ... [le probleme c'est que 3500 c'est le maxi, certains y vont pour moins de la moitié ...])

Ou est ce qu'il faut chercher l'argent ? La ou il n'y en a pas ou la ou il y en a ??

la ou il y en a bien sur, il vaut mieux prendre un peu d'argent a beaucoup beaucoup beaucoup de pauvres que prendre beaucoup a quelques riches.

il y a plus d'argents chez les "pauvres" que chez les riches. l'etat ne se trompe pas.

ok --> []

et qui coute 30€/jour et par enfant a ceux qui n'ont pas de solution de garde "papy mamy", ou un jour de congé ce qui est encore plus cher.
sur une creche de 60 gamins, le salaire des fonctionnaires en greve est négligeable par rapport a l'effort financier demandé aux parents pour permettre cette grève. De plus les frais de creche sont mensualisés, je ne pense pas qu'on nous rembourse les jours de fermeture exceptionnelle pour greve ... faudra que j'aille me renseigner a la mairie.

C'est encore moins franc:
Il dit qu'il serait interessant d'auditer le code d'unixware pour chercher des morceaux de linux.

bref rien de diffamant la dedans.

Ca me dérange un peu de passer cette news alors que l'on ne sait pas de quoi il retourne vraiment et que l'on ne connait pas vraiment le niveau de risque associé dans la mesure ou personne ne communique sur le sujet

d'un autre cote, l'annonce sur bugtrack a eu lieu le 14/05 (par redhat avec des liens sur les upgrades kernel pour corriger, un lien sur le message qui contient le patch sur la liste des patchs kernel (patch de davem)) ...

le lendemain (le 15/05) j'avais de plus un message du biniou de redhat (inscription chez eux pour recevoir les annonces ...), a noter que l'on est au courant plus tot si on lit bugtrack :-)
ainsi que l'alerte de "engarde secure linux" postée sur bugtrack aussi.

on a vu des news moins pertinentes etre modérées plus rapidement sans forcement plus de "preuves". Quoi de plus normal que de divulguer les failles rapidement meme si le correctif n'est pas pret, il me semble que c'est le cheval de bataille de l'opensource aussi (contraire de securite par l'obscurité).

Dans ce cas la on peut quand meme se douter que redhat n'a pas relivré le kernel pour des prunes. une ré-écriture de la depeche du style
"une nouvelle faille .... seul redhat fourni un correctif pour le moment nous attendons des nouvelles des autres distribs ainsi que leur point de vue sur la criticité de la faille" permettait de passer le message sans prendre de risque éditorial :-))

Bon voila, ceci est a prendre sur un ton nonchalant, de discussion devant la machine a café hein, je ne suis pas remonté contre ces $*#$ de modérateurs, ils font un bon boulot, c'est juste l'excuse ci dessus qui me parait limite.
Pour les autres, ben la conclusion c'est que pour les failles faut s'abonner a bugtrack ou autre et lire sa mailbox tous les matins. Linuxfr sux pour ca (et est loin de couvrir la totalite du domaine de toutes facons).

Ca a l'air sympa ...
d'un autre cote je voulais creuser perl-GTK, pas pour troller mais pour donner
une interface "clicable" a par mal de scripts perl d'administration ...
c'est pour des scripts existants, ou devant tourner sur des machines ayant perl d'installé et pas python/php/...
Ca m'amuse parce que je me souvient du temps ou il fallait bassiner tout le monde pour avoir perl d'installé sur les sun/aix ... et de montrer a chacun la puissance de perl pour scripter. Aujoud'hui on a perl en standard sur tous les unix du marché ... et on demande pyhton/php JAMAIS CONTENT :-)

Est-ce que quelqu'un a de bonnes url sur le sujet perl-GTK ??

En fait la "bonne pratique" sous unix avant les packages c'etait un truc du genre:

en tant que user normal:
tar xvzf openoffice
./configure --prefix=/usr/local/openoffice
make

en tant que user root:
preparation d'un environnement pour la nouvelle application:
- creation d'un repertoire d'install /usr/local/openoffice
- creation d'un user/group "openoffice" avec home dans /usr/local/openoffice mais sans shell.
- chown openoffice:openoffice /usr/local/openoffice

en tant que "openoffice"
make install

avec ce schema, il est necessaire d'etre root pour installer sur la machine,
ou alors il est necessaire que ROOT prepare l'environnement d'installation,
mais l'install en elle meme est faite par un user dédié a cette application,
et la compilation par un user lambda du systeme.

mais les packages on simplifié tout ca.

Il faut attaquer le serveur SMTP qui renvoie la réponse pour lui pourrir son cache DNS. tu associe le champ MX de l'ecole (sur ce serveur SMTP) avec ton IP, tu reroute les messages vers l'ecole après avoir recupéré les login/password ...

pas facile mais faisable quand meme...
reste a "auditer" la machine SMTP d'en face.
1/ est-ce la meme qui recoit le courier et envoie les reponses ?
--> envoyer un mail a un user inconnu et analyser la reponse
--> envoyer un mail (spam) au vrai user et suciter une reponse automatique
( demander un accusé de reception au mail)
2/ auditer la machine qui a répondu (services qui tournent, failles potentielles ...)
3/ ca devient illégal...

Du reste, je supporterais difficilement une caméra de surveillance dans mes WC ;-)
c'est marrant comme remarque.
on peut y lire toute la pudeur d'une éducation ...
a priori les toilettes c'est une pièce ou tout le monde fait la meme chose, chose qui a priori toujours ne doit pas etre réprehensible (puisque necessaire et vitale pour tous ...)
Bref je crains plus une mesure de lecture par dessus mon épaule, de controle a distance de mes pensées, de saisie de mes disques durs qu'une webcam sous la rondelle des chiottes ou dans mon frigo.
la TV réalité l'a montré: la première fois ca amuse le peuple, ensuite ca lasse et le taux d'audience s'écroule. quel interet de regarder d'autres faire a-peu-pres la meme chose que tout le monde chez eux ???

Je me repond a moi meme ...
kino ne fait toujours pas de multi-piste, il sait en gros faire ce que l'on faisait avec des ciseaux et de la colle avec les films super8...
c'est pas mal, c'est completement libre, mais il manque encore des fonctions.
peut-etre qu'en poursuivant le travail avec cinelerra ....

pareil y a 2 ans (quand j'ai testé) kino etait pas utilisable.
vim je connais bien vu que je fait tout avec lui depuis plus de 10 ans,
alors kino c'est peut etre MA voie si il est devenu utilisable ...

il faut que j'essaie de nouveau cinelerra (cf post au dessus),
pour film gimp, c'est plus un outils de retouche d'images que de montage proprement dit. mais c'est interessant, je devrais aussi y jeter un oeil pour voir, meme si normalement je ne retouche pas trop chaque image du film :-)

Je viens de refaire un tour sur le site de cinelerra ...
apparement ce soft merite que je le re-test, vu que ca fait longtemps
que je n'ai pas ré-investigué de ce coté et que ca a l'air d'avoir pas
mal avancé ...
merci je vais aller voir. Par contre ils disent qu'un dual athlon 2Ghz est
necessaire, premiere tournait sur mon PII 300Mhz et est super pratique
avec mon Athlon 1600XP ... j'espère qu'ils ont vu grand :-))

certes mais le probleme c'est quand ce ne sont pas *nos* yeux qui decodent l'information. certaines personnes (trop) sont persuadées qu'essayer linux c'est perdre son temps (heureusement de moins en moins ...)
je pense donc que ca donne du poids, un levier commercial mais aussi de la crédibilité quand tu annonce que le firewall de l'entreprise va tourner sous linux au lieu de FW-1 :-)

« Je me fiche que les gens utilisent du libre ou pas, ca ne m'apportera rien personnellement. »
j'en rajoute une couche: je souhaite de tout mon coeur ne plus etre obligé de rebooter sous windows pour certaines applis, et JE SUIS SUR que si nous representions plus que ces 1% de choix marginal, les adobe et autre boites de soft feraient des portages de leurs applis pour le pingoin.

donc je ne me fiche pas de ce que les gens utilisent, plus il y a de linuxien, moins on est des "marginaux", plus on devient crédibles ...

Je suis désolé mais j'ai besoin de Adobe Première pour monter mes films vidéo, aucun outils libre ne lui arrive a la cheville, a mon plus grand désespoir, d'autant plus que je transfere mes bandes DV sous linux (dvgrab est top) et suis obligé de rebooter pour monter le film ...

Ce qui est clair c'est que ma gamine utilisera linux.
J'ai toujours reformaté les portables du boulot pour virer winMachin et travailler uniquement sous Windows, si un jour quelqu'un refile un portable windows a ma fille, il sera re-installé (en double boot si necessaire) mais elle essaiera linux.
D'ailleur je suppose que c'est le cas de la plupart d'entre nous, donc que NOS enfants pourront tester les 2 systèmes et choisir librement... comme ma femme qui rouspete de temps en temps mais n'a meme pas windows sur son portable (pas eu le choix de sa liberté elle :-))

Mais que dis-je, quand ma fille sera au collège c'est windows que je serai obligé d'installer en dual boot pour lui montrer les vestiges de l'ancienne informatique,
linux ce sera le système par défaut :-)

ca doit vouloir dire que la version disponible gratuitement en telechargement ne supportera pas le x86-64.

bof c'est un raccourcis que je ne tenterai pas.
RedHat developpe deux release de distribution une pour workstations et une pour serveurs. il est normal AMHA qu'ils parlent du x86-64 sur la partie serveur plutot que workstation... surtout dans les communiqués officiels !!

Ils feront surement une version workstation téléchargeable pour que nous fassions beaucoup de alpha/beta test dessus avant de le vendre sous l'appelation "advanced serveur".

wait & see :-)

Je te plussois puisque tes interventions dans ce thread sont pleines de bon sens... qui sera je l'espère le sens de l'évolution des distributions linux.
Si DJB n'utilisait pas sa license "spéciale" et faisait un peu plus confiance a la communauté du libre (ie avait releasé ses outils en GPL), on aurait certainement plus de distributions grand public (redhat/mandrake/debian) n'utilisant quasiement plus les scripts de demarrage bsd/sysV... et des daemons développés (tous) de la meme facon.
Car tes paroles sont intégralement celles de DJB, qui a de bien bonnes idées.... mais peu d'estime dans ses semblables.

Ca c'est ce qu'ils vont faire avec les motos :-(

parce que nous on a deja acheté un casque et payé une assurance cher, alors y'a plus de tunes a faire sur notre dos.

dailleur on voit bien que le casque ne protege pas puisqu'il y a toujours plein de morts a moto, on aurait du avoir des pistes pour motocyclettes comme il y a des pistes cyclables.

finalement le plus simple c'est d'interdire les bagnoles :-)

A carrefour ils ont des CD 90 minutes / 800Mo ...
ca m'étonnes mais ce serait une réponse possible a ton probleme !!

a tester.