PLuG a écrit 1006 commentaires

Ce n'est pas la seule appli qui merdoit a cause des caracteres utf8. D'ailleur ce probleme etait identifie avant la sortie de la RedHat 8 mais ils ont persisté ... ils esperent peut-etre que des patchs soient soumis a toutes les applis defectueuses.

dans ma liste j'ai deja:
-gcc
-grip (pas de requette cddb possible sans LANG=C)
-wine (pas de caracteres accentués ....)

c'est beau le progrès (utf-8)

Quant tu dis que ces faits sont "évidents",

non non ne passes pas au tricot tout de suite.
la plupart des faits de ton premier post sont évident. Par exemple le statefull firewall et les attaques DoS.

par contre sur netfilter et le connection tracking. il me semble que je n'ai plus qu'a aller lire le code. Si ce que tu dis est vrai c'est purement et simplement un bug.
le NEW ne devrait accepter que les paquets avec SYN sans ACK et la table des connections ne devrait etre mise a jour que lorsque la reponse ACK+SYN est renvoyée.
Si pas de reponse, pas de "connexion" dans la table, cela me parait logique .?.

Pour ce qui est du DoS, le probleme c'est que si ton firewall est blindé, il est toujours possible de faire du DoS sur le routeur juste avant ... ou de "simplement" remplir la bande passante du site...
le DoS c'est vraiment la plaie, mais c'est un autre domaine de sécurité: la disponibilité. Dans un premier temps assurer la confidentialité/

il y a aussi easytag: http://easytag.sourceforge.net/(...)

je l'ai utilisé et il est assez pratique...
il peut deduire les tags du nom de fichier ou renommer le fichier en fonction des tags.
il peut aussi uniformiser les tags facilement (majuscules/minuscules, espaces, ponctuation ...)

bref tres bien a mon avis.

Tout ceci, si ca serait mis en place, bon la ça fait beaucoup pour mon oreille ça. si j'aurai su j'aurai pas venu.

Tu as bien raison sur pas mal de points. (dossier / sources n'assurent pas la securite ...) Cependant concernant netfilter: - sur le nombre de modules, je ne vois pas le probleme. il faut charger des modules ? et alors ?!? comptes-tu aussi le nombre de librairies dynamiques utilisées par tous tes binaires ?? Si vraiment cela te pose un probleme, compile tout en statique ... - sur la doc, c'est l'eternel probleme des logiciels. regarde la doc de FW-1 par exemple... et compare :-) celle de netfilter est largement plus complete et ne se limite pas a "cliquez ici". - la taille du code, effectivement, plus c'est concis, precis et bien implemente, plus c'est fiable. N'hésites surtout pas a proposer une implementation plus "belle" et sûre ... Sinon les attaques DoS sont un reel probleme. J'en deduis de ton post que tu preferes les firewall non statefull, bien plus sûrs évidement puisqu'ils ne s'encombrent pas de table de connexion. Comment ? ah oui il faut ouvrir les ports 1024-65000, mais c'est pas grave hein ? ;-). C'est facile de critiquer, mais qu'as tu a proposer a la place du statefull actuel ? Avec Netfilter tu peux configurer des "rate" pour eviter les DoS, ce n'est pas parfait mais c'est un début. D'ailleurs si tu as une meilleure idée que le statefull, dépose un brevet ... ca va interesser pas mal d'éditeurs de soft :-) Bref ton "coup de gueule" se base sur des faits évidents, il me semble un peu "facile". Le lien que tu donnes (hipac) est tres interessant. Il y a sans doute de la place pour ameliorer netfilter. Dans leur bench, le comportement de leur soft est netement plus scalable que celui de netfilter ... qui degringole quand le firewall est chargé de plus de 200 regles. Un firewall avec 200 regles, c'est une aberration au niveau de l'architecture de securite. Quand tu depasses 200 regles, il faut te poser des questions bien plus profondes que la version de netfilter utilisée .... [ce qui ne veut pas dire qu'il ne faut pas améliorer netfilter hein]

Moi je n'aime pas FW1 pour plusieurs raisons:

-je ne comprends pas le "cas particulier" qui est fait sur les ICMP. Je m'explique: impossible de faire une regle de NAT sur les ICMP, et les autres regles (filtrage) gèrent les ICMP au petit bonheur la chance. Pour un produit phare c'est mal (tm).
Après tout ICMP est "over IP" et devrait etre traité comme TCP et UDP.

-les VPN: la moitié des settings sont sur l'objet FW (ou l'objet cluster FW) et l'autre moitié sur l'objet "encrypt" de la regle de filtrage ... c'est penible quand on veut faire des VPN avec pleins de partenaires differents qui ont des equipement differents (on est tot ou tard oblige de modifier les parametres "globaux" et donc revalider tous les VPNs ...).

-les licenses, outre le fait qu'elles sont chères, sont compliquées à gerer et liées à une adresse IP (pouquoi ??)

-le "management station" c'est un truc que tu peux approcher simplement avec des scripts si tu utilises iptables. C'est vrai que le clustering est bien etudié, cependant, a mon avis bien en dessous de celui des PIX cisco.

-le log: FW1 c'est plein de truc proprio difficiles a integrer dans une architecture ouverte. le log est dans un format bidon, pas simple a exporter en syslog...

-l'interface graphique SUX de temps en temps. J'aimerai mieux comprendre ce qu'il y a en dessous. Comment sauvegarder la conf et la re-installer facilement sur un autre firewall ? c'est tres simple en iptable, de meme avec les PIX cisco. C'est non documente et quasi infaisable avec FW1.

-la mise a jour. avec FW1 c'est le cirque pour recuperer les patchs et mettre a jour la machine. C'est encore pire avec Cisco cependant. Alors qu'avec linux c'est hyper simple.

bref il manque surtout le clustering a Iptables (partager les tables de connexions entre deux machines iptables pour pouvoir basculer sans perdre les connexions en cours ...).
Ce que j'apprecie justement avec iptable c'est le mode de gestion "scriptée" qui est adaptable et automatisable comme JE l'entends.

Non j'aurai du ecrire OpenPGP, RFC 2440

les checksum MD5 ne sont pas suffisants puisque faciles a "mettre a jour" pour le pirate.

Par contre la mode est aux chevaux de troies injectes directement dans les sources des logiciels sur les serveurs FTP.

le dernier en date: sendmail 8.12.6
ca va pas faire de la bonne pub a force, peuvent pas blinder un peu leurs serveurs FTP ou quoi ??

http://www.cert.org/advisories/CA-2002-28.html(...)
http://www.sendmail.org(...)

VERIFIEZ BIEN AVEC PGP TOUT CE QUE VOUS TELECHARGEZ ...

en fait nimbda a fait du mal a beaucoup d'équipements qui ecoutent sur le port 80.
il y a meme des routeurs cisco qui se sont casse la figure (attaque DoS et/ou debordement de pile) mais aucun n'a été infecté évidement.

Quand je cherchais du boulot j'ai été recu dans une boite qui n'utilise que windows (malgré mon cv a fond Unix/Linux) par un chef de service et la drh.
Après les avoir laissé parler un peu, j'ai pris la parole:

moi > d'accord mais avez vous remarqué que mon CV ne mentionne quasiement pas Windows ?
eux > humm ... oui
moi > vous me proposez un poste d'architecte, les solutions UNIX que je vais proposer seront elles acceptables ?
eux > UNIX ? c'est tabou ici.
moi > un tabou ca se surmonte, en général c'est un problème d'éducation.
eux > on parlera plutot de culture d'entreprise
moi en me levant > bon, et bien je pense que l'nentretien est terminé. Rappelez moi quand vous aurez surmonté vos tabous.


Si ils avaient classé mon CV "à gauche" tout de suite, j'aurai gagné du temps ... mais je ne me serais pas autant marré. Le chef de service me raccompagne à ma voiture pour me dire que lui aussi il en souffre mais que c'est comme ca ... je lui ai proposé de me suivre chez SUN (rendez vous suivant), ils recrutaient à l'époque :-)

Je ne suis pas sur que ce soit domage :-))
[non ce n'est pas de la provoc].

Constat:
pour améliorer la sécurité les entreprises ont mis en place des firewall et des regles de filtrage.
Du coup les utilisateurs ne peuvent plus utiliser QUE ce que les admins sécurité on autorisé (à priori normal).
Du coup de plus en plus de logiciels n'ayant pas grand chose a voir avec le web se mettent a causer en HTTP pour pouvoir passer les firewalls [tous les firewalls laissent passer le HTTP / HTTPS].

Résultat:
-les règles de filtrages ne servent a rien (tout se passe sur le port http ou https).
-le protocole TCP qui devait permettre a des applications de parler entre elles est quasiement inutile puisque tout passe sur le port 80. On utilise uniquement IP+TCP:http
=> les pare feux vont bientot etre capable de filtrer correctement à l'intérieur du flux web, ce qui obligera a recoder les applis pour que le flux ressemble vraiment à du web, ...

Questions:
Est-ce vraiment normal que les applis fassent du "firewall piercing" en natif ?
Le mieux ne serait-il pas de demander aux admins sécurité de gérer le flux comme il se doit ?
Qui doit décider des flux qui entrent/sortent de l'entreprise ? l'équipe de sécurité ou les utilisateurs ??

voila c'était ma réflexion du jour sur le poste précédent ... a vous les studios.

T'aurai pas confondu Xwine et WineX toi ?

Xwine : interface graphique pour configurer Wine
WineX : fork ? de wine spécialisé dans la compatibilité des jeux.

Moi je peux te dire que le materiel HP (et donc HP-UX) a des performances en calcul brut bien superieures que AIX sur risc 6000 ...(mais c'est surement plus une caractéristique du cpu que de l'os).
ahh un petit serveur hp multipro ...

non HP-UX n'est pas mort, il y a surement bien plus d'HP-UX qui tournent que de QNX d'ailleur.

Et ça te semble normal, que l'on parle de licence de type « Linux » alors que Linus T. utilise des logiciels propriétaires ? En quoi Linux est gage de liberté ? Linus T. te parait-il comme une référence en terme d'éthique en la matière ? quesako ? le quidam moyen qui prononcait les paroles ci dessus, 1/ il ne sait pas QUI est Linus. Linux n'est pas associé a son créateur. Pour le quidam moyen Linux est le produit d'une collaboration internationnale d'informaticiens passionnés. En général ce quidam est surpris quand on lui explique qu'il y a des "têtes" dans cette organisation mondiale ... 2/ "Linus T utilise des logiciels propriétaires". Et alors ??? on est en train de parler du produit "Linux" (pas du tout proprio) où alors on est en train d'analyser ce que l'individu "Linus T" fait de sa vie ?? C'est quand meme pas la même chose. Linus T, en tant qu'individu, pourrait bien developper le kernel linux sous windows avec visual C++, si le résultat est libre (identique a l'actuel, compilable avec gcc ...) alors je m'en bat les ... et toi aussi normalement puisque "Linus T" lui ne va pas venir voir ce que tu utilises et que tu peux continuer a n'utiliser que du libre. 3/ "ca te parait normal". Je n'ai JAMAIS dit ca [et je reprends le quidam pour lui expliquer]. j'ai dit que le terme "Linux" est DEJA implanté dans les esprits et qu'il est trop tard pour se poser des questions qui font mal aux mouches. Si il fallait changer le nom, c'etait en 1992 qu'il fallait le faire. Aujourd'hui LINUX dans les esprits ca veut dire: -fiable -pas cher -sources disponibles et parfois aussi: -reutilisation de vieux matos -rapide a mettre en place (plutot que de commander un firewall ...) -jetable (si ca merde, pas grave ca coutait pas cher, si ca marche tant mieux, quand ca part en vrille on repare pas on change). mais ca englobe la solution GLOBALE. C'est a dire que si le type veut un serveur WEB LINUX, ca englobe apache. Autre exemple: il existe des solutions de clustering payantes et fermées sous linux. c'est difficile a vendre, les quidam que je croisent preferent que l'on cherche plus et que l'on trouve une solution "TOUTE LINUX" (sous entendu pas cher, sources dispo ...)

moi j'ai deja entendu prononcer le nom commun "Linux" pour plein d'OS differents: Debian/Linux, RedHat/Linux, Mandrake/Linux ... et meme "oh sacrilège" pour signifier que les sources sont disponibles et le produit libre. "une licence type Linux" ou alors "c'est du linux, c'est libre" en parlant de squid. Bref AMHA le nom est de plus en plus commun ... mais apparemment je traine vraiment pas aux bons endroits :-)

Relis mon mail.
quelques hints:
-je dis bien que ca marche si on ne respecte pas le x2
-je dis bien que le 2.4 swap plus tot que le 2.2 pour garder du mou
-je dis bien que tout ca est reglable dans /proc/sys

bon je veux bien que tu défendes ton OS préféré bec et ongles, MAIS LIS LES MESSAGES AVANT DE REPONDRE.

Et après pour les memes raisons, vous essaierez de faire en sorte que plus personne n'utilise les mots "frigo" et "frigidaire" a la place de réfrigérateur.
non mais c'est vrai, y a d'autres marques qui font du froid quand meme.

le terme est implanté. il est passé dans la langue.
Linux restera "Linux", et on sera obligé de préciser "OS Linux" ou "noyau Linux" pour savoir de quoi on parle.

CQFD

[vous pouvez reprendre une activité normale ...]

le bridge nouveau tout frais s'appelle ebtables, c'est l'equivalent d'iptables mais au niveau ethernet. http://users.pandora.be/bart.de.schuymer/ebtables/(...)

terthereal, c'est un binaire qui a les meme capacitées d'analyse que ethereal mais qui tourne en mode console (donc on peut faire grep / perl / ...).
pas aussi bien que le module libpcap de perl mais tellement plus rapide a mettre en place pour des besoins limités ...

un 2.4 recent parce que les corrections de bug et trou de secu sont quand meme interessants,
c'est la VM d'Andrea, pour laquelle tu es prié de filer au moins 2x la quantite de RAM sinon pas sur qu'il puisse swapper les pages comme il veut, alors qu'avant c'etait pas le cas (kernel 2.2)

que je sache cette particularité n'as pas changée du 2.4.0 au 2.4.20 ...

en pratique, je fais tourner des machines qui ne respectent pas cette loi. Mais elles sont clairement hors spec.
en pratique aussi, en passant d'un 2.2 a un 2.4 on remarque effectivement plus de consommation du swap. Le but est de swapper plus tot pour se premunir d'une carence grave de RAM ... c'est une bonne idée pour un serveur. Pour un portable qui ne lancera plus rien d'autre que mozilla+X11 c'est pas forcement optimal (vaudrait mieux consommer a 100% la RAM et ne pas swapper sur le disque lent).
bon on peut tuner tout ca dans /proc/sys pour essayer de retrouver un comportement plus proche du 2.2 mais c'est pas encore tout a fait ca.

bref je me repete, c'est l'évolution et elle est souhaitable. de toutes facons les P133 ca disparait de la nature, il est devenu facile de récuperer des PII pour faire des firewalls a la maison ... et ce sera de plus en plus comme ca (il fut un temps ou on recuperait des 486DX33 pour faire des routeurs ...).

Effectivement je m'appretais a poster un commentaire du genre.
Les developpeurs du noyau sont concentrés sur les problèmes sexy: faire tourner le noyau dans les moments difficiles.
Mais on se retrouve de plus en plus avec un noyau parametré aux petits oignons pour ces profils de serveurs et de plus en plus loins des petites machines.

Un exemple ?
Le noyau 2.4 consomme plus de swap, ce qui sur une machine avec un disque LENT n'est pas du tout une bonne idée.

le nouveau scheduleur en O(1) qui a défrayé la chronique est peut etre plus lent dans le cas général ? en tout cas il consomme surement des structures de data (hash ...) pour y arriver et donc plus de RAM ... bref c'est clair: ton P133 64Mo RAM gagne surement a tourner sur un bon vieux 2.2.x

Mais d'un autre coté, il faut bien évoluer. Et laisser tous les choix dans le kernel/config n'est pas faisable... et puis je fait tourner pas mal de config serveurs qui en profitent pleinement ...

je vais signaler des trucs a l'auteur.

son bouquin parle d'IP donc devrait couvrir non seulement ethernet mais pourquoi pas giga-ethernet (son mii-tool est limité au 100 full duplex, je crois qu'il existe des versions 1000FX-FD, sinon ethtool supporte le 1000 FX FD) , token-ring ...

les parties décrites pour le moment existent deja dans d'autres doc linux. par contre il n'a pas vraiment prevu de QoS (qui est moins souvent decrite), il ne parle pas des possibilités de bridge (on a depuis peu la possibilité de faire un vrai routeur/FW IP qui bridge et filtre les autres protocoles ...)
il faudrait aussi ajouter les systèmes de redondance de routeurs (vrrp), parler d'ethereal qui analyse les protocoles en plus de tcpdump qui se borne dans la majorité des cas a sniffer (je sais il analyse un peu SMB et d'autres ...) et surtout le meconnu tethereal qui est en mode console donc scriptable (pipé dans perl ...).

bref il risque de ré-écrire toutes les doc reseau linux qui existent avec un tel sommaire ...

Sur M6 ils avaient montré que les ondes de ton clavier ont beaucoup de chances de se propager dans le reseau electrique (a travers l'alim) et ils étaient capable "d'écouter" un de ces claviers de l'autre bout du batiment ...

de toutes façons ton voisin est déjà en train d'espionner ton écran a travers le mur via ses émissions radio-electriques (mais sur l'écran quand tu tappes un mot de passe ca affiche des étoiles *** alors qu'en écoutant le clavier ....).

bon ok, je te rassure j'ai appris tout ca aussi a l'ecole il y a longtemps. mais la question c'etait "pour un newbie". on peut (je l'ai fait :-)) penser qu'un newbie ne va pas se lancer dans une demonstration mathematique pour demontrer qu'un algo est meilleur qu'un autre. c'est bon a l'ecole/la fac/l'inria. dans la vie professionnelle, on te (me) demande de savoir "a peut près" vers quoi on se dirige, de reflechir si c'est normal (ton cas des matrices) et d'ameliorer si c'est pas suffisant. Le calcul, la demonstration mathematique, personne ne veut plus la lire :-( . par contre des mesures concretes sur des vraies données, ca oui ca interesse les gens .. bref j'ai voulu me mettre a la portée de ceusse qui posent la question (a priori si ils la pose c'est qu'il ne l'ont meme pas abordée en cours ...). Je me rends compte en lisant plus bas que vous etes partis direct vers les definitions précises ... comme ca y aura de tout :-)

bof dans la plupart des cas il suffit de reflechir en lisant l'algo. O(1) : facile l'algo ne depend pas du nombre de donnees en entree. c'est rare :-) O(n) : en general l'algo a besoin de parcourir (lire) les donnees en entree au moins une fois. O(n^2) : mauvais. en general l'algo possede deux boucles imbriquées qui dependent du nombre de donnees en entree. En general aussi, on s'arrete la et on note direct O(e^n) pour dire exponentiel (mauvais). en log(n), ton algo ne lit jamais toutes les données, il utilise une astuce (elles sont triées avant d'entrer par exemple, ou dans un hash de mauvaise qualité ...). bon c'est pas academique, mais le feeling ca le fait bien ;-)

Le problème, c'est que ce scheduleur doit essayer d'éviter les deadlocks entre les threads heuuu, pas vraiment non. Les dead lock entre threads c'est au programmeur de les prevoir (c'est d'ailleur le principal probleme de la programmation multi-thread et l'apparition des lock, semaphores, ...). le scheduleur a une tache simple :-) , decider qui tourne sur quel processeur. Quand un thread a besoin d'une ressource non disponible, il n'est plus elligible et n'aura donc pas le cpu. quand tu utilises "top", seuls les process/threads marqué d'un "R" sont "runnable". Seul ceux-ci font l'objet d'un arbitrage ...