L'article du Monde en lien dans la nouvelle est tres intéressant et bien écrit.
Il parle d'ailleur d'aspects déjà évoqués sur ce site ... et rien que de ces aspects.
-correspondance entre G.Sand et Musset
-watermarking
-les bandits ne respecteront pas les back-door
-...
De la à penser que le Monde (entier?) lit linuxfr ...
<TROLL>T'as déjà vu un admin M$ appliquer des patchs ?</TROLL>
Ben oui, même qu'ils sont obligé d'appliquer plusieurs fois le même !!
A chaque installation d'une application, il faut se poser la question -- quels patchs ont été annulé par cette installation ? -- dans quel ordre dois-je réinstaller le biniou ?
Franchement, Nimda Microsoft, c'est pas un ca sert d'OS !
De plus ce bug n'agit semble t'il que si vous utilisez des clefs de type différent (RSA ...).
Enfin, ce bug est bloquant puisque le champ "from:" de la dernière clef est utilisé pour toutes les clefs. Difficile de ne pas le remarquer (les premières clefs ne fonctionnant pas si elles viennent de l'@IP normale).
En clair, si ce bug n'a pas été vu avant c'est parce que la fenetre d'activation est tres petite, si petite que personne ne s'y était heurté (sinon il l'aurait vu tout de suite).
Conclusion: c'est un BUG oui, mais pas vraiment un problème de sécurité. (c'est quand même un bug con !!)
par exemple sur la parternité de F.Miterrand, les journalistes -meme a scandale- se sont bien gardé de publier quoi que ce soit... Alors que c'etait bien dans les cordes de certains journaux - et que ces journaux étaient au courant depuis longtemps. Pourquoi ? Parce que la presse n'est pas libre.
autre exemple: il y a plusieurs années lors des problèmes en Centre Afrique, j'étais au Cameroun, pays voisin. J'ai été amusé d'apprendre aux infos+afp+... que la France enviseageait d'envoyer la Legion Etrangere sur place alors que cela faisait plus de 3 mois que les légionnaires ETAIENT sur place, et PARTICIPAIENT aux combats. Ils prenaient leur repos au Cameroun 1 semaine sur 3, je pouvais facilement discuter avec eux !!
conclusion: les médias ne racontent que ce que l'Etat veux bien laisser filtrer. il faut le savoir, apprendre a lire entre les lignes, et comprendre que quelquefois on se fait berner.
Pour les autres softs, ls scssi demande simplement de déclarer son utilisation. c'est un peu con, mais pas très compliqué.
donc 2 solutions:
1/ soit on utilise un soft qui a été déclaré par son auteur/vendeur au scssi.
2/ soit on signale au scssi qu'on utilise un soft pas encore déclaré.
quand aux limites a 128, effectivement cela ne veut rien dire. 128 bits "taille de clef", 128 bits "taille efficace de clef" ?
pour le moment c'est le scssi qui decide.
je pensais en outre que la declaration etait necessaire seulement pour les entreprises (les particuliers et < 128bits n'y etaient pas tenus) mais je trouve plus le texte sur le site du scssi !!
Si tu as déjà l'album en question, te viendrait-il à l'idée de le télécharger en MP3 ? même une seule chanson ??
Pourtant tu télécharge bien 90% de kernel que tu as déjà !!
Bref c'est pas parce que les ressources sont nombreuses qu'il faut les gaspiller. Et le plus embetant, c'est pas que de la BP soit gaspillée, c'est qu'elle le soit VOLONTAIREMENT. Entre un neu² qui télécharge pour rien et un type qui fait l'apologie du gaspillage d'octet, il y a une nuance. Pour un des 2 on ne peut plus rien faire !!
Pourquoi trier ma poubelle, personnellement je jette si peu d'ordures par rapport au 60M de Français !!
Pourquoi je pourrai pas rouler sur la bande d'arret d'urgence au lieu de faire la queue connement ? c'est pas une bagnole qui va gener les secours !!
Et pourquoi je ferai la queue au supermarché, ils peuvent bien me laisser passer, c'est pas moi qui vais les mettre en retard ...
Tu sais quoi, kilucru, je suis bien content de ne pas te connaitre personnellement, je te reconnais malheureusement trop souvent dans la vie !!
Bon le probleme de linux c'est que l'OS a été fait pour des machines complètement hétéroclites, du coup les optimisations ne sont pas bonnes de partout.
Néanmoins, depuis l'avènement du filesystème /proc, il y a des paramètres que l'on peut modifier à chaud, dynamiquement. et cela concerne aussi le tuning de la vm
Je te conseille donc de faire un tour dans /proc/sys/vm et de modifier au moins dans un premier temps les % qui sont dans les pseudo-fichiers buffermem et surtout pagecache.
premier %: % mini de RAM utilisé en buffer
second %: % a partir duquel le cache est jugé moins prioritaire.Par defaut c'est 15% soit 100Mo sur ta machine.
dernier %: % maxi.Par défaut c'est 60% soit 400Mo chez toi.
Je ne suis toujours pas d'accord.
Rik Van Riel explique bien que le kernel de récupère pas l'espace de swap plus-utilisé lors des opérations de swap-in. Il écrit clairement que du coup les infos peuvent être dupliquées, une fois en RAM et une fois dans le swap.
et alors ?
cela ne fait que confirmer ce que je disais plus haut: le kernel 2.4 est potentiellement plus gourmand en swap que le 2.2
Il sera plus gourmand a ces conditions:
1/ il swappait deja avec le 2.2
2/ les pages swappées ne sont pas toujours les même. autrement dit soit la machine fait tourner plusieurs process gourmand en RAM, soit, pire, elle fait tourner des jobs qui manipulent des données immenses en RAM (en pseudo RAM en fait puisque les données ne tiennent pas en RAM -- elles sont swapées).
En clair, la RAM est clairement sous dimensionnée.
Enfin, a titre de démonstration, on pourrait très bien écrire un process qui utilise une quantité de swap bien supérieure à cette limite empirique de 2 x RAM.
L'avis de Linus (cf le lien que tu donnes) est clairement que de toutes facons il faut acheter de la RAM si cela swap trop. "trop" c'est subjectif, mais personnellement j'acheterai des barettes avant de remplir 2x RAM de swap [sauf cas exceptionnels genre batch sur machine dédiée ?]
La taille du swap devait être au moins égale à deux fois la RAM dispo.
Sinon quoi ?
je fait tourner des kernel 2.4 sur plusieurs machines et peu ont cette taille de swap.
Pourtant elles fonctionnent bien.
C'est ce genre d'info sans fondement qui polu les nouvelles techniques. Alors je continue :-))
Petit rappel de mémoire:
lors de la sortie du 2.4, il a été annoncé que ce kernel consommait plus de swap que les précédents... et que du coup il était conseillé de dimensionner le swap à au moins 2 fois la taille de la RAM, surtout que le kernel n'AIME VRAIMENT PAS être à cour de swap.
Néanmoins, sur une machine avec suffisement de RAM pour son utilisation normale, le swap n'est JAMAIS completement utilisé et on peut le dimensionner comme on veut.
--fin de l'expérience personnelle--
l'important c'est d'avoir autant de swap que necessaire, pas n fois la taille de la RAM
réjouissons-nous tout de même si amélioration il y a eu sur le 2.4.10 !!
Le problème c'est que les boites ne veulent pas s'amuser à gérer les nuances entre plusieurs distributions de Linux.
Ca fait longtemps que je n'ai plus installé de mandrake (plus le temps de tester les distributions)... mais la redhat n'est pas completement "serveur" [pas assez à mon gout]. Un exemple: essayez d'installer une redhat sans X11 ni souris. c'est impossible, leur installeur veut à tout prix les packages graphiques, son, souris... qu'il faut désinstaller à la main ensuite.
Aujourd'hui à mon avis aucune distribution ne peut servir pour les serveurs et pour les postes de travail sans être "customisée" à la main.
Du coup je comprends tout a fait la démarche de mandrake qui cherche à gagner du terrain aussi sur les serveurs ... puisqu'il ne peut en rester qu'un [par entreprise].
Plus tard, quand linux sera entré dans l'entreprise, que le personnel se sera familiarisé avec l'OS, les gens auront moins peur des différences de distribution.
Moi je peux te dire que chez mon client actuel, l'utilisation de "linux" est de plus en plus au gout du jour.
1/ ils ont du personnel unixien
2/ ils ont été infecté par redcode puis par Nimda en interne :-) [alors que tous les serveurs sont en apache ... sauf UN !]
3/ ils luttent sans cesse contre les virus recus par mail
4/ meme pour les pro-MS en interne (il y en a), la facture w2k ou winXP fait réfléchir ...
Bref l'actualité, aidée de ces rapports d'étude vont dans le bon sens. Poussez Poussez, ca va venir !!
dommage aussi le commentaire sur la partie firewall alors que iptables est très puissant.
a mon avis c'est encore l'interface graphique qui limite trop les possibilitées et l'analyste est passé à coté.
RedHat devrait installer fwbuilder :-))
mais dans les montagnes tu as acces a des choses que les citadins n'auront jamais: air pur, paysage, calme, ...
j'imagine que si tu pensais vraiment que ta condition de vie est déplorable, tu déménagerai... or tu reste dans la montagne.
Tout a un cout. habiter dans un cadre de vie privilégié loin des microbes des transports en commun et de la pollution a un prix. peut etre 1500FF/mois sans adsl :-(
[de mon coté, dès que je peux fuir la région IdF je me casse - tant pis pour adsl (et peut etre d'ici la il y aura xdsl partout ?)]
ce que je peux te confirmer, c'est ce que j'ai déjà écrit en dessous: si il n'y a pas de process pour écouter sur le port, la connexion ne sera jamais établie et la requete jamais envoyée.
ensuite parlons des problèmes iptables:
1/ comme c'est dit au dessus, inspecter le contenu des paquets est très lourd, peut etre même trop lourd en mode kernel.
2/ il y a deux types de machines: celles qui n'ecoutent pas sur le port 80 (et ne recevront jamais la requete) et celles qui écoutent sur le port 80 (elles ont donc un process bien mieux qualifié que iptables pour filtrer les url).
3/ que se passe t'il en cas de paquets fragmentés au milieu d'une url ? ta règle impose t'elle à iptable de ré-assembler les paquets ?? si NON, elle est completement inéficace. si OUI, elle est encore plus couteuse.
Sinon, pour la théorie iptables, effectivement on peut limiter le nombre de règles à parcourir pour prendre la décision. c'est d'ailleur une TRES bonne pratique.
a/ mettre en premier les règles qui ont le plus de chances d'être acceptées directement. par exemple -state established,related, le plu sgrand nombre de paquets n'etant pas des demandes de connection.
b/ séparer les règles en sous groupes. Dans le cas présent, une première règle qui dirige les requetes sur le port 80 vers une chaine "WEB" avant la "-state established,related" permettra d'éviter de scanner les règles dédiées au WEB pour les paquets FTP ...
bref, iptables c'est comme le reste, on peut toujours améliorer les règles.
Et bien voila, ca faisait longtemps qu'on avait pas eu un troll FT.
Oui FT fait surement de l'argent.
Non je ne pense pas que FT "profite de son monopole" (les tarifs aux particuliers sont établis d'un commun accord avec les "concurrents").
alors pour s'enfoncer dans le troll:
Peux t'on comparer la situation british et francaise ?
L'imposition sur les entreprise est-elle la même ?
L'idée du service public est-il le même ?
Les obligations envers les employés (et les employés de l'Etat - qui rapellons le ne "travaillent pas" mais "servent") sont ils comparables ?
t'imagines les attaques DDoS que les script kiddie vont pouvoir faire avec ca ?
Quand tout le monde sera en 2Mbps, les milliers de particuliers qui font tourner IIS muni d'une backdoor pourront s'associer malgré eux en un DDoS géant . Ce ne sont plus les serveurs mais les routeurs qu'ils vont attaquer :-|
La conclusion c'est plutot: "le haut débit est une question politique aujourd'hui" mais qu'est ce que les gens vont en faire ?? pourquoi en auraient-ils besoin ??
A part les informaticiens (du LL) qui téléchargent des documentations gratuites, et des images iso de distributions linux/bsd/..., qui a besoin d'une telle bande passante pour un usage privé ??
Il faudra donc attendre que d'autres contenus soit présent sur le web. la TV interactive ? du streaming de partout (*)... mais regarder tout ca sur un ordinateur c'est pas la panacée ... il faut donc que les équipements de salon (avec un linux embeded :-)) deviennent courant.
Code red avait un impact sur les equipemement reseau de toutes marques (cisco ...).
IL faut maintenir l'os des équipements réseau a jour au meme titre que l'os des serveurs !!
Cela prouve que tu n'as pas essayé ton astuce avant de la proposer.
Pourquoi ?
Parce que pour se connecter, le serveur distant va envoyer une demande de connection (SYN+ACK), petit paquet SANS DONNEES auquel ta machine ne va pas répondre puisque aucun serveur n'écoute sur le port. La requete HTML se trouve dans les paquets suivants, envoyés par le serveur SEULEMENT si ta machine a accepté la connexion.
Je le sais bien, j'ai une astuce de ce genre sur mon firewall qui me loggue au format libpcap les paquets qu'il n'aime pas (cf http://freshmeat.net/projects/pdumpq/(...)
)... mais je ne récupère que des demandes de connexion :-(
présent sur les distrib redhat (au moins la 7.1), le package s'appelle nc-1.10-10.
Si cela se trouve tu as déjà ce petit bijou, son binaire est /usr/bin/nc sur la redhat.
pour ecouter sur le port 80 en TCP, la commande est:
nc -l -p 80
par contre il va envoyer les requetes sur stdout et se terminer des la première requete ...
un truc du genre:
while :
do
nc -l -p 80
done > /var/log/port80.log
devrait faire ce que tu veux
tu peux meme ajouter une réponse basique en entrée standard de nc pour faire croire à un vrai serveur web, genre
nc -l -p 80 < maréponsetoutefaite.html
ce nc est un outils INCONTOURNABLE. en bref: TCP ou UDP, listen ou connect, il permet de faire des petits serveurs en shell, de forwarder des connexions d'une machine vers une autre ...
Attention a ce genre de script qui configure le firewall automatiquement ... une requete faisant croire a ton script que c'est www.microsoft.com qui t'attaque et hop tu n'as plus access a ce site formidable (DoS)
# Le monde enquete en lisant linuxfr !!
Posté par PLuG . En réponse à la dépêche La stéganographie en question. Évalué à 10.
Il parle d'ailleur d'aspects déjà évoqués sur ce site ... et rien que de ces aspects.
-correspondance entre G.Sand et Musset
-watermarking
-les bandits ne respecteront pas les back-door
-...
De la à penser que le Monde (entier?) lit linuxfr ...
[^] # Re: Juste une accalmie
Posté par PLuG . En réponse à la dépêche Nimda, on remet ça?!. Évalué à 6.
Ben oui, même qu'ils sont obligé d'appliquer plusieurs fois le même !!
A chaque installation d'une application, il faut se poser la question -- quels patchs ont été annulé par cette installation ? -- dans quel ordre dois-je réinstaller le biniou ?
Franchement, Nimda Microsoft, c'est pas un ca sert d'OS !
[^] # Re: il faut avoir une IP autorisée et une clé privée quand meme
Posté par PLuG . En réponse à la dépêche Faille dans OpenSSH 2.5.x et 2.9.x. Évalué à 10.
Enfin, ce bug est bloquant puisque le champ "from:" de la dernière clef est utilisé pour toutes les clefs. Difficile de ne pas le remarquer (les premières clefs ne fonctionnant pas si elles viennent de l'@IP normale).
En clair, si ce bug n'a pas été vu avant c'est parce que la fenetre d'activation est tres petite, si petite que personne ne s'y était heurté (sinon il l'aurait vu tout de suite).
Conclusion: c'est un BUG oui, mais pas vraiment un problème de sécurité. (c'est quand même un bug con !!)
[^] # Re: Bof
Posté par PLuG . En réponse à la dépêche un pirate falsifie une info de Yahoo. Évalué à 3.
insistons sur le "peut etre":
par exemple sur la parternité de F.Miterrand, les journalistes -meme a scandale- se sont bien gardé de publier quoi que ce soit... Alors que c'etait bien dans les cordes de certains journaux - et que ces journaux étaient au courant depuis longtemps. Pourquoi ? Parce que la presse n'est pas libre.
autre exemple: il y a plusieurs années lors des problèmes en Centre Afrique, j'étais au Cameroun, pays voisin. J'ai été amusé d'apprendre aux infos+afp+... que la France enviseageait d'envoyer la Legion Etrangere sur place alors que cela faisait plus de 3 mois que les légionnaires ETAIENT sur place, et PARTICIPAIENT aux combats. Ils prenaient leur repos au Cameroun 1 semaine sur 3, je pouvais facilement discuter avec eux !!
conclusion: les médias ne racontent que ce que l'Etat veux bien laisser filtrer. il faut le savoir, apprendre a lire entre les lignes, et comprendre que quelquefois on se fait berner.
[^] # Re: Liste des produits cryptologiques libres d'utilisation
Posté par PLuG . En réponse à la dépêche Campagne pour la libéralisation de la cryptographie. Évalué à 1.
donc 2 solutions:
1/ soit on utilise un soft qui a été déclaré par son auteur/vendeur au scssi.
2/ soit on signale au scssi qu'on utilise un soft pas encore déclaré.
quand aux limites a 128, effectivement cela ne veut rien dire. 128 bits "taille de clef", 128 bits "taille efficace de clef" ?
pour le moment c'est le scssi qui decide.
je pensais en outre que la declaration etait necessaire seulement pour les entreprises (les particuliers et < 128bits n'y etaient pas tenus) mais je trouve plus le texte sur le site du scssi !!
[^] # Re: top chrono !!
Posté par PLuG . En réponse à la dépêche Sortie du Noyau 2.4.10. Évalué à 2.
Si tu as déjà l'album en question, te viendrait-il à l'idée de le télécharger en MP3 ? même une seule chanson ??
Pourtant tu télécharge bien 90% de kernel que tu as déjà !!
Bref c'est pas parce que les ressources sont nombreuses qu'il faut les gaspiller. Et le plus embetant, c'est pas que de la BP soit gaspillée, c'est qu'elle le soit VOLONTAIREMENT. Entre un neu² qui télécharge pour rien et un type qui fait l'apologie du gaspillage d'octet, il y a une nuance. Pour un des 2 on ne peut plus rien faire !!
[^] # Re: top chrono !!
Posté par PLuG . En réponse à la dépêche Sortie du Noyau 2.4.10. Évalué à 5.
Chacun pour sa pomme et moi devant tout le monde.
Pourquoi trier ma poubelle, personnellement je jette si peu d'ordures par rapport au 60M de Français !!
Pourquoi je pourrai pas rouler sur la bande d'arret d'urgence au lieu de faire la queue connement ? c'est pas une bagnole qui va gener les secours !!
Et pourquoi je ferai la queue au supermarché, ils peuvent bien me laisser passer, c'est pas moi qui vais les mettre en retard ...
Tu sais quoi, kilucru, je suis bien content de ne pas te connaitre personnellement, je te reconnais malheureusement trop souvent dans la vie !!
[^] # Re: Des réponses précises
Posté par PLuG . En réponse à la dépêche Sortie du Noyau 2.4.10. Évalué à 9.
Néanmoins, depuis l'avènement du filesystème /proc, il y a des paramètres que l'on peut modifier à chaud, dynamiquement. et cela concerne aussi le tuning de la vm
Je te conseille donc de faire un tour dans /proc/sys/vm et de modifier au moins dans un premier temps les % qui sont dans les pseudo-fichiers buffermem et surtout pagecache.
premier %: % mini de RAM utilisé en buffer
second %: % a partir duquel le cache est jugé moins prioritaire.Par defaut c'est 15% soit 100Mo sur ta machine.
dernier %: % maxi.Par défaut c'est 60% soit 400Mo chez toi.
lit le fichier ./Documentation/filesystemes/proc.txt dans les sources de ton noyau, il y a d'autres paramètres modifiables !!
Si tu prefere les astuces oueb, peux aller voir ici: http://lea-linux.org/admin/optimise.php3(...) ou encore la : http://linuxperf.nl.linux.org/(...) ...
[^] # Re: Des infos précises
Posté par PLuG . En réponse à la dépêche Sortie du Noyau 2.4.10. Évalué à 1.
Je ne suis toujours pas d'accord.
Rik Van Riel explique bien que le kernel de récupère pas l'espace de swap plus-utilisé lors des opérations de swap-in. Il écrit clairement que du coup les infos peuvent être dupliquées, une fois en RAM et une fois dans le swap.
et alors ?
cela ne fait que confirmer ce que je disais plus haut: le kernel 2.4 est potentiellement plus gourmand en swap que le 2.2
Il sera plus gourmand a ces conditions:
1/ il swappait deja avec le 2.2
2/ les pages swappées ne sont pas toujours les même. autrement dit soit la machine fait tourner plusieurs process gourmand en RAM, soit, pire, elle fait tourner des jobs qui manipulent des données immenses en RAM (en pseudo RAM en fait puisque les données ne tiennent pas en RAM -- elles sont swapées).
En clair, la RAM est clairement sous dimensionnée.
Enfin, a titre de démonstration, on pourrait très bien écrire un process qui utilise une quantité de swap bien supérieure à cette limite empirique de 2 x RAM.
L'avis de Linus (cf le lien que tu donnes) est clairement que de toutes facons il faut acheter de la RAM si cela swap trop. "trop" c'est subjectif, mais personnellement j'acheterai des barettes avant de remplir 2x RAM de swap [sauf cas exceptionnels genre batch sur machine dédiée ?]
[^] # Re: Des infos précises
Posté par PLuG . En réponse à la dépêche Sortie du Noyau 2.4.10. Évalué à 7.
Sinon quoi ?
je fait tourner des kernel 2.4 sur plusieurs machines et peu ont cette taille de swap.
Pourtant elles fonctionnent bien.
C'est ce genre d'info sans fondement qui polu les nouvelles techniques. Alors je continue :-))
Petit rappel de mémoire:
lors de la sortie du 2.4, il a été annoncé que ce kernel consommait plus de swap que les précédents... et que du coup il était conseillé de dimensionner le swap à au moins 2 fois la taille de la RAM, surtout que le kernel n'AIME VRAIMENT PAS être à cour de swap.
Néanmoins, sur une machine avec suffisement de RAM pour son utilisation normale, le swap n'est JAMAIS completement utilisé et on peut le dimensionner comme on veut.
--fin de l'expérience personnelle--
l'important c'est d'avoir autant de swap que necessaire, pas n fois la taille de la RAM
réjouissons-nous tout de même si amélioration il y a eu sur le 2.4.10 !!
[^] # Re: RedHat
Posté par PLuG . En réponse à la dépêche Une étude sur Linux et le bureau.. Évalué à 0.
Xconfigurator, Xfs, ... la liste est longue.
meme probleme si tu veux installer une machine sans carte son: tu aura quand meme esound et tout le tralala ...
a la fin ca se termine toujours a coups de --nodeps sinon y a des trucs qui se desinstallent pas.
[^] # Re: RedHat
Posté par PLuG . En réponse à la dépêche Une étude sur Linux et le bureau.. Évalué à 5.
Ca fait longtemps que je n'ai plus installé de mandrake (plus le temps de tester les distributions)... mais la redhat n'est pas completement "serveur" [pas assez à mon gout]. Un exemple: essayez d'installer une redhat sans X11 ni souris. c'est impossible, leur installeur veut à tout prix les packages graphiques, son, souris... qu'il faut désinstaller à la main ensuite.
Aujourd'hui à mon avis aucune distribution ne peut servir pour les serveurs et pour les postes de travail sans être "customisée" à la main.
Du coup je comprends tout a fait la démarche de mandrake qui cherche à gagner du terrain aussi sur les serveurs ... puisqu'il ne peut en rester qu'un [par entreprise].
Plus tard, quand linux sera entré dans l'entreprise, que le personnel se sera familiarisé avec l'OS, les gens auront moins peur des différences de distribution.
[^] # Re: Mutliplication
Posté par PLuG . En réponse à la dépêche Une étude sur Linux et le bureau.. Évalué à 10.
1/ ils ont du personnel unixien
2/ ils ont été infecté par redcode puis par Nimda en interne :-) [alors que tous les serveurs sont en apache ... sauf UN !]
3/ ils luttent sans cesse contre les virus recus par mail
4/ meme pour les pro-MS en interne (il y en a), la facture w2k ou winXP fait réfléchir ...
Bref l'actualité, aidée de ces rapports d'étude vont dans le bon sens.
Poussez Poussez, ca va venir !!
[^] # Re: Précision: 10.000$ d´économie sur 15.000$ !!
Posté par PLuG . En réponse à la dépêche Une étude sur Linux et le bureau.. Évalué à 1.
les 4 autres passent a w2k ==> 2200$ chez MS.
[^] # Re: outlook
Posté par PLuG . En réponse à la dépêche Une étude sur Linux et le bureau.. Évalué à 5.
a mon avis c'est encore l'interface graphique qui limite trop les possibilitées et l'analyste est passé à coté.
RedHat devrait installer fwbuilder :-))
[^] # Re: bof
Posté par PLuG . En réponse à la dépêche Haut Débit pour tous, c'est pas pour demain. Évalué à 1.
j'imagine que si tu pensais vraiment que ta condition de vie est déplorable, tu déménagerai... or tu reste dans la montagne.
Tout a un cout. habiter dans un cadre de vie privilégié loin des microbes des transports en commun et de la pollution a un prix. peut etre 1500FF/mois sans adsl :-(
[de mon coté, dès que je peux fuir la région IdF je me casse - tant pis pour adsl (et peut etre d'ici la il y aura xdsl partout ?)]
[^] # Re: ?
Posté par PLuG . En réponse à la dépêche Haut Débit pour tous, c'est pas pour demain. Évalué à 0.
[^] # Re: Detection d'attaques de vers.
Posté par PLuG . En réponse à la dépêche Nouveau Vers: Code Red le retour. Évalué à 3.
ensuite parlons des problèmes iptables:
1/ comme c'est dit au dessus, inspecter le contenu des paquets est très lourd, peut etre même trop lourd en mode kernel.
2/ il y a deux types de machines: celles qui n'ecoutent pas sur le port 80 (et ne recevront jamais la requete) et celles qui écoutent sur le port 80 (elles ont donc un process bien mieux qualifié que iptables pour filtrer les url).
3/ que se passe t'il en cas de paquets fragmentés au milieu d'une url ? ta règle impose t'elle à iptable de ré-assembler les paquets ?? si NON, elle est completement inéficace. si OUI, elle est encore plus couteuse.
Sinon, pour la théorie iptables, effectivement on peut limiter le nombre de règles à parcourir pour prendre la décision. c'est d'ailleur une TRES bonne pratique.
a/ mettre en premier les règles qui ont le plus de chances d'être acceptées directement. par exemple -state established,related, le plu sgrand nombre de paquets n'etant pas des demandes de connection.
b/ séparer les règles en sous groupes. Dans le cas présent, une première règle qui dirige les requetes sur le port 80 vers une chaine "WEB" avant la "-state established,related" permettra d'éviter de scanner les règles dédiées au WEB pour les paquets FTP ...
bref, iptables c'est comme le reste, on peut toujours améliorer les règles.
[^] # Re: 0,9 ? de l'heure
Posté par PLuG . En réponse à la dépêche Les FAI, un moyen de financer les LL ?. Évalué à 4.
Oui FT fait surement de l'argent.
Non je ne pense pas que FT "profite de son monopole" (les tarifs aux particuliers sont établis d'un commun accord avec les "concurrents").
alors pour s'enfoncer dans le troll:
Peux t'on comparer la situation british et francaise ?
L'imposition sur les entreprise est-elle la même ?
L'idée du service public est-il le même ?
Les obligations envers les employés (et les employés de l'Etat - qui rapellons le ne "travaillent pas" mais "servent") sont ils comparables ?
[^] # Re: ça serait bien
Posté par PLuG . En réponse à la dépêche Haut Débit pour tous, c'est pas pour demain. Évalué à 2.
t'imagines les attaques DDoS que les script kiddie vont pouvoir faire avec ca ?
Quand tout le monde sera en 2Mbps, les milliers de particuliers qui font tourner IIS muni d'une backdoor pourront s'associer malgré eux en un DDoS géant . Ce ne sont plus les serveurs mais les routeurs qu'ils vont attaquer :-|
# ?
Posté par PLuG . En réponse à la dépêche Haut Débit pour tous, c'est pas pour demain. Évalué à 5.
A part les informaticiens (du LL) qui téléchargent des documentations gratuites, et des images iso de distributions linux/bsd/..., qui a besoin d'une telle bande passante pour un usage privé ??
Il faudra donc attendre que d'autres contenus soit présent sur le web. la TV interactive ? du streaming de partout (*)... mais regarder tout ca sur un ordinateur c'est pas la panacée ... il faut donc que les équipements de salon (avec un linux embeded :-)) deviennent courant.
(*) et encore avec i2bp pas besoin de bcp de BP.
[^] # Re: Probleme chez les providers ?
Posté par PLuG . En réponse à la dépêche Nouveau Vers: Code Red le retour. Évalué à 1.
IL faut maintenir l'os des équipements réseau a jour au meme titre que l'os des serveurs !!
[^] # Re: Detection d'attaques de vers.
Posté par PLuG . En réponse à la dépêche Nouveau Vers: Code Red le retour. Évalué à 3.
Pourquoi ?
Parce que pour se connecter, le serveur distant va envoyer une demande de connection (SYN+ACK), petit paquet SANS DONNEES auquel ta machine ne va pas répondre puisque aucun serveur n'écoute sur le port. La requete HTML se trouve dans les paquets suivants, envoyés par le serveur SEULEMENT si ta machine a accepté la connexion.
Je le sais bien, j'ai une astuce de ce genre sur mon firewall qui me loggue au format libpcap les paquets qu'il n'aime pas (cf http://freshmeat.net/projects/pdumpq/(...)
)... mais je ne récupère que des demandes de connexion :-(
[^] # Re: Detection d'attaques de vers.
Posté par PLuG . En réponse à la dépêche Nouveau Vers: Code Red le retour. Évalué à 10.
Si cela se trouve tu as déjà ce petit bijou, son binaire est /usr/bin/nc sur la redhat.
pour ecouter sur le port 80 en TCP, la commande est:
nc -l -p 80
par contre il va envoyer les requetes sur stdout et se terminer des la première requete ...
un truc du genre:
while :
do
nc -l -p 80
done > /var/log/port80.log
devrait faire ce que tu veux
tu peux meme ajouter une réponse basique en entrée standard de nc pour faire croire à un vrai serveur web, genre
nc -l -p 80 < maréponsetoutefaite.html
ce nc est un outils INCONTOURNABLE. en bref: TCP ou UDP, listen ou connect, il permet de faire des petits serveurs en shell, de forwarder des connexions d'une machine vers une autre ...
[^] # Re: Detection d'attaques de vers.
Posté par PLuG . En réponse à la dépêche Nouveau Vers: Code Red le retour. Évalué à 3.