Marc Quinton a écrit 1566 commentaires

si vous n'avez pas (plus) de MAJ applicative sur votre smartphone préféré, tout n'est pas définitivement perdu. A partir de la version 9 d'Android, il est généralement possible de profiter de l'architecture en couche d'Android basé sur Treble.

J'ai redécouvert ce concept dont on avait parlé sur un très bel article il y a 2 ans environ ; depuis, l'environnement communautaire a quelque peu évolué.

GSI désigne les images (ROM, ou firmware) universelles et portables pratiquement indépendantes des smartphones. Il est possible de les télécharger

ADB est l'utilitaire en ligne de commande qui permet de piloter un téléphone Android à partir d'un port USB

Fastboot est un mode de fonctionnement spécifique des smartphone Android qui permet si je ne me trompe pas de réaliser des opérations de maintenance (MAJ OS, configuration) ; utilitaire à comparer à notre bien connu GRUB (ou BIOS).

vbmeta.img est une image de boot et de déchiffrement (lien).

Avant de faire le grand saut, installez l'application Treble-info afin de vérifier que votre téléphone est compatible Treble/GSI ; le cas échéant, il vous donnera des infos sur l'image à télécharger. Il existe 2 types d'installations concernant les images : A et A/B. Il vous suffit de suivre les indications apportées par Treble-info pour télécharger l'image GSI correspondant a votre matériel.

Sortez vos ADB, vos cables USB, votre WGET et allez-y, foncez vers la MAJ de votre téléphone. Partagez vos expériences.

Parmi les liens :
- https://github.com/phhusson/treble_experimentations/ : espace téléchargement des images GSI.
- https://github.com/phhusson/treble_experimentations/wiki le Wiki associé au projet.

la recette de fabrication du container Docker est le Dockerfile ici : https://github.com/home-assistant/docker/

la procédure d'installation n'est pas basée sur Debian, mais sur Alpine Linux ; je pense que tu peux reproduire cette procédure en transposant dans un script bash l'ensemble des commandes passées dans cette procédure qui n'est plus ou moins qu'une sorte de recette de cuisine adaptée aux containers (Dockerfile).

merci pour les infos ; je suis passé d'une note F (47/100) à A+ (100/100) et je vous joins ma conf SSH fonctionnelle sur Ubuntu-Jammy

$ cat /etc/ssh/sshd_config.d/hardening-mozilla.conf 
# link: https://infosec.mozilla.org/guidelines/openssh

# Supported HostKey algorithms by order of preference.
HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
# HostKey /etc/ssh/ssh_host_ecdsa_key

KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers ,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com

je n'ai rien vu concernant l'héritage. On pourrait supposer que les sections x11, wayland, … héritent toute de common.

On peut le faire soit par la mise en place d'un mot clé spécifique, ou alors via le mécanisme interne à YAML.

Qu'en dites-vous ? Pour le reste, c'est génial ; bravo pour l'idée.

et une autre option de formatage :

$ reaction show -f json | jq -r '.ssh.failedlogin' | jq 'to_entries[]'
{
  "key": "87.227.30.119",
  "value": {
    "actions": {
      "unban": [
        "2024-01-10 04:37:01"
      ]
    }
  }
}
{
  "key": "95.156.96.46",
  "value": {
    "actions": {
      "unban": [
        "2024-01-10 00:40:42"
      ]
    }
  }
}
...

ce qui me semble plus simple à exploiter avec JQ.

cette commande avec JQ semble faire le job:

reaction show -f json | jq -r '.ssh.failedlogin|keys[]'

hello,

est-ce que le format JSON concernant le format de sortie ne pourrait pas être modifié pour permettre l'extraction d'un type "array" ?

actuellement :
- format YAML:

$ reaction show -f yaml
ssh:
  failedlogin:
    12.21.5.10:
      actions:
        unban:
        - "2024-01-10 05:01:00"
    14.63.162.98:
      actions:
        unban:
        - "2024-01-10 04:05:10"
    24.69.190.84:
      actions:
        unban:
        - "2024-01-10 05:29:19"

format JSON

$ reaction show -f json
{
  "ssh": {
    "failedlogin": {
      "101.126.64.69": {
        "actions": {
          "unban": [
            "2024-01-09 20:57:09"
          ]
        }
      },
      "101.43.107.154": {
        "actions": {
          "unban": [
            "2024-01-10 04:36:01"
          ]
        }
      },
      "103.118.29.175": {
        "actions": {
          "unban": [
            "2024-01-09 20:05:30"
          ]
        }
      },
 ...

il est assez difficile de récupérer via JQ les "keys" (adresses IP) concernés par le bannissement. Proposition : ouvrir un tableau "failedlogin": [ ... ]

répartition par adresse IP ou par groupe d'adresse IP concernant les tentatives d'authentification sur mon serveur SSH, sur 3 semaines :

zcat  /var/log/auth.log*.gz  | grep ssh | \
  egrep 'Invalid user|Failed password' | \
  sed -e 's#^.*from ##' -e 's# .*$##' | \
  sort -u | sed -e 's#\.[0-9]*$##' | \
  sort | uniq -c | sort -rn | | head -15

# head -15 /tmp/list 
     14 64.62.197
      8 60.10.72
      8 103.110.43
      7 15.204.86
      6 85.209.11
      6 222.186.16
      5 210.22.98
      5 197.5.145
      5 103.140.194
      4 65.49.1
      4 185.227.137
      4 185.162.235
      4 139.170.221
      3 82.207.8
      3 43.153.76

et maintenant si je prends l'ensemble des IP

# cat /tmp/list | sed -e 's#^ *##' -e 's# .*$##' | sort -n | uniq -c
   2147 1
    108 2
     10 3
      4 4
      3 5
      2 6
      1 7
      2 8
      1 14

autrement dit :
- je n'ai qu'une seule occurence ou l'on rencontre 14 IP dans le réseau 64.62.197.0/24
- 2 fois, j'ai 8 IP en /24 (60.10.72, 103.110.43),
- et la majorité (2147) concernant une seule instance en /24

aussi, il ne semble pas très intéressant, voir risqué de vouloir blacklister tout un /24.

en cherchant : "adaptateur USB casque", on trouve sur certains sites, des adaptateurs à partir de la modique somme de … (moins d'un euro, y compris vendus par lot de 5).

Le plus cher vaut dans les 12K€ de mémoire. Après le vaporware, voici venu le vapor-hardware et ca n'est pas nouveau.

il ne s'agit pas de se prémunir dans le cas de subuser d'une attaque locale au système ; l'utilisateur est réputé de confiance ; il s'agit plutot de faire du sandboxing sur un environnement mal maitrisé avec peu de confiance ; par exemple Firefox et de nombreux plugins.

suite du message …

• sub-adressing : permet de tranferer faire une boite mail, un message de la forme : sujet.uid@domain.example -> name@domain.example ; fonctionne avec '.' et "-" ; on doit pouvoir ajouter "+" subaddressing = { map = "^([^.]+)[\.-]([^.]+)@(.+)$", to = "${2}@${3}" } il me reste a mettre en place l'alias mail+forwarding ; pas trouvé la doc a ce sujet. Ayant une box chez Free, j'ai configuré le routage vers un compte perso dédié a cette fonction ; l'envoi direct via le SMTP ne marche pas bien, parce que les IP concernées sont blacklistées (plage d'IP 82.65.230.0).

je viens de mettre en place mon serveur SMTP/IMAP avec le produit Stalwart (https://stalw.art/). Ca me semble pas mal du tout :
- l'installateur facilite la mise en place des champs DNS : SPF, DKIM, DMARC ; il suffit de recopier ce qui est affiché depuis la console,
- l'installateur ne gère pas la genération du certificat LE, mais ca ne me semble pas indispensable
- parmi les fonctionnalités :
- le catch-all assez simple à mettre en place ; permet de récupérer tous les messages adressés au domaine :

[directory."default".options]
# catch-all = true
catch-all = { map = "(.+)@(.+)$", to = "admin@${2}" }
-

plein d'alternatives à cette solution ; en espérant que les tags que je dépose soit visibles de tous : https://linuxfr.org/tags/self-hosted-smtp/public

hello,

pour ma part, j'ai des disques partitionnés de manière symétrique :
- une petite partition, environ 1/3, 1/5 de l'espace disque dédié à faire du volume résiliant
- le reste de disque pour créer une partition permettant de faire de l'agrégation de volume et avec une résilience moindre, propice a stocker de la donnée à faible résilience.

ensuite, avec BTRFS, il est possible de mettre en place 2 volumes disques :
- le premier en redondance sur 2, 3, 4 disques
- le seconde sous forme d'agrégation.

Avec BTRFS, les volumes sont dynamiques. On peut ajouter et supprimer des volumes a la volée. On peut noter quelques bugs rélients dans le temps (non corrigés) liés au multi-volume type RAID5.

hello,

pour ma part, je suis passé sur une solution HP Smart Tank:
- installation sur PF Linux assez simple
- wifi uniquement, mais ca ne pose pas trop de problème ; il y a une appli sur Smartphone qui peut être pour les moins habiles ; l'appli Android est assez sympa, bien que je ne l'utilise pas
- plus de cartouches, mais des petits bidons a déverser dans un réceptacle (le concept smart-tank tout simplement) ; le niveau d'encre est visible en facade
- il est fort aisé de changer les têtes d'impression ; ou plus exactement, c'est à la charge de l'usager de les installer après le débalage (l'opération inverse doit donc être possible),
- les impressions ne noyent pas le papier d'encre contrairement a ce que je pouvais constater sur mon ancienne Epson
- mais pas de RV
- prix =~ 150€ pour le modèle 555.

https://linuxfr.org/tags/robertix/public -> CQFD.

les mises a jours concernent le système d'exploitation ? et on peut supposer que tu accèdes à ta messagerie Outlook avec un navigateur Web ? la proposition ci-dessus me semble très bonne.

Pour ma part, je n'ai rien constaté (Debian Bookworm + gnome + FF 115-ESR)

Pour ce qui me concerne, je n'achète que des véhicules d'occasion, dans la mesure ou je roule peu (entre 5 et 8.000 km annuel), je n'ai pas de besoins spécifiques, de criticité genre enfants en bas age ou personne handicapée à transporter. J'assume donc le risque associé à un véhicule réputé moins fiable (ou pas).

Qui dit moins de véhicules neufs type familiaux vendus, au profit de SUV, signifie que le marché du véhicule d'occasion des breaks va finir par se tarir. A voir si je ne vais pas conserver mon véhicule actuel le plus longtemps possible, en attendant de trouver une solution ou une occasion sur le marché automobile.

véhicules SUV, je ne vous aime pas !

je suis assez satisfait de voir que la Mégane Estate (break) est toujours en vente , c'est ce véhicule que j'ai actuellement et j'aime bien ; pour rien au monde j'en changerai ! je ne mets pas le lien (facile à trouver).

alors l'argumentation : pour une voiture familiale, y'a plus que les SUV, franchement, j'ai du mal a y croire !

pour les plus anciens, il y avait un service collectif qui permettait de remonter des mesures de qualité du Net, avec ce service : https://fr.wikipedia.org/wiki/Grenouille.com

ce qui est proposé ici existe depuis un bon moment ; j'ai déjà sollicité le service "j'alerte l'ARCEP" ; le résultat ne me semble pas tout a fait à la hauteur des espérances des usagers du Net ayant des problèmes récurrents avec leur connexion fibre.

pour gagner du temps :
- promo de Asahi Linux qui fonctionne sur hardward Mac
- URL de l'OS: https://asahilinux.org/about/

ne serait-ce pas les droits ? j'ai bien lu, "les droits sur les dossiers sont bons", encore faut-il le démontrer :

il est proposé de lancer la commande :

sudo /etc/init.d/postfix check
lien: https://stackoverflow.com/questions/68945609/postdrop-create-file-maildrop-xxxxxx-xxxxx-permission-denied

il ne serait pas inutile de nous donner des infos sur l'OS ; ex:

$ cat /etc/os-release 
    PRETTY_NAME="Debian GNU/Linux 12 (bookworm)"
    NAME="Debian GNU/Linux"
    VERSION_ID="12"
    VERSION="12 (bookworm)"
    VERSION_CODENAME=bookworm
    ID=debian
    HOME_URL="https://www.debian.org/"
    SUPPORT_URL="https://www.debian.org/support"
    BUG_REPORT_URL="https://bugs.debian.org/"

Linuxfr ? et puis, tu peux l'héberger chez toi dans la mesure ou le code source est public.

https://www.france.tv/documentaires/science-sante/5176023-mystifications.html

diffusé le 03/09/2023 à 20h54 Disponible jusqu'au 10/03/2024

La crise du Covid-19 a mis en évidence l'ère des mystifications scientifiques. Les mystificateurs ne sont cependant pas apparus d'un seul coup au printemps 2020. Qui ont été les grands mystificateurs de ces dernières décennies, avant même l'arrivée des réseaux sociaux ? Quels sont les éléments qui leur ont permis de prospérer ? Comment se propagent de fausses informations qui mettent en danger la santé publique et entraînent une perte de confiance dans la science et la médecine ? De Trofim Lyssenko, à l'origine de la "génétique mitchourinienne", à Didier Raoult, Patrick Cohen analyse quatre controverses scientifiques passées.

je ne sais pas bien ce que ca vaut, mais ca semble marcher, dans l'ensemble.

Le blog de Daniel Stenberg, auteur du célèbre outil curl, critique la façon dont la base de données des CVE (Common Vulnerabilities and Exposures) est gérée. Il prend l'exemple de la CVE-2020-19909, une vulnérabilité critique dans l'outil curl qui a été découverte en 2020.

Stenberg estime que cette vulnérabilité est un exemple de tout ce qui ne va pas avec les CVE. Tout d'abord, la vulnérabilité a été découverte par un chercheur indépendant, mais elle a mis plusieurs mois à être attribuée à un correctif. Pendant ce temps, les utilisateurs de curl étaient vulnérables à une attaque.

Deuxièmement, la CVE-2020-19909 a été attribuée à une version spécifique de curl, mais elle existait également dans des versions antérieures. Cela a rendu difficile pour les utilisateurs de déterminer si leur installation était vulnérable.

Enfin, Stenberg critique la façon dont la CVE-2020-19909 a été documentée. La description de la vulnérabilité est longue et complexe, ce qui la rend difficile à comprendre pour les utilisateurs non experts.

Stenberg propose plusieurs solutions pour améliorer la gestion des CVE. Il suggère notamment de réduire le temps nécessaire pour l'attribution d'une CVE, d'étendre la documentation des vulnérabilités et de rendre le processus d'attribution plus transparent.

Voici un résumé des principales critiques de Stenberg :

• Les CVE ne sont pas toujours attribuées rapidement, ce qui laisse les utilisateurs vulnérables pendant un certain temps.
• Les CVE ne sont pas toujours documentées de manière claire et concise, ce qui rend difficile pour les utilisateurs de comprendre la nature de la vulnérabilité.
• Le processus d'attribution des CVE est opaque et ne donne pas toujours une image claire de la nature de la vulnérabilité.

Stenberg espère que ses critiques contribueront à améliorer la gestion des CVE et à protéger les utilisateurs contre les vulnérabilités de sécurité.

Cordialement,
Bard