Le gros avantage de cette solution c'est que les scans de port ne révèleront jamais rien, donc ça diminuera considérablement le nombre de logs.
Et concernant la 2FA, tant qu'à faire les choses, autant ne pas les faire à moitié: il faut éviter d'utiliser les SMS car les protocoles de communication sous-jacents sont troués, comme indiqué dans ce très bon article sur la 2FA.
Pour les alternatives:
- Google Authenticator (le plus connu, mais c'est le mal)
- FreeOTP (la version libre)
- Authy (qui est vulgarisé dans le premier article et me semble particulièrmeent intéressant, car très user-friendly, dispose d'un github bien fourni et d'un plugin exprès pour ssh, mais je n'ai pas toruvé si l'appli en elle-même était open-source)
Pour ceux qui ne connaîtraient pas BTRFS, ou qui souhaitent en découvrir rapidement et de façon efficace les fonctionnalités majeures, voici le meilleur article que j'ai pu trouver jusqu'à présent:
Pour répondre à ta question, oui il existe une solution, et elle est meilleure que le port-knocking: c'est le Single Packet Authorization ou SPA.
De plus, cette solution est indépendante de SSH et tu peux donc l'utiliser pour n'importe quel service sur n'importe quel port.
Tout d'abord, le port-knocking possède (de mémoire) au moins deux faiblesses:
- Il utilises plusieurs paquets, ce qui peut être utilisé pour l'identifier et éventuellement le stopper (en empêchant le deuxième ou troisième paquet d'arriver à destination)
- Il n'utilise pas de partie aléatoire, ce qui permet de rejouer une séquence interceptée
NB: certes, ce n'est pas à la portée de tout le monde.
Le problème n'est pas tant d'utiliser des sigles, ce qui est inévitable, mais c'est surtout de ne pas pouvoir enrichir facilement un sigle avec un lien ou une signification, ce qui est je trouve une des plus grandes lacunes du web actuel (et par ricochet de linux.fr). Cette critique ne se réduit d'ailleurs pas uniquement aux sigles, mais également à toutes les erreurs (de frappe, d'orthographe, de syntaxe, de grammaire, de conjugaison…), dont les 3 premiers commentaires de ce journal sont la parfaite illustration (et qui viennent ainsi pourrir le flux des commentaires)…
En utilisant un système de blog basé sur Git, ça aurait au moins le mérite de rendre la chose possible (à défaut d'être ergonomiquement à la portée de l'utilisatieur lambda).
Si vous avez des solutions à ces problèmes, ça m'intéresse.
Pour la gestion de mes photos et vidéos, ainsi que de mes papiers, j'utilise fdupes ou fslint, mais je les trouve largement imparfaits. Fim pourrait donc être une alternative correcte. Cependant, il manque une fonctionnalité qui me semble essentielle: celle de remplacer un doublon par un hardlink ou un symlink (sous Linux) et éventuellement un raccourci (sous Windows).
Je vois également un autre cas d'usage de Fim, qui n'est pas cité explicitement dans la doc: celui de la vérification des fichiers de tout ton système, un peu à la manière de Tripwire.
Il n'y a pas d'étude de l'ergonomie du client PGP GnuPG (merci d'ajouter un lien sinon)
Toutes les études de l'ergonomie des autres clients PGP (modernes ou non) mettent en avant des résultats très mauvais, et ce de façon répétée sur les 20 dernières années.
Donc GnuPG est absolument utilisable, surtout par les non experts. Tellement par ailleurs que le fait de lever la moindre critique est un blasphème.
Deuxième formulation:
Il n'y a pas d'étude de l'ergonomie du client PGP GnuPG, un client en ligne de commande ancien (parce que, l'interface n'a probablement pas radicalement changé depuis le début).
Une étude de l'ergonomie d'un client PGP graphique moderne met en avant des résultats très mauvais
Donc GnuPG est absolument utilisable, surtout par les non experts. Tellement par ailleurs que le fait de lever la moindre critique est un blasphème.
Il est par contre extrêmement simple de démontrer que l'affirmation "les clients PGP modernes sont inutilisables" est fausse, c'est soit de citer une étude de l'ergonomie d'un client qui a eu de très bon scores, soit donner le nom d'un client PGP ergonomique qui fasse à peu près consensus, et c'est là que la communauté de linuxfr.org avec toutes ses connaissances et ses experts sur le sujet devrait être en mesure d'apporter des éléments constructifs. Voilà, j'attends…
En effet, c'est du très très lourd:
pendant que les chercheurs pondent leurs jolis articles pour dire que ce qu’on leur propose ne les satisfait pas.
Tu oublies la partie "for the masses".
Les chercheurs ne sont pas les testeurs.
Il s'agit de savoir si une majorité des utilisateurs finaux lambda arrivent à effectuer une tâche simple pour laquelle a été conçu un logiciel. En l'occurrence, quand dans l'étude de 2015, il y a 90% d'échec, on peut affirmer que ce n'est pas ergonomique et que ce n'est pas satisfaisant.
JDCJDR: peut-être d'ailleurs que ce n'est pas uniquement aux développeurs de concevoir l'interface d'un outil, particulièrement critique, qui est destiné à une communauté bien plus large et bien moins experte dans le domaine…
# Merci et passage de la série d'article dans le wiki ?
Posté par showtime . En réponse au journal [Btrfs et openSUSE] Épisode 4 : le transfert de sous-volume. Évalué à 3.
Un grand merci pour cette superbe série.
Il me semble qu'un travail aussi détaillé, complet, sourcé et qualitatif devrait figurer dans le wiki. Qu'en pensez-vous ?
[^] # Re: (en plus des règles habituelles de sécurité)
Posté par showtime . En réponse au journal De l'exploitation des logs de fail2ban…. Évalué à 3.
Concernant le port-knocking classique, j'ai déjà apporté dans ce commentaire quelques informations sur ses faiblesses et sur une la solution: le Single Packet Authorization.
Le gros avantage de cette solution c'est que les scans de port ne révèleront jamais rien, donc ça diminuera considérablement le nombre de logs.
Et concernant la 2FA, tant qu'à faire les choses, autant ne pas les faire à moitié: il faut éviter d'utiliser les SMS car les protocoles de communication sous-jacents sont troués, comme indiqué dans ce très bon article sur la 2FA.
Pour les alternatives:
- Google Authenticator (le plus connu, mais c'est le mal)
- FreeOTP (la version libre)
- Authy (qui est vulgarisé dans le premier article et me semble particulièrmeent intéressant, car très user-friendly, dispose d'un github bien fourni et d'un plugin exprès pour ssh, mais je n'ai pas toruvé si l'appli en elle-même était open-source)
# Coquilles
Posté par showtime . En réponse à la dépêche Les entrailles d’un interpréteur CSS très rapide : Quantum CSS (alias Stylo). Évalué à 2.
"il s'insert" (2 occurrences) => il s'insère http://www.wordreference.com/conj/FRverbs.aspx?v=s%27ins%c3%a9rer
"à besoin" => "a besoin"
"en détails" => "en détail" https://french.stackexchange.com/questions/19002/doit-on-%c3%a9crire-en-d%c3%a9tail-ou-en-d%c3%a9tails
"de très petits problèmes bloquant" => "de très petits problèmes bloquants" http://fr.lettres.langue.francaise.narkive.com/k8MA5eKd/criteres-bloquant-ou-criteres-bloquants
# Meilleur article sur BTRFS ?
Posté par showtime . En réponse au journal Btrfs ne serait plus le futur. Évalué à 1.
Pour ceux qui ne connaîtraient pas BTRFS, ou qui souhaitent en découvrir rapidement et de façon efficace les fonctionnalités majeures, voici le meilleur article que j'ai pu trouver jusqu'à présent:
https://arstechnica.com/information-technology/2014/01/bitrot-and-atomic-cows-inside-next-gen-filesystems/
[^] # Re: récente acquisition - Open source
Posté par showtime . En réponse au journal Btrfs ne serait plus le futur. Évalué à 1.
Petite précision, apparemment Red Hat a prévu de mettre les logiciels de Permabit en open source.
[^] # Re: Brtfs ?
Posté par showtime . En réponse au journal Btrfs ne serait plus le futur. Évalué à 10.
…dont on n'est même pas capable d'écrire correctement…
C'est quand même dommage de faire une remarque sur l'orthographe d'un sigle en commettant pareille erreur de grammaire.
[^] # Re: Question pour les pros de SSH
Posté par showtime . En réponse au journal Openssh, dernières actus. Évalué à 10.
Pour répondre à ta question, oui il existe une solution, et elle est meilleure que le port-knocking: c'est le Single Packet Authorization ou SPA.
De plus, cette solution est indépendante de SSH et tu peux donc l'utiliser pour n'importe quel service sur n'importe quel port.
Tout d'abord, le port-knocking possède (de mémoire) au moins deux faiblesses:
- Il utilises plusieurs paquets, ce qui peut être utilisé pour l'identifier et éventuellement le stopper (en empêchant le deuxième ou troisième paquet d'arriver à destination)
- Il n'utilise pas de partie aléatoire, ce qui permet de rejouer une séquence interceptée
NB: certes, ce n'est pas à la portée de tout le monde.
Ensuite, concernant le SPA, je te conseille ce très bon article:
https://www.linuxjournal.com/article/9565
Enfin, comme implémentation du SPA, il y a fwknop, et voici les 2 liens que j'ai conservés:
- http://www.cipherdyne.org/fwknop/
- http://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html
Tout cela est très intéressant à lire et je parie que ça ne profitera pas qu'à toi.
[^] # Re: Le problème de fond
Posté par showtime . En réponse au journal GNOME va passer à GitLab. Évalué à -1.
Le problème n'est pas tant d'utiliser des sigles, ce qui est inévitable, mais c'est surtout de ne pas pouvoir enrichir facilement un sigle avec un lien ou une signification, ce qui est je trouve une des plus grandes lacunes du web actuel (et par ricochet de linux.fr). Cette critique ne se réduit d'ailleurs pas uniquement aux sigles, mais également à toutes les erreurs (de frappe, d'orthographe, de syntaxe, de grammaire, de conjugaison…), dont les 3 premiers commentaires de ce journal sont la parfaite illustration (et qui viennent ainsi pourrir le flux des commentaires)…
En utilisant un système de blog basé sur Git, ça aurait au moins le mérite de rendre la chose possible (à défaut d'être ergonomiquement à la portée de l'utilisatieur lambda).
Si vous avez des solutions à ces problèmes, ça m'intéresse.
[^] # Re: Sauvegarde, oui, durable, non
Posté par showtime . En réponse au journal Gestion de versions et sauvegarde de données. Évalué à 1.
Comment tu t'organises pour sauvegarder tes mails ?
Est-ce que tu copie le contenu de ton fichier .mbox ou de ton dossier maildir ?
Ou est-ce que tu utilises des outils comme OfflineIMAP ?
# La NSA également
Posté par showtime . En réponse au journal L'open source selon Google. Évalué à 9.
Le top du top c'est quand même la NSA: https://nationalsecurityagency.github.io/
Qui dit mieux ?
# Ajouter les Pinebooks ?
Posté par showtime . En réponse à la page de wiki ordinateurs-libres. Évalué à 0 (+0/-0).
Suite à cet article https://linuxfr.org/users/regis/journaux/pinebook-opensource-notebook, serait-il possible d'ajouter les Pinebooks dans la liste ?
# Hardlink ou symlink à la place de la suppression ?
Posté par showtime . En réponse à la dépêche Optimisations et corrections pour Fim 1.2.3. Évalué à 1.
Pour la gestion de mes photos et vidéos, ainsi que de mes papiers, j'utilise fdupes ou fslint, mais je les trouve largement imparfaits. Fim pourrait donc être une alternative correcte. Cependant, il manque une fonctionnalité qui me semble essentielle: celle de remplacer un doublon par un hardlink ou un symlink (sous Linux) et éventuellement un raccourci (sous Windows).
Je vois également un autre cas d'usage de Fim, qui n'est pas cité explicitement dans la doc: celui de la vérification des fichiers de tout ton système, un peu à la manière de Tripwire.
[^] # Re: Et l'ergonomie de gpg, on en parle ?
Posté par showtime . En réponse au journal GnuPG lance une nouvelle campagne de financement. Évalué à -2.
En parlant de raisonnements logiques foirés:
Première formulation:
Deuxième formulation:
Il est par contre extrêmement simple de démontrer que l'affirmation "les clients PGP modernes sont inutilisables" est fausse, c'est soit de citer une étude de l'ergonomie d'un client qui a eu de très bon scores, soit donner le nom d'un client PGP ergonomique qui fasse à peu près consensus, et c'est là que la communauté de linuxfr.org avec toutes ses connaissances et ses experts sur le sujet devrait être en mesure d'apporter des éléments constructifs. Voilà, j'attends…
En effet, c'est du très très lourd:
JDCJDR: peut-être d'ailleurs que ce n'est pas uniquement aux développeurs de concevoir l'interface d'un outil, particulièrement critique, qui est destiné à une communauté bien plus large et bien moins experte dans le domaine…
PS: J'avais déjà lu tes 2 derniers articles de-la-distribution-des-clefs-openpgp et de-la-confiance-dans-le-monde-openpgp que j'ai trouvé très instructifs et bien rédigés.
# Et l'ergonomie de gpg, on en parle ?
Posté par showtime . En réponse au journal GnuPG lance une nouvelle campagne de financement. Évalué à -4.
Je n'ai rien lu jusqu'ici qui parle de l'ergonomie de gpg, vraiment très mauvaise.
http://docplayer.net/10300209-Why-johnny-can-t-encrypt-a-usability-study-of-pgp.html
https://www.schneier.com/blog/archives/2015/11/testing_the_usa.html
https://arxiv.org/pdf/1510.08555.pdf
Donc en effet, GnuPG a besoin de vous, encore faudrait-il que GnuPG vous écoute.
Et vous, que pensez-vous de l'ergonomie de GPG ?
Quelles pistes d'amélioration proposez-vous ?
# Et Gufw ?
Posté par showtime . En réponse au journal OpenSnitch. Évalué à 1.
Et c'est quoi la différence par rapport à Gufw (http://gufw.org/) par exemple ?
Et par rapport à tcp wrappers (https://www.tecmint.com/secure-linux-tcp-wrappers-hosts-allow-deny-restrict-access/) ?