> Le seul effet de sudo par rapport a un compte admin c'est de retarder l'infection un peu.
C'est déjà pas mal...
Le scénario que tu montres est possible mais je ne l'ai jamais vu depuis que je bosse sur Linux et cela fait plus de 10 ans...
Il y a donc plus qu'une nuance entre un clic sur une page web et t'es mort et une attaque en plusieurs étapes qui nécessite d'aller changer le fichier bashrc...
Cela dis, mes utilisateurs ne sont pas sudo, ni moi. Je fais un su pour passer sur un autre compte qui est lui sudo ! Mais ton attaque marche aussi avec su... Bref, ton attaque est générique et marche sur tout OS tant que l'OS ne fait pas un contrôle "NOM de l'exécutable / checksum" et n'interdit pas les doublons dans les noms des binaires.
A voir les réponses de clowncoder, on peut vraiment se demander pourquoi il a posté son journal. Je trouve personnellement dommage qu'il sabote son propre travail avec ses commentaires agressifs. L'effet me semble pire que de ne pas faire de journal et cela serait dommage car effectivement, on aimerait bien voir le lien avec SystemTap.
720, c'est pas de la HD... Il faut arrêter de sortir HD pour tout et n'importe quoi. C'est pas parce que sur les sites comme youtube on a droit a du vignettage que la HD englobe tout ce qu'il y a de plus grand comme format.
> Le compte admin sous Windows d'un point de vue sécurité est équivalent a un user avec
> sudo sous Linux.
N'importe quoi !
Seule les commandes sudo sont root pas toute ! Dans ton navigateur ou ton lecteur de mail, tu n'est pas root... Bref, tu n'est presque jamais root. Il faudrait être fou pour lancer acroread en root par exemple.
Et puis, sudo te demande normalement ton mot de passe sauf si tu le configures autrement mais là, c'est soit pour une commande spécifique, soit tu fais n'importe quoi.
Bref, faut pas répandre des choses aussi fausses, c'est pas sympa.
Sauf que si ce n'est pas le même Windows, c'est le même Linux ;-) Les disques durs réseaux embarquent quoi pour le partage de fichier ? samba ? Bref, il n'y a pas de différence fondamental entre un serveur de fichier que je monte moi même et le LaCie qui traîne dans un coin du bureau.
Idem, sur les "box". J'ai un routeur sous Linux et une box est un routeur sous Linux avec une patte qui fait du pppoe. Bref, c'est pareil.
J'ai mon propre serveur de mail avec ma propre infrastructure antispam, mais j'aurais pu acheter une boite noire qui fait tout cela. Cette boite, c'est un serveur comme un autre ou c'est de l'embarqué et cela ne compte pas...
Bref, c'est bien ce que je disais, chacun met le protocole de mesure qu'il souhaite et qui l'arrange pour afficher des résultats sous un meilleur jour. Je comprends très bien que Microsoft ne souhaite pas avoir les serveurs embarqués sous Linux dans les chiffres car cela le placerait bien moins bien et Linux serait beaucoup trop bien placé pour les décideurs.
Les journalistes, si tu les as côtoyés sur un sujet que tu connais bien sont capable de raconter dessus un peu n'importe quoi, même si tu leur as préparé ce qu'il pouvait dire. C'est toujours étonnant de voir ce qu'ils sont capable d'écrire par rapport à ce que tu leur a raconté. En science de l'ingénieur, c'est souvent flagrant (heureusement, pas toujours).
Je trouve très bien de relayer des articles de presse. Cependant, et je suis sur que tu es d'accord, il n'est pas nécessaire ni raisonnable de tout relayer car il y a pas mal de pipeau dans la presse informatique comme partout. On est donc obligé de faire un tri.
Du coup, on n'est pas obligé de ne choisir que des articles qui nous caresse dans le sens du poil, mais on n'est pas obligé non plus de transmettre des articles qui assènent des vérités gratuites sans amener le moindre début de preuve. Ou alors, on s'autorise un encart explicatif, chose que je n'ai pas vu ici.
Toutes les "box" chez les particuliers tournent sous linux à ma connaissance... Je pense qu'il en est de même de tous les petits disques NAS du marché à destination des particuliers et des PME (LaCie...). Ces machines ne sont à ma connaissance jamais comptabilisées.
Bref, les rares études que j'ai lu n'avait pas un protocole clair ou alors, le protocole de calcul montrait clairement des lacunes...
Avec la quantité de gadget qui risque de débouler dans les années qui viennent, soit Microsoft arrive à replacer son WindowsCE, soit ses pars de marché ne vont faire que diminuer, c'est mathématiques.
Si je prends l'exemple de la petite PME pas loin de chez moi qui travaille dans l'impression, je trouve 8 serveurs Windows (RIP d'impression compris) et 6 serveurs Linux. Pour un service ou 100% des personnes ne travaillent que sous Windows, c'est pas mal ! Dans mon boulot à moi, il n'y a que des Linux mais nous ne sommes pas représentatif (mais n'avoir aucun serveur Windows, c'est possible !).
"
L'Open Source, qui connaît une mutation dans son modèle, devient de plus en plus sécurisé grâce notamment à la contribution des acteurs traditionnels, qui s'arment de développeurs dédiés.
"
Bizarre, moi j'avais compris que le fait d'avoir des codes libres avait toujours fait qu'ils étaient d'un niveau plus que correct d'un point de vus sécurité. Cette phrase donne carrément l'impression que les acteurs traditionnels souhaitent s'accaparer la qualité du code du point de vue sécurité et pourquoi pas dans un second temps la qualité du code tout court !
Je bosse avec Linux tous les jours depuis plus de 10 ans, idem avec plein de postes Linux autour de moi, je n'ai jamais eu le moindre problème de sécurité sur ces postes ! Je n'ose pas parler des postes Windows que je gère ou j'ai eu plusieurs fois des remontées de Renater !
En faisant des stats piffométriques sur mon environnement professionnel, j'ai eu bien plus de soucis de sécurité avec des codes propriétaires qu'avec des codes libres !
Bref, cela me dérange que l'April relais cela ainsi dans sa revue de presse.
OK, il y a des points qui m'intéresse comme le 2 mais aussi le 5.
Sinon, question vitesse, je me pose la question de la machine qui vous sers de serveur de demo car j'ai trouvé cela hyper lent et du coup je me suis dis que j'allais surtout pas essayer car mon nagios est bien plus rapide.
J'ai été sur le site web, j'ai essayé la démo et, étant utilisateur de Nagios, je me demande quel est le plus de Centreon par rapport à Nagios. En gros, qu'est ce qui pourrait me motiver à utiliser Centreon en plus de Nagios.
Si c'est une interface de configuration, cela ne m'intéresse pas personnellement. Ma configuration de Nagios est géré via subversion et est propagé sur le serveur via cfengine. Je n'ai rien trouvé de mieux pour avoir des configurations ou je sais exactement ce qu'il y a dedans ;-)
Le moc n'est pas un pré-compilateur mais génère des fichiers C++ ! Alors qu'est ce que c'est. Pour moi, c'est exactement la définition d'un pré-compilateur... Un pré-compilateur, c'est une action de transformation qui a lieu sur les fichiers sources avant le passage du compilateur.
Le code écrit pour Qt n'est pas du C++ pur car tu ne peux pas le compiler avec n'importe quel compilateur si tu n'est pas passé par la moulinette moc avant. Je t'accorde cependant que le dialecte de Qt est très proche du C++, c'est une simple extension alors que Vala est plus un traducteur.
Je suis d'accord mais en pratique, je n'en connais pas... sauf les bibliothèques de base en calcul numérique qui étaient historiquement en Fortran mais c'est de moins en moins vrai (blas...).
As tu des exemples qui sont utilisés courament (or de la mouvance Qt et KDE) ?
Sauf qu'implémenter Gtk en Vala fait perdre les connexions à Gtk aux langages de scripts !
L'objectif de GTK et maintenant de GNOME est d'avoir les bases en C pour pouvoir programmer les applications dans le langage que l'on souhaite. Cependant, les bases doivent rester en C.
Exactement. C'est que que faisait Sather, c'est aussi ce que fait Lisaac.
Et puis, on utilise Qt mais Qt est une surcouche au C++ et le code doit être précompilé avec moc avant de pouvoir être compilé avec gcc. Donc finalement, Vala reprend un peu la même approche...
Sur les marchés public de la recherche, Windows XP Pro est passé de 98 a 76 Euros... Idem pour Vista Buisness. Bref, c'est un mouvement d'ensemble qui me semble cohérent avec l'arrivé prochaine de Seven.
Je n'ai jamais dis qu'il y a avait un rapport entre ce que je disais et les onglets... C'était juste deux exemples de bouts de code qui a mon sens ne servent à rien.
Le mode multi-profile est pénible sauf pour les développeurs. Donc je dis juste de changer cela avec un
firefox --config chemin_du_profile
Ce que tu dis, on peut choisir son profile avec -Profile, n'a rien a rien. Il reste une gestion des profiles. Si tu donnes le chemin du profile, il n'y a plus réellement de gestion multi-profile.
Quand au mode -no-remote, j'aimerais savoir qui l'utilise, pour moi ce mode remote par défaut n'a que des inconvénients et est à l'opposé du mode de tous les autres logiciels. Pourquoi firefox s'occupe de savoir si on est en mode remote et s'il y a un autre firefox à l'autre bout !
Bref, je ne sais pas combien il y a de lignes pour ces deux exemples que je donne. Je dis juste qu'on peut améliorer d'un coté et en profiter pour simplifier de l'autre. C'est tout.
Je suis d'accord et je n'ai pas dis que c'était la meilleure solution. Il est clair que dans les laboratoires de recherche, c'est très dé-centralisé comme mode de fonctionnement. Avoir un outil qui permet à l'utilisateur non informaticien de centraliser les choses est pas mal.
Je sais que dans certain cas, SVN connait des limites (sur le merge de branche) mais des outils comme git sont trop complexe pour des utilisateurs lambda qui ne connaissent rien à la gestion de projet en informatique.
Donc SVN, couplé à TRAC est un bon moyen d'introduire ce genre de problématique et du coup de former les utilisateurs a ce genre de technique. Lorsque nous avons fait ce choix la il y a deux ans, il n'y avait pas bien d'autres solutions multi plateforme ayant des clients aussi aboutis (TortoiseSVN pour Windows).
Et puis si on parle des jails, faut aussi parler de vserver et d'openvz...
Bref, cette revue de presse est intéressante mais la cible n'est peut être pas assez identifié et à mon sens un peu trop orienté en faveur Red-Hat...
Je pense que Xen est encore largement utilisé en entreprise, il évolue et dans la dépêche, les phrases sur Xen sont moins "sympa" que pour KVM. Il y a aussi pour le déport d'affichage NX avec le boulot de Google d'avoir un serveur plus simple à développer.
Personnellement, j'aime pas la libvirt car je n'aime pas les fichiers de conf en XML qui oblige en pratique a avoir un outil graphique pour les administrer. En général, cela implique chez les industriels de mettre X sur les serveurs. Le XML dans /etc a donc pour moi des conséquences assez néfastes en terme de design à long terme.
Tout dépend de la politique... SVN est centralisé est cela peut être bien pour centraliser les choses. Par exemple, dans un laboratoire de recherche, svn permet d'avoir une idée des codes développés et d'en avoir une version. Trop souvent, on ne sais plus bien ce que l'on a et il arrive que l'on perde ainsi les sources !
Sinon, SVN a aussi un très bon client sous Windows (TortoiseSVN). Si des personnes doivent travailler sous Windows, il faut contrôler la qualité du client sur cet OS.
Cela existe mais c'est globalement mal géré... Il y a aussi les attributs sur pas mal de systèmes de fichier de Linux. MacOSX pollue les partages de fichier avec ses fichiers .DS_STORE et tous les fichiers ._.... Bref, c'est pas la gloire.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 2.
C'est déjà pas mal...
Le scénario que tu montres est possible mais je ne l'ai jamais vu depuis que je bosse sur Linux et cela fait plus de 10 ans...
Il y a donc plus qu'une nuance entre un clic sur une page web et t'es mort et une attaque en plusieurs étapes qui nécessite d'aller changer le fichier bashrc...
Cela dis, mes utilisateurs ne sont pas sudo, ni moi. Je fais un su pour passer sur un autre compte qui est lui sudo ! Mais ton attaque marche aussi avec su... Bref, ton attaque est générique et marche sur tout OS tant que l'OS ne fait pas un contrôle "NOM de l'exécutable / checksum" et n'interdit pas les doublons dans les noms des binaires.
[^] # Re: Espion qdisc et/ou Courbe temps-réel d'historique de variable kerne
Posté par Sytoka Modon (site web personnel) . En réponse au journal Espion qdisc et/ou Courbe temps-réel d'historique de variable kernel. Évalué à 7.
[^] # Re: No comment
Posté par Sytoka Modon (site web personnel) . En réponse au journal Tests concrets de Theora 1.1. Évalué à -3.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 3.
> sudo sous Linux.
N'importe quoi !
Seule les commandes sudo sont root pas toute ! Dans ton navigateur ou ton lecteur de mail, tu n'est pas root... Bref, tu n'est presque jamais root. Il faudrait être fou pour lancer acroread en root par exemple.
Et puis, sudo te demande normalement ton mot de passe sauf si tu le configures autrement mais là, c'est soit pour une commande spécifique, soit tu fais n'importe quoi.
Bref, faut pas répandre des choses aussi fausses, c'est pas sympa.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 2.
Sous Linux aujourd'hui, on arrive a avoir un OS ou le compte root n'a pas de mot de passe et cela marche. C'est assez formidable.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 4.
On sais tous que le calcul intensif est archi dominé par Linux, c'était pas la peine de répondre et surtout de partir sur un autre thème.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 3.
Idem, sur les "box". J'ai un routeur sous Linux et une box est un routeur sous Linux avec une patte qui fait du pppoe. Bref, c'est pareil.
J'ai mon propre serveur de mail avec ma propre infrastructure antispam, mais j'aurais pu acheter une boite noire qui fait tout cela. Cette boite, c'est un serveur comme un autre ou c'est de l'embarqué et cela ne compte pas...
Bref, c'est bien ce que je disais, chacun met le protocole de mesure qu'il souhaite et qui l'arrange pour afficher des résultats sous un meilleur jour. Je comprends très bien que Microsoft ne souhaite pas avoir les serveurs embarqués sous Linux dans les chiffres car cela le placerait bien moins bien et Linux serait beaucoup trop bien placé pour les décideurs.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 3.
Je trouve très bien de relayer des articles de presse. Cependant, et je suis sur que tu es d'accord, il n'est pas nécessaire ni raisonnable de tout relayer car il y a pas mal de pipeau dans la presse informatique comme partout. On est donc obligé de faire un tri.
Du coup, on n'est pas obligé de ne choisir que des articles qui nous caresse dans le sens du poil, mais on n'est pas obligé non plus de transmettre des articles qui assènent des vérités gratuites sans amener le moindre début de preuve. Ou alors, on s'autorise un encart explicatif, chose que je n'ai pas vu ici.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 3.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 2.
Bref, les rares études que j'ai lu n'avait pas un protocole clair ou alors, le protocole de calcul montrait clairement des lacunes...
Avec la quantité de gadget qui risque de débouler dans les années qui viennent, soit Microsoft arrive à replacer son WindowsCE, soit ses pars de marché ne vont faire que diminuer, c'est mathématiques.
Si je prends l'exemple de la petite PME pas loin de chez moi qui travaille dans l'impression, je trouve 8 serveurs Windows (RIP d'impression compris) et 6 serveurs Linux. Pour un service ou 100% des personnes ne travaillent que sous Windows, c'est pas mal ! Dans mon boulot à moi, il n'y a que des Linux mais nous ne sommes pas représentatif (mais n'avoir aucun serveur Windows, c'est possible !).
# Sécurité
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 5.
L'Open Source, qui connaît une mutation dans son modèle, devient de plus en plus sécurisé grâce notamment à la contribution des acteurs traditionnels, qui s'arment de développeurs dédiés.
"
Bizarre, moi j'avais compris que le fait d'avoir des codes libres avait toujours fait qu'ils étaient d'un niveau plus que correct d'un point de vus sécurité. Cette phrase donne carrément l'impression que les acteurs traditionnels souhaitent s'accaparer la qualité du code du point de vue sécurité et pourquoi pas dans un second temps la qualité du code tout court !
Je bosse avec Linux tous les jours depuis plus de 10 ans, idem avec plein de postes Linux autour de moi, je n'ai jamais eu le moindre problème de sécurité sur ces postes ! Je n'ose pas parler des postes Windows que je gère ou j'ai eu plusieurs fois des remontées de Renater !
En faisant des stats piffométriques sur mon environnement professionnel, j'ai eu bien plus de soucis de sécurité avec des codes propriétaires qu'avec des codes libres !
Bref, cela me dérange que l'April relais cela ainsi dans sa revue de presse.
[^] # Re: Par rapport à Nagios ?
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche La version 2.1 de Centreon est disponible. Évalué à 3.
Sinon, question vitesse, je me pose la question de la machine qui vous sers de serveur de demo car j'ai trouvé cela hyper lent et du coup je me suis dis que j'allais surtout pas essayer car mon nagios est bien plus rapide.
# Par rapport à Nagios ?
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche La version 2.1 de Centreon est disponible. Évalué à 3.
Si c'est une interface de configuration, cela ne m'intéresse pas personnellement. Ma configuration de Nagios est géré via subversion et est propagé sur le serveur via cfengine. Je n'ai rien trouvé de mieux pour avoir des configurations ou je sais exactement ce qu'il y a dedans ;-)
[^] # Re: je suis pas convaincue
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de Vala 0.7.6. Évalué à 4.
Le code écrit pour Qt n'est pas du C++ pur car tu ne peux pas le compiler avec n'importe quel compilateur si tu n'est pas passé par la moulinette moc avant. Je t'accorde cependant que le dialecte de Qt est très proche du C++, c'est une simple extension alors que Vala est plus un traducteur.
[^] # Re: je suis pas convaincue
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de Vala 0.7.6. Évalué à 2.
As tu des exemples qui sont utilisés courament (or de la mouvance Qt et KDE) ?
[^] # Re: je suis pas convaincue
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de Vala 0.7.6. Évalué à 1.
L'objectif de GTK et maintenant de GNOME est d'avoir les bases en C pour pouvoir programmer les applications dans le langage que l'on souhaite. Cependant, les bases doivent rester en C.
[^] # Re: cette exploit arrive à contourner SELinux
Posté par Sytoka Modon (site web personnel) . En réponse au journal Brad remet le couvert. Évalué à 5.
[^] # Re: je suis pas convaincue
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de Vala 0.7.6. Évalué à 2.
Et puis, on utilise Qt mais Qt est une surcouche au C++ et le code doit être précompilé avec moc avant de pouvoir être compilé avec gcc. Donc finalement, Vala reprend un peu la même approche...
# Marché public
Posté par Sytoka Modon (site web personnel) . En réponse au journal Acer diminue le montant du remboursement de Windows. Évalué à 5.
[^] # Re: Accès FTP
Posté par Sytoka Modon (site web personnel) . En réponse au journal Sécurisation d'applications PHP hébergées sur du LAMP. Évalué à 4.
Lorsqu'on rapatrie plus 200Go des centres de calcul, c'est toujours en FTP, avec SSH, c'est quasiment impossible.
[^] # Re: Scheduler
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Le projet Haiku Project annonce la disponibilité d'Haiku R1/Alpha 1. Évalué à 2.
Le mode multi-profile est pénible sauf pour les développeurs. Donc je dis juste de changer cela avec un
firefox --config chemin_du_profile
Ce que tu dis, on peut choisir son profile avec -Profile, n'a rien a rien. Il reste une gestion des profiles. Si tu donnes le chemin du profile, il n'y a plus réellement de gestion multi-profile.
Quand au mode -no-remote, j'aimerais savoir qui l'utilise, pour moi ce mode remote par défaut n'a que des inconvénients et est à l'opposé du mode de tous les autres logiciels. Pourquoi firefox s'occupe de savoir si on est en mode remote et s'il y a un autre firefox à l'autre bout !
Bref, je ne sais pas combien il y a de lignes pour ces deux exemples que je donne. Je dis juste qu'on peut améliorer d'un coté et en profiter pour simplifier de l'autre. C'est tout.
[^] # Re: plutôt distribué
Posté par Sytoka Modon (site web personnel) . En réponse au message A la recherche du meilleur outil .... Évalué à 3.
Je sais que dans certain cas, SVN connait des limites (sur le merge de branche) mais des outils comme git sont trop complexe pour des utilisateurs lambda qui ne connaissent rien à la gestion de projet en informatique.
Donc SVN, couplé à TRAC est un bon moyen d'introduire ce genre de problématique et du coup de former les utilisateurs a ce genre de technique. Lorsque nous avons fait ce choix la il y a deux ans, il n'y avait pas bien d'autres solutions multi plateforme ayant des clients aussi aboutis (TortoiseSVN pour Windows).
[^] # Re: Jails
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Tour d'horizon de la virtualisation libre. Évalué à 3.
Bref, cette revue de presse est intéressante mais la cible n'est peut être pas assez identifié et à mon sens un peu trop orienté en faveur Red-Hat...
Je pense que Xen est encore largement utilisé en entreprise, il évolue et dans la dépêche, les phrases sur Xen sont moins "sympa" que pour KVM. Il y a aussi pour le déport d'affichage NX avec le boulot de Google d'avoir un serveur plus simple à développer.
Personnellement, j'aime pas la libvirt car je n'aime pas les fichiers de conf en XML qui oblige en pratique a avoir un outil graphique pour les administrer. En général, cela implique chez les industriels de mettre X sur les serveurs. Le XML dans /etc a donc pour moi des conséquences assez néfastes en terme de design à long terme.
[^] # Re: plutôt distribué
Posté par Sytoka Modon (site web personnel) . En réponse au message A la recherche du meilleur outil .... Évalué à 2.
Sinon, SVN a aussi un très bon client sous Windows (TortoiseSVN). Si des personnes doivent travailler sous Windows, il faut contrôler la qualité du client sur cet OS.
[^] # Re: Système de fichier avec support des métadonnées
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Le projet Haiku Project annonce la disponibilité d'Haiku R1/Alpha 1. Évalué à 3.