Un problème qui revient souvent lorsqu'on débute sous (GNU/)Linux concerne la sécurité de sa machine, que ce soit un serveur ou un ordinateur de bureau. Faut il installer un antivirus ? un firewall ? et les malwares ? les mises à jour ? Des sauvegardes ? Mais mon ordi va bien non ?
Certain-e-s d'entre vous ont sans aucun doute des configurations intéressantes et/ou exotiques, n'hésitez pas à les partager, tous le monde en sortira gagnant.
Et donc, au programme de cet article (testé sur Debian Wheezy) :
- Mises à jour :
cron-apt
etcheckrestart
- Sécurité
- virus :
clamav
, - malwares
maldet
, - rootkits
rkhunter
,chkrootkit
,lynis
- vérification de l'intégrité des paquets :
debsums
- virus :
- nettoyage :
deborphan
, … - backups
Sommaire
- mises à jour : cron-apt
- checkrestart (debian-goodies)
- clamav (antivirus) et maldet (antimalwares)
- rkhunter
- chkrootkit
- lynis
- debsums
- Nettoyer
- Des sauvegardes !
- Pour aller un peu plus loin
IMPORTANT :
- la plupart des commandes ci-dessous nécessitent d'être root ou d'utiliser la commande
sudo
- tous ces logiciels ont normalement des logs dans
/var/log
, et c'est très utile pour trouver pourquoi ça ne marche pas - il faut avoir un logiciel de courriel configuré (comme
postfix
) pour pouvoir envoyer des courriels - n'oubliez pas de relancer le programme après une modification pour la prise en compte
mises à jour : cron-apt
cron-apt permet d'alerter quand une ou plusieurs mises à jour sont disponibles pour le serveur mais aussi de les faire automatiquement en envoyant ou non un courriel pour prévenir (à noter que apticron permet aussi d'alerter en cas de mises à jour disponibles).
Pour commencer, le plus important : avoir des sources de mises à jour propres. Pour bien comprendre comment fonctionnent les sources.list, vous pouvez vous référer à la documentation de Debian, vous pouvez aussi vous aider du "Debian Sources List Generator" pour générer votre fichier.
En cas de mises à jour automatiques, il est VITAL d'avoir des sources "propres", il faut éviter au maximum des conflits éventuels entre des paquets ou une configuration trop exotique. Mieux vaut réfléchir avant de mettre en place un système de mise à jour auto sur un système en production, en particulier si il y a une supervision avec une astreinte (et encore plus si c'est vous d'astreinte).
- installer
cron-apt
:
aptitude install cron-apt
- éditer le fichier de configuration
/etc/cron-apt/conf
:-
APTCOMMAND
définit le gestionnaire de paquets que vous voulez utilisez (apt-get
ouaptitude
) -
MAILTO
l'adresse à laquelle le système va envoyer les courriels de notifications.
-
APTCOMMAND=/usr/bin/aptitude
MAILTO="mail@exemple.org"
Par défaut, cron-apt
est lancé chaque jour à 4 heure du matin. Libre à vous de modifier ce comportement dans le fichier /etc/cron.d/cron-apt
.
mises à jour automatiques
Pour installer automatiquement les mises à jour disponibles, il est nécessaire de créer un fichier nommé 5-install
dans le répertoire /etc/cron-apt/action.d/
puis d'y ajouter la ligne suivante :
dist-upgrade -y -o APT::Get::Show-Upgraded=true
Pour limiter le process aux mises à jour de sécurité, il faut créer un fichier nommé /etc/apt/security.list
pour y mettre ceci :
deb http://security.debian.org/ wheezy/updates main contrib non-free
deb-src http://security.debian.org/ wheezy/updates main contrib non-free
Il suffit alors de décommenter dans le fichier /etc/cron-apt/config
la ligne suivante :
OPTIONS="-o quiet=1 -o Dir::Etc::SourceList=/etc/apt/security.list"
Dorénavant cron-apt
utilisera uniquement le fichier security.list
pour vérifier la présence de mises à jour, et ignorera donc les mises à jour autres que celles de sécurité.
checkrestart (debian-goodies)
Le paquet debian-goodies installe sur votre machine quelques scripts dont checkrestart
, qui permet de trouver des processus utilisant de vieilles versions de bibliothèques logicielles. Ce genre de vérification est particulièrement critique après un patch sécurité important, comme pour libc6 en janvier 2015 (CVE-2015-0235).
Pour installer le paquet debian-goodies
(la commande checkrestart
suffit pour le lancer par la suite) :
aptitude install debian-goodies
Le script est donc particulièrement utile, mais comme on peut souvent le voir, il ne sait pas reconnaitre et/ou relancer certains processus, on peut donc ajouter des fonctionnalités supplémentaires, c'est ce qu'a fait Octopuce via un script qui utilise checkrestart
en y ajoutant des fonctionnalités.
Ce script est disponible sur github et l'on peut trouver un article introductif sur le site d'Octopuce.
Pour le mettre en place :
cd /usr/local/bin/
wget https://www.octopuce.fr/octopuce-goodies/checkrestart/checkrestart.octopuce
chmod +x checkrestart.octopuce
On peut alors lancer le script de n'importe où sur le système (n'hésitez pas à remonter des bugs ou à modifier le code) :
checkrestart.octopuce
clamav (antivirus) et maldet (antimalwares)
L'antivirus libre clamav est connu dans le monde du logiciel libre, et au delà, et son efficacité peut être améliorée en y ajoutant la base de signatures du Linux Malware Detector.
clamav
Pour l'installer :
aptitude install clamav clamav-freshclam
- mettre à jour
clamav
:
éditer le fichier de configuration /etc/clamav/freshclam.conf
selon votre choix (vous pouvez d'ailleurs voir une description rapide des options sur ce site) :
DatabaseOwner clamav
UpdateLogFile /var/log/clamav/freshclam.log
LogVerbose false
LogSyslog false
LogFacility LOG_LOCAL6
LogFileMaxSize 0
LogTime true
Foreground false
Debug false
MaxAttempts 5
DatabaseDirectory /var/lib/clamav
DNSDatabaseInfo current.cvd.clamav.net
AllowSupplementaryGroups false
PidFile /var/run/clamav/freshclam.pid
ConnectTimeout 30
ReceiveTimeout 30
TestDatabases yes
ScriptedUpdates yes
CompressLocalDatabase no
Bytecode true
# Check for new database 12 times a day
Checks 12
DatabaseMirror database.clamav.net
Vous pouvez ensuite lancer la mise à jour avec la commande freshclam
.
- lancer une analyse
Vous pouvez créer un second fichier de configuration pour clamav
sous le nom de /etc/clamav/clamd.conf
. Ce fichier sert à donner une configuration par défaut pour les analyses. Vous trouverez ci-dessous un EXEMPLE de configuration, vous pouvez le modifier selon vos désirs :
LogVerbose false
PidFile /var/run/clamav/clamd.pid
DatabaseDirectory /var/lib/clamav
#OfficialDatabaseOnly true
SelfCheck 3600
Foreground false
Debug false
ScanPE true
MaxEmbeddedPE 10M
ScanOLE2 true
ScanPDF true
ScanHTML true
MaxHTMLNormalize 10M
MaxHTMLNoTags 2M
MaxScriptNormalize 5M
MaxZipTypeRcg 1M
ScanSWF true
DetectBrokenExecutables false
ExitOnOOM false
LeaveTemporaryFiles false
AlgorithmicDetection true
ScanELF true
IdleTimeout 30
CrossFilesystems true
PhishingSignatures true
PhishingScanURLs true
PhishingAlwaysBlockSSLMismatch false
PhishingAlwaysBlockCloak false
PartitionIntersection false
DetectPUA false
ScanPartialMessages false
HeuristicScanPrecedence false
StructuredDataDetection false
CommandReadTimeout 5
SendBufTimeout 200
MaxQueue 100
ExtendedDetectionInfo true
OLE2BlockMacros false
ScanOnAccess false
AllowAllMatchScan true
ForceToDisk false
DisableCertCheck false
DisableCache false
MaxScanSize 100M
MaxFileSize 25M
MaxRecursion 10
MaxFiles 10000
MaxPartitions 50
MaxIconsPE 100
StatsEnabled false
StatsPEDisabled true
StatsHostID auto
StatsTimeout 10
StreamMaxLength 25M
LogFile /var/log/clamav/clamav.log
LogTime true
LogFileUnlock false
LogFileMaxSize 0
Bytecode true
BytecodeSecurity TrustSigned
BytecodeTimeout 60000
Linux Malware detector (maldet)
Installer maldet :
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar xfz maldetect-current.tar.gz
cd maldetect-*
./install.sh
Pour mettre la base de signatures à jour :
maldet -u
Pour affiner vos réglages, avoir des informations par courriel, configurer la mise en quarantaine, le fichier de configuration se trouve dans /usr/local/maldetect/conf.maldet
ajouter la base de signatures de MalDet à Clamav :
Il est possible de rajouter la base de signatures de maldet
à clamav
, ce qui permet de scanner une seule fois avec les deux bases de signatures. Après avoir installé maldet
, vous pouvez faire la manipulation suivante :
cd /var/lib/clamav
ln -s /usr/local/maldetect/sigs/rfxn.hdb rfxn.hdb
ln -s /usr/local/maldetect/sigs/rfxn.ndb rfxn.ndb
/etc/init.d/clamd restart
Vous pouvez utiliser la commande suivante pour lancer une analyse, --recursive
permet de descendre dans l'arborescence, --infected
permet de n'afficher que les résultats positifs lors de l'analyse pour éviter une sortie particulièrement verbeuse, et --log
permet de définir un fichier ou le résultat de l'analyse sera écrit :
clamscan --recursive --infected --log="/var/log/clamscan"
rkhunter
Pour l'installer puis le mettre à jour :
aptitude install rkhunter
rkhunter --update
Pour dire à rkhunter
de regarder l'état de certains fichiers de configurations et de les stocker pour détecter des altérations par la suite (à faire idéalement sur un système neuf) :
rkhunter --propupd
Pour lancer un test (n'oubliez pas que le résultat sera aussi dans /var/log/rkhunter.log
) :
rkhunter --check --skip-keypress --report-warnings-only
Le fichier de configuration se trouve dans /etc/rkhunter.conf
, vous pouvez y configurer, entre autre, votre adresse mail pour recevoir les alertes. rkhunter
peut générer des faux positifs, vous pouvez trouver dans la documentation d'Ubuntu comment l'éviter.
Plus de détails dans cet article très complet sur sublimigeek.com.
chkrootkit
chkrootkit est un anti-rootkit connu sous Linux, mais il faut noter que la version disponible dans wheezy est la 0.49 qui date de 2008, la 0.50, sorti en 2014 est disponible dans Jessie.
aptitude install chkrootkit
Le fichier de configuration /etc/chkrootkit/chkrootkit.conf
:
RUN_DAILY="true"
RUN_DAILY_OPTS="-q" # -q=quiet mode
DIFF_MODE="true" # garde un /var/cache/chkrootkit/log.old pour comparer la prochaine fois
REPORT_MAIL=mail@example.net
Pour le lancer :
chkrootkit -q
lynis
Développé par le créateur de rkhunter, Lynis est un outil d'audit pour Unix. Il parcourt la configuration du système et crée un résumé des informations système et des problèmes de sécurité, utilisable par des auditeurs professionnels. Il peut aider à des audits automatisés.
aptitude install lynis
Pour lancer une vérification du système avec seulement l'affichage des warnings :
lynis --check-all --quick
Vous trouverez le rapport dans /var/log/lynis-report.dat
et sa documentation pour aller plus loin sur le site officiel.
debsums
Debsums permet de vérifier l'intégrité des fichiers des paquets installés avec les sommes de contrôle MD5 installées par le paquet ou générées à partir d'une archive ".deb".
Pour l'installer :
aptitude install debsums
Pour le lancer (vérifie les fichiers de configurations --all
et n'affiche que les erreurs : --silent
) :
debsums --all --silent
Vous avez bien entendu différentes options que vous pouvez voir dans les pages man (man debsums
). Pour génèrer les sommes de contrôle MD5 à partir des fichiers .deb pour les paquets qui n'en fournissent pas : debsums --generate=missing
(équivalent de -g
). Cette commande est bien entendu à utiliser sur un système neuf.
Nettoyer
Quand vous désinstallez un paquet de votre machine, il arrive qu'il soit enlevé mais que les fichiers de configurations restent, il est alors marqué "rc" dans dpkg
, pour supprimer définitivement ces paquets, vous pouvez lancer les commandes suivantes :
- Afficher les paquets étant dans un état "rc" :
dpkg -l |grep ^rc | awk '{print $2}'
- Supprimer ces paquets :
dpkg -l | grep ^rc | awk '{print $2}' | xargs dpkg -P
À noter que cette commande peut éteindre MySQL pour effacer d'anciens fichiers de configuration, n'oubliez pas de de le relancer par la suite.
deborphan
Deborphan recherche les paquets orphelins sur votre système en déterminant quels paquets n'ont aucune dépendance sur eux et vous affiche la liste de ces paquets.
aptitude install deborphan
Je vous conseille grandement de vérifier ce qu'il propose d'enlever avant de supprimer les paquets :
deborphan
Et si ça vous semble correct, vous pouvez supprimer les paquets avec la commande dpkg
:
deborphan| xargs dpkg -P
Il peut être nécessaire de le relancer plusieurs fois (en vérifiant ou non ce qu'il veut effacer à chaque fois).
Des sauvegardes !
C'est sans aucun doute la partie la plus importante de cet article :
FAITES DES SAUVEGARDES !
Octopuce a mis en ligne un petit script qui vous aidera à faire rapidement et simplement des backups sur un disque dur externe (ou une clé USB avec assez de place) : faire des backups facilement.
Plus d'excuses, au boulot !
Pour aller un peu plus loin
faire écouter vos programmes en local s'ils n'ont pas besoin d'être atteint de l'extérieur. C'est normalement la configuration par défaut dans Debian, mais si vous installez des paquets externes, vous pouvez le vérifier facilement avec la commande netstat -lptn
.
Pour continuer cet article, n'oubliez surtout pas de vérifier et d'améliorer vos configurations régulièrement.
N'oubliez pas non plus de vous tenir au courant :
- oss-security Mailing List (attention, c'est verbeux)
- Informations de sécurité concernant Debian
La configuration de ces différents utilitaires dépends évidemmment de vos besoins et de votre modèle de menaces. Envoyer des informations par courriel ou télécharger des paquets sur un canal non sécurisé peut donner des informations sur l'état de votre système. N'hésitez jamais à utiliser un outil comme Tor.
Idéalement, les différents processus devraient être lancé automatiquement, régulièrement et envoyer un courriel immédiatement en cas de problème pour vous alerter.
Cet article vise à donner des idées de pistes à suivre pour la maintenance d'un poste personnel ou d'un serveur, rien de plus.
Aller plus loin
- Article original (1775 clics)
# SELinux & autres LSM ?
Posté par GeneralZod . Évalué à 10.
ça augmente grandement la sécurité d'une machine, bien plus que clamav & cie qui servent à rien dans un contexte purement unix-ien.
[^] # Re: SELinux & autres LSM ?
Posté par Tangi Colin . Évalué à 4.
pour combler mon ignorance, y quelques exemple de règle simple de SELinux ? J'ai jamais vraiment compris ce qu'on pouvais faire avec. Sur un post mono-utilisateur ça a un intérêt ?
[^] # Re: SELinux & autres LSM ?
Posté par xcomcmdr . Évalué à 5. Dernière modification le 05 mars 2015 à 22:11.
En théorie ça a l'air pas mal (du moins pour SELinux). En pratique, c'est tellement compliqué à mettre en place que ça a vite un intérêt limité…
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: SELinux & autres LSM ?
Posté par deuzene (site web personnel) . Évalué à 3.
Et AppArmor ? J'ai l'impression que c'est relativement simple de créer des profils. Il y en a déjà pas mal de pré-configurés.
En recherchant des infos sur Tomoyo, je suis tombé là. On peut y lire quelques retours intéressant sur différents LSM.
« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »
[^] # Re: SELinux & autres LSM ?
Posté par bubar🦥 (Mastodon) . Évalué à 6. Dernière modification le 06 mars 2015 à 11:13.
Gni ?
La mise en pratique de SElinux est assuré par les packagers des distributions. Tu n'as pratiquement rien à toucher à part si tu veux faire joujou avec le MLS (sX-sX:cX;cX), ce qui doit être assez rare, non ?
Pour des logiciels que tu souhaites configurer différemment de la configuration par défaut (exemple : un port spécifique pour rsyslog, etc …) : le mode "permissive" est prévu pour cela avant la mise en prod : Les logs disent exactement ce qu'il faut faire, très souvent. Si c'est "en prod" et qu'il n'est plus possible d'utiliser le permissive, alors les logs n'en sont pas moins utiles, et il y a même audit2allow pour les feignasses :-)
Dire que SElinux est trop compliqué pour être utilisé revient à dire qu'on utilise pas de voitures parcequ'on ne maitrise pas la totalité de la voiture. Donc ne pas confondre la difficulté du MLS de SELinux avec la simplicité et l'efficacité de SELinux par défaut (hors mls)
Une bonne doc chez redhat
[^] # Re: SELinux & autres LSM ?
Posté par xcomcmdr . Évalué à 4.
Euh, pas sous Archlinux.
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: SELinux & autres LSM ?
Posté par Martin Peres (site web personnel) . Évalué à 8.
Siosm (qui contribue aux dépêches noyau) travaille pour résoudre ce problème.
[^] # Re: SELinux & autres LSM ?
Posté par CHP . Évalué à 10.
Mauvaise distrib, changer distrib.
Désolé, c'etait tellement tentant….
[^] # Re: SELinux & autres LSM ?
Posté par Tonton Benoit . Évalué à 7.
Déjà tu n'est jamais vraiment sur un poste mono-utilisateur, regarde les utilisateurs des processus qui tournent sur ton systeme, y'en à au moins une dizaine.
Le boulot de SELinux (et TOMOYO et AppArmor et SMACK et…) c'est de s'assurer que Cups, par exemple, ne vienne pas butiner des fichiers dans ton /home et ce quel que soit l'utilisateur sous lequel tourne Cups et ses droits Unix.
Ça marche très bien pour les daemons et autres programmes automates, beaucoup moins pour les applications "utilisateur" car le iouser n'a pas un comportement prédictible et il veut pouvoir ajouter/supprimer des dossiers et renommer ses .doc à partir de la boite de dialogue enregistrer de Gimp… Du coup beaucoup d'application utilisateurs tournent en "unconfined_u" et là c'est le DRAM https://github.com/valvesoftware/steam-for-linux/issues/3671
[^] # Re: SELinux & autres LSM ?
Posté par Franck Routier (Mastodon) . Évalué à 1. Dernière modification le 06 mars 2015 à 09:59.
Avec AppArmor (sous Ubuntu), je tourne avec un Firefox confiné, et ça marche pas mal.
sudo apt-get install apparmor-profiles
sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
Et en effet, les logs sont pleins de DENIED sans conséquences (Firefox essaie de faire des trucs qui lui sont refusés, et ça marche sans conséquence visible pour moi), sans compter les denied intégrés au profil et qui restent silencieux.
Pout Thunderbird, j'ai essayé aussi, mais il me faut encore modifier soit le profil, soit mes pratiques, car la lecture de mon home est DENIED, ce qui pose problème ppour joindre des fichiers… je pense travailler par une sorte de sas de chargement, genre copier dans Public les fichiers que je veux envoyer avant de les joindre et laisser Thunderbird lire ce dossier. Ce qui peut s'avérer important :
"Armin Razmdjou discovered that contents of locally readable files could
be made available via manipulation of form autocomplete in some
circumstances. If a user were tricked in to opening a specially crafted
message with scripting enabled, an attacker could potentially exploit this
to obtain sensitive information. (CVE-2015-0822)"
[^] # Re: SELinux & autres LSM ?
Posté par Tonton Benoit . Évalué à 5. Dernière modification le 07 mars 2015 à 04:30.
Y'a aussi un profil SELinux Pour Firefox et quelques autres grosses applications, mais ça va être bien plus difficile à généraliser que pour les daemons.
Je pense qu'il faut prendre le problème différemment pour ce type d'application, on pourrait genre faire une boite de dialogue ouvrir/enregistrer privilégiée qui autorise le programme à sortir de son contexte SELinux pour modifier le fichier/dossier indiqué par l'utilisateur.
Le boulot de cette boite de dialogue est de garantir que le choix de confier le ficher/dossier à l'application provient bien d'une entrée directe de l'utilisateur.
C'est un peu le même concept que ce qui se fait avec le feu pam_console ou les sièges de consolekit/logind : éviter qu'un utilisateur distant ou un daemon s'amuse avec votre sortie vidéo, cette possibilité et réservé à l'utilisateur physiquement devant son PC.
<troll>Encore une mission pour systemd ?</troll>
[^] # Re: SELinux & autres LSM ?
Posté par claudex . Évalué à 3.
Mais non, il va juste falloir attendre kdbus pour que la boîte de dialogue puisse communiquer avec l'appelant.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: SELinux & autres LSM ?
Posté par Aris Adamantiadis (site web personnel) . Évalué à 10.
En fait clamav, rkhunter & co augmentent très largement la surface d'attaque de la machine, donc faire tourner ce genre d'application (à l'efficacité relativement discutable) doit faire l'objet d'une petite analyse de risque. Petite illustration du risque lié à chkrootkit.
SELinux est une véritable avancée au niveau de la sécurité. Avec de bonnes règles, même obtenir un accès root a un intérêt limité, et il faut trouver un moyen d'escalader vers un shell root moins limité.
L'inconvénient c'est que l'administrateur système "lambda" n'a pas le temps de fabriquer ces règles, donc pour que ce soit efficace il faut que les règles soient packagées en même temps que l'application (avec les éventuelles modifications nécessaires pour s'adapter à un changement de webroot, par exemple).
J'avais eu de très mauvais échos de apparmor il y a quelques années (règles de bases pas assez costaudes et granularité trop grosse) mais ça a peut-être changé depuis.
[^] # Re: SELinux & autres LSM ?
Posté par Harry . Évalué à 1. Dernière modification le 06 mars 2015 à 12:39.
Une excellente analyse d'AppArmor a d'ailleurs été effectuée par Dan Rosenberg en 2012, qui montre les différents problèmes inhérents à ce type de solution.
[^] # Re: SELinux & autres LSM ?
Posté par bubar🦥 (Mastodon) . Évalué à 4. Dernière modification le 07 mars 2015 à 05:13.
Plussun. Et on peut ajouter que tout confier à X n'est pas une solution valable s'il s'agit de délégation totale. Même si X=selinux.
C'est surprenant le genre de bêtises de configuration qu'on peut oublier … Exemple avec les conseils de Lynis (qui n'est pas du tout un analyseur de rootkit, contrairement à ce que dit la dépêche), ici sous la forme web juste pour l'exemple (les mêmes rapports sont générés en local avec le lynis de votre distribution)
Lynis, bien que forcément très incomplet, devrait être utilisé par toute personne désireuse de continuer sur "la securité n'est pas un produit mais un process", par la clareté de ses rapports et ses judicieux conseils. C'est simple, clair, et mérite d'être soutenu.
Mes deux cents.
[^] # Re: SELinux & autres LSM ?
Posté par moveaxbdx . Évalué à 1.
En ce qui concerne le "augmentent très largement la surface d'attaque", mouaih… Le paquet chkrootkit de Debian n'est plus vulnérable depuis un bout de temps, et bon ce n'est "que" un local root exploit. Donc à moins de fournir des shells à tout le monde, et de tourner sous Debian oldstable, et d'avoir un /tmp monté sans noexec (mauvaise idée) pas, de souci. "Très largement" c'est un peu abusé je trouve. Surtout que tu ne cites qu'un bug.
Mais c'est vrai que moins de paquets installés -> moins de bugs.
[^] # Re: SELinux & autres LSM ?
Posté par xcomcmdr . Évalué à 2.
Autant formater le PC, il y aura zéro bugs.
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: SELinux & autres LSM ?
Posté par Aris Adamantiadis (site web personnel) . Évalué à 3.
Je donne un exemple de bug qui confirme juste mon affirmation "ça augmente la surface d'attaque". Le fait que le bug soit patché n'est pas vraiment pertinent. Bien sûr que ce n'est plus exploitable de cette manière, mais il y a peut-être d'autres bugs, peut-être même plus vicieux. On en sait rien tant que ça n'a pas été audité à fond.
Et c'est pareil pour tout équipement de sécurité qu'on installe: WAF, reverse proxy, IDS, anti-virus, analyseurs de logs, …
C'est pour ça qu'il est important de séparer un réseau en zones de sécurité et les serveurs en machines virtuelles, les machines virtuelles en applications dans leurs containeurs, et les éléments d'une application avec des règles de séparation du type SELinux ou sandboxing. En gros, appliquer le principe de moindre privilège et de la séparation des tâches.
# Pare-feu applicatif
Posté par tetraf . Évalué à 5.
Un logiciel qui manque, je trouve, c'est un pare-feu applicatif pour les utilisateurs.
Je connais Fireflier (qui est mort) et Douane qui est assez neuf et peu empaqueté mais prometteur.
Connaissez-vous mieux ?
[^] # Re: Pare-feu applicatif
Posté par tuxicoman (site web personnel) . Évalué à 3.
Ça sert à quoi un pare feu applicatif? À bloquer l'accès à internet à un programme que t'as installé volontairement ?
[^] # Re: Pare-feu applicatif
Posté par xcomcmdr . Évalué à 5. Dernière modification le 06 mars 2015 à 07:23.
A autoriser l'accès à Internet selon l'application (si l'application change, l'autorisation est à refaire) et non le port.
Si une application est compromise (par exemple si elle demande tout d'un coup un accès au réseau alors qu'elle l'a pas fait pendant des années et n'a a priori aucune raison de le faire), ça se voit très vite.
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Pare-feu applicatif
Posté par ʭ ☯ . Évalué à -4.
Le saut culturel est difficile de Windows à Linux : pour compromettre une application, soit on a compromis ton root, et il peut donc compromettre ton pare-feu applicatif, soit c'est dans les sources upstream…
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: Pare-feu applicatif
Posté par xcomcmdr . Évalué à 8. Dernière modification le 06 mars 2015 à 09:08.
… Soit tu as installé depuis un dépôt tiers vérolé (ça a été démontré qu'on pouvait proposer un PPA infecté aux gens et avoir ainsi plein de machines infectés en un rien de temps), soit tu as fais un wget/curl sur une application/code que tu n'a pas vérifié avant de l'exécuter (très à la mode sur GitHub), soit tu as installé un paquet vérolé depuis l'AUR…
Et vu que Linux accepte de plus en plus ce qui est en dehors des dépôts (jeux Steam par exemple) ou propriétaire sous forme de binaires seulement, et qu'on tend avec Android et ceci vers un environnement plus compatible avec le proprione crois pas qu'un pare feu applicatif soit totalement dénué d'intérêt car "Linux est bien mieux que Windows !1one"
Par ailleurs, ça fait 10 ans que j'utilise Linux, hein…
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Pare-feu applicatif
Posté par Zorro (site web personnel) . Évalué à 2.
Ceci dit, ça rappelle quand même fortement le fameux Zone Alarm de Windows, qui autorise les applications une par une à accéder au réseau. C'est assez pratique, je dois dire, sous Windows, mais il semble y avoir depuis toujours une résistance culturelle à adapter ce concept sous Linux.
[^] # Re: Pare-feu applicatif
Posté par xcomcmdr . Évalué à 2. Dernière modification le 06 mars 2015 à 09:40.
C'est ce que fait le pare-feu de Windows depuis Windows XP Service Pack 2, sorti en 2004.
Alors que Linux n'est pas par nature moins vulnérable aux attaques que Windows.
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Pare-feu applicatif
Posté par gpe . Évalué à 2. Dernière modification le 06 mars 2015 à 14:09.
Le problème avec Zone Alarm (en tout du temps ou je m'en suis servi y a longtemps…) c'est que comme les gens ne savent s'il est légitime ou non à un programme d'accéder à internet on tombe dans deux cas:
- ceux qui répondre non à chaque alerte et qui après se demande pourquoi tel programme ne fonctionne plus correctement,
- ceux qui répondre oui tout le temps parce qu'ils ne savent pas à quoi correspond la demande …
Par contre j'aimerai savoir comment vous gérez le parefeu pour une machine "de bureau" ? Pour un portable qui va se connecter à différents endroits de différentes façon ?
Chez moi je me suis fait un script qui le configure au boot mais après quand je veux activer un VPN par exemple ça pose problème.
[^] # Re: Pare-feu applicatif
Posté par lolop (site web personnel) . Évalué à 2.
systemd :-)
==> []
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Pare-feu applicatif
Posté par bubar🦥 (Mastodon) . Évalué à 2. Dernière modification le 07 mars 2015 à 04:47.
À l'ancienne pour le parefeu (parceque je n'ai pas encore fait l'effort de firewalld), donc :
INPUT DROP
FORWARD DROP
OUTPUT ACCEPT
Ensuite avec NetworkManager : tout réseau qui n'est pas un des miens entraine automatiquement une connection vers un vpn (ce n'est plus du tout du "firewall", mais ça me semble être la continuité logique)
Vooooilà :-)
[^] # Re: Pare-feu applicatif
Posté par tuxicoman (site web personnel) . Évalué à 2. Dernière modification le 06 mars 2015 à 19:35.
Si l'utilisateur lance une application qui vient de n'importe où:
1. c'est pas bien mais bon, on lui donne le droit de le faire. C'est sa liberté, on n'a pas fermé le marché à un seul appstore comme sur iBidule.
2. si l'utilisateur l'a lancée sciemment, il veut que cette application marche et donc pour faire fonctionner son jeu de chat qui saute au plafond, il va donner le droit à l'appplication de se connecter au net dans le pare feu applicatif parce que sinon le jeu peut pas (afficher la publicité/connecter le bot net) et donc ne fonctionne pas.
3. si j'ai envie de sortir un fichier du PC je colle un curl dans crontab et … je passe le pare feu?
[^] # Re: Pare-feu applicatif
Posté par Harry . Évalué à 3.
Il ne faut pas oublier qu'une application peut contenir des vulnérabilités. Des vulnérabilités sont par exemple régulièrement trouvées dans les navigateurs web, et peuvent être exploitées lors de la visite d'un site web malveillant.
[^] # Re: Pare-feu applicatif
Posté par Matthieu Moy (site web personnel) . Évalué à 3.
Oui, enfin ça ça arrête l'application vérolée par un script kiddie, mais si l'appli compromise est un peu maline, elle cherche un navigateur web et elle lui demande de faire le boulot pour elle (regarde ce que tu peux faire faire à un process qui tourne avec "gdb -p").
[^] # Re: Pare-feu applicatif
Posté par xcomcmdr . Évalué à 1.
Le SmartScren Filter de IE ou les protections équivalentes de Firefox aident dans ce cas ?
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Pare-feu applicatif
Posté par Matthieu Moy (site web personnel) . Évalué à 3.
Pas vraiment : ces trucs sont intégrés au navigateur, mais à partir du moment où c'est un vilain qui fait faire ce qu'il veut au navigateur, il peut commencer par désactiver ces protections par l'intérieur.
[^] # Re: Pare-feu applicatif
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 5.
C'est pour ça que la solution à ce genre de problème n'est pas un simple pare-feu applicatif mais des applications comme SELinux ou apparmor qui permettent de contrôler non seulement l'accès au réseau mais à toutes les fonctionnalités de la machine avec une granularité fine.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Pare-feu applicatif
Posté par Harry . Évalué à 2.
De nombreuses distributions intègrent un LSM empêchant le debug d'un autre processus. Ubuntu utilise par exemple Yama dont le sysctl
/proc/sys/kernel/yama/ptrace_scope
est par défaut à1
.[^] # Re: Pare-feu applicatif
Posté par Yves (site web personnel) . Évalué à 1.
J’ai testé et adopté firewalld sur Arch Linux. Une fois qu’on a compris le principe des zones, c’est plutôt bien. Ça permet même de faire très intuitivement des choses relativement complexes comme du masquerade.
# wget && ./pwnme
Posté par Krunch (site web personnel) . Évalué à 10.
J'aime beaucoup l'idée de télécharger des programmes arbitraires pour les exécuter sans avoir la moindre possibilité de vérifier ce qu'ils font, surtout via HTTP. Il faut plus d'articles humoristiques comme celui-ci sur DLFP.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: wget && ./pwnme
Posté par Aris Adamantiadis (site web personnel) . Évalué à 10.
Les vrais hackers font du curl http://xxxxxx | sudo sh sans discuter, sinon c'est pas drole.
[^] # Re: wget && ./pwnme
Posté par bubar🦥 (Mastodon) . Évalué à 2.
Et certains utilisent même le copier/coller depuis des sites web dans leur shell root.
[^] # Re: wget && ./pwnme
Posté par Krunch (site web personnel) . Évalué à 5.
Pour référence : https://linuxfr.org/users/alenvers/journaux/un-petit-rappel-du-copier-coller-de-code-meme-sur-dlfp
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: wget && ./pwnme
Posté par bubar🦥 (Mastodon) . Évalué à 4. Dernière modification le 07 mars 2015 à 05:12.
C'est pourquoi j'apprécie Lynis :
Avec ça, et tout bien découpé, bien commenté et surtout bien lisible, tu as de quoi lire.
# Aparté
Posté par Foutaises . Évalué à 10. Dernière modification le 06 mars 2015 à 05:03.
Je voulais signaler qu'une vilaine faute de Français, particulièrement indigeste, s'était glissée dans l'introduction :
« Certains d'entre vous ont… » ou éventuellement « Certaines et certains d'entre vous ont… » me semblerait bien plus approprié.
Cordialement.
[^] # Re: Aparté
Posté par Zorro (site web personnel) . Évalué à 3.
Malheureux, tu veux attirer sur toi les djihadistes de l'égalité, ou quoi ?!?
[^] # Re: Aparté
Posté par ariasuni . Évalué à -3. Dernière modification le 07 mars 2015 à 00:27.
«Certain-e-s», «CertainEs» ou «Certain·e·s» est une d’écrire inclusive (voir langage non sexiste) mais relativement condensée contrairement à «Certains et certaines» ou «Certains, certaines» qui est relativement lourd à l’écriture.
Évidemment dans un monde parfait, le français ne serait pas de la grosse merde et on n’aurait pas de genre grammatical à apprendre pour tous les mots, et les métiers désignerait le métier et pas le métier + le genre. Et bien sûr l’éternelle question, comment on genre les personnes non-binaires?
Mais ça serait bien d’essayer de comprendre plutôt que de classer ça directement comme «faute de français». La langue est ce qu’on en fait.
http://www.djendeurterroristas.com/actions.html
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par gouttegd . Évalué à 8.
« Certains » est aussi inclusif, et c’est encore plus condensé. C’est « certaines » qui est exclusif.
Et donc tu préfères reporter la lourdeur sur ceux qui vont devoir lire « certain-e-s » (oui, c’est lourd à lire) plutôt que d’écrire toi-même « certains, certaines » ?
[^] # Re: Aparté
Posté par ariasuni . Évalué à -5.
Alors ça c’est la meilleure. :) Voir la réponse à Jiel ci-dessous.
À vrai dire si tu lis à voix haute dans ta tête ça n’est pas très efficace? Et même si c’est le cas, «certains/certaines» ça fait quoi, deux syllabes en plus?
Et si tu trouves ces règles typographiques indigestes, on peut dire «certaines personnes» ou «certains individus».
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par gouttegd . Évalué à 10. Dernière modification le 07 mars 2015 à 20:39.
Pourtant c’est vrai. Si je dis « certains », j’inclue toute personne sans aucune considération de sexe. Si je voulais absolument ne parler que de personnes de sexe masculin, il me faudrait le préciser explicitement (« certains hommes »), à moins éventuellement que le contexte ne s’en charge.
Mais si je dis « certaines », je ne parle que de personnes de sexe féminin, à l’exclusion de toutes les autres.
Détail amusant, l’emploi de « certaines » à côté de « certains » fait perdre à ce dernier son statut neutre, parce qu’il est alors évident qu’il est employé explicitement en opposition à « certaines ». Du coup, l’expression « certaines et certains » (ou ses diverses formes condensées, « certain-e-s », « certain·e·s » ou « certainEs ») ne désigne que les hommes et les femmes, et exclut de fait les transgenres, contrairement à « certains » tout seul.
Pour une expression qui se veut égalitaire et non-sexiste, c’est balot.
Quant à la jolie petite histoire de l’enfant et du docteur : en quoi le sexe des personnes mentionnées a-t-il une quelconque importance ?
Si je dis « Le juge d’instruction a mis en examen le président de la république », est-ce important si le juge ou le président sont des femmes ? Au point qu’il faudrait absolument que cela transparaisse dans l’écriture de la phrase ?
Ma conception du non-sexisme est que le sexe des personnes ne doit avoir aucune importance. La tienne semble être que leur sexe est tellement important qu’il faut toujours en faire état.
Raison de plus pour écrire toi-même ces deux syllabes en plus. D’une part, c’est toi qui n’est pas satisfait de la confusion entre neutre et masculin, et d’autre part, un texte est lu plus souvent qu’il n’est écrit.
Je n’ai aucun problème avec « certaines et certains » (à part le fait que ça exclut les transgenres comme dit plus haut). Je trouve ça inutile mais pas dérangeant.
« Certain-e-s », en revanche, pour moi ça sonne vraiment comme « je suis un social justice warrior mais je ne veux pas trop me fouler non plus, alors je vais au plus vite et c’est aux autres de déchiffrer mes codes ».
[^] # Re: Aparté
Posté par ariasuni . Évalué à -2.
Le problème c’est que le masculin n’est pas du neutre dans la réalité, celle analysée depuis des années par des féministes et des gens qui étudie la langue et le genre, dont c’est la spécialité.
Justement, c’est plus court donc plus rapide à lire dans la tête.
Ça exclut certains transgenres, ceux qui ne se sentent pas à l’aise avec ni le genre masculin ni le genre féminin. Mais exclure les non-binaires, c’est le privilège de la langue française dans sa totalité et pas seulement ce cas-là.
Hé bien la signification me parait plutôt clair et évidemment ça se lit plus vite s’il y a moins de texte. À l’oral, on prendra évidemment soin de dire «certains» et «certaines», mais on le fait déjà pour plein de trucs, par exemple en maths à l’oral = se lit «égal», que ⇔ se lit «si et seulement si», etc.
Pourtant on ne dit pas:
D’autre part, si c’est facile à écrire d’autres emboiteront le pas plus facilement.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par Jiel (site web personnel) . Évalué à 9.
Attention, ne pas confondre le genre grammatical d'une langue avec le caractère sexué d'une personne : cela n'a strictement rien à voir : On dit le soleil et la lune, en allemand c'est l'inverse, mais ça ne présume pas d'un organe génital sur ces objets célestes.
[^] # Re: Aparté
Posté par ariasuni . Évalué à 1.
Marrant qu’on classe l’écriture non sexiste comme syndrome d’une méconnaissance du français.
Je vais raconter une petite histoire.
En lisant ce texte, il y a de fortes chances que tu ait d’abord pensé, d’une part que l’enfant était un garçon, d’autre part que le docteur était un homme. En lisant un texte supposément neutre au niveau du genre, nous pensons tout de suite au masculin.
Assimiler le féminin au masculin, c’est donc invisibiliser les personnes genrées au féminin, c’est dire que le masculin est le genre par défaut et que le féminin est l’autre, l’exception (voir à ce sujet Le deuxième sexe de Simone de Beauvoir).
On peut aussi voir la chose autrement. Imaginons que il soit le pronom pour les blancs, et elle le pronom pour les noirs. Mais que dans notre grande bonté de blancs, ils inclut aussi les noirs, parfois même au singulier. Parce que vous m’voyez, les blancs ils sont vachement plus nobles et tout (raison originale pour laquelle le masculin «l’emporte sur le féminin»).
Bien sûr, beaucoup de blancs et beaucoup de noirs ne voient absolument pas le problème et ne trouvent pas que la langue est sexiste, et se battent corps et âme pour que leur langue reste ainsi. Bien sûr, cela fait qu’être blanc est la caractéristique par défaut, et noir l’exception.
Finalement, les gens pensent que leur langue ne pose aucun problème alors qu’elle n’est:
Comme dit précédemment, on parle de personnes donc c’est sensiblement différent. D’autre part, une étude a conclut que les adjectifs que l’on associe aux mots genré au masculin sont différent de ceux qu’on genre au féminin… Le genre grammatical a bien plus d’influence sur notre esprit que ce que l’on pense (à part si comme d’autres rebelz, vous n’êtes pas non plus influencé par la publicité…).
C’est drôle que tu parles de ça parce qu’en Allemagne, c’est tout à fait normal de rédiger comme cela, c’est même choquant de ne pas le faire.
Attention, on parle de genre et pas de sexe. On utilise habituellement le genre grammatical correspondant au genre de la personne, indépendamment de ses organes génitaux ou d’autres caractéristiques physiques.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par patrick_g (site web personnel) . Évalué à 5.
A ce propos ce texte est excellent : http://www.cs.virginia.edu/~evans/cs655/readings/purity.html
[^] # Re: Aparté
Posté par bubar🦥 (Mastodon) . Évalué à 4. Dernière modification le 07 mars 2015 à 19:41.
Remarquable histoire, et commentaires. J'y vais du miens, en marchant sur des oeufs car il apporte une contradiction à la réflexion ici présentée sous cette forme précise, par cet exemple :
Est il possible que je n'ai rien pensé là dessus, que je n'ai pas sexé/genré l'histoire ?
Oui
Est il possible que si j'ai genré, je l'ai fait par projection mentale ? Donc qu'il ne s'agisse pas d'une pensée générale, donc pas non pas d'une invisibilité pour le sexe féminin, enfin pas non plus un genre par défaut pour le sexe masculin, mais bien plus simplement une identification qui a opérée ?
Oui, aussi
La question glisse t elle alors plus sûrement vers la projection mentale opérée par la lectrice ? Qui, elle même, va peut être voir avant tout, si elle est pense là dessus avant la fin de l'histoire, un homme et un garçon en acteurs ?
Oui
Donc n'est ce pas là un problème social, et non pas un problème culturel ni un problème linguistique ?
Oui, sûrement. C'est le manque de femmes occupant ce poste qui nous donne l'habitude de voir un médecin masculin plutôt qu'un médecin féminin, simplement. Assurons nous que l'égalité soit atteinte, l'identification égalitaire suivra naturellement, et les filles verront enfin une femme et une enfant dans cette remarquable histoire
[^] # Re: Aparté
Posté par ariasuni . Évalué à -8.
Peut-être, mais qu’est-ce que ça prouve?
Hé bien comme on genre très souvent quand on connait le genre de la personne, il y a fort à parier qu’utiliser le masculin a fait penser à une personne du genre… masculin.
Quelle lectrice? Essaie de faire lire cette histoire à une personne de ton entourage sans préciser le contexte pour voir.
Tant qu’on utilisera le masculin, il y aura toujours la connotation du masculin. Si on lit «blanc», on y verra toujours «blanc» même si on déclare que ça inclue les «noir». Voir le commentaire de patrick_g.
Par ailleurs, pourriez-vous éviter les pâtés de texte en italique qui sont difficiles à lire pour les dyslexiques?
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par whity . Évalué à 6.
Si je dis que le docteur est une andouille, il devient de sexe féminin dans ton inconscient ? Et quand je dis que Claudia Schiffer est (était :) ) un canon, elle a quelque chose qui lui pousse dans l’entrejambe ?
Plus sérieusement, si on veut ne pas mettre de genre, il faut rajouter un vrai neutre. Ça fait une énorme révolution linguistique, ça réserve probablement cela à une nouvelle langue construite (quoiqu’on doit pouvoir corriger ce défaut de conception en espéranto), mais c’est probablement la seule solution si on veut une vraie égalité. Les bricolage qu’on fait à vouloir féminiser à tout va, ça n’arrange pas grand chose et ça n’est pas très joli.
Sinon, c’est quand même intéressant de voir le lien entre langue (qui est historiquement liée à la culture, donc) et situation de la femme.
Oui mais est-ce que ça inclue aussi les « noires » ? ;)
Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0
[^] # Re: Aparté
Posté par ariasuni . Évalué à -1.
Ah mais cela n’a aucun rapport, je parle des termes qui dans le genre s’accorde au genre de la personne.
Il y a plusieurs langues construites totalement ou quasiment neutre comme l’ido ou le lojban. Mais l’espéranto a été créé comme langue auxiliaire et pas pour remplacer les langues locales, et ça serait de toute façon totalement irréaliste avant plusieurs centaines d’années.
Je ne suis pas le seul à trouver que si.
Oui, m’enfin il y a plein de mots qui sont moches et ont en fait pas un fromage, parce qu’on y est habitué ou simplement qu’on est obligé de les utiliser. L’on a souvent tendance à rejeter ce qui est nouveau, mais après quelques lectures on l’oublie complètement.
L’argument esthétique est secondaire, écrit autrement on me reprochait toujours d’être féminazi.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par whity . Évalué à 7.
Et moi je dis l’inverse pour montrer que cet argument est au moins à un certain point fallacieux. Fais l’expérience suivante : demande à des gens de dessiner le gag (hilarant) suivant : « une andouille marche dans la rue en lisant son journal et tombe dans une bouche d’égout ouverte ».
Et fais le compte du nombre de gens qui auront dessiné un homme pour l’andouille.
La raison ? andouille, bien que féminin, évoque plutôt un homme. Conclusion : au moins dans ce cas précis, le genre (sexe) qu’évoque le mot est dissocié de son genre grammatical. Ça remet en question de la pertinence de l’argument des féministes qui part du postulat que le genre grammatical évoque nécessairement le sexe de la personne. Ce postulat est en fait faux, au moins en partie (tu peux faire l’expérience inverse avec un « top model »).
Si un ministre évoque plutôt un homme, c’est que jusqu’à une époque récente, nos ministres étaient majoritairement des hommes. Pas parce que le mot est masculin. Ça joue probablement un peu, mais à la marge comparé à l’effet « culturel » d’avoir un gouvernement massivement masculin depuis des décennies (cela dit, les choses changent).
Des milliards de gens pensent que dieu existe, mais ils ne peuvent pas le prouver pour autant. C’est un peu la même chose ici. Les gens pensent que ça va améliorer les choses, mais ils sont incapables de le prouver / mettre en évidence. Ça relève du dogme. Les « afro-américains » se font quand même tirer à vue par des policiers parce qu’ils sont « noirs », même si on les appelle plus ainsi.
Note que j’en suis le premier attristé : la discrimination à l’égard des femmes est une réalité, même si en France on est clairement parmi les moins pires. C’est juste que je pense que beaucoup de féministes se trompent dans les moyens d’arriver à l’égalité.
Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0
[^] # Re: Aparté
Posté par ariasuni . Évalué à -2.
Je ne suis pas d’accord avec ton blabla sur l’andouille. Ça fait partie des mots qu’on ne décline pas, alors que les noms de métiers se déclinent depuis plus d’une centaine d’années.
Évidemment que le genre du mot n’est pas forcément le genre de la personne, simplement que pour beaucoup de mots c’est effectivement le cas, comme les métiers. Effectivement, si tous les noms de métiers étaient masculins, qu’une femme n’était et que l’on accordait les adjectifs de la même façon pour les hommes et les femmes, alors on pourrait dire que ce genre est non pas masculin mais neutre.
Oui les choses changent, mais elles ne changent pas toutes seules, il faut un peu les aider. Et il n’y a pas de chose qui doit bouger en premier, on peut tout bouger en même temps et on devrait.
Typiquement du mansplaining. Les gens qui savent mieux que les féministes comment mener leurs combats. :)
Ça ne veut pas dire ne pas critiquer, mais interroge-toi: comment tu sentirais-tu si je venais te dire que ce que tu fais est inutile, sur un truc que je connais peu mais que toi tu connais très bien? Si on essaie d’écrire en langage non sexiste, c’est peut-être que ça a une utilité.
Enfin, hiérarchiser les luttes, c’est une connerie (limite hors-sujet, mais s’adapte parfaitement au contexte de la discussion). D’une part, on peut mener des actions et écrire en langage non sexiste. D’autre part, il y a toujours quelque chose de plus important dans le monde, du coup on fait plus rien pour la langue?
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par whity . Évalué à 6.
Tu veux qu’on parle du masculin de « sage-femme » (j’ai entendu « mailloticien à plusieurs reprises, mais mon dictionnaire ne le connaît pas). Quant à la charpentière, c’est un insecte, et la boulangère, c’est la femme du boulanger, elle ne travaille pas la pâte. Et la matelote, c’est une sauce :).
Ça ne me pose aucun problème :). Plein de gens ont de nobles causes, et les défendent très mal. Certains féministes en font partie. Aller se montrer sein nus à Notre Dame de Paris, par exemple, c’était une connerie, ça décrédibilise le mouvement auprès de l’opinion française, c’est contre productif (je sais, beaucoup de féministes sont persuadés du contraire, tu en fais probablement partie, j’en connais aussi qui pensent comme moi, qu’autant ça a du sens en Russie, autant en France c’est idiot car les contextes sont différents).
Autre chose, tu as l’air de considérer le féminisme comme une entité unique. C’est complètement faux, et divers mouvements féministes ne sont pas d’accord entre eux sur les moyens à appliquer (ou même les buts, le féminisme étant un concept ancien désormais, il a déjà été arrangé à diverses sauces).
Encore une fois, tu présumes que tu connais le sujet mieux que moi. Je ne vois rien qui te permette d’affirmer cela. Sauf si tu considères (ce qui est fréquent chez les militants) que « forcément, si tu avais étudié le sujet, tu serais d’accord », ce qui est quand même une négation de la liberté de pensée :).
Et franchement, de toutes les actions sur la langue française, ce que j’en retiens, c’est que :
* c’est négligeable comparé aux vrais problèmes, et chronophage
* c’est même contre productif, car comme c’est mal fait on peut troller (ah bon, vous féminisez « ministre » et « député » mais pas « escroc », c’est l’égalité, ça ?), du coup c’est encore plus chronophage.
* il n’existe aucune étude d’impact sérieuse permettant d’établir une causalité entre un changement linguistique et une amélioration de la condition de la femme. Certes, une telle étude est complexe à mener.
Je ne parle pas de hiérarchiser les luttes, mais d’être efficace. C’est très différent.
Mal faire les choses, parfois c’est pire que de ne pas les faire du tout. Inventer une horreur comme « auteure », qui rajoute une forme de féminisation qui n’existait pas avant, par exemple, c’est ignoble (et en plus, les Belges et les Québécois ont fait différemment).
Après, je t’accorde qu’ajouter un neutre au français est tellement révolutionnaire que de nombreux académiciens en auraient fait un infarctus :).
Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0
[^] # Re: Aparté
Posté par ariasuni . Évalué à -1. Dernière modification le 10 mars 2015 à 01:01.
Je n’ai pas d’avis sur la question. Je ne sais pas vraiment sous quel angle analyser l’influence de ces actions en France. Je reconnais mon incompétence sur le sujet.
Certes, le féminisme n’est pas une entité unique, loin de là. Je n’ai pas toujours précisé que je parlais d’une majorité des féministes contemporain·e·s. Une majorité d’articles féministes sur le web utilisent une forme ou une autre de langage non sexiste, et je n’ai jamais vu de personne de personne à l’intérieure à un mouvement féministe critiquer l’essence du langage non sexiste.
Par contre j’en ai vu beaucoup des gens qui débarquent de nulle part et se disent en faveur de l’égalité des sexes mais pas du langage non sexiste, tout comme certaines personnes commencent leurs phrases par «je ne suis pas homophobe mais» avant de sortir un truc affreusement… homophobe.
Je pourrais en dire de même.
Tu marques un point. Je suis forcément biaisé, mais j’avoue que j’ai du mal à accepter que les gens de Linuxfr, que j’estime à priori intelligents et ouverts d’esprit, ne comprennent pas qu’un truc aussi présent et marqué que le genre masculin comme genre par défaut en français n’ait aucune importance. Pourtant, on sait que la langue influence les esprits, surement de manière plus insidieuse encore que la publicité (de nombreuses études l’ont montré, j’en ai cité quelques-unes dans mes commentaires).
Pour l’écriture, la «liberté» d’écrire en langage non sexiste (ou peu importe comment on l’appelle) sans qu’on vienne nous dire que c’est une faute de français ou que les féministes ont rien compris à la langue française, ça serait sympa. :) C’est vrai, j’ai sans doute trop vite dit que vous aviez faux, mais vous avez sans doute trop vite dit que j’avais tort. Après tout, une opinion répandue parmi des activistes pour l’égalité est peut-être vrai, même si ça semble faux au premier abord pour quelqu’un d’étranger à tout ça.
Après rien n’empêche d’autres d’essayer de créer un pronom et des terminaisons neutres (d’ailleurs cette personne sera peut-être moi, mais on va me dire que ça sert à rien puisque qu’il y a déjà un «neutre»!), mais je ne vois pas en quoi ça indique les formes indiquant à la fois le masculin et le féminin sont idiotes, puisque de toute façon la langue française dégouline de binarité de genre, autant le mettre partout en attendant des pronoms et des terminaisons neutres que je me ferais un plaisir d’utiliser. En attendant…
Pourtant c’est exactement ce que tu fais. Tu hiérarchise les luttes selon l’efficacité que tu penses qu’elles vont avoir. La langue est notre instrument de parole, de débats et de pensée, donc c’est au moins aussi important que chaque autre chose que l’on pourra obtenir en faveur de l’égalité.
Bon je me rends clairement compte que j’ai encore étalé beaucoup d’arguments pour mon opinion dont beaucoup déjà dit auparavant, alors je te laisse réfléchir à tout cela. Pour moi, débattre sur Linuxfr est toujours un exercice qui alimente mes propres réflexions.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par whity . Évalué à 5.
Je ne pense pas avoir dit quoi que ce soit qui laisserait à penser que tu ne sais pas de quoi tu parles. D’ailleurs, ça se voit que tu t’es beaucoup renseigné sur le sujet. C’est juste que j’estime le connaître plutôt bien aussi.
En même temps, linuxfr est un repère de trolls, et c’était la journée de la femme dimanche dernier :). Mais le taux de moinssage de tes commentaires, pourtant construits et argumentés (même si je ne suis pas d’accord ;) ), m’a surpris.
Bon, et pour la forme :
« j’ai du mal à accepter que les lecteurs-trice de Linuxfr, que j’estime à priori intelligent-e-s et ouvert-e-s d’esprit, ne comprennent pas qu’un truc aussi présent et marqué que le genre masculin comme genre par défaut en français n’ait aucune importance. »
c’est lourd et c’est pas beau et je ne sais pas comment le lire à haute voix :).
Là dessus je te donne raison. Ne pas faire quelque chose parce qu’on pense que ça ne sert à rien, c’est une forme de hiérarchisation.
Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0
[^] # Re: Aparté
Posté par ariasuni . Évalué à 1.
À l’oral je pense que je changerais la tournure de phrase pour éviter les adjectifs genrés.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par Foutaises . Évalué à 2. Dernière modification le 11 mars 2015 à 02:06.
Personnellement, même à l'écrit je trouve cela dégueulasse, je n'ai pas d'autre mot tellement cela me heurte, je bloque littéralement dessus. Je me surprends à devoir relire le mot plusieurs fois et le regarder dans son ensemble, là où j'ai habituellement une lecture rapide où je peux survoler les mots.
Je ne sais pas si c'est parce que lorsque je lis je me fais une lecture orale dans ma tête, mais je suis fortement gêné. Tu me rétorqueras que c'est probablement une question d'habitude, et c'est peut-être le cas, mais quand bien même, je trouve la construction hideuse.
J'en profite également pour réagir à l'analogie que tu as écrit un peu plut haut, à propos du signe « = » à l'écrit qu'on prononcerait « égal » à l'oral. Mis à part dans un document ayant trait aux mathématiques, je ne m'attends pas à trouver ce symbole dans un texte, et à plus forte raison dans un texte de Français. Pas plus que je ne m'attends à trouver les signes « + » ou « − » à la place de « plus » et « moins », etc. Ce sont pour moi des abréviations, et sauf cas très particuliers, je bloque tout autant à leur lecture, et les considère proche du langage SMS.
Je ne réagirai pas au reste, je trouve que whity a déjà bien argumenté dans le sens de mon opinion générale.
[^] # Re: Aparté
Posté par Foutaises . Évalué à 5. Dernière modification le 07 mars 2015 à 23:45.
Non, j'ai pensé à un enfant, genre neutre. Et comme j'ai bien lu que c'était le père qui amenait l'enfant à l'hôpital, il devient évident que s'il s'agit de la fille du docteur, alors le docteur ne peut-être que la mère*, le docteur n'étant d'office plus un genre neutre, mais féminin.
Je crois que le problème des gens qui se plaignent du genre neutre masculin est que, d'une part, ils ne savent pas lire le Français, voire ne le comprennent pas, et que d'autre part, ils sont tellement obsédés par leur petite personne qu'ils projettent tout – mais absolument tout – selon le prisme de leur vision sexualisée des choses.
Quand moi je commence à lire un bouquin dans lequel le héros est « un homme » (genre précisé), je ne vais pas me construire l'image d'un homme blanc (parce que je suis blanc) par exemple, mais je vais me construire mentalement la silhouette d'un homme, sans aucun détails autres que ceux que la poursuite de la lecture va m'apporter. Et si à un moment le récit dévoile que cet homme était un noir/asiatique/peau rouge, hé bien à aucun moment je ne suis surpris.
Tout découle de la construction mentale que tu te fais des choses, et ce n'est pas parce que – toi – tu as une construction mentale défaillante (ou différente, ou orientée, si tu préfères) du fait que tu accordes une place trop importante à ton genre (ou au genre en général), que c'est le cas des gens normaux qui lisent seulement ce qui est écrit.
Après, peut-être que tes professeurs de Français n'ont pas su t'apprendre à lire correctement (voire tes professeurs tout court, vu à quel point la lecture d'énoncés est importante pour la résolution d'un problème), ou peut-être que tu as des raisons personnelles de te lancer dans une cabale du genre, mais personnellement j'éprouve une gêne certaine à ce qu'on m'impose de tout genrer, et en particulier le neutre.
La chose m'est tellement désagréable que je ne cache pas que j'arrête quasi-systématiquement la lecture d'un texte lorsque je tombe sur un « -e- », alors que je n'ai pourtant aucun problème avec l'égalité des sexes ou quoi que ce soit d'autre, j'estime juste que la lecture en est fortement gênée, et il ne fait aucun doute au fond de moi que ces constructions ne sont juste qu'un enième combat contre le mâle hétérosexuel blanc à abattre. D'ailleurs, c'est le combat terroriste ouvertement déclaré dans ton lien plus haut. Ben désolé de ne pas apprécier, en plus de ne pas adhérer.
* Et oui, ma vision de la procréation est naturelle et implique un père et une mère biologiques.
[^] # Re: Aparté
Posté par ariasuni . Évalué à -7.
cf. le début de ma réponse à tankey.
Un paragraphe pour me dire que je suis un·e égoïste qui ne comprend pas le français obsédé par le sexe (alors que je parle toujours de genre depuis le début, mais bon), t’aurais pu faire plus court.
Félicitation, tu es un robot. :) Je ne mets pas ta parole en doute, mais la pensée humaine est trop complexe pour être analysée aussi simplement que ça, comme si tu n’avais aucun biais inconscient d’aucune sorte. La façon dont est tournée une phrase, quels mots sont choisis influencent grandement la lecture.
Si l’assimilation du féminin au masculin n’influençait pas la pensée humaine, alors le travail des écrivain·e·s d’écriture, de reformulation, de travail sur la forme de la phrase n’aurait aucun intérêt. Le fond est important, la forme l’est tout autant.
Je préfère les langues dans lesquels je n’ai pas à me préoccuper du genre, des langues qui ne nous forcent pas à nous identifier à l’une ou l’autre catégorie homme/femme.
Malheureusement le français n’en fait pas partie alors on fait ce qu’on peut pour pallier à ça, mais c’est super compliqué et on a des tas de gens qui ne semblent pas y connaitre grand chose nous disent qu’on fait de la merde. Alors qu’on a passé des heures et des heures à lire des articles sur le féminisme et la transidentité, et les biais de la langue.
Bah oui je suis un individu bizarre, mieux vaut m’ignorer.
Comme si ce qui était écrit signifiait purement et simplement ce qui était écrit, comme si le fond n’existait qu’en lui-même sans forme, sans mots, sans connotations, sans phrase, sans orientation.
Oui oui je suis un crétin. On passe à la suite?
Mais il n’y a pas de neutre. C’est un faux neutre, un neutre bâtard, un masculin utilisé en lieu et place d’un véritable neutre qui est neutre et pas masculin.
Réflexe stupide à mon avis. Je connais des gens très intelligent mais qui font plein de fautes d’orthographes, c’est gênant mais doit-on les ignorer pour autant?
J’avoue que je ne comprends pas cet argument. Ça ne m’a jamais gêné, même avant d’être féministe convaincu, et même si c’était le cas, on s’habitue très vite (ou alors je me ferais du soucis quant à tes capacités intellectuelles).
Pourtant le langage non sexiste fait partie des revendications et actions de nombreuses mouvances féministes. Tu crois encore au complot des féministes lesbiennes castratrices?
Je connais plusieurs mâles hétérosexuels blancs qui ne sentent pas du tout attaqués. Peut-être que tu trouve ça dérangeant qu’on s’attaque à tes privilèges? Sinon, quel est le problème?
Je vais te montrer pourquoi cette phrase montre que tu es biaisé sur un certain nombre de points (on l’est tous). Rétrospectivement cet exemple est pas terrible pour un certain nombre de raisons:
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par Foutaises . Évalué à 1.
Qui n'est que du vent et tourne en rond. Lui et moi te disons qu'on a eu une lecture non genré de la chose, tu persistes à nous dire que ce n'est pas le cas. Bref, tu lis ce que tu veux bien y lire, et en plus tu imposes ta lecture déformée aux autres.
Je n'ai pas parlé de sexe, mais de sexualisation. C'est à dire que vous rapportez tout au sexe, même ce qui n'a rien à y voir. L'académie française l'a pourtant écrit (et je l'ai cité plus haut), là où il est écrit genre masculin et genre féminin, il faut lire en réalité genre non marqué et genre marqué.
Et si l'écrivain n'est pas un sous-doué, il influence la lecture dans le sens qu'il aura choisi, car c'est justement son but, il fait travailler ton imagination avec ses mots et ses constructions, dans le sens où il veut amener son histoire.
C'est n'importe quoi. Je n'ai aucun problème à m'assimiler, d'un point de vue « immersif », à un personnage d'un livre (voire d'un film ou d'un jeu vidéo), et ce quand bien même il s'agirait d'une femme ou d'un noir/asiatique/peau rouge, tout simplement parce que je ne cherche justement pas à coller des préjugés et des stéréotypes sur ce que l'auteur écrit, je le lis, c'est tout, et je m'imprègne de l'histoire, je la vis. D'autres passent à côté, y voient une lutte permanente pour faire valoir des choses qui n'ont rien à voir, tout simplement parce que ce n'est pas l'histoire qui est racontée qui les intéresse, mais la manière dont elle l'est qui ne les mettrait pas – eux – suffisamment en valeur.
Si tu n'aimes pas la richesse du Français, et que tu préfères te contenter d'une langue bien plus fade et exprimant bien moins de nuances, libre à toi d'aller en apprendre une autre, personne ne te force. Après, si tu préfères imposer aux autres de changer, il ne faut pas t'étonner de te heurter à leur résistance. Surtout quand, encore une fois, la (grosse) majorité ne partage pas ta vision sexualisée des choses, et que de plus, les changements injustifiés que tu réclames le seraient pour ne pas heurter la sensibilité de quelques individualités à la marge.
Là, tu avoues clairement que c'est l'interprétation que vous faites des choses. Et par extension, on en arrive vite au fait que si l'auteur n'a pas pris une héroïne noire, c'est que c'est un raciste mysogyne. Ou qu'un schtroumpf noir est raciste.
C'est un neutre, genre non marqué. Tu y vois un masculin. Et ta proposition de genre neutre, c'est d'en faire un genre
masculin+féminin, introduisant comme cela te l'a été signalé plus haut une discrimination qui n'y était pas, puisque du coup, tu sexualises ce qui était neutre (non marqué), et que donc tu laisses de côté ceux qui ne se retrouvent ni dans le masculin, ni dans le féminin.Je m'accommode très bien de quelques fautes involontaires, j'en fais d'ailleurs pas mal de mon côté. J'ai beaucoup plus de mal lorsqu'elles sont volontaires et/ou assumées, que ce soit par flemme de faire un minimum d'efforts lors de la rédaction, ou par volonté manifeste de se livrer à un combat idéologique que l'on impose à ses lecteurs.
Mes capacités intellectuelles me font au contraire me tenir à l'écart de pas mal de bêtises, et rejeter pas mal de propagandes insidieuses. En clair, je ne vois aucun aspect pratique à ta formulation sexualisée des choses, et pire, j'y vois une propagande injustifiée.
Quels privilèges ? Celui d'être un mâle blanc ? Privilèges par rapport à qui ? Par rapport à la femelle blanche ? Par rapport aux autres mâles non-blancs ? Pourrais-tu détailler les privilèges à en être un ?
À part le cas très rare et ambiguë de l'hermaphrodisme, qui concernerait entre 1 et 4 ‰ des cas (l'intersexuation est considérée comme une anomalie par la médecine, et seuls 500 cas sont officiellement reconnus en France), et qui bien souvent sont infertiles, il reste quoi ?
Même si tu prends le cas de Erik Schinegger, reconnu sur le tard comme « mâle » et ayant alors fait un enfant, il reste « père », parce qu'il a biologiquement procréé en tant que mâle. La reproduction humaine naturelle nécessite biologiquement un père et une mère.
Tu pourras retourner le problème dans tous les sens, la reproduction humaine naturelle implique un homme (le père biologique) et une femme (la mère biologique). Si l'un des deux parents n'est pas le parent biologique, alors il n'est pas le vrai père ou la vraie mère (note l'italique, sciemment employé).
J'ai l'impression que c'est un problème de définition là, alors voici les miennes (enfin, celles du wiktionnaire) :
Père : Mâle ayant fécondé un ovule qui a donné naissance à un enfant.
Mère : Femme qui a donné naissance à au moins un enfant.
[^] # Re: Aparté
Posté par ariasuni . Évalué à -5.
Non, je dis juste qu’on peut croire être impartial·e sans l’être. En voyant un homme énervé on pensera plus souvent qu’il a une bonne raison, on verra plus souvent une femme énervée comme hystérique, pourtant on pensera être impartial·e (j’avais lu une étude sur ce sujet mais je ne la retrouve pas).
Ce que je dis ça n’est pas du vent, c’est que le langage a une grosse influence sur les gens. Peu importe ce que tu penses, tu es influencé, ce qu’il faut c’est en être conscient.
Je ne comprends pas, je te dis que je parle de genre et pas de sexe, et tu me dis que je rapporte tout au sexe?
Hé bien le genre non-marqué n’est pas un neutre. C’est un masculin qui fait office de genre par défaut, pas un neutre (qui par définition n’a aucun rapport avec le masculin ou le féminin, sinon il n’est plus neutre).
Le genre grammatical binaire en français me permet d’exprimer… deux nuances. Et ça empêche d’écrire facilement un texte à propos d’une personne non-binaire ou d’une personne dont on ne connait pas le genre. Je ne considère donc pas cela comme une richesse mais plutôt comme une malédiction.
L’écriture non-sexiste au contraire essaie de permettre cela au travers des possibilités restreintes de la langue française.
Mais je ne forces pas les gens à changer, j’essaie de leur faire comprendre que l’écriture non-sexiste est peut-être pas sorti d’un chapeau (on se fait pas chier pour se faire plaisir), mais qu’elle est le fruit d’une réflexion. On essaie juste de faire accepter cette écriture comme valide et qu’on arrête de crier au complot féministe à chaque fois.
C’est la culture genrée de la langue française.
Il ne s’agit de politiquement correct, il s’agit de respect. Tu respectes tellement les femmes que tu trouves ça bien qu’elles soient inclues dans le masculin. Tu respectes tellement les personnes non-binaires que tu penses qu’elles se sentent bien représentées dans le masculin universel.
Non, je dis que la forme influe notre perception du fond.
Mais qu’est-ce que tu racontes?
Tiens cadeau. Tu as le droit le consulter les énormes privilèges que tu as en tant qu’homme blanc cisgenre.
En tant qu’homme, tu as des privilèges par rapport aux femmes, en tant que blanc tu as des privilèges par rapport aux personnes d’une autre couleur de peau, étant cisgenre tu as des privilèges par rapport aux personnes transgenres, et si tu es hétérosexuel bien sûr tu as des privilèges par rapport aux personnes homosexuels.
Donc tu t’accommodes de la nullité orthographique, mais pas de la volonté, peut-être maladroite, de vouloir participer à un monde plus juste? Tu assimiles la création d’une typographie à une faute? (donc le néologisme est aussi une faute?)
Le masculin comme genre par défaut c’est normal, par contre une tentative de représenter les deux genres est un «combat idéologique» (comme si c’était violent?). On impose pas un combat à ses lecteurs/trices, on montre qu’on prend une part active dans le combat (et on se fait insulter au passage, mais passons).
En lisant on accepte la prose de l’auteur, donc pourquoi pas ses mots et sa typographie? Elle font partie du style de l’auteur après tout. On peut s’en détacher, l’analyser, l’accepter ou la rejeter, comme n’importe quelle opinion de n’importe quelle personne.
Tout autant que le privé, la langue est politique, et ne rien faire ça n’est pas être neutre, mais faire partie du problème.
Si ce qu’on appelle «langage non sexiste» tu l’appelles «propagande», alors tu participes à ton insu à une propagande. Celle qui stipule que le masculin = neutre et/ou genre par défaut.
On préfère éviter par respect le terme hermaphrodisme.
Si tu ne va plus loin que la première définition dans un dictionnaire (la deuxième définition: personne qui va élevé l’enfant), j’appelle ça de la mauvaise fois. Par ailleurs le problème avec les définitions c’est qu’elles ne collent pas toujours avec la réalité.
Une personne transgenre s’identifie à un genre différent de celui qu’on lui a assigné à la naissance, c’est-à-dire dans notre société celui qui va avec son sexe (pénis/homme, clitoris/femme). Comme pour n’importe quelle autre personne, on la genre selon… son genre.
De ce fait, on utilisera le terme «père» pour un homme, «mère» pour une femme, peu importe leurs organes génitaux, leur chromosomes et leur apparence physique. Les parents, c’est bien sûr ceux qui ont engendré l’enfant, mais c’est aussi ceux qui élève l’enfant. Si un parent révèle qu’il ou elle s’identifie à l’autre genre binaire, alors le père se fera appeler la mère et vice-versa.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par whity . Évalué à 3.
Juste une remarque : ne pas avoir de genre défini est une réalité biologique, soit par absence des organes reproducteurs, soit par présence de ceux des deux sexes (les deux cas existent). Comment genres-tu ces personnes ?
Avoir deux genres est discriminant : ça laisse de côté ces gens qu’on considérait il n’y a pas si longtemps que ça comme des « erreurs de la nature ».
Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0
[^] # Re: Aparté
Posté par ariasuni . Évalué à 1.
Genre ≠ sexe.
Selon ce qu’elles préfèrent. Même si c’est un pronom inventé.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par whity . Évalué à 2.
Franchement, cette histoire de genre marqué et non marqué est un gros pipeau des académiciens :
- on utilise depuis longtemps des termes féminins pour désigner des hommes (j’ai cité dans un autre commentaire une andouille, mais il y en a plein d’autre, une lumière, une lavette, une feignasse, une force de la nature, etc). Ça ne pose pas de problème à qui que ce soit.
- les objets du quotidien sont genrés. Il n’y a strictement aucune raison de considérer qu’on doit dire une assiette plutôt qu’un assiette. C’est juste l’usage. Explique moi pourquoi, si le féminin est la marque d’un genre, la moitié environ de nos objets du quotidien sont genrés ?
La réalité, c’est que le français est bancal d’un point de vue genre (comme toutes les langues que je connaisse). Malheureusement, on ne le corrige pas de la bonne manière.
Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0
[^] # Re: Aparté
Posté par ariasuni . Évalué à 0.
Si tu dis cela c’est que tu n’as pas compris. Je disais simplement que genre non-marqué ≠ neutre.
Hé bien apprends-nous donc quel est la bonne manière de le corriger. Car c’est vrai que tu peux affirmer que les féministes ont tort (sans argument) alors que le langage non sexiste a été construit sur base sur une base de connaissances (études, expériences, théories) pendant infiniment plus de temps que les quelques secondes qui t’ont suffit à le discréditer en te basant sur ta préconception de la langue et de son influence sur notre façon de penser.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par whity . Évalué à 4.
Tu noteras que ce n’était pas toi que je citais et à qui je répondais… Et que ça n’est en rien incompatible avec ce que tu disais. Relis le paragraphe si tu as des doutes.
Comme je l’ai dit dans mon autre commentaire. Tu généralises le neutre. Pour les quelques cas où tu as explicitement besoin de genrer, tu crées des formes marquées (donc, masculine ou féminine) dérivées de la forme neutre, avec un suffixe explicite. Un peu de la manière dont l’espéranto crée ses formes féminines à partir des formes masculines (mais l’espéranto est sexiste de ce point de vue, né dans son époque on va dire).
Note qu’effectivement, le français n’est pas le plus facile à corriger de ce point de vue.
Tu présupposes que tu connais mieux la question que moi, ce qui veut dire que soit tu me rabaisses, soit tu te considères au-dessus. Comme on ne se connaît pas, je vais mettre ça sur le fait que le sujet te tient à cœur et que le débat s’est un peu enflammé. Néanmoins, ce que tu appelles « langage non sexiste » est une mauvaise solution à un vrai problème. Ça s’inscrit dans la même démarche (et vient d’ailleurs des mêmes gens) que le politiquement correct qui vise à appeler les noirs « afro-américains », les handicapés « personnes à mobilité réduite ». Ça ne donne aucun résultat. Si tu ne veux pas discriminer les gens, il faut les appeler comme les autres (mais, comme tu le disais, pas « blanc », « humain » c’est pas mal en fait).
Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0
[^] # Re: Aparté
Posté par ariasuni . Évalué à 0.
Mon argument principal étant que ce n’est pas un neutre…
Le truc c’est que j’ai beau réfléchir, je ne vois pas comment on peut faire ça en français, ça serait beaucoup moins bien accepter que quelques tournures légèrement plus lourdes en terme de longueur ou de typographie.
Quelque soit la façon dont on prend le problème, c’est insoluble.
La solution qui marche pour le moment, c’est d’utiliser la langue dans notre sens… Évidemment je serais pour le neutre en français, mais qui l’acceptera? À moins d’être déjà sensibilisé à cela et ne pas hurler dès la moindre innovation typographique.
Deux tirets et un e supplémentaire? Un méga-troll. La régularisation de nombreux mots et l’acceptation de graphies plus simples (càd la réforme de 1990)? On hurle à la mort de la langue française.
Un nouveau pronom, de nouvelles terminaisons, de nouveaux usages? À mon avis ça assure un taux de points Dodwin par lettres tapées absolument ahurissant. Un truc qui touche plus de monde et qui est plus polémique que systemd, planquez-vous!
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par ariasuni . Évalué à -1.
Peut-être parce que j’ai passé d’innombrables heures à me renseigner sur le féminisme en général, sur le langage non sexiste en particulier. Et ces renseignements, je les ait tiré d’articles écrits par d’autres personnes qui elles aussi ont passé d’innombrables heures à se renseigner et réfléchir au sujet, dont certaines passent une écrasante partie de leur vie à réfléchir sur et à étudier les questions de genre.
Effectivement le débat c’est enflammé. Le débat me tient non seulement à cœur mais me touche personnellement. D’autre part, je ne suis pas au mieux de ma forme, alors les quelques insultes à mon intelligence n’ont pas manquées de mettre de l’huile sur le feu. Je suis désolé d’avoir été insultant.
Je recopie ce que j’ai écrit à whity:
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par Foutaises . Évalué à 2.
Je suis dans l'ensemble d'accord avec toi, et c'est pour ça que je ne comprends pas (enfin si, je comprends justement l'idéologie qui sous-tend la chose) cette volonté à sexualiser (terme que j'ai employé) le genre de la langue.
Le fait que j'ai cité l'Académie française était seulement dans le but de mettre en exergue que les genres masculins et féminins de la langue française n'ont pas grand chose à voir avec le sexe, comme tu l'as bien montré avec tes exemples par ailleurs. On pourrait rajouter que quel que soit son sexe ou même son genre, on reste un être humain, une personne, etc.
[^] # Re: Aparté
Posté par ariasuni . Évalué à 0.
Pourquoi utilises-tu le terme sexualiser? J’utilise le terme genre au lieu de sexe car il est utilisé pour le trait grammatical et les catégories sociales qu’il représente.
Mais renvoie tout de même une vision genrée de la société.
Utiliser «personne» est un effet un moyen pratique ne pas être obligé de genrer une personne.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par Foutaises . Évalué à 1.
Aucun rapport, si ce n'est que tu tentes de faire une analogie foireuse avec le racisme pour essayer d'appuyer ton point de vue foireux.
D'ailleurs, ton analogie ne tient tellement pas qu'il est parfaitement possible de dire que « il » soit le pronom pour les noirs, et « elle » le pronom pour les blancs. Après tout, les femmes sont plus nombreuses que les hommes, du moins dans la société française, et ce sont donc les hommes qui y sont la minorité, au même titre que les noirs dans la même société. Et ce faisant, toute ton argumentation s'écroule.
Tout simplement parce que le problème n'existe que pour les gens qui se vivent, se définissent et s'imposent uniquement par leur genre/sexualité.
J'ai eu un personnage féminin dans un jeu vidéo, et je me suis d'abord amusé à ne jamais écrire de manière à dévoiler mon genre, parce que je ne voulais ni me faire passer pour une femme, ni donner un caractère masculin à mon personnage féminin. Donc je choisissais mes mots et constructions de manière à ce que jamais je ne sorte du neutre.
Ça a tellement bien fonctionné qu'aucun des joueurs avec qui je jouais depuis des mois ne savait si j'étais un homme ou une femme. Et puis ils ont tellement insisté pour savoir si j'étais une femme que j'ai fini par rentrer dans leur jeu, puisque d'un point de vue rôliste j'étais une femme étant donné je jouais un personnage féminin. Et j'ai donc pris soin de me genrer au féminin, et j'ai fait ça pendant 2 ans.
Tu n'imagines pas à quel point ce fut aisé, il n'y a aucune difficulté à y parvenir. Par contre, je ne te cache pas que si certains ont bien rigolé, d'autres m'en ont voulu une fois qu'ils ont su qui j'étais réellement. :-D
Ce n'est pas le but d'une langue. Et heureusement quand on voit les égos surdéveloppés et l'exhibitionnisme permanent de certains.
Et puis…
Si, en effet, le français connaît deux genres, appelés masculin et féminin, il serait plus juste de les nommer genre marqué et genre non marqué. Seul le genre masculin, non marqué, peut représenter aussi bien les éléments masculins que féminins. En effet, le genre féminin ou marqué est privatif : un « groupe d’étudiantes » ne pourra contenir d’élèves de sexe masculin, tandis qu’un « groupe d’étudiants » pourra contenir des élèves des deux sexes, indifféremment. On se gardera également de dire les électeurs et les électrices, les informaticiennes et les informaticiens, expressions qui sont non seulement lourdes mais aussi redondantes, les informaticiennes étant comprises dans les informaticiens. De la même manière, l’usage du symbole « / » ou des parenthèses pour indiquer les formes masculine et féminine (Les électeurs/électrices du boulevard Voltaire sont appelé(e)s à voter dans le bureau 14) doit être proscrit dans la mesure où il contrevient à la règle traditionnelle de l’accord au pluriel. C’est donc le féminin qui est le genre de la discrimination, et non, comme on peut parfois l’entendre, le genre masculin.
[^] # Re: Aparté
Posté par ariasuni . Évalué à -4.
Hé bien c’est beau, on part dans les insultes. Le sexisme est une oppression au même titre que le racisme.
Kamoulox? D’ailleurs que les femmes soient plus nombreuses que les hommes ou pas, ça ne change qu’elles font partie d’un groupe oppressé. C’est pour ça que certains proposent l’appellation de groupé minoré plutôt que minorité, parce que ça n’inclue pas une des oppressions les plus présentes.
C’est pas difficile, mais ça demande une attention particulière.
Parce qu’on vit dans une société où on traite de façon très différente les personnes qu’on genre au masculin et les personnes qu’on genre au féminin sans aucune raison particulière autre que le fait qu’on ait toujours fait comme ça, ce qui s’appelle le sexisme.
Si. D’une part le but d’une langue est de décrire les choses, si elle en incapable, alors c’est un moyen de communication boiteux. D’autre part, un genre neutre ou une absence de genre serait un moyen très simple (en théorie parce qu’en français…) de représenter toute une diversité d’individus sans les mettre dans les petites cases «homme», «femme».
Avoir un terme pour désigner des individus qui ne sont habituellement pas représentés dans le langage courant, est-ce là une question d’égo ou une volonté que l’on reconnaisse simplement notre existence? C’est toi qui fait preuve d’égo surdimensionné en pensant que mon avis et celui de nombreux courants féministe ne vaux rien du tout sans apporter, à mon avis, d’avis convaincant.
En théorie le masculin peut représenter le féminin. En pratique, je ne suis pas le seul à trouver cela scandaleux. Inclure le féminin dans le masculin, c’est introduire une hiérarchie dans les genres ou le féminin serait un sous-genre du masculin.
L’académie française n’est pas une autorité absolue, même s’il est intéressant de prendre en compte son avis, il reste la description d’usages… On a le droit de réfléchir et de changer la langue. L’académie français entérinera l’usage un jour ou l’autre (ou peut-être pas mais ça n’est pas très important).
P.-S.: Merci d’utiliser la syntaxe de citation et de ne pas faire de gros pâtés de texte en italique, difficiles à lire pour les dyslexiques.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par maxmasou . Évalué à -2.
C'est vraiment n'importe quoi! Vous avez passer comment de temps à écrire ces commentaires. Au final vous perdez complètement votre temps et vous ne faite pas avancer la cause de notre système d’exploitation favoris. 99.99999999% des gens se foutent de la façon que le mot "certain" a été employé et oui je sais que "", c'est anglais. Mais on s'en fou!!! Le gars fait une dépêche bénévolement et il fait très rarement une faute d’orthographe, c'est déjà très bien.
C'est un peu comme dire que le premier ministre fait un très bon travail, mais qu'il n'aura pas mon vote parce que sa cravate est verte. ON S'EN FOU!
[^] # Re: Aparté
Posté par ariasuni . Évalué à -1.
On discute de ce qu’on veut et si on veut, c’est à ça que servent les fils de discussion. Libre à toi de l’ignorer et de de pas y participer.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par maxmasou . Évalué à -3.
Très d'accord sur ce point. Par contre sa m'attriste de voire des gens obsédé à ce point par des détails. Disons que tu as raison. Es-ce que tu auras changé quelques chose à quelques part? Non, car la personne ne changera pas ces habitudes d'écritures pour toi. La vie est très courte et il vaux mieux selon moi progressé personnellement et non jouer au professeur sans arrêt.
Un exemple personnelle: j'ai 26 ans et lorsque je vais souper chez ma mère, elle me dit encore et toujours de prendre des petites bouchées quand je mange. Sa mène à rien car sa fait 26 ans que je fait le contraire!
Je sais que c'est très con comme exemple, mais elle illustre a merveille ce que j'essaie de dire! Bref, dans la vie il faut choisir ses combats(mon opinion)!
Bonne journée à toi!
[^] # Re: Aparté
Posté par ariasuni . Évalué à -4.
Si, parce que d’une part rien ne dit que l’un de nous deux ne change pas d’avis après ce débat, et même si le débat ne mène à rien il nous aura tous les deux fait réfléchir ce qui est positif.
Sauf que moi je joue collectif, j’espère bien que ma vie n’aura pas servi qu’à progresser personnellement mais aussi à faire progresser les autres.
Hé bien j’ai choisi de m’engager en tant que féministe et libriste à mon niveau… Linuxfr et ses débats sur des choses qui n’ont pas forcément à voir avec les logiciels libres (citons notamment les fils sur la politique ou l’économie) m’ont pas mal appris je pense.
D’autre part, n’oublions pas les lecteurs, inscrits ou non, mais silencieux qui se contenteront de lire ce fil, qui auront peut-être été un peu sensibilisé, qui auront sans doute réfléchi sur la question.
Évidemment on ne change pas forcément d’avis du jour au lendemain, je ne suis pas devenu féministe dans l’âme après la lecture d’un seul article.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par maxmasou . Évalué à -2.
Mes propos sont inspiré de ma culture. Au Québec, les seul endroits où l'on retrouve un français écrit parfait sont dans un examen à l'école, dans un texte officiel, dans un CV ou tout autre texte d'importance. Autrement il est écrit de façon plus phonétique disons. Sa fait quelque fois que j’essaie d'expliquer ça, mais les français de France ne pense pas comme ça et la je vient de comprendre. Ton idéologie féministe, ça c'est ton choix et je n'ai rien a redire la dessus!
[^] # Re: Aparté
Posté par gouttegd . Évalué à 3.
Oui, ce sont les deux options envisageables (je n’en vois pas d’autre).
La première option (avoir un genre neutre distinct du masculin) n’est guère réaliste à mon sens. Ce serait trop compliqué. Il y aurait trop de nouvelles terminaisons, de nouveaux pronoms et de nouvelles formes neutres de noms à inventer. Déjà que personne n’est d’accord sur ce que devrait être le féminin de « auteur » — est-ce « auteure » ou « autrice » ? —, je n’ose pas imaginer à quoi pourraient ressembler les propositions pour le neutre.
Par ailleurs, la tendance dans l’évolution des langues est plutôt à la simplification. Par exemple, beaucoup de langues se sont débarrassées des suffixes indiquant des cas grammaticaux. Ainsi en anglais, ils ne survivent guère que dans quelques formes de pronoms comme who / whom, et encore même l’usage de whom tend à disparaître au profit du seul who quel que soit le cas grammatical.
Faire apparaître un nouveau genre grammatical (en le différenciant du masculin avec lequel il se confond actuellement) irait à l’encontre de cette tendance à la simplification et risque de ne pas avoir beaucoup de succès.
Reste la seconde option, ne pas avoir de genre du tout. C’est complètement faisable (il y a déjà des langues sans genre), ça peut précisément s’inscrire dans la simplification naturelle de la langue, et ça résoud d’un coup tous les problèmes.
Dommage que les actions des féministes prétendument non-sexistes aillent complètement dans l’autre direction, et favorisent plutôt le renforcement du genre féminin (à travers, par exemple, la féminisation des noms de métier) plutôt que sa disparition (parce que oui, faire disparaître le féminin est probablement le moyen le plus efficace et le plus rapide de faire disparaître la notion de genre — lorsqu’il sera tout seul, le masculin ne sera plus).
Les formes d’écritures qui visent à faire apparaître explicitement les deux genres (comme « certain-e-s ») ne vont pas dans cette direction non plus.
[^] # Re: Aparté
Posté par ariasuni . Évalué à -5.
Je suis bien d’accord avec ton constat, et je pensais cela aussi avant.
Le problème c’est qu’on ne peut pas faire disparaitre le masculin dans le féminin. Si on avait un neutre, un masculin et un féminin, alors le masculin et le féminin pourrait disparaitre au profit du neutre seul.
En fait, ce que tu dis c’est qu’il faudrait rendre le français tellement androcentré qu’il n’y ait plus qu’un seul genre et donc que le seul genre restant soit utilisé pour tout. Nous on sort une solution qui ne change pas la langue (ou très peu) pour maintenant et dans quelques dizaines d’années. Ta solution ça change vraiment beaucoup la langue c’est pour dans quelques centaines voire milliers d’années pendant lesquels les femmes seront beaucoup plus mal représentée que maintenant.
Alors bien sûr on peut inventer de nouveaux pronoms et de nouvelles terminaisons, mais qui s’en servira? Dans la plupart des langues sans genre grammatical, au pire tu inventes et tu changes deux-trois mots et pouf le langage est non-sexiste.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Aparté
Posté par Zorro (site web personnel) . Évalué à 2.
Tu exagères, le français n'est pas de la grosse merde, il a juste été codifié par des machistes.
À une époque, la règle du masculin l'emporte n'existait pas, et on pouvait écrire "les hommes et les femmes sont belles" et ça ne choquait personne ; on accordait avec ce qu'on voulait, et en général avec le nom le plus proche et tout le monde était content.
Au 17ème siècle, des grammairiens machistes et aristocrates ont décidé de règles compliquées pour le plaisir d'aristocratiser la langue, et que le masculin devait l'emporter. Mais on peut tout à fait revenir sur cette règle, je suis plutôt pour. Ça me dérange pas du tout de dire que les "les femmes et les hommes sont belles", en fait. Juste une question d'habitude.
# un logiciel de controle d'integrite ?
Posté par eric gerbier (site web personnel) . Évalué à 4.
Debsum c'est un bon début, mais il faut aller plus loin, et pouvoir vérifier que les fichiers n'ont pas été modifiés, ni leur droits, qu'il n'y a pas de nouveau venu sans raison …
C'est le travail d'un logiciel de contrôle d’intégrité, par exemple aide, tripwire, afick (http://afick.sourceforge.net/index.fr.html) , ossec ( http://www.ossec.net/).
[^] # Re: un logiciel de controle d'integrite ?
Posté par denezpariz . Évalué à 3.
Bref, ce que fait RPM out of the box…
[^] # Re: un logiciel de controle d'integrite ?
Posté par eric gerbier (site web personnel) . Évalué à 1.
Pas tout à fait : tu installes ton package, tu adapte ta config à tes besoins, et ton gestionnaire de packages te dit que ton fichier de config a changé.
Et il ne te dira pas non plus si un nouveau binaire apparaît, installé depuis un tar.gz.
[^] # Re: un logiciel de controle d'integrite ?
Posté par Kytrix . Évalué à 1.
J'ai essayé s'installe AIDE sur un petit serveur entre potes… Même après plusieurs tentatives de configuration, je me retrouvait avec un CPU a genoux H24.. Je trouvais le principe top, mais mette en place l'outil m'a semblé hors de ma portée :/
[^] # Re: un logiciel de controle d'integrite ?
Posté par dominique.fournier . Évalué à 1.
Il existe une option --verify à dpkg qui permet d'afficher les fichiers modifiés, comme le fait RPM.
[^] # Re: un logiciel de controle d'integrite ?
Posté par claudex . Évalué à 4.
Seulement à partir de Jessie (donc pas encore en stable). Après, le problème de ce genre de solution, c'est que ça se base sur la base locale, c'est donc facile pour un malware de modifier ce genre de truc.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: un logiciel de controle d'integrite ?
Posté par wilk . Évalué à 1.
stealth http://stealth.sourceforge.net/ permet de vérifier l'intégrité d'un serveur à partir d'une machine externe qui ne laisse aucune trace sur le serveur à vérifier. Redoutable de simplicité et d'efficacité, du moins sur un serveur qui comporte peu de modifications régulières.
# Debsecan
Posté par claudex . Évalué à 8.
Un outil intéressant est debsecan. Il va regarder dans le tracker de sécurité de Debian et lister toutes les vulnérabilités du système connues par Debian, y compris celles qui n'ont pas encore été corrigées (et ça en fait beaucoup). Ça peut permettre de mettre en place des contre mesures.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Complément Debian/GNU Linux
Posté par Gardouille . Évalué à 5.
https://www.debian.org/doc/manuals/securing-debian-howto/ch1.fr.html#s1.2
Un bon ~10% est vraiment spécifique Debian, le reste est applicable sur d'autres systèmes et présente également des règles de base toujours bonnes à connaître.
# backuper c'est bien, restaurer c'est mieux :)
Posté par bennysan . Évalué à 9.
C'est toujours bien de rappeler qu'il faut régulièrement sauvegarder mais il faudrait plutôt insister sur le fait qu'il faut avoir une vraie procédure de sauvegarde dans laquelle on test régulièrement une restauration partielle et/ou complète.
Je ne compte plus le nombre de fois où je suis tombé sur des projets où les dev/sysops avaient bien pensés à mettre en place des sauvegardes mais ils n'avaient jamais fait de tests de restauration. Et c'est toujours quand on en a besoin qu'on se rend compte que c'est la merde de restaurer un truc…
[^] # Re: backuper c'est bien, restaurer c'est mieux :)
Posté par Joël Thieffry (site web personnel) . Évalué à 1.
Déjà, on devrait vérifier que l'archive contenant le backup est intègre, d'où l'outil vu sur http://carlchenet.com/2015/03/04/on-vient-de-perdre-le-serveur/ :
Backup Checker est un programme en ligne de commande codé en Python permettant le contrôle automatisé de l’intégrité d’archives (tar, gz, bzip2, lzma, zip) et de la cohérence des fichiers à l’intérieur des archives.
# Et logcheck pour les logs
Posté par benoar . Évalué à 9.
Perso, j'aime bien
logcheck
qui me fait un rapport quotidien (si besoin) des choses « bizarres » qui arrivent dans les logs. Son inconvénient par contre est qu'il demande de mettre à jour les règles assez régulièrement si on ne veut pas en arriver à ne plus le lire parce qu'il rapporte trop de choses : il faut lui dire d'ignorer les choses qu'on sait bénignes au fur et à mesure.Ça n'est pas de la sécurité préventive, mais c'est toujours utile.
# cron-apt est-il bien nécessaire ?
Posté par rogo . Évalué à 10. Dernière modification le 06 mars 2015 à 11:26.
De mémoire, Debian recommande le paquet unattended-upgrades à la place de cron-apt. La config par défaut de unattended-upgrades est généralement suffisante.
Le paquet unattended-upgrades installe notamment un fichier
/etc/apt/apt.conf.d/20auto-upgrades
:Le paramétrage des mises à jour automatiques est dans
/etc/apt/apt.conf.d/50unattended-upgrades
. La config par défaut installe automatiquement les nouveautés venant des dépôts de sécurité de stable et oldstable. Le fichier est très documenté, facile à modifier.On peut compléter avec le paquet apt-listchanges pour se faire envoyer par email le détail des modifications.
# Sécurisé un poste ?
Posté par ledufakademy . Évalué à -10.
Cela fait rire de lire tout ça.
Vous voulez sécuriser votre poste, hein , c'est ça ?
1 - sauvegarde,
2 - la bonne attitude … (fondamentaux ou best practice)
Le reste ne tient pas, et ne tiendra jamais et ce de part la conception d'internet qui n'a jamais été conçu pour être sécurisé mais pour résister à la défaillance de plusieurs nœuds.
==> j'ai lu "SELinux" : gros lol. C'est du NSA "approuved and certified", donc bien vu !
Mais y'a d'autre perle dedans.
Note : je respecte le boulot de fourmi pour écrire l'article : clap !
[^] # Re: Sécurisé un poste ?
Posté par xcomcmdr . Évalué à 10.
Je pense que t'es un ouf, toi. Un ouf malade.
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Sécurisé un poste ?
Posté par ledufakademy . Évalué à -8.
Malade ? surement un peu !
8 ans dans la sécurité informatique laisse des traces.
Les discours vendeur en sécurité : j'ai donné , j'ai vu , j'ai entendu , pratiqué …
Pour conclure on en revient à quoi au final ?
Même les box sont des passoires , une navigation sur les .onion pour avoir les infos : cela se vends très cher d'ailleurs !
même le hardware est backdooré à foison …. alors le soft et ses empilement de couche, ne m'en parlez plus !!!
[^] # Re: Sécurisé un poste ?
Posté par Tonton Th (Mastodon) . Évalué à 2.
Sources ?
[^] # Re: Sécurisé un poste ?
Posté par pasBill pasGates . Évalué à 8.
Merci pour ce grand moment d'humour !
Ça fait plaisir de voir un gars dans la sécurité qui ne comprend même pas le concept de défense en profondeur et le fait qu'on puisse se défendre contre des acteurs différents.
N'envoie pas ton CV chez nous, il partira directement à la poubelle.
[^] # Re: Sécurisé un poste ?
Posté par Aris Adamantiadis (site web personnel) . Évalué à 2.
Pourquoi passer son temps à faire de la sécurité, de toutes façons on est tous compromis (à la fois par les chinois, le fbi, la NSA, Daesh et James Bond). Tant qu'on y est autant aller se jeter dans le canal.
[^] # Re: Sécurisé un poste ?
Posté par Nibel . Évalué à -4.
Bien que je sois en accord avec toi sur ce post, nul doute que bien peu de gens ici voudraient travailler à tes côtés. Tu es peut-être compétent dans une certaine mesure mais particulièrement désagréable.
Et puis travailler chez Microsoft et parler de sécurité, ça reste quand même ironique.
A vendredi prochain.
La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.
[^] # Re: Sécurisé un poste ?
Posté par pasBill pasGates . Évalué à 4.
Alors je te confirme à 100%. Un collègue qui ferait des jugements à la tête du client et intellectuellement malhonnête pour sortir une connerie du genre "Et puis travailler chez Microsoft et parler de sécurité, ça reste quand même ironique" il me trouvera certainement très désagréable, car ce genre de personne typiquement n'aime pas qu'on lui mette sa merde devant les yeux.
Un collègue qui a l’honnêteté intellectuelle de juger les produits qu'il voit de manière impartiale, même si il n'aime pas la société qui les confectionne par contre, n'aura pas de problèmes, et ça tombe bien, tous mes collègues sont comme ça.
Ce n'est pas un hasard d'ailleurs, le gars qui fait des jugements à la tête du client, qui refuse de voir honnêtement les avantages et désavantages d'un produit, c'est typiquement un mauvais ingénieur qui est borné, et ces gens là ne font pas long feu dans un environnement où l'on recherche la solution techniquement correcte plutôt que la solution idéologiquement pure.
[^] # Re: Sécurisé un poste ?
Posté par Nibel . Évalué à -5. Dernière modification le 08 mars 2015 à 08:10.
Toi qui a l'habitude de nourrir le troll, j'aurai pensé que tu aurais pourtant saisi celui-ci, bien qu'on ne soit pas vendredi. J'ai pourtant tout mis en oeuvre pour qu'il soit bien visible. Passons, c'est sans intérêt.
Typiquement, j'aime qu'on me mette ma merde devant les yeux, pour reprendre tes termes, c'est comme ça que j'apprends. Mais j'ai horreur des réponses sarcastiques comme tu l'as fait précédemment avec ledufakademy. Très bien, tu maîtrises, au moins en partie, le domaine de la sécurité informatique. Fais-nous plutôt partager ton savoir, argumente quand c'est nécessaire. Ce sera plus intéressant et agréable pour toi et pour ton interlocuteur.
Cela dit, je t'accorde que le message de ledufakademy était également tout aussi agréable à lire que le tiens.
Mais ça faisait un moment que ça me démangeait de te le faire remarquer même si j'ai bien conscience que ça ne changera probablement rien.
Sur ce, bon dimanche.
La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.
[^] # Re: Sécurisé un poste ?
Posté par Aris Adamantiadis (site web personnel) . Évalué à -2.
Je vois pas trop comment voter autrement que "inutile" sur ce commentaire…
# Merci
Posté par Axelos (site web personnel) . Évalué à 0.
Bonjour,
Sympa l'article, les idées de mises à jour automatiques d'un système Linux sont intéressantes. Je vais tester cela.
Cordialement.
[^] # Re: Merci
Posté par mazarini . Évalué à 1.
Merci aussi. Toujours intéressant d'avoir des idées pour vérifier la sécurité de ses machines.
Par contre, je n'aime pas les mises à jour automatique. Je fais l'effort de me connecter pour les faire. D'une part les mises à jour provoquent des alertes rkhunter donc autant vérifier juste après la mise à jour et d'autre part si ca merde, je préfère être devant la console. Ca n'empêche pas de recevoir les alerte de maj à faire de cron-apt qui est bien utile pour ca.
# needrestart
Posté par vv222 . Évalué à 7.
needrestart, proposé dans la crémerie officielle à partir de Debian Jessie (dans les backports pour Wheezy) pousse un peu plus loin le concept de checkrestart : là où ce dernier permet "juste" de repérer les services utilisant des versions obsolètes de bibliothèques, needrestart s’exécute automatiquement après chaque installation/mise-à-jour de paquets, liste les services qui bénéficieraient d’un redémarrage, et propose de redémarrer automatiquement ceux qui peuvent l’être sans casser le système en cours d’exécution.
https://packages.debian.org/jessie/needrestart
[^] # Re: needrestart
Posté par mazarini . Évalué à 1.
Grande découverte pour moi qui croyais naïvement que les services étaient relancés après une mise à jour (hors noyau).
Je me croyais à l'abris avec mes mises à jour à chaque nouvelle version… et bien non.
[^] # Re: needrestart
Posté par vv222 . Évalué à 4. Dernière modification le 07 mars 2015 à 16:33.
Sous Debian les services sont relancés si tu mets à jour le paquet du service (par exemple le paquet 'postfix' ou 'nginx'), mais pas si tu mets à jour une des bibliothèques qu’il utilise sans toucher à la version du service lui-même.
# Mise à jour
Posté par bubar🦥 (Mastodon) . Évalué à 5. Dernière modification le 07 mars 2015 à 04:25.
Un reproche assez général, et qui revient sous diverses formes, même humouristiques, dans certains commentaires est le téléchargement. Prenons une partie de cette problématique (mises à jour de données nécessaires au fonctionnement, plus fréquentes que mises à jour de logiciels), & reprenons la liste initiale :
Liste
Besoin mises à jour de bases
Intégration dans la distribution*
* par exemple un service ou bien une configuration d'abandon de droits pour les téléchargements de mises à jour des bases de références
C'est un peu dommage de lancer, par exemple, le téléchargement des mises à jour de bases rkhunter avec le compte root, non ? Et pourtant rien n'est prévu, ni par le logiciel lui même ni par la distribution, pour faire autrement. Dès lors on peut légitimement se poser la question de l'utilité de rendre ses logiciels disponibles au travers de paquets intégrés à la distribution. Pourtant, afin d'éviter l'effet "télécharge-app.com" bien connu du siècle précédent et d'un système que peu utilisent ici, il faut bien les rendre disponible via les dépôts de paquetages. Alors, quelles solutions préconisez vous ?
# Trop spécifique à Debian
Posté par jon . Évalué à 5.
Article intéressant, mais vraiment trop spécifique à Debian : pourquoi faire des liens vers la page Debian de lynis alors que le projet a une vraie page web qui apporte un peu plus d'info quand même ?
[^] # Re: Trop spécifique à Debian
Posté par Yves (site web personnel) . Évalué à 1.
Ou là : https://cisofy.com/lynis/
# Mais, mais, ...
Posté par yann-kaelig . Évalué à -3.
c'est la recette du gloubi-boulga !
# Et autres unixeries…
Posté par Yves (site web personnel) . Évalué à 2.
Merci pour cet excellent article !
Mes remarques en vrac, que j’applique également :
— rkhunter et tripwire sont très complémentaire à mon avis.
— Un certain nombre de partitions peuvent être montées en noexec (/, /boot, etc.), voire même en ro pour certaines. Après, il suffit de paramétrer apt pour remettre en rw,exec le temps des mises à jour.
— epylog est un super outil, qu’on affine peu à peu en ignorant les lignes inintéressantes.
— Pour finir, la protection des accès extérieurs peut être renforcée avec fail2ban et une reconfiguration d’OpenSSH. Voir aussi ici et là.
[^] # Re: Et autres unixeries…
Posté par Yves (site web personnel) . Évalué à 1.
J’ai été un peu vite en postant :-D Mettre / noexec, ça peut être difficile ;-) mais en ro par contre, c’est possible.
En noexec, on peut avoir /var, /tmp et d’autres, selon le partitionnement effectué.
# Debian...
Posté par AgentSteel (site web personnel) . Évalué à 1.
n'installe pas par défaut SELinux & autres.
Mais il y a un guide officiel de sécurisation / hardening :
https://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.