Ellendhel a écrit 943 commentaires

Quelques explications complémentaires, si nécessaire :

http://www.com.univ-mrs.fr/ssc/info/view_dns_bind9.pdf

Je n'ai pas encore eu besoin d'utiliser ce genre de chose, mais BIND permet effectivement de donner telle ou telle réponse selon l'adresse IP du client qui envoie la requête.

C'est ce qu'on appelle une vue (view), qui se définit dans le fichier de configuration named.conf.

http://www.linux-kheops.com/doc/redhat72/rhl-rg-fr-7.2/s1-bi(...)

http://fr.gentoo-wiki.com/wiki/Bind

Il manquerait aussi la configuration du serveur.

D'après le lien donné, il suffit d'utiliser la directive "PasswordAuthentication no". Certes c'est une bonne chose, mais si à côté de cela il manque les directives "RSAAuthentication yes" et "PubkeyAuthentication yes" les risques d'échecs sont assez élevés.

echo "blacklist usb_storage" >> /etc/modprobe.d/blacklist.conf

bah désolé c'était vraiment trop facile.
ha ? comment ça c'est la merde sous windows pour y arriver ? ha ben désolé pour eux, hein.

Rooh bien sûr que si il reste une parade : repasser sous NT 4.

il apparait aussi que l'IPoAC peut être fortement perturbé par de trop fortes sources de lumière

Et les pare-feux domestiques aussi ; je pense particulièrement aux "Felis silvestris catus".

Mesa3D : implémentation libre d'OpenGL initié il y a déjà un bye.

Bail.

Cela dit merci d'avoir posté tout cela, la 3D, OpenGL et les batailles autour des implémentations libres me sont assez étrangères, mais j'ai cru comprendre qu'il y a des choses qui pourraient mieux fonctionner, c'est toujours une bonne chose.

J'ai beau lire la spec je ne voit pas de moyen de limiter cet effet à un path spécifique: typiquement /admin.

Je suis passé à coté ou ça n'existe pas ?

Ça existe comme directive au niveau d'un serveur Apache pour forcer l'utilisation de SSL :


< Directory /srv/apache2/mon-site/mon-repertoire/ >
SSLRequireSSL
< /Directory >


Après, est-ce suffisant pour gérer aussi HSTS ? J'aurais tendance à penser que oui, mais il faudrait tester.

Pour d'autres serveurs web, je serais curieux de savoir s'il y a un équivalent.

À vérifier mais il doit être possible de faire cela en une seule commande :

# > rpm -ivh kernel-devel-`uname -r`

Voir sur le site de l'Agence nationale de la sécurité des systèmes d’information (ANSSI) qui présenté un résumé vers les points de legislation concernant la cryptographie :

http://www.ssi.gouv.fr/archive/fr/reglementation/regl.html#c(...)

Le lien intéressant est "Chapitre Ier Moyens et prestations de cryptologie" qui permet d'avoir un PDF de la LCEN (Loi de Confiance en L'Économie Numérique) et qui explique que l'utilisation de cryptographie augmente les peines encourues sauf si l'auteur (ou un complice) a remis une version en clair des messages (page 4 du fichier, Article 37).

Ce n'est pas écrit "circonstance aggravante" en tout lettres, mais au final, ça y ressemble beaucoup.

On ne s'en lasse jamais...

http://xkcd.com/538/

Et au passage, le terme exact est chiffrement, pas de "chiffrage" ou de "crypter".

encryption (?) matérielle

"Chiffrement matériel" (et probablement aussi le déchiffrement, soyons logiques).

Je proposerai plutôt :

"Seuls les crétins utilisent des bandes de sauvegarde, les vrais hommes copient leurs données importantes sur un serveur ftp et laissent le reste du monde les dupliquer."

Encore que "vrais hommes" doit pouvoir être remplacé par un terme moins barbare.

C'est clair : une bonne gestion de parc commence par la mise en place de matériel homogène, ou avec le moins de divergence possible.

Dans les outils de clonage les plus utilisés on trouve Symantec Ghost (propriétaire). Il existe aussi CloneZilla, mais je n'ai pas eu l'occasion de l'utiliser.

http://www.clonezilla.org/

Après reste le déploiement de logiciels spécifique à tel ou tel poste. Si les applications supportent une exécution depuis un serveur, tu dois pouvoir mettre en place un serveur avec partage Samba limité aux utilisateurs concernés. Ce qui réduit de déploiement à l'accès à un partage de fichiers.

Avantage de Symantec Ghost par rapport à CloneZilla (sauf erreur de ma part) est qu'il permet de déployer des fichiers et d'exécuter des scripts sur les postes clients ; ce qui veut dire que pour les applications les plus simples, il est possible de faire du télé-déploiement. Il doit être possible de le faire via des outils libres, mais ce sera avec un peu plus de temps et de compétence.

Et par ailleurs il existe aussi le logiciel GLPI (Gestionnaire Libre de Parc Informatique) qui pourrait répondre à certains des besoins.

http://www.glpi-project.org/

Il est généralement couplé à OCS Inventory, qui devrait aussi pouvoir t'apporter des éléments utiles en terme de gestion de parc.

http://www.ocsinventory-ng.org/index.php?page=French

au niveau des pare-feux, j'avoue ne pas être rassuré plus que ça (j'avoue une certaine paranoïa, désolé) : avez-vous un topic, un beau lien pour la config et est-ce compliqué de 'bien' configurer ceci ? Et comment éviter un rootkitage sous Linux au passage ?

Voici une documentation un peu ancienne mais toujours utile, et qui part de zéro sur ce qui concerne iptables :

http://olivieraj.free.fr/fr/linux/information/firewall/

Ça explique comment configurer des règles "à la main" ; mais il existe des interfaces graphiques pour faciliter les choses si on le souhaite.

Pour ce qui concerne les rootkits, c'est quasiment comme pour tout système informatique : ne pas installer de logiciel de source douteuse ou pour le moins inconnue.

Sachant que ce qui est fourni par la distribution choisie est déjà vérifié en amont (même s'il reste toujours un faible risque lié au facteur humain).

Après, ce qu'il faut c'est un parseur RFC2822/MIME (j'espère pouvoir mettre sous GPL celui que je développe) ... et écrire une jolie interface graphique avec clutter (c'est joli clutter) ou Gtk, ou même Qt pour ceux qui veulent (j'ai plus fait de Qt que de Gtk remarque) et c'est bon.

Je dis peut-être une bêtise, mais Sylph-searcher semble être assez proche de ce descriptif (au moins pour traiter des mails en maildir ou MH) :

http://sylpheed.sraoss.jp/en/download.html#searcher

nous devons trouver un autre anti-virus

Tout dépend du type de virus : s'il s'agit d'une cochonnerie récente, il est possible que d'autres antivirus ne le détectent pas non plus ; le temps de réaction pour définir une signature n'est pas négligeable.

Il est écrit ça et là que pour des grosses infrastructures de courrier deux serveurs intermédiaires sont mis en place avec chacun un antivirus différent pour limiter au mieux les choses, mais ce ne peut être parfait (et ce avec un troisième type d'antivirus sur les postes clients).

Par ailleurs, lors de de la non-détection d'un virus par ClamAV, il est possible de remonter l'information à l'équipe de développement :

http://www.clamav.net/lang/fr/sendvirus/

Sur les moyens de détecter si le programme fonctionne en machine virtuelle ou non (spécifique au type de virtualisation utilisé) :

http://www.codegurus.be/codegurus/Programming/virtualpc&(...)

Ce n'est pas très récent. Mais en gros il y a deux grands moyens : soit énumérer le matériel virtuel et voir s'il y a identifiant "typique" (genre "VirtualBox Harddisk") ; soit utiliser certaines instructions processeurs dont on sait qu'elles sont émulées et calculer le temps de réponse (l'émulation prenant plus de temps qu'une exécution sur du matériel).

Il existe aussi un papier d'un équipe de recherche de chez Symantec sur le sujet :

http://www.symantec.com/avcenter/reference/Virtual_Machine_T(...)

Par contre je n'ai plus sous la main de référence de virus / rootkit / malware utilisant spécifiquement ces techniques sous la main. Il faudrait parcourir les sites des éditeurs d'antivirus et rechercher dans les descriptifs...

Quelle différence faîtes-vous entre les systèmes académiques français et, disons, américain ?

Il y a déjà des personnes qui ont essayé de comprendre en partie le système français :

http://www.phdcomics.com/comics/archive.php?comicid=1292 (première partie)

http://www.phdcomics.com/comics/archive.php?comicid=1293 (seconde partie)

Y a t-il un moyen pour que le script se lance de la meme manière en ssh ?

Si tu utilises SSH et que tu souhaites restreindre l'utilisateur à certaines commandes, je t'engage à mettre en place une authentification par clé publique et clé privée.

L'avantage est qu'avec une clé, il est possible de définir une commande forcée qui sera lancée lors de la connexion (la commande est a ajouter au fichier ~/.ssh/authorized_keys).

Documentation :

- http://wiki.debian.org/fr/ssh (point 11 "Divers")

- http://www.hackinglinuxexposed.com/articles/20021211.html (en anglais, réparti sur trois pages, suivre le lien "next article" tout en bas)

Dans ce genre, tu peux jeter un œil sur la Slax : http://www.slax.org/

Effectivement, il n'y a pas foule de musées informatiques, mais pour un don de matériel, il est possible de contacter l'Aconit. Mais comme tu le signales, il y a peu de chance que du matériel "commun" retienne l'attention...

http://www.aconit.org/

merci pour cette superbe css

De même. Et pour le logo également (il me semble que c'est la première CSS spéciale qui prévoie un logo).

Voila j'avais une VM Xen que j'ai migré sur un ESX (via du tar+rsync tout bête).

En ayant installé les VMware Tools ?

Sans ces outils, plusieurs points critiques du système peuvent devenir erratiques ou instables (gestion de la mémoire, synchronisation temporelle avec le CPU, ...).

Vérifier par ailleurs que le réseau de l'hôte virtuel soit bien distribué (avec ou sans tag sur le VLAN, paramétrage particulier sur le vSwitch, ...)

Je pense que tu as du aussi tomber sur l'annonce de libération de code pour Quake 3 sur le blog de J. Carmack :

http://www.armadilloaerospace.com/n.x/johnc/recent updates/archive?news_id=290

Mais rien sur Wolfenstein 3D ou Doom. Il me semble que l'annonce a figuré sur le site d'ID Software à l'époque. Peut-être qu'en fouinant via archive.org...

J'ai trouvé mieux que Flash + Flashblock : ne pas installer Flash du tout.

Et Firefox est bien plus réactif.

Juste penser à tripatouiller le about:config et passer la valeur du paramètre plugins.hide_infobar_for_missing_plugin à "true" pour éviter que Firefox signale le souci à chaque page consultée.