Olivier a écrit 890 commentaires

Personnellement j'utilise Privoxy http://www.privoxy.org/ afin de filtrer pas mal de cochonneries dans les pages web, le javascript, les cookies, le http-referer, les pubs, etc...

Et dans les sites que j'ai rajouté à ma blacklist, il y a xiti, cybermonitor, google-analytics, estat.com, et j'en passe. Bref, tous les sites qui peuvent, à coup de cookies et d'analyse d'adresses IP, définir quels sites je fréquente.

Certes, cela ne va pas dans le sens de l'amélioration des statistiques de l'utilisation de Linux sur Internet... :=(

Bonsoir,

les serveurs des autres abonnés ainsi que le tiens sont peut-être hébergés sur la même machine physique, que vous partagez via de la virtualisation (vmware, virtualbox, etc...).

Peut-être que c'est cette virtualisation qui ne marche pas correctement, et donc que le soft de virtualisation vous envoie à tout les deux (le site officiel et le tiens), les paquets destinés au site officiel. Il est alors assez logique que tu ne vois pas pas les réponses du site officiel à son client (par exemple, lors du test que tu as fait dans la discussion au-dessus).

J'imagine que c'est faisable (bien que anormal) si les deux machines virtualisées ont la même adresse MAC réseau (carte réseau virtualisé, bien sûr).

Oui, et cela ne marche pas non plus, entre du fait que le proxy est transparent...

En fait, j'ai résolu le problème du SSH via une méthode complètement différente : AjaxTerm http://nawer.freecontrib.org/index.php?2006/05/24/203-ajaxte(...)

Je fais tourner chez moi un vrai serveur HTTPS, dans lequelle tourne Ajaxterm. Le proxy ne voit alors qu'une connexion HTTPS, dans laquelle passe un flux HTTP (les commandes que je tape et les réponses de la machine).

C'est moins performant que la solution du tunnel SSH, on ne peut pas faire de tunnel avec. Mais le SSH marche, ce qui était le but principal.

Si tu as une adresse IP fixe, et que tu ne résilie pas ton abonnement, ton FAI considère que tu utilises cette adresse 24h/24, ta box ADSL coupée ou non

Dans ce cas, si ton adresse IP apparaît dans un tracker (voir l'animation en flash de http://www.telerama.fr/techno/la-fronde-post-hadopi-s-organi(...) ), tu seras considéré comme responsable.

Et le plus fort c'est que le mouchard HADOPI installé sur ton PC dira qu'il n'était en état de contrôler la connexion à ce moment là. Donc on t'accusera d'utiliser une 2nd machine, sans mouchard, pour avoir fait ce téléchargement-là.

Bref, tu seras coupable.

Je confirme : Le proxy transparent de ma boîte fait très très bien la différence entre du SSH et du HTTPS, même si tout les deux sont basés sur du SSL.

Pour s'en convaincre, il suffit de sniffer la 6ème trames IP d'une connexion HTTPS et SSL:

HTTP:
1: client -> serveur (SYN)
2: serveur -> client (ACK+SYN)
3: client -> serveur (ACK)
4: client -> serveur SSL client hello
5: serveur -> client SSL client hello ACK
6: serveur -> client SERVEUR SSL client hello
7: client -> serveur SERVEUR SSL client hello ACK

SSL:
1: client -> serveur (SYN)
2: serveur -> client (ACK+SYN)
3: client -> serveur (ACK)
4: client -> serveur négociation protocole
5: serveur -> client négociation protocole ACK
6: client -> serveur négociation protocole
7: serveur -> client négociation protocole ACK

La différence vient de la ligne 6...

Enfin, dès la ligne 5 on voit que d'un coté le client demande un site HTTPS, et de l'autre, il se déclare en temps que client SSL (chez moi: "SSH-2. 0-OpenSSH_5.1p1 Debian-5+b1.. ")

Si tu utilises tes quelques neurones, tu te rendras compte que n'importe quel boutonneux sachant se servir d'un pare-feu avec une machine à jour point de vue sécurité ne pourra pas être concerné par ce type de mouchard électronique.

Je n'en suis pas si sûr : Sous windows, il est tout à fait faisable de contourner un firewall, en installant par exemple une couche libpcap. Certes, c'est très visible, et le firewall pourra même te donner une fausse impression de sécurité.

Toujours sous Windows, tu peux aussi regarder le fonctionnement des rootkits : Détournement des fonctions bas-niveau de l'OS, histoire de cacher des morceaux du système de fichier (répertoire commençant par un "$" par exemple), ou de la base de registre. Je pense bien entendu au célèbre rootkit de SONY-BGM, qui a bien fait parlé de lui. Je ne m'intéresse pas assez à Windows pour te dire si oui ou non un mécanisme similaire existe pour la pile réseau (bref, quelque chose d'équivalent à ce que l'on fait avec la libpcap) mais je pense que oui

- Quand aux mécanismes de détection de tels mécanismes de détournement, anti-trojans, anti-rootkits, leur limite de fonctionnement commencent avec celle de Windows. On peut très bien imaginer que MS diffuse de nouveaux patchs contenant, des points d'entrées discrets pour les rootkits gouvernementaux.

- Et si MS ne me fait pas, que faut-il penser des "CD d'installation d'Internet" que les FAI fournissent à tout nouvel abonné. Il n'y a rien de plus facile pour eux que de t'injecter une dll modifiée lors de l'installation de leur "CD d'installation d'Internet". Et je dirais même que cette nouvelle loi pourrait imposer au FAI qu'il insère ces dll trafiquées sur leurs CD.

- Sans parler bien sûr du fameux logiciel de surveillance que l'a loi HADOPI va nous imposer, afin que nous puissions prouver que nous ne piratons-pas...

Quand à Linux, c'est plus simple et plus compliqué : On peut imaginer que cette loi impose aux hébergeurs de miroirs de rpm/deb/etc... d'accepter des versions modifiées de paquets, contenant les fameux rootkit. Il faudrait alors passer outre la protection des signatures des dits paquets. Certains disent que c'est faisable (problème de collision MD5 par exemple). D'autre que c'est quasiment impossible...

Bonne idée que ce soft.

Je ne connaissais pas "Supercopier", mais cela faisait quelques temps que je me disais qu'un tel soft serait intéressant à utiliser.

Bravo donc pour ta réalisation !

Oui, c'est très simple:
- "Outils / Options / Vie privée / Afficher les cookies : tu te crée une liste blanche de site autorisés à sauver les cookies. Tu peux aussi rajouter des sites "indiscret" à une liste noire : Google, Yahoo, Xiti, etc...
- " Outils / Options / Vie privée " :
+ Accepter les cookies
+ Les conserver jusqu'à la fermeture de firefox

Les sites peuvent te poser des cookies. Mais à la fermeture de FF, seuls les cookies des sites de la lite blanche reste

J'utilise mes FF comme cela depuis plusieurs années, et cela marche très bien

Bonjour,

il y a une autre méthode, mais c'est assez spéciale à mettre en oeuvre :
- Le kernel Linux a une fonctionnalité qui permet de surveiller TOUT les accès en écriture de la machine
- En faisant un echo 1 > /proc/sys/vm/block_dump, le "/var/log/syslog" va se remplir de lignes indiquant quelle application à lut/écrit des données
- Evidement, ce mécanisme remplit lui aussi le disque. Mais si tu le fais sur une période assez courte, tu sauras ce qu'il se passe sur ta machine. Et tu peux commencer par attendre 6h pour surveiller ton disque.

Exemple chez moi :

# echo 1 > /proc/sys/vm/block_dump
# tail -f /var/log/syslog
Apr 6 23:29:57 xxxxx kernel: [ 1686.532306] rsyslogd(2684): dirtied inode 238822 (debug) on hda9
Apr 6 23:29:57 xxxxx kernel: [ 1686.532329] rsyslogd(2684): dirtied inode 238822 (debug) on hda9
Apr 6 23:29:57 xxxxx kernel: [ 1686.532346] rsyslogd(2684): dirtied inode 238822 (debug) on hda9
Apr 6 23:29:59 xxxxx kernel: [ 1688.409057] ls(2685): READ block 3366368 on hda9
Apr 6 23:29:59 xxxxx kernel: [ 1688.833144] ls(2685): READ block 3145960 on hda9
Apr 6 23:29:59 xxxxx kernel: [ 1688.847247] ls(2685): READ block 3267504 on hda9
Apr 6 23:29:59 xxxxx kernel: [ 1688.847336] ls(2685): READ block 3267512 on hda9
Apr 6 23:29:59 xxxxx kernel: [ 1688.847365] ls(2685): READ block 3267520 on hda9


Bonjour,

des tests que tu as fait, le scénario suivant me paraît possible :
- une application, disons Apache2, écrit des logs dans /var/log/appache/access.log
- tu supprimes ce fichier (ou le mécanisme de rotation de logs le supprime). Comme il est encore ouvert, l'espace disque n'est pas libéré
- l'application, ou plus exactement un autre thread en re-ouvre un
- tu regardes ce contenu, et tu constates qu'il est plus ou moins vide
- seul un arrêt complet de tout les processus Apache2 permettra de libérer effectivement l'espace libre. C'est ce qui est fait au reboot

Solution :
- arrête un à un tout les services et les programmes de ta machine, et regarde quand est-ce que l'espace disque se remet à croître

Autre idée :
- Cela peut-être le fait de Xorg qui génère un fichier avec le stdout des applications
- Regarde du coté du /home/$USER/.xsession-errors
- Ou dans le /tmp/, les fichiers "*xsessions*"
- Certaines applications X ont tendance à générer BEAUCOUP de stdout, et elles sont sauvées dans ces fichiers

Solution 2 :
- chez moi, j'ai tout simplement empêcher Xorg de sauver les stdout des applications X
- dans le /etc/X11/Xsession , remplace le
exec >>"$ERRFILE" 2>&1
par :
exec >>/dev/null 2>&1

Oui, je l'ai bien formaté en ext2, justement afin d'éviter ce problème-ci :

# tune2fs -l /dev/sdb2 |grep -i journal

Très pratique, je l'utilise sur une clé USB bootable, en partie formatée en FAT et ext2/3
- Le Linux boot très vite, et reste très léger en mémoire. Coté espace disque utilisé, c'est très raisonnable (200Mo environ). Avoir un environnement fonctionnel et autonome (outils web, mail, système, ...) unique sur lequel on peut aussi écrire est très utile, surtout pour travailler sur un disque dur endommagé
- La 2nd partition est vu par tout OS, tout en permettant que ceux de Redmond de ne pas faire de bêtises sur la partition ext2/3.

Installée en standalone sur une machine un peu ancienne (PIII-500Mhz, 256Mo de ram) en fait un poste de travail honorable.

Seul point où il faut faire attention : Par défaut, toute l'utilisation se fait en temps que root.

Pfff, ca fait peur une news comme cela. Heureusement que les premiers commentaires rappellent la date d'aujourd'hui !
Je n'avais pas vu l'heure qu'il était, cela m'apprendra à coder trop tard... ;)

Bonjour,

j'ai eu l'occasion ces jours-ci d'installer une Ubuntu sur une laptop sans lecteur de CDROM, et non bootable sur USB.

La solution à ce problème se trouve ici http://forum.ubuntu-fr.org/viewtopic.php?id=60943 , mais s'adapte aussi pour une Debian :

[Methode]
1 Aller sur
archive.ubuntu.com/ubuntu/dists/[version]/main/installer-[architecture]/current/images/netboot/
(ex :
http://archive.ubuntu.com/ubuntu/dists/intrepid/main/install(...)
) et télécharger netboot.tar.gz

2 Le décompresser dans /boot/

3 Editer /boot/grub/menu.lst et ajouter une entrée du type :
Code:

title Installer ubuntu
kernel (hd0,0)/boot/ubuntu-installer/i386/linux [options]
initrd (hd0,0)/boot/ubuntu-installer/i386/initrd.gz

4 Redémarrer avec le réseau branché et choisir l'entrée "Installer ubuntu"
[/Methode]

L'idée est la suivante :
- sur un Linux fonctionnel installé quelque part sur le disque de la
machine (pour moi, mon Ubuntu 7.04), on décompresse le fichier
netboot.tar.gz (même pas 10 Mo !!!)
- on se rajoute au /boot/grub/menu.lst une ligne permettant de booter
sur le mini-kernel que l'on a décompressé
- on reboote la machine, et on sélectionne le dit menu

Si il est faisable de le faire avec une Ubuntu, on peut le faire aussi avec d'autres versions et distributions du même type :

Ubuntu 8.10 :
http://archive.ubuntu.com/ubuntu/dists/intrepid/main/install(...)

Ubuntu 9.04 (en cours de dev) :
http://archive.ubuntu.com/ubuntu/dists/jaunty/main/installer(...)

Debian Testing :
http://ftp.fr.debian.org/debian/dists/testing/main/installer(...)

etc....

Pour les autres distributions (RV, MDV, Suze, ...) du moment qu'elles peuvent s'installer via le réseau, c'est à mon avis tout à fait faisable de faire quelque chose de similaire.

Je confirme pour Puppy Linux : Sur un PIII-500Mhz avec 200Mo de mémoire vive et uns installation sur le disque dur, cela marche bien. L'utilisation de "Seamonkey", en temps que navigateur + mail réduit un peu la consommation de mémoire.

Il est même possible d'installer OpenOffice via des packages supplémentaires fournit sur le site de Puppy. Mais forcément, c'est très gourmand en ressources.

C'est bien sur spécifique si vous avez un disque dur de cette marque.


Absolument pas : DFT fonctionne avec toutes les marques de disque durs. A titre personnel et professionnel, je l'ai utilisé sur une bonne cinquantaine de fois ces 6 dernières années, notamment sur des disques IBM, Futjitsu, Seagate.

Les disques indiqués défectueux ont subit un 2nd test de confirmation, plus classique sur un Linux, avec un bon vieux "dd if=/dev/hda" of=/dev/null bs=512000", qui a confirmé les problèmes.

DFT indique clairement que le disque est (ou non) un non-Hitachi, mais cela ne lui pose pas de problème. Au pire, certaines fonctions du soft sont désactivées, comme par exemple les mécanismes de réparation de secteurs défectueux (en fait, un simple déplacement vers des blocs libres réservés). Mais si, comme c'est le cas de ce journal, il s'agit de détecter une panne, c'est suffisant.

Cordialement

Il y a le Drive Fitness Test d'Hitachi, anciennement IBM : http://www.hitachigst.com/hdd/support/download.htm#DFT

Tu bootes la machine sur la disquette / CD. Tu demandes le test "advanced", qui te fera, entre autre, une analyse de surface de tout le disque.

A la fin, un écran rouge ou vert te dira si tu dois ou non racheter un disque...

Sinon, il y a aussi le "Ultimate Boot CD" : http://www.ultimatebootcd.com Un CD qui contient toute une floppée de disquettes de boot / diagnostique / test / utilitaires, dont le DFT.

Et si les FAI font leur boulot correctement, ça devrait le faire

Est-ce que par hasard tu veux dire qu'il faudrait que les FAI fassent du filtrage de certains ports/protocoles à risque ? Comme par exemple le "partage de fichier windows," le "windows messaging" (rien à voir avec MSN), ?

1) Je pense que ce n'est pas le rôle du FAI que de filtrer
2) Du moment qu'ils filtrerons cela, il se mettrons aussi à filtrer les autres trucs "louches", comme les botnet / vers en tout genre
3) Et puis après, ils s'attaqueront aussi aux VPN, au SSH, et évidement au P2P
4) Bref, on se retrouverait à ne plus pouvoir que faire du HTTP, HTTPS, POP, SMTP et un peu de discussion sur MSM/Jabber ? Super !

Le truc c'est que si à cette époque on avait distribué plusieurs IP aux particuliers, on aurait peut-être pas eu cette épidémie de NAT.

Je te rappelle qu'à une époque pas très lointaine, la manière classique de se connecter à Internet était du PPPoE/PPPoA, et que cela ne permet pas d'avoir plusieurs adresse IP par machine.

Quand à fournir plusieurs adresses IP à chaque abonné, c'est assez compliqué, et cher à mettre en oeuvre. Qu'un FAI "pro" le fournisse à des sociétés, c'est d'accord. Mais pour le particulier, cela devient nettement moins simple

c'est bizarre que ça choque si peu de monde qu'un XP < SP2 branché au net se trouve infesté en moins de 30s ...

Cela fait un paquet d'année que les gens utilisent des Windows qui se font infecter par des virus, et personne ne s'en étonne. C'est ancré dans les esprits que plein de chose "bizarres" attaque Windows, et cela parait "normal". C'est dommage, j'en suis conscient. Mais le fait que les FAI fournissent des box configurés par défaut en NAT n'y est pour rien.

J'ajoute de plus que, à l'heure actuelle, les utilisateurs veulent de plus en plus de wifi chez eux (c'est une aberration, je suis d'accord) . De ce fait, tu es un peu forcé d'utiliser la box en temps que routeur.

De là à dire que c'est la faute à MS si l'IPv6 ne se développe pas ...

C'est un peu rapide comme raccourcis. Personnellement, je suis en IP dynamique, et j'aime cela. Mon adresse IP change toute les 24h automatiquement, ce qui permet aux sites web de ne pas me suivre à la trace (IP dynamique + suppression des cookies + interdiction d'écriture au plugin flash = amélioration de l'anonymat)

Les FAI proposent des /64 en IPv6. C'est super dit-on, car nous serons anonymes ! Oui et non en fait. Car toute indésirable qui a une petite connaissance des règles d'attributions des FAI sera reconnaître la même personne, ou disons le même abonné, lorsque qu'il verra les connexions de plusieurs adresses IP du même /64. Et tu auras beau changer d'adresse IP toutes les dix minutes, tu ne feras que te déplacer à travers ton /64.

Cela me semble normal :
- en mode non-tunnel, Les données que tu veux envoyées le sont sur le port 4242 de la machine B
- en mode ipsec, les données vont transiter à travers le tunnel ipsec, quelque soit le port de destination de la machine B (ici, 4242).

Donc, en mode ipsec, les données chiffrées passeront par le le flux ipsec. Et a priori, c'est sur les ports tcp/500 ou udp/500 de la machine B que les données arriverons :

tcpdump -n -i eth0 tcp port 500 or udp port 500

C'était avant l'arrivée des box, et surtout avant que beaucoup de monde ne commence à activer le mode routeur (ceux qui faisaient du NAT par eux-même étaient assez minoritaires). Cette époque, c'était ... allez, jusqu'aux années 2000-2002. Comment les gens ont-ils pu avoir de tels préjugés en si peu de temps ?

Je pense qu'il ne faut pas chercher très loin la réponse : Il est de moins en moins rare que les foyers aient plus d'un ordinateur :
- Ne serait-ce par le fait que les familles recyclent le "vieux" ordinateur de la maison, pour en faire, par exemple, une plateforme de surf "simple"
- Et puis, certains FAI fournissent des box ADLS qui possèdent plusieurs ports ethernet pour le LAN, ce qui évite l'achat d'un switch

Du moment qu'il y a plus d'un ordinateur à connecter à Internet, c'est NAT obligatoire. Sauf à faire des choses un peu compliqué, comme activer le mode "passerelle" de la machine connectée à Internet.

Enfin, même si ce n'est pas la raison première du "mode routeur" des box, cela permet de limiter les attaques de virus qui font du port scanning à la recherche de ports "classiques", comme le partage de fichier de MS Windows (137, 138, 139, 445), le "Windows Messaging" (135), etc... C'est certes un pansement sur une jambe de bois. Mais lorsque je vois la quantité de paquets à destination des ports sus-cités qui viennent s'écraser sur mon firewall (netfilter/iptables), je me dis qu'en 2009, ce type de menace est encore bien tenace.

Bonsoir,

j'ai acheté un Acer Aspirone début décembre, et j'ai suivis la dite procédure :
- contact immédiat par mail d'Acer pour avoir le remboursement de XP
- quelques échanges de mails plus tard, et je reçois par la poste un bon d'expédition Chronoposte
- je renvoie le portable dans sa boîte (sans tout les accessoires) le 4 décembre.
- d'après le rapport d'intervention, le nettoyage est terminée le 23 décembre (les 5 jours indiqués par Acer sont largement dépassés)
- je reçois le portable le 24 décembre

Résultat :
- Le sticker XP a bien été retiré, mais le Windows est resté... Cela nécessitait vraiment de l'envoyer par la poste...
- Je n'ai même pas regardé à quoi ressemblait l'OS, j'ai formaté le disque immédiatement pour une Debian Lenny/testing http://wiki.debian.org/DebianAcerOne
- J'attends toujours le remboursement. Contacté par mail, le support me dit que mon dossier est en cours...

Bonjour,

Je te recommande ceci :
- Efface tout le contenu du MBR et du début de la 1ère partition, avec une commande du type:
dd if=/dev/zero of=/dev/hda bs=512 count=10000
Cela écrit 5Mo de "0" au début du disque
- Installe Windows, et lors de l'installation, définie-lui une partition de 10Go
- Une fois l'installation de Windows terminée, démarre celui-ci et fait lui créer une partition étendue (start menu / settings / control panel / administrative tools / computer management / disk manager)
=> Il vaut mieux que Windows crée sa propre partition, ainsi que la partition étendue. Sinon, il ne va pas comprendre comment le disque fonctionne, et faire des bêtises

Une fois cela effectué, tu peux installer des partitions Linux (partitions virtuelles, en /dev/hdaX, où X est >=5)

J'ai présenté une conférence sur le multi-boot il y a 2 ans, dont voici les transparents : http://olivieraj.free.fr/fr/linux/information/multiboot/pres(...) J'y ai expliqué ces différents aspects de cohabitation parfois "difficiles" Windows vs Linux.

Je ne connais pas spécifiquement ce routeur. Mais si il a une adresse IP fixe, a priori il doit envoyer au démarrage sur le réseau un paquet ARP, disant "est-ce que l'adresse IP x.x.x.x est utilisée par quelqu'un".

Si personne ne répond, alors il prendra cette adresse IP.

Dans ce cas là, tu peux utiliser un Linux avec un bon vieux sniffer de trames IP (tcpdump, wireshark, ....) et guetter les trames qui sont envoyées lorsque le routeur démarre.

Personnellement, j'utilise de temps en temps cette technique lorsque je dois prendre la main sur des machines qui n'ont ni écran/clavier/souris, et dont je ne connais pas l'adresse IP

Il me semble qu'il y a plusieurs niveaux de clés : Des clés "normales" pour le décodage de flux audio/vidéo. Et des "super clés", utilisés pour la mise à jour des logiciels, la répudations de clés "normales", etc...

J'imagine que ces mises à jours seraient codées avec ces "super clés", moins facilement cassables.