J'ai eu un problème de ce genre avec mon propre serveur sftp.
Dans le /etc/ssh/sshd_config, tu as une ligne qui indique quelle est le path pour le programme de "sftp-server". Cela doit ressembler à cela :
Subsystem sftp /usr/lib/openssh/sftp-server
- Vérifie que ce fichier est bien présent dans le chroot lui-même (${CHROOT}/usr/lib/openssh/sftp-server)
- Vérifie que dans ton chroot, tu ais toutes les librairies nécessaires au programme "sftp-server". Utilise la commande "ldd" pour cela :
Remarque : Il faut aussi lancer la commande "ldd" sur chacune des librairies utilisées (exemple : "ldd /lib/ld-linux.so.2")
Autre astuce : utilise "strace" pour regarder quelles fichiers sont recherchés par "sftp-server" lors de son lancement. C'est long et fastidieux, mais cela marche :
- repère le PID du process sshd ( -> PID_SSHD)
- lance en temps que root : stace -t -f -e open /tmp/strace_sshd.txt -p PID_SSHD
La situation a pas mal évolué depuis que j'ai écris cette documentation sur Netfilter (2003) (*). Ainsi, divers solutions sont actuellement utilisables :
- http://www.nufw.org/ . C'est un peu "bourrin" pour une utilisation personnelle, mais cela permet le FW applicatif :
Filtrer les paquets avec des critères tels que l’application ou l’OS utilisés par les utilisateurs.
- Le module "owner" d'iptables permet de créer des règles sur l'utilisateur qui établie, ou qui reçoit une connexion. Ainsi, on peut interdire à un utilisateur de surfer (port 80), mais d'envoyer des "ping" (icmp).
- Autre usage du module "owner" J'ai travaillé récemment sur le problème de Wine, afin d'interdire à une application Windows tournant sous Wine de se connecter à Internet. Il suffit de créer un utilisateur particulier (par exemple "wine-user"), qui sera chargé de lancer wine et son application Windows. Puis, d'interdire, toujours avec le module "owner", cet utilisateur de se connecter à Internet. Enfin, via les commandes de partages de session X ("xhost + local:wine-user" et "export DISPLAY=:0.0"), on peut faire afficher l'application lancé par "wine-user" sur sa session principale.
(*): J'ai pas mal de mise à jours à apporter à cette documentation, mais je manque un peu de temps pour le faire. 4 ans sans modifications, cela commence à faire beaucoup... Mais apparemment, elle est toujours pas mal lue.
ce n'est pas une bonne idée de lancer privoxy par inetd/xinetd. En effet, pour (pratiquement) chaque page HTML ou chaque image contenu dans une page, le navigateur va lancer une connexion différente sur le port de privoxy (8118). Certes, il y a le HTTP 1.1 qui limite cet effet, mais cela ne résolu pas tout.
Donc, si tu lances Privoxy par xinetd, cela va démarrer une nouvelle session de privoxy pour chaque connexion. Cela fera tout simplement exploser la consommation mémoire de ta machine, et cela ralentira considérablement le surf. De plus, je ne pense pas que les privoxy se ferment après chaque lancement (ce qui ait le cas de ssh par exemple, lorsqu'il est lancé par xinetd).
Comme indiqué dans la doc de xinetd, certains démons sont conçus pour êtres lancés par xinetd (ssh, proftpd, ...), mais pas d'autres (apache, privoxy, ...)
et s'ils ne trouvent pas les fichiers en eux-memes, ils en trouveront trace dans les historiques de navigation, des lecteurs multimedia...
Justement, je m'interroge à ce sujet : Est-ce que les traces d'un lecteur multimédia, d'un historique de shell ("~/.bash_history" par exemple), sont réellement des preuves ?
Si par exemple on trouve dans mon "~/.bash_history" ceci :
mplayer Pirates_des_caraibes_5.avi
est-ce que l'on peut m'accuser d'avoir visionner ce film ? Légalement, ce serait complètement ridicule, car le 5ème opus n'est pas encore sorti.
Ce que je veux dire, c'est que les historiques de navigation/utilisation/etc... ne révèlent que des noms de fichiers, et non pas des contenus. Donc ce ne sont pas, à mon sens, des preuves.
En fait même pas, la plupart des routeurs wifi étant upnp, le routeur se charge lui même de faire suivre les bons ports
Sous Windows, je ne suis pas sûr que de laisser actif le uPNP du routeur soit une bonne idée.
En effet, souvent le uPNP des routeurs n'est pas protégé par un mot de passe (ou alors il est vide), ce qui peut permettre à un vilain virus/vers de s'ouvrir bien tranquillement un trou dans le routeur, afin d'être joignable depuis l'exterieur.
D'un autre coté, la plupart des virus/vers qui transforment les Windows en bots sont pilotés à distance via une connexion IRC ou autre, ce qui ne nécessite plus d'ouvrir un port sur la machine.
Le jour ou tu reçois un super courrier dans le genre «Monsieur, votre adresse ip a été identifiée comme étant à l'origine d'un préjudice à notre encontre, vous avez téléchargé et/ou mis à disposition les fichiers suivants: -x -x -x -x ...» c'est quoi la défense possible si tu n'as rien fait ???
- Prouver avec des logs de connexion que sa machine n'était pas allumé ce jour-là ?
- Demander les rapports d'infraction, et faire constater que le soft qui a téléchargé était un soft Windows, alors que l'on ne possède que des machines sous Linux ?
- Demander le fingerprint de la machine qui fournit le fichier ? Si celle-ci n'est pas celle d'un routeur/firewall mais bien celle du PC qui faisait tourner le soft de P2P, on peut prouver que la machine était un Windows, et non un Linux.
Remarque: Dans ton journal, tu parlais d'IPv6. Mais je ne pense pas que ce soit une bonne solution. En effet, comme l'adresse IPv6 est constituée de l'adresse MAC de la machine ( http://livre.point6.net/index.php/R%C3%A9seaux_%C3%A0_diffus(...) ), si c'est l'adresse IPv6 qui est traqué, il sera plus difficile de prouver son innocence. A moins de changer son adresse MAC lorsque l'on se connecte.
Généralement, les logiciels de P2P ont besoin que tu ouvres un port de ta machine (configuration du firewall, donc), ou que tu mettes en place du port forwarding entre le port externe du routeur, et ta machine (et qu'en plus, tu ouvres aussi le dit port dans le firewall de ta machine).
Pour les réseaux wifi de tes voisins, la méthode du port forwarding est effectivement ce qu'il faut mettre en place.
Dans le cas où tu utilises le wifi de ton voisin pour faire du emule, il faut donc que tu configures son routeur. Cela se fait généralement via une interface web, protégé par un login/mot de passe. Mais bon nombre d'utilisateur ne changent pas le mot de passe par défaut, il est donc facile de configurer ce routeur.
Une fois cette modification effectuée, alors oui tu pourras utiliser ton emule en passant par son wifi. Et en cas de relevé d'infraction par le contenu de ce que tu télécharges, c'est lui qui sera accusé.
Quand au risque qu'il encoure :
- il doit prouver sa bonne fois, ce qui n'est pas toujours évident. Il peut argumenter qu'il s'est fait "détourner" sa connexion wifi, mais encore faut il qu'il le prouve.
- dans le cas où lui utilise ou a utilisé des softs de P2P, même pour un usage tout ce qu'il y a de plus légal, il lui sera d'autant plus difficile à prouver sa bonne fois. Donc on dira qu'il "payera" pour le contenu que tu auras téléchargé.
- enfin, on peut l'accuser de négligence, volontaire ou non, à laisser un réseau plus ou moins "ouvert". Mais si ce genre d'accusation est pris en compte, c'est bon nombre, voir la plupart, des utilisateurs d'ADSL qu'il faudrait reprendre.
Ma conclusion, c'est que l'usage du wifi, spécialement dans les zone à forte densité de population, est très risqué. Le cryptage par WEP ou le filtrage par adresse MAC est complètement insuffisant, et ce sont malheureusement les seules solutions apportées par un certain nombre de FAI. Seul le cryptage par WPA2 est efficace, et encore faut'il avait utilisé un mot de passe "fort". Bref, "use the cable, Luke"...
Pour faire simple, il n'y a pas de connexion directe entre les machines qui possèdent les données, et celles qui veulent les récupérer. La connexion passe entre les autres machines du réseaux, qui servent donc d'intermédiaires.
Le débit en download est forcément plus faible que pour des solutions de type edonkey/emule, car une partie de la bande passante en upload sert à "masquer" les connexions des autres utilisateurs. Mais l'anonymat est préservé.
Enfin, contrairement à Freenet, les disques durs des membres du réseau ne servent pas à stocker du contenu inconnu. Seul la connexion réseau peut recevoir/émettre du contenu non vu ou non voulu par l'utilisateur.
Perso, j'imagine bien l'hydrogene comme matière première, produite à partir d'éoliennes en mer, ou de fermes d'algues ou que sais-je encore. Mais c'est encore un peu de la sci-fi ...
Désolé de te faire déchanter, mais la production, le stockage et l'exploitation de l'hydrogène en temps que carburant est loin, très loin d'être rentable.
Production :
- 2 electrodes, un peu d'eau, et on produit de l'hydrogène grâce à la réaction chimique ;
eau -> hydrogène + oxygene. C'est l'hydrolyse de l'eau. Certes, ca marche. Mais en terme de rendement energiétique, ce n'est pas terrible. Dans ton modèle, l'énergie éléctrique est produite "gratuitement" par le vent, donc à la rigueur, ce n'est pas très grave d'avoir un rendement moyen.
Transport :
Le transport de l'hydrogène peut se faire dans un "bête" reservoir étanche, comme n'importe quel gaz. Oui, mais : C'est un gaz très léger, donc si on veut en transporter une quantité satisfaisante, il faut beaucoup le compresser. Il faut alors utiliser des bouteilles très résistantes mécaniquement, donc forcement très lourdes. De plus, l'hydrogène est un atome très petit (avec ses isotopes, c'est le plus petit connu à l'état natuel), donc il a tendance à fuire à travers les parois de ses containers.
Pour le stocker en encore plus grand quantité, on peut le cryogéniser (le rendre très froid), et il va alors passer à l'état liquide. C'est sous cette forme que les véhicules spaciaux les utilisent. Mais dans ce cas, leur transport est beaucoup plus compliqué, et couteux, notamment en terme terme de poid et de prix.
Utilisation :
L'hydrogène peut s'utiliser de plusieurs manières :
- explosion : hydrogene + oxygène -> eau + énergie thermique. Mais le rendement est faibe, et comme pour les moteurs thermiques (voitures), il y a toujours le problème de la conversion d'énergie de type "explosive" en mouvement de rotation (pour les roues d'une voiture, ou un alternateur electrique).
- pile à combustible : pour faire simple, l'hydrogène est utilisé pour fabriqué de l'énergie électrique, par utilisation de sa différence de potentiel par rapport à un autre élement chimique (du platine par exemple). Très grossièrement, c'est un peu le principe d'une batterie de voiture. Mais la encore, les rendements sont faibles.
Sans prendre en compte le problème du stockage de l'hydrogène (qui introduit des pertes supplémentaires), on (pas moi, mais les chercheurs qui bossent sur le sujet) estime que l'on a un rendement de :
- 1/2 pour la conversion eau -> hydrogène
- 1/2 pour la conversion hydrogène -> energie élétrique
Donc si on utilise une quantité électrique de 100 unité lors de l'hydrolyse de l'eau (le processus au début de la chaîne), on obtiendra 25 unité d'énergie au final. Bref, un rendement de 1/4.
Ce type de rendement est donc très modeste. C'est utilisable pour des cas précis (un site isolé par exemple), mais pas à l'échelle industriel.
- Le pilote n'est pas dispo : pour tout le monde direction le site web, téléchargement (si tu as de la chance, Linux aussi) et install, ce que tu décris.
Car évidement, les fournisseurs de materiels sont parfaitement exemplaires quand à la fourniture de leurs drivers, n'est-ce pas ?
J'ai souvenir de l'installation d' un graveur de CD IOMEGA sur port USB chez une amie. Elle avait fait le téléchargement sur le site FR de IOMEGA, mis à jours son Windows, etc, mais rien n'y faisait, le périphérique ne marchait pas. J'ai débloqué la situtation, en allant télécharger le dit driver sur le site américain, qui était plus à jours. Car oui, elle "pauvre ignorante" de Windowsienne, elle ne savait pas qu'il était "évident" qu'il fallait toujours récupérer les drivers sur les sites nord-américains... (humour, bien sûr).
Comme quoi, même en suivant la procédure que tu donnes, cela ne marche pas forcément...
Je pense d'ailleurs qu'à la lecure de ton message, tu ne t'es jamais retrouvé devant une machine sous Windows quelque peu récalcitante. Crois-moi, j'ai connu des situations ou le simple "clic-next-clic-next" ne marchait pas, et qu'il fallait faire méchament chauffer les neuronnes, la base de registre, et la ligne de commande, afin de débloquer la sitation.
Si tu ne me crois pas, va faire un peu un tour sur des forums où des Windowsiens demandent de l'aide. Tu y liras quelques solutions techniques pas des plus simples...
j'ai testé NTFS-3G sur une MDV 2007. Le test a été assez rapide, je n'ai pas cherché à tout optimiser.
Les paquets par défaut de cette distribution ne proposant pas une version récente de NTFS-3G, je l'ai compilé à la main dans le /usr/local/. Il a fallut aussi compiler une version récente de fuse, (la MDV 2007 ne propose qu'une version trop ancienne), mais honnêtement, il n'y avait rien d'insurmontable. Si nécessaire, je peux poster ici les commandes à taper.
Au montage d'une partition ntfs, NTFS-3G me dis que la version de NTFS-3G que j'ai en module kernel est trop vielle (normal...), et donc qu'il faudra que je démonte moi-même les partitions NTFS. Pas bien grave, je n'avais qu'à compiler aussi le module en question.
Durant la compilation, j'avais à priori négliger les warnings à propos du support des fichiers de plus de 4Go (image ISO de DVD). Bref, je n'ai pas pu créer de fichiers de plus de 4Go. Ce n'est pas trop grave, il faudra que je recompile NTFS-3G.
Hormis cela, j'ai transféré tout un tas de fichiers (quelques Ko à quelques Go) entre ma machine et un disque externe de 80Go en NTFS (le disque a été rempli). Aucun problème à signaler. J'ai fais un "diff" entre les fichiers de mon disque dur et ceux du disque NTFS, tout était identique. Le dit disque a été lu depuis un autre PC sous XP, et cela s'est très bien passé.
Coté performances, j'avais un débit de 10-12Mo/s en lecture/écriture. A priori, c'est lié aux limitations de vitesse de mon port USB (lorsque le disque était en ext2, les débits étaient similaires).
Le seul point négatif de NTFS-3G, c'est effectivement une assez forte charge CPU lors de son utilisation, et spécialement pour des I/O. Sur ma machine bi-pro (2x2200Mhz), je n'ai cependant pas ressenti de ralentissement sensibles.
De même, pour les règles situées après la section "De la même façon, pour une plage de ports :", je n'en vois pas du tout l'intérêt. C'est même particulièrement dangereux, car (si tu configure les règles de forward associées), tu vas re-diriger tout le flux rentrant vers une seule et même machine de ton LAN (les autres machines vont râler...).
NTFS a peut-être beaucoup de qualités, son implémentation dans Windows fait parfois des trucs pas clair. Un exemple:
- Prendre un disque dur formaté en NTFS et contenant un Windows NT4 bootable (si si, ca existe encore !)
- Le mettre, en temps que 2nd disque, sur une machine qui tourne XP
- Booter la machine XP, et l'arrêter
- Remettre le disque NT dans sa machine d'origine
- La machine NT ne redémarre plus...
Pourquoi ? Entre NT4 et et 2K/XP, le format de NTFS a changé. Et la première chose que fait XP lorsqu'il voit une "ancienne" partition NTFS, c'est de la convertir dans le nouveau format. Et tant pis si Windows NT4 ne marche plus dessus. Evidement, aucun message d'avertissement de la part de Windows XP, et c'est à l'utilisateur de se débrouiller tout seul...
Expérience vécu sur une machine de production. Autant dire que c'est assez pénible...
Petite remarque au passage. Les mise à jours de MSOffice en MSOffice, est-ce que cela n'a pas non plus un coup ? Financier, bien évidement, mais aussi vis à vis des utilisateurs ?
Je bosse pour une boîte internationnale (~15.000 employés), qui utilise presque exclusivement du Microsoft. Voici une partie d'un mail envoyé par le service informatique, à propos de la migration Office 2000 -> Office 2003 (désolé, c'est en anglais) :
The upgrade will include the following changes:
1. The loss of the MS Office Shortcut Bar, which is no longer supported by Microsoft in Office 2003.
2. The potential loss of customized application toolbars (buttons), which may have been created in MS Office applications.
3. Files created in legacy versions of MS Office (Office 2000 or earlier) may not display images correctly in Office 2003.
4. File incompatibility with legacy Access databases and Access 2003.
5. File incompatibility with Visio 2003 drawings and legacy Visio 2002 users.
- Les points 1 et 2, ne sont pas les plus importants.
- Le point 3 est nettement plus ennuyeux. Dans MSO 2003, les images sauvées dans les documents MSO 2000 ne s'affichent plus correctement.
- Le point 4 est critique. Access est lourdement utilisé par des services "locaux". J'ajoute que de par mon experience personnelle, les migration de documents Access de version N à N+1 se passent TOUJOURS mal. Du moment qu'il y a quelques macros, c'est la catastrophe... J'ai en tête notamment une migration en Access 97 d'un base de données que j'avais écrit en Access 95, et lourdement basé sur du VB : Le code était inutilisable, même les CONSTANTES déclarées par MS n'étaient plus définies...
- Le point 5 va faire râler pas mal de personnes.
Alors, il faudrait arrêter de dire que la migration MS Office -> OpenOffice est difficile. Car les migrations MS Office version N -> MS Office version N+1 (logiciels du même éditeur pourtant !) ne se passent aussi mieux...
2) s'il un médecin regarde une vidéo sur son PC en même temps qu'il regarde les radios/scanner/écographies de ses patients, on peut difficilement reprocher à Vista de tuer ses patients : ce serait lui l'incompétent
L'auteur de parle pas de vidéo, mais d'audio :Considérez un
informaticien médical travaillant sur un PC d'imagerie médicale alors que de
l'audio/la vidéo est lu en arrière plan par l'ordinateur. Ce qui est indiqué ici, c'est que le fait d'écouter un CD audio DRMisé peut avoir de l'influence sur le rendu de l'écran.
Je ne connais pas ton boulot, mais cela ne t'est jamais arrivé de glisser un CD audio (légalement acheté) dans le lecteur de ton PC, afin d'écouter un peu de musique (avec un casque), histoire de couvrir le bruit de ton collègue qui fait une conférence téléphonique en mode au-parleur ?
L'utilisateur a bien le droit d'acheter une version boîte, plus chère, de Windows, et de l'installer sur les différentes machines qu'il achète. La seul contrainte pour cela, c'est qu'il supprime/désinstalle le Windows de l'ancienne machine avant de l'installer sur la nouvelle.
Edgy, tout comme Drapper d'ailleurs, a un vrai problème avec les caractères accentués dans les applications en lignes de commandes :
- par exemple éditer sous "vi" un fichier texte contenant des accents est une horreur. Copier/coller depuis, disons Firefox, un bloc de texte accentué n'est pas mieux.
- le "man" n'est par défaut pas francisé, même en installant le paquet "man-pages-fr". Pour que cela marche, il faut changer les réglages des variables LC_*, LANG*. Mais là, on se retrouvent avec des pages de "man" francisées, dont les caractères accentués sont de nouveaux folkloriques.
- la base du problème semble venir du support l'UTF-8 et du réglages des variables d'environnments LC_*, LANG*.
Sur les installations de Drapper puis de Edgy, je suis à chaque fois parti d'une configuration vierge (disque dur non formaté), mais j'ai toujours eu le même problème.
Bref, je trouve qu'il est anormal qu'une distribution de ce type n'arrive pas à être correctement configurée dès l'installation avec une configuration francisée "statndard".
En parallèle de mon upgrade Drapper->Edgy, j'ai upgradé une MDV 2005->2007. J'ai eu un seul problème de "local" similaire, que j'ai résolu en 5 minutes.
# sftp-server ?
Posté par Olivier (site web personnel) . En réponse au message Problème avec sftp chrooté. Évalué à 1.
J'ai eu un problème de ce genre avec mon propre serveur sftp.
Dans le /etc/ssh/sshd_config, tu as une ligne qui indique quelle est le path pour le programme de "sftp-server". Cela doit ressembler à cela :
Subsystem sftp /usr/lib/openssh/sftp-server
- Vérifie que ce fichier est bien présent dans le chroot lui-même (${CHROOT}/usr/lib/openssh/sftp-server)
- Vérifie que dans ton chroot, tu ais toutes les librairies nécessaires au programme "sftp-server". Utilise la commande "ldd" pour cela :
# ldd /usr/lib/openssh/sftp-server
linux-gate.so.1 => (0xffffe000)
libresolv.so.2 => /lib/tls/i686/cmov/libresolv.so.2 (0xb7f44000)
libcrypto.so.0.9.8 => /usr/lib/i686/cmov/libcrypto.so.0.9.8 (0xb7e0a000)
libutil.so.1 => /lib/tls/i686/cmov/libutil.so.1 (0xb7e06000)
libz.so.1 => /usr/lib/libz.so.1 (0xb7df2000)
libnsl.so.1 => /lib/tls/i686/cmov/libnsl.so.1 (0xb7ddc000)
libcrypt.so.1 => /lib/tls/i686/cmov/libcrypt.so.1 (0xb7dae000)
libselinux.so.1 => /lib/libselinux.so.1 (0xb7d99000)
libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0xb7d7d000)
libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0xb7d01000)
libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0xb7cdc000)
libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0xb7cd7000)
libcom_err.so.2 => /lib/libcom_err.so.2 (0xb7cd4000)
libc.so.6 => /lib/tls/i686/cmov/libc.so.6 (0xb7b9f000)
libdl.so.2 => /lib/tls/i686/cmov/libdl.so.2 (0xb7b9b000)
libsepol.so.1 => /lib/libsepol.so.1 (0xb7b5e000)
/lib/ld-linux.so.2 (0xb7f65000)
Remarque : Il faut aussi lancer la commande "ldd" sur chacune des librairies utilisées (exemple : "ldd /lib/ld-linux.so.2")
Autre astuce : utilise "strace" pour regarder quelles fichiers sont recherchés par "sftp-server" lors de son lancement. C'est long et fastidieux, mais cela marche :
- repère le PID du process sshd ( -> PID_SSHD)
- lance en temps que root : stace -t -f -e open /tmp/strace_sshd.txt -p PID_SSHD
[^] # Re: système ?
Posté par Olivier (site web personnel) . En réponse au journal BadBunny : lapin crétin ou le retour du virus d'openoffice. Évalué à 5.
La situation a pas mal évolué depuis que j'ai écris cette documentation sur Netfilter (2003) (*). Ainsi, divers solutions sont actuellement utilisables :
- http://www.nufw.org/ . C'est un peu "bourrin" pour une utilisation personnelle, mais cela permet le FW applicatif :
- Le module "owner" d'iptables permet de créer des règles sur l'utilisateur qui établie, ou qui reçoit une connexion. Ainsi, on peut interdire à un utilisateur de surfer (port 80), mais d'envoyer des "ping" (icmp).
- Autre usage du module "owner" J'ai travaillé récemment sur le problème de Wine, afin d'interdire à une application Windows tournant sous Wine de se connecter à Internet. Il suffit de créer un utilisateur particulier (par exemple "wine-user"), qui sera chargé de lancer wine et son application Windows. Puis, d'interdire, toujours avec le module "owner", cet utilisateur de se connecter à Internet. Enfin, via les commandes de partages de session X ("xhost + local:wine-user" et "export DISPLAY=:0.0"), on peut faire afficher l'application lancé par "wine-user" sur sa session principale.
- Enfin, des applications comme le "ifw" (Interactive FireWall : http://wiki.mandriva.com/en/Projects/Interactive_Firewall ) de Mandriva devrait permettre de faire du firewall applicatif.
- Etc ...
(*): J'ai pas mal de mise à jours à apporter à cette documentation, mais je manque un peu de temps pour le faire. 4 ans sans modifications, cela commence à faire beaucoup... Mais apparemment, elle est toujours pas mal lue.
# Ce n'est pas une bonne idée
Posté par Olivier (site web personnel) . En réponse au message Lancer privoxy et tor avec xinetd. Évalué à 1.
ce n'est pas une bonne idée de lancer privoxy par inetd/xinetd. En effet, pour (pratiquement) chaque page HTML ou chaque image contenu dans une page, le navigateur va lancer une connexion différente sur le port de privoxy (8118). Certes, il y a le HTTP 1.1 qui limite cet effet, mais cela ne résolu pas tout.
Donc, si tu lances Privoxy par xinetd, cela va démarrer une nouvelle session de privoxy pour chaque connexion. Cela fera tout simplement exploser la consommation mémoire de ta machine, et cela ralentira considérablement le surf. De plus, je ne pense pas que les privoxy se ferment après chaque lancement (ce qui ait le cas de ssh par exemple, lorsqu'il est lancé par xinetd).
Comme indiqué dans la doc de xinetd, certains démons sont conçus pour êtres lancés par xinetd (ssh, proftpd, ...), mais pas d'autres (apache, privoxy, ...)
Si tu es intéressé par la fonction de Xinetd de limitation de l'écoute à une interface (only_from / bind : http://olivieraj.free.fr/fr/linux/information/firewall/fw-02(...) ), il y a une option similaire dans privoxy (/etc/privoxy/config) :
listen-address 127.0.0.1:8118
[^] # Re: Le piratage, c'est m@l !
Posté par Olivier (site web personnel) . En réponse au journal Une nouvelle saison de chasse commence.... Évalué à 2.
Justement, je m'interroge à ce sujet : Est-ce que les traces d'un lecteur multimédia, d'un historique de shell ("~/.bash_history" par exemple), sont réellement des preuves ?
Si par exemple on trouve dans mon "~/.bash_history" ceci :
mplayer Pirates_des_caraibes_5.avi
est-ce que l'on peut m'accuser d'avoir visionner ce film ? Légalement, ce serait complètement ridicule, car le 5ème opus n'est pas encore sorti.
Ce que je veux dire, c'est que les historiques de navigation/utilisation/etc... ne révèlent que des noms de fichiers, et non pas des contenus. Donc ce ne sont pas, à mon sens, des preuves.
[^] # Re: Et le wifi dans tout ca ?
Posté par Olivier (site web personnel) . En réponse au journal Une nouvelle saison de chasse commence.... Évalué à 2.
Sous Windows, je ne suis pas sûr que de laisser actif le uPNP du routeur soit une bonne idée.
En effet, souvent le uPNP des routeurs n'est pas protégé par un mot de passe (ou alors il est vide), ce qui peut permettre à un vilain virus/vers de s'ouvrir bien tranquillement un trou dans le routeur, afin d'être joignable depuis l'exterieur.
D'un autre coté, la plupart des virus/vers qui transforment les Windows en bots sont pilotés à distance via une connexion IRC ou autre, ce qui ne nécessite plus d'ouvrir un port sur la machine.
[^] # Re: Moyen de défense ???
Posté par Olivier (site web personnel) . En réponse au journal Une nouvelle saison de chasse commence.... Évalué à 2.
- Prouver avec des logs de connexion que sa machine n'était pas allumé ce jour-là ?
- Demander les rapports d'infraction, et faire constater que le soft qui a téléchargé était un soft Windows, alors que l'on ne possède que des machines sous Linux ?
- Demander le fingerprint de la machine qui fournit le fichier ? Si celle-ci n'est pas celle d'un routeur/firewall mais bien celle du PC qui faisait tourner le soft de P2P, on peut prouver que la machine était un Windows, et non un Linux.
Remarque: Dans ton journal, tu parlais d'IPv6. Mais je ne pense pas que ce soit une bonne solution. En effet, comme l'adresse IPv6 est constituée de l'adresse MAC de la machine ( http://livre.point6.net/index.php/R%C3%A9seaux_%C3%A0_diffus(...) ), si c'est l'adresse IPv6 qui est traqué, il sera plus difficile de prouver son innocence. A moins de changer son adresse MAC lorsque l'on se connecte.
Pareil...
[^] # Re: Et le wifi dans tout ca ?
Posté par Olivier (site web personnel) . En réponse au journal Une nouvelle saison de chasse commence.... Évalué à 1.
Pour les réseaux wifi de tes voisins, la méthode du port forwarding est effectivement ce qu'il faut mettre en place.
Dans le cas où tu utilises le wifi de ton voisin pour faire du emule, il faut donc que tu configures son routeur. Cela se fait généralement via une interface web, protégé par un login/mot de passe. Mais bon nombre d'utilisateur ne changent pas le mot de passe par défaut, il est donc facile de configurer ce routeur.
Une fois cette modification effectuée, alors oui tu pourras utiliser ton emule en passant par son wifi. Et en cas de relevé d'infraction par le contenu de ce que tu télécharges, c'est lui qui sera accusé.
Quand au risque qu'il encoure :
- il doit prouver sa bonne fois, ce qui n'est pas toujours évident. Il peut argumenter qu'il s'est fait "détourner" sa connexion wifi, mais encore faut il qu'il le prouve.
- dans le cas où lui utilise ou a utilisé des softs de P2P, même pour un usage tout ce qu'il y a de plus légal, il lui sera d'autant plus difficile à prouver sa bonne fois. Donc on dira qu'il "payera" pour le contenu que tu auras téléchargé.
- enfin, on peut l'accuser de négligence, volontaire ou non, à laisser un réseau plus ou moins "ouvert". Mais si ce genre d'accusation est pris en compte, c'est bon nombre, voir la plupart, des utilisateurs d'ADSL qu'il faudrait reprendre.
Ma conclusion, c'est que l'usage du wifi, spécialement dans les zone à forte densité de population, est très risqué. Le cryptage par WEP ou le filtrage par adresse MAC est complètement insuffisant, et ce sont malheureusement les seules solutions apportées par un certain nombre de FAI. Seul le cryptage par WPA2 est efficace, et encore faut'il avait utilisé un mot de passe "fort". Bref, "use the cable, Luke"...
# Autre solution MUTE 0.5.1
Posté par Olivier (site web personnel) . En réponse au journal Une nouvelle saison de chasse commence.... Évalué à 3.
Pour faire simple, il n'y a pas de connexion directe entre les machines qui possèdent les données, et celles qui veulent les récupérer. La connexion passe entre les autres machines du réseaux, qui servent donc d'intermédiaires.
Le débit en download est forcément plus faible que pour des solutions de type edonkey/emule, car une partie de la bande passante en upload sert à "masquer" les connexions des autres utilisateurs. Mais l'anonymat est préservé.
Enfin, contrairement à Freenet, les disques durs des membres du réseau ne servent pas à stocker du contenu inconnu. Seul la connexion réseau peut recevoir/émettre du contenu non vu ou non voulu par l'utilisateur.
[^] # Re: Nucleaire...
Posté par Olivier (site web personnel) . En réponse au journal Où partir ?. Évalué à 6.
Désolé de te faire déchanter, mais la production, le stockage et l'exploitation de l'hydrogène en temps que carburant est loin, très loin d'être rentable.
Production :
- 2 electrodes, un peu d'eau, et on produit de l'hydrogène grâce à la réaction chimique ;
eau -> hydrogène + oxygene. C'est l'hydrolyse de l'eau. Certes, ca marche. Mais en terme de rendement energiétique, ce n'est pas terrible. Dans ton modèle, l'énergie éléctrique est produite "gratuitement" par le vent, donc à la rigueur, ce n'est pas très grave d'avoir un rendement moyen.
Transport :
Le transport de l'hydrogène peut se faire dans un "bête" reservoir étanche, comme n'importe quel gaz. Oui, mais : C'est un gaz très léger, donc si on veut en transporter une quantité satisfaisante, il faut beaucoup le compresser. Il faut alors utiliser des bouteilles très résistantes mécaniquement, donc forcement très lourdes. De plus, l'hydrogène est un atome très petit (avec ses isotopes, c'est le plus petit connu à l'état natuel), donc il a tendance à fuire à travers les parois de ses containers.
Pour le stocker en encore plus grand quantité, on peut le cryogéniser (le rendre très froid), et il va alors passer à l'état liquide. C'est sous cette forme que les véhicules spaciaux les utilisent. Mais dans ce cas, leur transport est beaucoup plus compliqué, et couteux, notamment en terme terme de poid et de prix.
Utilisation :
L'hydrogène peut s'utiliser de plusieurs manières :
- explosion : hydrogene + oxygène -> eau + énergie thermique. Mais le rendement est faibe, et comme pour les moteurs thermiques (voitures), il y a toujours le problème de la conversion d'énergie de type "explosive" en mouvement de rotation (pour les roues d'une voiture, ou un alternateur electrique).
- pile à combustible : pour faire simple, l'hydrogène est utilisé pour fabriqué de l'énergie électrique, par utilisation de sa différence de potentiel par rapport à un autre élement chimique (du platine par exemple). Très grossièrement, c'est un peu le principe d'une batterie de voiture. Mais la encore, les rendements sont faibles.
Sans prendre en compte le problème du stockage de l'hydrogène (qui introduit des pertes supplémentaires), on (pas moi, mais les chercheurs qui bossent sur le sujet) estime que l'on a un rendement de :
- 1/2 pour la conversion eau -> hydrogène
- 1/2 pour la conversion hydrogène -> energie élétrique
Donc si on utilise une quantité électrique de 100 unité lors de l'hydrolyse de l'eau (le processus au début de la chaîne), on obtiendra 25 unité d'énergie au final. Bref, un rendement de 1/4.
Ce type de rendement est donc très modeste. C'est utilisable pour des cas précis (un site isolé par exemple), mais pas à l'échelle industriel.
[^] # Re: la commande qui va bien
Posté par Olivier (site web personnel) . En réponse au journal Violences policières à Mont Saint-Aignan. Évalué à 1.
[^] # Re: la commande qui va bien
Posté par Olivier (site web personnel) . En réponse au journal Violences policières à Mont Saint-Aignan. Évalué à 0.
Avec l'option "-dumpstream", mplayer affiche un message qui ne manque pas d'humour :
Everything done. Thank you for downloading a media file containing proprietary and patented technology.
!!
Ahhh, si seulement cela avait été du Theora+vorbis...
# Version récente de SQUID ?
Posté par Olivier (site web personnel) . En réponse au message Problème squid transparent. Évalué à 2.
d'après http://www.deckle.co.za/squid-users-guide/Transparent_Cachin(...) , les options que tu indiques sont valables pour les anciennes versions de SQUID. A partir du 2.6, il faut utiliser à la place:
http_port 192.168.6.xxx:3128 transparent
Cordialement,
[^] # Re: Hum
Posté par Olivier (site web personnel) . En réponse à la dépêche Linux n'est pas Windows. Évalué à 3.
Car évidement, les fournisseurs de materiels sont parfaitement exemplaires quand à la fourniture de leurs drivers, n'est-ce pas ?
J'ai souvenir de l'installation d' un graveur de CD IOMEGA sur port USB chez une amie. Elle avait fait le téléchargement sur le site FR de IOMEGA, mis à jours son Windows, etc, mais rien n'y faisait, le périphérique ne marchait pas. J'ai débloqué la situtation, en allant télécharger le dit driver sur le site américain, qui était plus à jours. Car oui, elle "pauvre ignorante" de Windowsienne, elle ne savait pas qu'il était "évident" qu'il fallait toujours récupérer les drivers sur les sites nord-américains... (humour, bien sûr).
Comme quoi, même en suivant la procédure que tu donnes, cela ne marche pas forcément...
Je pense d'ailleurs qu'à la lecure de ton message, tu ne t'es jamais retrouvé devant une machine sous Windows quelque peu récalcitante. Crois-moi, j'ai connu des situations ou le simple "clic-next-clic-next" ne marchait pas, et qu'il fallait faire méchament chauffer les neuronnes, la base de registre, et la ligne de commande, afin de débloquer la sitation.
Si tu ne me crois pas, va faire un peu un tour sur des forums où des Windowsiens demandent de l'aide. Tu y liras quelques solutions techniques pas des plus simples...
# Test sur MDV2007
Posté par Olivier (site web personnel) . En réponse au journal Linux : NTFS ready !. Évalué à 2.
j'ai testé NTFS-3G sur une MDV 2007. Le test a été assez rapide, je n'ai pas cherché à tout optimiser.
Les paquets par défaut de cette distribution ne proposant pas une version récente de NTFS-3G, je l'ai compilé à la main dans le /usr/local/. Il a fallut aussi compiler une version récente de fuse, (la MDV 2007 ne propose qu'une version trop ancienne), mais honnêtement, il n'y avait rien d'insurmontable. Si nécessaire, je peux poster ici les commandes à taper.
Au montage d'une partition ntfs, NTFS-3G me dis que la version de NTFS-3G que j'ai en module kernel est trop vielle (normal...), et donc qu'il faudra que je démonte moi-même les partitions NTFS. Pas bien grave, je n'avais qu'à compiler aussi le module en question.
Durant la compilation, j'avais à priori négliger les warnings à propos du support des fichiers de plus de 4Go (image ISO de DVD). Bref, je n'ai pas pu créer de fichiers de plus de 4Go. Ce n'est pas trop grave, il faudra que je recompile NTFS-3G.
Hormis cela, j'ai transféré tout un tas de fichiers (quelques Ko à quelques Go) entre ma machine et un disque externe de 80Go en NTFS (le disque a été rempli). Aucun problème à signaler. J'ai fais un "diff" entre les fichiers de mon disque dur et ceux du disque NTFS, tout était identique. Le dit disque a été lu depuis un autre PC sous XP, et cela s'est très bien passé.
Coté performances, j'avais un débit de 10-12Mo/s en lecture/écriture. A priori, c'est lié aux limitations de vitesse de mon port USB (lorsque le disque était en ext2, les débits étaient similaires).
Le seul point négatif de NTFS-3G, c'est effectivement une assez forte charge CPU lors de son utilisation, et spécialement pour des I/O. Sur ma machine bi-pro (2x2200Mhz), je n'ai cependant pas ressenti de ralentissement sensibles.
# Probleme de foward
Posté par Olivier (site web personnel) . En réponse au message Redirection de ports (iptables, arno-iptables-firewall). Évalué à 1.
dans tes 2 premières règles de pre/post routing, tu n'as pas indiqué les règles de FORWARD : Je te conseille de lire ceci : http://olivieraj.free.fr/fr/linux/information/firewall/fw-03(...) (c'est une doc sur Netfilter que j'ai écrit).
De même, pour les règles situées après la section "De la même façon, pour une plage de ports :", je n'en vois pas du tout l'intérêt. C'est même particulièrement dangereux, car (si tu configure les règles de forward associées), tu vas re-diriger tout le flux rentrant vers une seule et même machine de ton LAN (les autres machines vont râler...).
Enfin, est-ce que tu as pensé à utiliser le
echo 1 > /proc/sys/net/ipv4/ip_forward
?
[^] # Re: Regarde chez Olitec
Posté par Olivier (site web personnel) . En réponse au message Recherche dongle USB Wifi. Évalué à 1.
effectivement, sourceforge redirige http://zd1211.ath.cx/ , et j'ai retrouvé quelques lignes à propos de zd1211rw dans les changlog du kernel
http://zd1211.ath.cx/#Hardwaresupported donne la liste des matériels supportés.
Merci pour l'info, il ne me reste plus qu'à choisir entre ra2500 et zd1211
[^] # Re: Recherche dongle USB Wifi
Posté par Olivier (site web personnel) . En réponse au message Recherche dongle USB Wifi. Évalué à 1.
J'ai recherché hier les périphériques basés sur le rtl2500 + USB, et j'ai trouvé les produits suivants :
+ Asus WL-167g USB2.0
http://www.clubic.com/shopping-91746-0-asus-wl-167g-usb2-0.h(...)
http://www.achetezfacile.com/asus-wl-167g-usb2-0-comparer-le(...)
+ Conceptronic C54RU 54 Mbps
http://www.rueducommerce.fr/Peripheriques-Reseaux-wifi/Adapt(...)
http://www.grosbill.com/index.php3?id=43836&site=amc
+ Gigabyte GN-WBKG - Adaptateur WiFi USB (54 Mbps)
64/128 bit WEP, WPA, 802.1x, AES !!!
http://www.bestofmicro.com/shopping/cartes-reseaux-c14/Gigab(...)
+ Hercules HWGUSB2-54
http://www.i-comparateur.com/acheter-x10p0019888.htm
http://www.clubic.com/shopping-101914-0-hercules-cle-usb-2-0(...)
+ OvisLink clef USB 802.11g (Evo-W54USB)
http://www.i-comparateur.com/acheter-x10p0020522.htm
http://www.rue-montgallet.com/prix/75012/acheter/24378/Ovisl(...)
Merci pour l'info !
[^] # Re: Complément d'information
Posté par Olivier (site web personnel) . En réponse au journal NTFS-3G en RC1. Évalué à 5.
- Prendre un disque dur formaté en NTFS et contenant un Windows NT4 bootable (si si, ca existe encore !)
- Le mettre, en temps que 2nd disque, sur une machine qui tourne XP
- Booter la machine XP, et l'arrêter
- Remettre le disque NT dans sa machine d'origine
- La machine NT ne redémarre plus...
Pourquoi ? Entre NT4 et et 2K/XP, le format de NTFS a changé. Et la première chose que fait XP lorsqu'il voit une "ancienne" partition NTFS, c'est de la convertir dans le nouveau format. Et tant pis si Windows NT4 ne marche plus dessus. Evidement, aucun message d'avertissement de la part de Windows XP, et c'est à l'utilisateur de se débrouiller tout seul...
Expérience vécu sur une machine de production. Autant dire que c'est assez pénible...
[^] # Re: Mouahahaha
Posté par Olivier (site web personnel) . En réponse au journal Réponse du gvt concernant le LL pour l'éducnat. Évalué à 10.
Je bosse pour une boîte internationnale (~15.000 employés), qui utilise presque exclusivement du Microsoft. Voici une partie d'un mail envoyé par le service informatique, à propos de la migration Office 2000 -> Office 2003 (désolé, c'est en anglais) :
The upgrade will include the following changes:
1. The loss of the MS Office Shortcut Bar, which is no longer supported by Microsoft in Office 2003.
2. The potential loss of customized application toolbars (buttons), which may have been created in MS Office applications.
3. Files created in legacy versions of MS Office (Office 2000 or earlier) may not display images correctly in Office 2003.
4. File incompatibility with legacy Access databases and Access 2003.
5. File incompatibility with Visio 2003 drawings and legacy Visio 2002 users.
- Les points 1 et 2, ne sont pas les plus importants.
- Le point 3 est nettement plus ennuyeux. Dans MSO 2003, les images sauvées dans les documents MSO 2000 ne s'affichent plus correctement.
- Le point 4 est critique. Access est lourdement utilisé par des services "locaux". J'ajoute que de par mon experience personnelle, les migration de documents Access de version N à N+1 se passent TOUJOURS mal. Du moment qu'il y a quelques macros, c'est la catastrophe... J'ai en tête notamment une migration en Access 97 d'un base de données que j'avais écrit en Access 95, et lourdement basé sur du VB : Le code était inutilisable, même les CONSTANTES déclarées par MS n'étaient plus définies...
- Le point 5 va faire râler pas mal de personnes.
Alors, il faudrait arrêter de dire que la migration MS Office -> OpenOffice est difficile. Car les migrations MS Office version N -> MS Office version N+1 (logiciels du même éditeur pourtant !) ne se passent aussi mieux...
[^] # Re: Ceci est une pub
Posté par Olivier (site web personnel) . En réponse à la dépêche Résultats du concours LinuxFr « Lettre au Père Noël ». Évalué à 3.
Ils font tous sourir, et certains sont tellements vrais...
Mais pas question de dire lesquels, sinon ce serait troller... ;)
[^] # Re: Ah bon ?
Posté par Olivier (site web personnel) . En réponse au journal Analyse du coût de la protection de contenu de Windows Vista. Évalué à 3.
L'auteur de parle pas de vidéo, mais d'audio :Considérez un
informaticien médical travaillant sur un PC d'imagerie médicale alors que de
l'audio/la vidéo est lu en arrière plan par l'ordinateur. Ce qui est indiqué ici, c'est que le fait d'écouter un CD audio DRMisé peut avoir de l'influence sur le rendu de l'écran.
Je ne connais pas ton boulot, mais cela ne t'est jamais arrivé de glisser un CD audio (légalement acheté) dans le lecteur de ton PC, afin d'écouter un peu de musique (avec un casque), histoire de couvrir le bruit de ton collègue qui fait une conférence téléphonique en mode au-parleur ?
[^] # Re: Moralité
Posté par Olivier (site web personnel) . En réponse au journal ça y est. Évalué à 3.
C'est le Foch qui a été vendu au Brésil : http://fr.wikipedia.org/wiki/Porte-avions_Foch . Le Clemenceau est rade de Brest, en attendant son démentellement.
[^] # Re: Je peux me tromper....
Posté par Olivier (site web personnel) . En réponse à la dépêche L'UFC Que Choisir contre la vente liée. Évalué à 1.
# Support des caractères accentués
Posté par Olivier (site web personnel) . En réponse au journal Test Ubuntu Edgy 6.10. Évalué à 4.
- par exemple éditer sous "vi" un fichier texte contenant des accents est une horreur. Copier/coller depuis, disons Firefox, un bloc de texte accentué n'est pas mieux.
- le "man" n'est par défaut pas francisé, même en installant le paquet "man-pages-fr". Pour que cela marche, il faut changer les réglages des variables LC_*, LANG*. Mais là, on se retrouvent avec des pages de "man" francisées, dont les caractères accentués sont de nouveaux folkloriques.
- la base du problème semble venir du support l'UTF-8 et du réglages des variables d'environnments LC_*, LANG*.
Sur les installations de Drapper puis de Edgy, je suis à chaque fois parti d'une configuration vierge (disque dur non formaté), mais j'ai toujours eu le même problème.
Les différentes solutions que j'ai testé https://launchpad.net/distros/ubuntu/+bug/69896 , http://forum.ubuntu-fr.org/viewtopic.php?id=73515 , http://forum.ubuntu-fr.org/viewtopic.php?id=6446 , ... ne donnent aucun résultats probants.
Bref, je trouve qu'il est anormal qu'une distribution de ce type n'arrive pas à être correctement configurée dès l'installation avec une configuration francisée "statndard".
En parallèle de mon upgrade Drapper->Edgy, j'ai upgradé une MDV 2005->2007. J'ai eu un seul problème de "local" similaire, que j'ai résolu en 5 minutes.
# YAGIL
Posté par Olivier (site web personnel) . En réponse au journal Le guide du routard Linux. Évalué à 3.