Marc Quinton a écrit 1552 commentaires

tu pourrais regarder la référence technique sur la batterie ; par exemple, pour le modèle LDLC suivant : https://www.batteriedeportable.com/batterie/ordinateur-portable/ldlc/aurore/aurore-si3.html, la référence est : 6-87-W650S-4D7A4

si je recherche cette même référence sur le net, je vois que Clevo fait les mêmes batteries. On peut voir aussi une grande quantité de batteries disponibles en vente sur le google-store. En cherchant "W650S", on les trouve aussi sur Aliexpress.

voici ce qu'on m'a remonté : le script python fait appel à un provider de service tiers (interact.sh) ; il ne semble pas très sérieux d'envoyer des données d'une entreprise sur ce service tiers.

Si on ne choisi pas le site ci-dessus, c'est un service chinois :-)

j'en quelques tentatives sur mes serveurs ; je ne crois pas que ce soit ciblé. Je présente de nombreux services sur la même adresse IP et le serveur Apache fait l'aiguillage des requêtes. Je retrouve sur un fichier de log spécifique, les requêtes qui ne sont pas adressées au bon service ou via l'IP. C'est ce qui me fait dire que c'est non ciblé. J'ai aussi des requêtes provenant d'un SSO Keycloak dont l'origine est une redirection Wordpress.

Dans les logs, j'ai aussi une trace d'une entité qui me semble pas malveillante, et qui laisse cette signature : "Kryptos Logic Telltale" ; c'est une société de sécurité informatique.

Toujours est-il qu'il est grand temps d'agir.

utilitaire de scan de vulnérabilités basé sur python : https://github.com/fullhunt/log4j-scan
- est-ce qu'on peut considérer qu'il est sain et sincère ? le lancer sur un site perso ou pro dont on a la charge sans certitude de ne pas être compromis, c'est prendre un risque.

c'est ici, et basé sur egrep : https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

zut, tu as 5 jours d'ancienneté de plus ; je suis amèrement vexé ! de quoi j'ai l'air maintenant vis-a-vis de mes enfants et des mes collègues de travail ! je suis totalement défait !

il y a un site pour déclarer des BUGs : https://dev.freebox.fr/bugs/ ; c'est plutot orienté Freebox ; je ne sais pas si on peut placer des bugs liés à leur backoffice.

on peut aussi prendre contact avec les communautés Free : Freenews, Univers-Freebox.

pour la latence CPU, tu peux regarder ce script : https://github.com/tanelpoder/0xtools/blob/master/bin/schedlat
- le paramètre passé est le PID du process à surveiller (process java dans ce cas).

encore une:

root@jules:~# apt install facter
root@jules:~# facter 2> /dev/null | grep virtual
is_virtual => true
virtual => kvm

encore plusieurs méthodes ici : https://ostechnix.com/check-linux-system-physical-virtual-machine/

merci pour les infos ; voici ce que j'obtiens avec cette commande sur une VM proxmox / KVM :

    admin@jules:~$ sudo dmesg | egrep -i 'qemu|kvm|vmware'
    [    0.000000] DMI: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.14.0-0-g155821a1990b-prebuilt.qemu.org 04/01/2014
    [    0.000000] Hypervisor detected: KVM
    [    0.000000] kvm-clock: Using msrs 4b564d01 and 4b564d00
    [    0.000000] kvm-clock: cpu 0, msr 12c7ec001, primary cpu clock
    [    0.000000] kvm-clock: using sched offset of 10656206371 cycles
    [    0.000007] clocksource: kvm-clock: mask: 0xffffffffffffffff max_cycles: 0x1cd42e4dffb, max_idle_ns: 881590591483 ns
    [    0.270108] Booting paravirtualized kernel on KVM
    [    0.370650] KVM setup async PF for cpu 0
    [    0.370655] kvm-stealtime: cpu 0, msr 13ba161c0
    [    0.932226] smpboot: CPU0: Intel Common KVM processor (family: 0xf, model: 0x6, stepping: 0x1)
    [    0.153956] kvm-clock: cpu 1, msr 12c7ec041, secondary cpu clock
    [    0.953946] KVM setup async PF for cpu 1
    [    0.955889] kvm-stealtime: cpu 1, msr 13ba961c0
    [    0.153956] kvm-clock: cpu 2, msr 12c7ec081, secondary cpu clock
    [    0.972054] KVM setup async PF for cpu 2
    ....
    [    3.455109] usb 1-1: Product: QEMU USB Tablet
    [    3.456010] usb 1-1: Manufacturer: QEMU
    [    3.478932] input: QEMU QEMU USB Tablet as /devices/pci0000:00/0000:00:01.2/usb1/1-1/1-1:1.0/0003:0627:0001.0001/input/input4
    [    3.481293] hid-generic 0003:0627:0001.0001: input,hidraw0: USB HID v0.01 Mouse [QEMU QEMU USB Tablet] on usb-0000:00:01.2-1/input0
    [    3.860152] systemd[1]: Detected virtualization kvm.

par ailleurs, nous avons l'habitude d'installer un client guest-agent qui permet d'entrer en communication avec l'hyperviseur. Je ne sais pa s'il y a un lien avec le module ci-dessous.

    admin@jules:~$ lsmod | egrep -i 'qemu|kvm|vmware'
    qemu_fw_cfg            16384  0

on voit aussi qq infos avec dmidecode:

    root@jules:~# dmidecode | egrep -i 'qemu|kvm|vmware'
        Version: rel-1.14.0-0-g155821a1990b-prebuilt.qemu.org
        Manufacturer: QEMU
        Manufacturer: QEMU
        Manufacturer: QEMU
        Manufacturer: QEMU

il semble plus d'avoir des infos avec une pseudo VM qui est basé sur LXC ; je peux le cas échéant donner des pistes.

un autre lien sur le sujet:
- https://qastack.fr/unix/89714/easy-way-to-determine-virtualization-technology

    root@jules:~# dmidecode -s system-product-name
    Standard PC (i440FX + PIIX, 1996)
    root@jules:~# systemd-detect-virt
    kvm

• sur notre infra Proxmox, nous avons possibilité de faire du ballooning, ce qui permet d'avoir une mémoire paramétrable avec un seuil bas et haut.
• tu as l'air d'indiquer que sans relancer la VM, mais juste le serveur ça permet de restituer les perfs nominales
• il n'est pas exclu que le ballooning, s'il y a ait aussi un impact sur le swapping de la VM
• par ailleurs, il est possible sur Proxmox d'allouer des unités d’exécution CPU ; en d'autres terme de gérer un niveau de priorité pour la VM
• tous ces éléments sont potentiellement transposables sur un autre environnement de virtualisation.

Concernant les devices visibles sur Linux, parfois, on peut voir quand ils sont spécifiques à un hyperviseur donné. A voir si on saurait le détecter.

Sinon, comme dans bcp d'entreprises, tu bénéficies de VM dans un mode contraint plutôt qu'en self-service ; c'est un lieu commun. Pour ce qui nous concerne, j'ai essayé d'avoir le plus de transparence possible en documentant nos services sur un Wiki accessibles à tous (ou presque).

il est possible que le service d'infrastructure qui héberge tes VM ait des soucis et que tu ne soit pas en mesure de les identifier.

Pour ma part, je co-exploite une PF Proxmox, et suivant la conf des noeuds de virtualisation (swappiness) certaines VM peuvent être forcées de swapper sur le serveur sans que tu ai le moyen de le savoir coté VM.

si tu peux installer un peu de monitoring et faire des mesures :
- ping localhost
- latence CPU (je ne sais pas bien comment) ; peut-etre dans une boucle : sleep 1s ; et lire l'heure et voir s'il y a un décalage entre ce que devrait être l'heure et ce qui est lu ; ne pas hésiter a placer le process en priorité basse
- ping sur la route par défaut

grapher le tout sur un dashboard type influxdb + chronograf ou ce qui t'arranges le mieux ; tu pourras avoir des billes pour de la négo auprès des admins.

circulez, y'a rien à voir.

parfois, la communication chez certains grands comptes laisse à désirer.

quid de TOTP, FIDO, WebAuthn ?

bonjour et merci pour cet excellent article. Pour ma part, je serai intéressé par une version Web ayant des fonctionnalités plus ou moins équivalentes. J'ai trouvé Photoprism. Très intéressé pour l'expérimenter sur mon (gros) NAS.

c'est ce que j'ai fait sur un NAS HP micro-qq-chose. Les disques sont vus pas l'OS ; j'ai partitionné les disques en 2 et créé 2 volumes avec BTRFS :
- un volume avec redondance, petite capacité (=~ 1To),
- un volume avec agrégation de l'espace disque de plus grande capacité et moins forte résilience.

ce serait bien d'avoir un bouton de notification par mail, parce que je crains que Karamoko jamais ne revienne sur le site, dans la mesure ou le compte a été créé hier.

Soit un bouton, soit un mécanisme de commentaire de type @pseudo: coucou, y'a une réponse qui t'attend sur linuxFR.org.

concernant YGRC, et après avoir été en contact avec la société, et cela ne compromet aucunement la qualité de la prestation, il semble que le logiciel YGRC soit en accès "closed-source" ; le code source, que je présume écrit en PHP n'est disponible que sur demande. Je ne peux pas préciser si c'est après avoir souscrit à un contrat. Il semble que les collectivités locales s'orientent généralement vers une prestation d'hébergement (SAAS) ce qui ne nécessite pas l'accès au code source.

Cependant, cela contrevient avec la mention trouvée sur le site Internet :

Notre solution YGRC est le 1ER logiciel libre européen (sous licence GNU GPL). Il est spécialement adapté aux problématiques des administrations et des collectivités locales.

Entrouvert est une société coopérative qui publie en open-source des solutions de gestion de la relation avec le Citoyen (GRC, GRU) en particulier avec l'application Publik. La cible est principalement les collectivités locales et en particulier les mairies.

Le concurrent réputé avoir une solution Open-source est YPOC avec la solution de portail citoyen YGRC. Malheureusement, le code source ne semble pas accessible spontanément.

Un mécanisme d'authentification via France-Connect est disponible sur Publik et en développement sur YGRC. Concernant les modalités d'hébergement je n'ai pas d'infos, mais le sujet m'intéresse en particulier pour ma commune.

En terme de service, il me semble que ca ressemble à un GLPI ou Redmine en plus joli, avec un service de paiement en ligne.

quel modèle d'ordi ?

pour compléter, la notion de satellite sur XL* est implémenté dans les gitlab-runner sur Gitlab.

• url : https://www.taiga.io/
• existe en version hébergé sur infra ; ca ne saute pas aux yeux sur le site
• s'appuie sur la méthode agile Scrum, mais il y a aussi les kanbans
• une version dockerisée est dispo.

pas de réponse chez Hellobank concernant ce sujet.

• FIDO
• une des variantes OTP ?

ca marche très bien sur les sites de crypto, je ne comprends pas bien pourquoi on ne le fait pas sur les sites des banques en ligne. Boursorama semble avoir une double authentification FIDO2, mais qui ne fonctionne pas sur ma conf Linux actuelle.

Est-ce que les applis spécifiques aux banques apportent plus de sécurité que les standards actuel (OTP, FIDO) ? ou alors des services plus complets ? Ne peut-on pas dissocié l'application et la méthode d'authentification sécurisée ?