phoenix a écrit 808 commentaires

A priori j'ai l'impression que Up squarede pourrait aller mais ne sortirai qu'en septembre. Qu'en penses vous ?

Merci de vos réponses je vais étudier chacune des solutions proposées.

Utilise un gestionnaire de mot de passe comme https://passprotect.shadoware.org les mots de passes y sont chiffrés avec la clé maitre, et aucun moyen pour le serveur de les connaitre.

De plus tu peux te faire ton propre serveur c'est un logiciel libre : https://github.com/phoenix741/passprotect-server

Bon bien sur je prêche ma paroisse.

Sur les deux serveurs. Le client était client mais n'utilisait pas encore les données.

Toutes les semaines je lance le script suivant. Il apprend des mails classés (spam et ham) par contre je n'apprend pas des mails qui sont dans la boite de réception (non classé) pour éviter d'apprendre du SPAM en tant que HAM.

#!/bin/sh

MAILDIR=/data/vmail
SADIR=/var/lib/amavis/.spamassassin
DBPATH=/var/lib/amavis/.spamassassin/bayes

for domain in `ls $MAILDIR` ; do 
    echo "Domain: $domain"
    for user in `ls $MAILDIR/$domain` ; do 
        echo "  User: $user"
        ls -a $MAILDIR/$domain/$user/ | grep -e "^\.[^\.]" | grep -v "Junk" | grep -v "Sent" | grep -v "Trash" | grep -v "Drafts" | grep -v "Corbeille" | grep -v "Brouillons" | while read box ; do
            echo "    Box: $box"
            nice sa-learn --ham --showdots --dbpath $DBPATH "$MAILDIR/$domain/$user/$box/cur"
        done
        ls -a $MAILDIR/$domain/$user/ | grep "Junk" | grep -e "^\.[^\.]" | while read box ; do
            echo "    Spam Box: $box"
            nice sa-learn --spam --showdots --dbpath $DBPATH "$MAILDIR/$domain/$user/$box/cur"
        done
    done
done

chown -R amavis:amavis $SADIR
chmod -R 0755 $SADIR

exit 0

J'en ai quelqu'un une fois de temps en temps, mais globalement je trouve cela acceptable pour moi. Et surtout ca m'évite d'être polluer par des mails que je ne souhaite pas.

Perso j'utilise spamassassin qui marche très bien.

Par contre, pour éviter le spam j'ai décidé de monter fortement la confiance que j'ai au filtre baysien de spamassassin quand celui-ci atteind 99% :

score BAYES_99 8.000

Je viens de mettre à jour https://passprotect.shadoware.org avec un chiffrage pour chaque clé. De plus je chiffre maintenant coté client, et non plus coté serveur.

Par contre j'utilise le serveur pour stocker les données.

Pour moi, et mon utilisation personnelle, le fait de stocké les valeurs S, T, et C coté client est un risque en cas de cache navigateur vidé. Et le fait de pouvoir en faire une sauvegarde par QR code, ou fichier texte est intéressant mais trop compliqué pour l'utilisation que j'ai envie d'en faire.

Bonjour,

Je suis en train de retravailler sur la partie crypto avec les informations que vous m'avez données.

Je me pose quelques questions :

• sur la partie authentification de l'utilisateur, si je veux faire de la crypto coté client, il est raisonnable d'envoyer les informations S, T, et C que je possède à l'utilisateur authentifié ? Est-ce que j'ai un autre choix ?

• sur la partie session : si les opérations se font côtés serveur, je dois maintenir un certain temps les informations me permettant de déchiffrer les messages dans la session. Je peux garder soit le mot de passe de l'utilisateur, soit la clé de chiffrement K. Quel est la meilleur solution ?
  Actuellement je chiffre à l'aide d'une clé de session propre à l'utilisateur un token JWT contenant la clé maître (K).

Merci

• aWallet: Un outil pour android que j'utilise actuellement (sans la partie synchro). Même si l'utilise jusqu'à présent régulièrement, le logiciel ne me convient pas. Il est propriétaire. Je n'ai pas confiance dans la synchro cloud. Je ne peux pas l'héberger moi même.
• LastPass: propriétaire, trop compliqué,
• KeePass: Client lourd, je souhaite d'abord un client léger avec potentiellement un futur client lourd sur android, et une extension chrome.
• Encryptr: Libre :) Belle interface :) Mais basée sur un serveur crypton distant. J'aurais bien sûr pu forker le projet et le faire pointer sur un de mes serveurs, installé manuellement.

Ensuite j'avais envie de le développer moi-même.

J'ai l'intention de développer une application android, voir une extension chrome.

Par contre le choix de faire le chiffrage coté serveur a été fait pour des raisons de performances (peut-être mauvaise). Par contre, pour le faire coté client je me pose la question de la fiabilité de librairies cryptographique écris en pure Javascript (https://github.com/crypto-browserify/crypto-browserify).

Je souhaite que mon application puisse aussi fonctionner sans devoir installer quoique ce soit sur le poste client.

Pas de soucis pour faire des rapports de bug.

Je ne suis malheureusement pas cryptolog.

De ce que je comprend l'un des problèmes est que je me sert de la clé maître pour chiffrer tout les mots de passes. Si chaque mots de passe à sa clé et son IV, je ne vais pas stocker en claire ces derniers. Il faut donc que je l'ai chiffre à leur tour. Et si je les chiffres avec la clé maître, je retombe sur le même problème.

Du coup comment faire ?

La clé maitre est quant à elle chiffrer en effet avec le mot de passe. Du coup que proposes-tu ? Chiffrer la clé maitre avec un hash du mot de passe ?

La lib crypto de nodejs coté serveur est basé sur openssl.

Par contre, si je ne me trompe, la lib crypto utilisable coté navigateur et une réécriture en full-javascript.

Je viens de faire un simple benchmark (sur mon PC i7 à 3.60GHz) :

Pour effectuer un chiffrement d'une chaîne de caractère depuis nodejs avec la lib crypto il faut 0,13896 ms

Le même benchmark depuis le navigateur me donne 5.685ms, soit 40x plus lent.

Bon 5ms pour une opération c'est raisonnable sur un navigateur. Il faudrait que je fasse le même test navigateur sur un navigateur mobile d'un mobile bas de gamme.

Par rapport à la question des performances, la librairies crypto de nodejs est écris en C si je ne me trompe.

Si le chiffrement et déchiffrement est fait coté navigateur, la librairies devra être écrite en JavaScript. Ce qui risque d'être beaucoup moins performant. J'avoue je n'ai pas fais de test de performance. Mon téléphone étant un haut de gamme, il est très puissant, et mon PC étant lui aussi relativement puissant. Je me suis dit que hébergé chez moi cela ne posera pas de problème.

De plus pour le coté besoin d'un serveur WEB, actuellement l'application ne gère pas de mode offline (C'est une web application / single page app). Elle pourrait gérer le mode offline, mais actuellement même si le chiffrement/déchiffrement était fait coté client, l'application aurait tout de même besoin de télécharger les éléments du serveur.

Par contre je compte écrire une application android qui se synchroniserai avec le serveur et permettrai de sauvegarder les mots de passe offline. Sur cette application je pourrais envisager de faire le chiffrage coté application.

Mon but est de pouvoir regarder mes mots de passes de n'importe où, que j'ai ou non mon téléphone sur moi. D'où l'idée d'un client léger (application web) et non d'un client lourd qu'il faut installer.

Je regarderai quand même à l'occasion quels sont les performances des librairies cryptographiques coté navigateur (donc en javascript) pour me faire une idée des performances et voir si je ne peux pas faire le chiffrement coté client uniquement, ou optionellement.

Sure un serveur, avec moins de 2 go de ram. Le passage de 32 à 64 bits ma faut consommer deux fois plus de mémoire. Et alors que la machine était large au niveau mémoire. J'ai même commencé à swapper.

Je pense que ça peut jouer

Le but du RAID 1 n'est pas de faire des sauvegardes mais de faire de la haute dispo. Du coup c'est normal qu'il ne protège pas des erreurs humaines.

Il y a les bonnes et les mauvaises enseignes. Les bonnes enseignes : on vends des produits et on se met plein de sous dans les poches. Les mauvaises enseignes : on vends des produits et on se met plein de sous dans les poches mais c'est des mauvaises enseignes !

Avec les ACLs, (si le disque est monté avec l'option acl), il est possible de faire un

setfacl -R -m d:u:user2:rwx dossier
pour définir que l'option par défaut à déposer sur tout les sous-dossier et fichier est rwx.

Sachant que

setfacl -R -m u:user2:rwx dossier
permet de le définir sans le mettre par défaut.

Si c'est pour un group il faut faire g:group:rwx.

Cf la doc de setfacl.

J'aimerai d'ailleurs bien mettre mes machines en veille ou en hibernation, mais le problème est que pour mes PC portables cela ne fonctionne qu'une fois sur deux (parfois il refuse, et ne fait que verrouiller la session) et pour les PC fixes que j'ai eu jusqu'ici, ca ne fonctionne jamais (rentre en mise en veille ou hibernation, mais reprise ne fonctionne jamais)

Théoriquement en veille, la machine consomme pour garder des données en mémoire, mais en hibernation les données en mémoire sont stocké sur le disque.

En mode hibernation, l'ordinateur est éteint (c'est identique à la veille mais juste plus long à passer en veille et sortir de veille).

Tu peux couper le secteur et n'avoir aucun soucis.

Il me semble que sous Windows, ce qui est fait c'est de mettre l'ordinateur en veille avec la mémoire stocké sur le disque comme pour l'hibernation.
Comme ça on consomme autant qu'en veille, la reprise est rapide, mais en cas de panne de courant (ou de batterie pour un pc portable), rien n'est perdu.

Bonjour,

J'ai voulu installé burp et burp-ui sur mon synology.

Pour cela j'ai forké le projet SynoCommunity pour y ajouter mes paquets et préparer l'install (tu peux voir ce que j'ai fait ici : https://github.com/phoenix741/spksrc/commit/50b12e2c737dc5f67089edc3e86251173be2a151 et https://github.com/phoenix741/spksrc/commit/fbebd204e709526601b641f7b2a131d619f0a761 ).

Cela permet de créer des paquets spk que tu peux installer dans ton synology comme un autre paquet. C'est super pratique. Tu peux même cross-compiler les binaires.

Je pense que c'est pour pouvoir faire tourner systemd sous Windows. ;)

Ok je sais où est la porte

Bonjour,

Désolé, j'ai fait un peu un amalgame au niveau de mes réponses, car je me suis mis à utiliser tous les outils en même temps. Je vais essayer de répondre ci-dessous.

la suppression des entête VSS quand on restaure sous linux, j'ai du faire strip_vss = 1 pour résoudre le problème, mais du coup je dois préciser -x sous windows en plus de perdre ces entêtes.

Est-ce que tu parles de Burp-UI ? En principe, je strip les fichiers contenants des en-tête VSS avant de générer l'archive lorsque tu utilises le bouton "Download" depuis Burp-UI.
Si ça n'est pas le cas, c'est un bug et dans ce cas j'aimerais en savoir un peu plus sur la marche à suivre pour le reproduire. (N'hésite pas à ouvrir une issue sur le tracker du projet ou à m'envoyer un mail)

Su tu parles de Burp par contre, via la commande "burp -a r -b X …", je ne peux que te conseiller de contacter l'auteur de Burp (via la mailing list du projet par exemple).

Mon besoin :
* Je veux faire des sauvegardes incrémentales, avec un historique, et de façon complètement transparente (je ne veux pas surveiller en continu, je ne veux pas le lancer manuellement). Sur ce point burp fonctionne parfaitement. En cas de besoin burp-ui est là pour fouiller dans l'historique et voir si tout se passe bien.
* Je veux également faire faire une sauvegarde externalisée. Le principe que j'utilise : Je copie tout sur un disque dur USB que je dépose régulièrement dans la famille en rotation avec un second disque. J'ai toujours un disque à la maison et le second dans la famille. Je fais une rotation toutes les semaines.

Pour ce dernier point je fais une copie toutes les semaines du contenu de la dernière sauvegarde sur le disque dur USB. Jusqu'ici sans burp, un bête rsync me permettait de mettre à jour le contenu du disque dur USB avec la dernière version des 6 PC (environ un total de 900Go contenant des photos, énormément de petits fichier PSD/EPS, des sites en PHP contenant des frameworks volumineux de plusieurs milliers de fichiers …).

Pour synchroniser la derniers sauvegarde burp avec le disque dur je pensais copier le dossier contenu du lien symbolique "current" avec le disque dur USB. Mais comme dans ce répertoire les fichiers ont un entête VSS pour windows et sont compressés, j'ai écarté cette idée. Je souhaite que le fichier soit facilement récupérable.
La seconde solution est d'utiliser burp (dans un cron) et dans lancer la commande "burp -a r -C client -d /disqueUSB". Le problème est que si les fichiers sont déjà présents j'ai plein de warnings m'indiquant que les fichiers existent et ne sont pas écrasés, et si je force l'écrasement, ou si j'efface le disque, tous les fichiers sont copiés (900Go).
Du coup contrairement à un rsync, la copie des fichiers est très longue. Une expérience de restauration dans un dossier m'a pris plusieurs dizaines d'heures. De plus la restauration de sauvegarde windows sous linux laisse l'entête VSS si l'option strip_vss n'a pas été positionnée..
Je me suis alors tourné vers une solution telle que BurpFS qui m'aurait permis de représenter les sauvegardes sous la forme d'un système de fichiers lisibles afin de pouvoir faire un rsync entre la dernière version de burp et celle du disque USB, mais BurpFS n'a pas fonctionné.

Pour l'instant j'en suis à ce stade, je n'ai pas encore de bonne solution à mon goût pour mettre à jour les sauvegardes présentes sur le disque USB.

je trouve l'interface graphique un peu lente (désolé) pour parcourir les 150Go de la backup dans une arborescence.

Je n'ai effectivement pas encore eu à traiter un volume conséquent de données (je n'ai qu'une dizaine de clients avec une volumétrie moyenne de 50Go par client).
À quel(s) niveau(x) de l'interface rencontres-tu ces lenteurs ?
Il faut savoir que j'essaie d'être le moins intrusif possible avec Burp-UI et j'essaie de traiter un maximum avec le status-port de Burp. La limitation peut donc également venir de ce dernier.
Néanmoins, j'ai prévu dans ma roadmap d'ajouter un peu de caching par-ci par-là afin d'améliorer les performances de l'UI.
Je réfléchis également à faire du pré-chargement en tâche de fond par exemple au niveau du browser car l'interface charge les informations petit à petit à chaque fois qu'on déroule un noeud.

Là c'est bien au niveau de l'interface graphique Burp-UI : L'affichage est globalement rapide sauf lors de l'affichage des fichiers. Lorsque je veux afficher les fichiers d'une sauvegarde il faut une dizaine de secondes pour afficher la page (ie : http://server:8000/client-browse/pc-xxx/12).
Ensuite je déplie le 1er nœud, il me faut 8 secondes pour afficher 3 répertoires. Puis une dizaine de secondes pour encore le noeud suivant, … . Je me doute bien que derrière Burp-UI est tributaire de Burp et attend que ce dernier lise le manifest à chaque fois pour en filtrer la liste des fichiers.
Le fichier manifest de la dernière sauvegarde fait 16M gzippé et 119M dégzippé.

On a aucune information dans l'interface graphique de ce qu'économise bedup. D'ailleurs une fois que le script à tourner n fois dans un cron, on ne sais plus ce qu'on gagne.

Je ne comprends pas la question, mais encore une fois, il faut bien comprendre que Burp et Burp-UI sont deux projets totalement distincts gérés par deux personnes différentes. Je ne travaille "que" sur Burp-UI, même si j'échange assez régulièrement avec l'auteur de Burp.
bedup n'est donc aucunement géré dans Burp-UI. Il peut s'agir ici d'une demande de feature, mais il faudrait que tu me détailles ton besoin car je n'ai malheureusement pas compris ta demande.

La 1ère fois que j'ai lancé bedup, ce dernier m'a sorti qu'il avait pu libérer quelques Go en dédupliquant certains fichiers. Du coup j'ai mis ce dernier dans une tâche cron. Par contre je n'ai aucune info sur l'efficacité de bedup dans le temps sauf à envoyer des mails à chaque cron (pas de joli graphe).
Même si je comprends bien que le programme est un peu à l'écart de burp, en tant qu'utilisateur je trouve ça dommage. A une époque j'avais utilisé backuppc. Ce dernier affiche quelques stats le nombre et la taille des fichiers dans le pool qui sont mutualisés.

Il manque une restauration dans un dossier en utilisant librsync. Le but serait de restaurer la dernière sauvegarde régulièrement dans un dossier (disque USB), en ne restaurant que les derniers fichiers modifiés. Du coup j'ai regardé du coté de burpfs mais il n'a pas fonctionné sur mon serveur :'(

Idem, je n'ai pas compris la demande. De plus, burpfs n'est pas un projet supporté par le développeur de Burp (pas plus que Burp-UI d'ailleurs).

Pas de soucis, je cherchais juste une solution à mon problème de copie de sauvegarde sur disque USB.

Sinon, je trouve Burp et Burp-UI très bien et c'est pour ca que je l'ai est choisi.

Suite à un journal précédent, je test burp pour les sauvegardes. L'avantage c'est qu'elle sont incrémentielles. Et si vous avez besoin d'une seul sauvegarde un keep=1 est facile à utiliser.

Ce que j'aime bien dans l'idée de ce logiciel, c'est qu'une fois installé, je l'oublie (comme backuppc). Les sauvegardes se font toutes seules. Et un je n'ai plus que à les utiliser quand nécessaire.

Burp fonctionne en ligne de commande.