Re: Authentification failure

2019-06-06 Par sujet Florian Blanc 
C'est dommage on arrive dans tes retranchements, pour quelqu'un
d'omniscient ça doit faire bizarre.

Alors non ssh ne recevra seulement les requêtes provenant de l'adresse Ip
autorisée dans iptables tu le sais,  donc tout le reste du traffic sera
traité par iptables et non par le service.

Effectivement je flush une chaîne iptables et je réinsére mes (3)règles
(dynamiques seulement) avec résolution dns(3) toutes les 20 minutes. Alors
bench le si tu veux mais c'est rien comparé aux flux que tu as si tu laisse
tout le monde accéder jusqu'à l'authentification du service.
(3 car 3 postes clients, même plus ça serait pas un problème).

Et pour finir la mise à jour du noip c'est côté client donc ça c'est pas un
problème on en parle même pas.

Ma solution n'est pas la meilleure mais c'est une bonne alternative si on
n'a pas d'ip fixe côté client bien entendu.
Si tu es nomade, cette solution peut t'intéresser également.

C'est dommage car c'est pas la première fois que je te vois répondre ici et
tu as plein de connaissances. Malheureusement tu n'aime vraiment pas le
contre exemple ou solution qui ne va pas en ton sens.
Cependant t'as une bonne habileté rhétorique en général.

Un esprit humble plus communautaire et moins "mentorisé" serait apprécié.

Pour finir, iptables est livré avec un hitcount qui est très utile si vous
êtes capable de définir un nombre max de hit sur une durée par user pour
tel service. Finissez avec Fail2ban qui regarde les logs. (Ceux utilisant
des certificats ne sont pas exempts).

Bonne journée.

Re : Re: [HS] GAFAM est devenu GAFA

2019-06-06 Par sujet k6dedijon 
Désolé mais je ne suis pas informaticien.
Pour moi, BSD est libre et je pensais que c'était un dérivé UNIX donc un Linux.
Si BSD n'est pas assimilable, dont acte.
Quant à Microsoft, j'ai en mémoire un article d'Avril 2018 dans lequel ils 
annonçaient quel système Linux servirait de base à leur nouvel OS.

Les deux, APPLE et MICROSOFT vont donc avoir un noyau dérivé d'UNIX et libre. 
Mais ils choisissent un noyau que l'on peut personnaliser et s'approprier. Ce 
n'est donc pas du GNU Linux. Mais c'est tout de même de l'appropriation de 
logiciels libres à la base et développés collectivement.
Voici ce que je comprends.
Comme je l'écrivais, il n'y a pas beaucoup de communication là-dessus et, pour 
les usagers, pas assez d'informations.
Cassis



- Mail d'origine -
De: Daniel Caillibaud 
À: debian-user-french@lists.debian.org
Envoyé: Thu, 06 Jun 2019 19:38:42 +0200 (CEST)
Objet: Re: [HS] GAFAM est devenu GAFA

Le 06/06/19 à 18:56, k6dedi...@free.fr a écrit :
> Le plus triste c'est que MAC OS X est basé sur un GNU Linux 

Non, du BSD, justement sans GNU ni Linux ! (sinon Apple ne l'aurait
jamais pris).

> et que le nouveau Windows le sera aussi


Tu as lu ça où ? Ce serait quand même très étonnant…

On peut avoir du bash sous windows, ils vont modifier leur gestion de
container pour pouvoir lancer du linux virtualisé plus simplement et que
ça cause mieux avec windows, mais j'avais pas compris que leur OS devenait
basé sur Linux.

-- 
Daniel

Echouer, c'est avoir la possibilité de recommencer de manière plus
intelligente. Henry Ford

Re: Authentification failure

2019-06-06 Par sujet Daniel Huhardeaux 

Le 06/06/2019 à 20:10, Florian Blanc a écrit :
Lol tu réduis la charge serveur au lieu de laisser ssh écouter et 
répondre à tout le net... (valable pour tous les types 
d'authentification ssh)

Merci de me faire savoir si je me trompe 


Je pense que oui:

. avec tes règles ssh écoute également tout le net, il doit bien savoir 
si c'est toi qui tente une connexion

. tu génères du trafic cron inutile toutes les 20mn
. tu génères du trafic pour mettre noip à jour


T'es le meilleur Daniel


Je suis d'accord, sa solution est la meilleure



On Thu, Jun 6, 2019, 19:42 Daniel Caillibaud > wrote:


Le 06/06/19 à 16:51, Florian Blanc mailto:florian.blanc@gmail.com>> a écrit :
 > Bon je vais vous livrer un petit secret.
 > J'utilise des noip qui mettent à jour mon ip public cliente sur
un dns.
 >
 > Sur mon script principal iptables je crée une chain qui s'appelle
 > INDYNAMIC à partir de INPUT:
 > /sbin/iptables -A INPUT -j INDYNAMIC
 >
 > Ensuite j'ai un second script iptables pour écraser mes regles
dynamique
 > comme ceci:
 > /sbin/iptables -F INDYNAMIC # ici je flush
 > /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src
 > lolilol.dyndnsnoiplalala.io 
--dport 22 -j ACCEPT # j'autorise
 > lolilol.dyndnsnoiplalala.io 
sur le port 22 (il fait la résolution comme
 > un grand).
 >
 > je crontab ce dernier script qui s'execute toutes les x minutes
(20 par
 > exemple).
 > tu le combine à fail2ban et c'est bon.

C'est bien ce que je disais :

 > > Pourquoi faire (compliqué) ?

Car je ne vois aucun avantage par rapport à ne rien faire (en dehors de
virer l'auth par mot de passe si c'est pas déjà le cas).

-- 
Daniel


Certaines zones de pêche commencent a être tellement polluées
par les hydrocarbures qu'on y pêche des turbots diesels.
Philippe Geluck, Le chat

Re: [HS] GAFAM est devenu GAFA

2019-06-06 Par sujet Marc Chantreux 
On Thu, Jun 06, 2019 at 07:38:42PM +0200, Daniel Caillibaud wrote:
> > et que le nouveau Windows le sera aussi
> Tu as lu ça où ? Ce serait quand même très étonnant…

WSL (le layer de compabililité maintenu officiellement pas microsoft)
fait carrément tourner un kernel linux depuis la version 2.

> On peut avoir du bash sous windows, ils vont modifier leur gestion de
> container pour pouvoir lancer du linux virtualisé plus simplement et que
> ça cause mieux avec windows, mais j'avais pas compris que leur OS devenait
> basé sur Linux.

l'idée est dangeureuse: ils veulent éviter l'exode alors ils ramènent
linux à la maison. du coup microsoft n'a plus que 2 atouts pour tenir
son marché:

* le fait que ce soit préinstallé
* la logithèque spécifique à microsoft (qui a mon avis va se faire de
  plus en plus rare si on fait abstraction des gamers)

ils ont encore plein de petetes et un marché bien captif mais ils vont
devoir changer de metier: ms windows est condamné je pense.

a+
marc

Re: Re : Re: [HS] GAFAM est devenu GAFA

2019-06-06 Par sujet Marc Chantreux 
salut,

> >> Ah, qu'il est dur de ne pas être conforme…
> Que oui!
> Et en plus, j'ai l'impression que ça empire!

j'ai clairement un avis différent! je me souviens des années ou les
boites n'acceptaient les CVs qu'au format word, ou on pensait que
windows c'était gratuit aussi, que linux avait clairement un gros
retard pour le desktop grand public.

je me souviens d'une époque ou on me traitait de parano quand je disais
que "non je n'utilise pas ton drive, je ne veux pas utiliser mon FB
autrement que pour avoir quelques news de temps a autres, je ne veux pas
te parler de ma vie si t'as ton adresse gmail"

meme sur le green it: jusqu'a très recement encore, on me demandait
réthoriquement pourquoi markdown+pandoc+git alors que libreoffice
existe... ils sont de moins en moins nombreux a faire la blague.

jusqu'a très recement encore, on me demandait ce qu'était le libre...
maintenant on a régulièrement accés au media, y'a des documentaires sur
le modele libre sur arte, france inter ... même europe1. les philosophes
et les politiques s'empare du sujet, on relit marx, on s'amuse et
s'inquiête quand stallman explique que les réseaux sociaux sont la
réalisation des rêves les plus fous de staline. Jamais le numérique n'a
été à ce point au coeur des débats. dans les salons libres on commence
a se mefier de l'open washing et on parle d'open inovation pour que les
décideurs et les commerciaux puissent se réapproprier nos codes
avec leurs mots.

mes gamins, ma femme et mes parents sont sous linux (ok ... y'a encore
un mac à la marge): je n'ai pratiquement pas de maintenance et ma fille
ainée préfère gnome shell à tous les autres bureaux (mac et windows y
compris).

les gamins en parlent entre eux à l'école, on parle de l'open source
jusque dans les comités de direction des administration, on a la DINSIC,
le mouvement blue hats, framasoft, les chatons, python comme langage
scolaire (et même par defaut sur les calculatrices).

alors oui: je parle d'open source et on s'inquiète de savoir si l'open
source ne tue pas le libre: c'est effectivement cette stratégie que
les marqueteux ont choisi pour tenter de réduire à l'esclavage tout un
mouvement d'émancipation fondé sur la liberté et le partage: des notions
qu'ils détestent parce qu'elles les privent de leur bonheur à eux: le
profit et la spoliation. mais ce genre de bataille se gagne sur la
durée: microsoft a un genoux a terre alors (a cause du cancer de
l'informatique ;)) et change son fusil d'épaule pour assurer sa survie
... parceque soyons clairs: nous serons toujours plus nombreux à
constater qu'en plus d'être plus humaines, les valeurs prônées par le
libre sont aussi plus efficaces et productives ... nous participons de
façon remarquable à l'essor des économies solidaires, nous élaborons des
futurs qui semblent impossibles à ceux que l'idéologie dominante
aveugle.

On nous a traité de fous, de paranos, de naïfs, de doux rêveurs mais
c'est bien le libre qui a permis l'explosion des géants de l'économie
mondiale (et donc a fait preuve de son efficacité), c'est maintenant le
libre qui produit les alternatives qui montrent que ces géants mondiaux
sont plus qu'inutiles: ils sont nuisibles.

comme a dit je sais plus qui de chez framasoft: la route est longue mais
la voie est libre!

a+
marc

Re: [HS] GAFAM est devenu GAFA

2019-06-06 Par sujet Marc Chantreux 
salut,

> On peut avoir du bash sous windows, ils vont modifier leur gestion de
> container pour pouvoir lancer du linux virtualisé plus simplement et que
> ça cause mieux avec windows, mais j'avais pas compris que leur OS devenait
> basé sur Linux.

oui mais attention: ca n'est plus un simple layer de compatibilité comme
au temps de cygwin: ils ont vraiment embarqué: c'est un kernel complet
qui est disponible depuis la version 2 de WSL
(https://en.wikipedia.org/wiki/Windows_Subsystem_for_Linux).

perso je trouve ça très bien foutu: microsoft ralentit sa chute en
tentant d'éviter les migrations. de mon coté je pense que les problèmes
écologiques vont faire remonter le marcher de l'occas. et c'et justement
une position faible de MS (qui profite toujours du fait que windows soit
préinstallé sur les babasses ... sur les tablettes c'est android qui est
installé donc le marché est dominé par android. that simple ...).

a+
marc

Re: Authentification failure

2019-06-06 Par sujet Florian Blanc 
Lol tu réduis la charge serveur au lieu de laisser ssh écouter et répondre
à tout le net... (valable pour tous les types d'authentification ssh)
Merci de me faire savoir si je me trompe 
T'es le meilleur Daniel

On Thu, Jun 6, 2019, 19:42 Daniel Caillibaud  wrote:

> Le 06/06/19 à 16:51, Florian Blanc  a écrit :
> > Bon je vais vous livrer un petit secret.
> > J'utilise des noip qui mettent à jour mon ip public cliente sur un dns.
> >
> > Sur mon script principal iptables je crée une chain qui s'appelle
> > INDYNAMIC à partir de INPUT:
> > /sbin/iptables -A INPUT -j INDYNAMIC
> >
> > Ensuite j'ai un second script iptables pour écraser mes regles dynamique
> > comme ceci:
> > /sbin/iptables -F INDYNAMIC # ici je flush
> > /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src
> > lolilol.dyndnsnoiplalala.io --dport 22 -j ACCEPT # j'autorise
> > lolilol.dyndnsnoiplalala.io sur le port 22 (il fait la résolution comme
> > un grand).
> >
> > je crontab ce dernier script qui s'execute toutes les x minutes (20 par
> > exemple).
> > tu le combine à fail2ban et c'est bon.
>
> C'est bien ce que je disais :
>
> > > Pourquoi faire (compliqué) ?
>
> Car je ne vois aucun avantage par rapport à ne rien faire (en dehors de
> virer l'auth par mot de passe si c'est pas déjà le cas).
>
> --
> Daniel
>
> Certaines zones de pêche commencent a être tellement polluées
> par les hydrocarbures qu'on y pêche des turbots diesels.
> Philippe Geluck, Le chat
>
>

Re: Authentification failure

2019-06-06 Par sujet Daniel Caillibaud 
Le 06/06/19 à 16:51, Florian Blanc  a écrit :
> Bon je vais vous livrer un petit secret.
> J'utilise des noip qui mettent à jour mon ip public cliente sur un dns.
> 
> Sur mon script principal iptables je crée une chain qui s'appelle
> INDYNAMIC à partir de INPUT:
> /sbin/iptables -A INPUT -j INDYNAMIC
> 
> Ensuite j'ai un second script iptables pour écraser mes regles dynamique
> comme ceci:
> /sbin/iptables -F INDYNAMIC # ici je flush
> /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src
> lolilol.dyndnsnoiplalala.io --dport 22 -j ACCEPT # j'autorise
> lolilol.dyndnsnoiplalala.io sur le port 22 (il fait la résolution comme
> un grand).
> 
> je crontab ce dernier script qui s'execute toutes les x minutes (20 par
> exemple).
> tu le combine à fail2ban et c'est bon.

C'est bien ce que je disais :

> > Pourquoi faire (compliqué) ?

Car je ne vois aucun avantage par rapport à ne rien faire (en dehors de
virer l'auth par mot de passe si c'est pas déjà le cas).

-- 
Daniel

Certaines zones de pêche commencent a être tellement polluées 
par les hydrocarbures qu'on y pêche des turbots diesels.
Philippe Geluck, Le chat

Re: [HS] GAFAM est devenu GAFA

2019-06-06 Par sujet Daniel Caillibaud 
Le 06/06/19 à 18:56, k6dedi...@free.fr a écrit :
> Le plus triste c'est que MAC OS X est basé sur un GNU Linux 

Non, du BSD, justement sans GNU ni Linux ! (sinon Apple ne l'aurait
jamais pris).

> et que le nouveau Windows le sera aussi


Tu as lu ça où ? Ce serait quand même très étonnant…

On peut avoir du bash sous windows, ils vont modifier leur gestion de
container pour pouvoir lancer du linux virtualisé plus simplement et que
ça cause mieux avec windows, mais j'avais pas compris que leur OS devenait
basé sur Linux.

-- 
Daniel

Echouer, c'est avoir la possibilité de recommencer de manière plus
intelligente. Henry Ford

Re : Re: [HS] GAFAM est devenu GAFA

2019-06-06 Par sujet k6dedijon 
Bonjour à tous,
Je constate la même chose que Pierre.

Le plus triste c'est que MAC OS X est basé sur un GNU Linux et que le nouveau 
Windows le sera aussi.
Et nous ne trouvons pas de larges communications concernant les usages faits 
par ces privateurs de liberté avec ces OS.

Le pingouin doit résister et trouver la place qui lui est due.
Cassis

L'intelligence collective est supérieure à l'intelligence individuelle.
C'est ce que Montesquieu écrivait dans "De l'esprit des Lois" et dans "Les 
lettres persanes"



- Mail d'origine -
De: Pierre Chevalier 
À: debian-user-french@lists.debian.org
Envoyé: Wed, 05 Jun 2019 10:51:32 +0200 (CEST)
Objet: Re: [HS] GAFAM est devenu GAFA

Le 29/05/2019 à 08:54, Basile Starynkevitch a écrit :
>> Ah, qu'il est dur de ne pas être conforme…

;-D
Que oui!

Et en plus, j'ai l'impression que ça empire!

Il y a 20 ans, on me voyait comme un gentil extra-terrestre, avec mon 
GNU/Linux...

Il y a 10 ans, on m'écoutait avec attention, chacun étant conscient de 
l'importance de l'interopérabilité, des faiblesses des logiciels 
propriétaires, de leur coût; on me laissait installer des GNU/Linux sur 
plein de vieilles machines...

Et aujourd'hui, j'ai plus que l'impression qu'être Libriste pratiquant 
me fait ranger dans la case "timbré hors sol indécrottable"...


> On peut aussi utiliser LinkedIn.

Ces cons-là avaient égaré mon mot de passe dans la nature; pas que le 
mien, d'ailleurs...

Et ils se sont fait racheter par Crimo$oft. C'est dire si l'on peut 
faire confiance à ces gens.


> C'est pas mieux que FaceBook mais c'est 
> plus utilisé par les chefaillons de tout poil.

Eh oui.
(soupir)

Je me souviens du B.A. BA du renseignement, et je partage, avec des gars 
de ma génération qui ont vécu de l'autre côté du mur de Berlin, un 
sentiment de sidération face à la légèreté incroyable avec laquelle les 
chefaillons de tout poil ou plume font passer des informations parfois 
super-sensibles par de simples courriels (non chiffrés, bien sûr), par 
du clou du genre YouTransferIKeepIt ou GiveMeYourBigFile...

À+
Pierre

Re: Authentification failure

2019-06-06 Par sujet Florian Blanc 
Bon je vais vous livrer un petit secret.
J'utilise des noip qui mettent à jour mon ip public cliente sur un dns.

Sur mon script principal iptables je crée une chain qui s'appelle INDYNAMIC
à partir de INPUT:
/sbin/iptables -A INPUT -j INDYNAMIC

Ensuite j'ai un second script iptables pour écraser mes regles dynamique
comme ceci:
/sbin/iptables -F INDYNAMIC # ici je flush
/sbin/iptables -A INDYNAMIC -m tcp -p tcp --src lolilol.dyndnsnoiplalala.io
--dport 22 -j ACCEPT # j'autorise lolilol.dyndnsnoiplalala.io sur le port
22 (il fait la résolution comme un grand).

je crontab ce dernier script qui s'execute toutes les x minutes (20 par
exemple).
tu le combine à fail2ban et c'est bon.

Le jeu. 6 juin 2019 à 15:45, Daniel Caillibaud  a
écrit :

> Le 06/06/19 à 10:31, Arnaud Gambonnet  a
> écrit :
> > Bonjour la liste,
> >
> > Je n'ai pas lu en détails le fil, mais pour protéger les demandes
> > intempestives de connexions ssh (et d'autres si besoin), il existe la
> > solution de port knocking.
>
> Pourquoi faire (compliqué) ?
>
> > Ce qui n’empêche pas de mettre en place une authentification par
> > certificat et fail2ban pour les services moins sensibles.
>
> Au contraire, auth par certif pour tous les serveurs, sensibles ou pas, et
> plus besoin de port knocking ni port exotique ni fail2ban, on peut rester
> sur du standard avec ssh sur le port 22 qui fonctionne comme attendu.
>
> --
> Daniel
>
> On devient jeune à soixante ans.
> Malheureusement c'est trop tard.
> Pablo Picasso
>
>

Re: Authentification failure

2019-06-06 Par sujet Daniel Caillibaud 
Le 06/06/19 à 10:31, Arnaud Gambonnet  a écrit :
> Bonjour la liste,
> 
> Je n'ai pas lu en détails le fil, mais pour protéger les demandes
> intempestives de connexions ssh (et d'autres si besoin), il existe la
> solution de port knocking.

Pourquoi faire (compliqué) ?

> Ce qui n’empêche pas de mettre en place une authentification par
> certificat et fail2ban pour les services moins sensibles.

Au contraire, auth par certif pour tous les serveurs, sensibles ou pas, et
plus besoin de port knocking ni port exotique ni fail2ban, on peut rester
sur du standard avec ssh sur le port 22 qui fonctionne comme attendu.

-- 
Daniel

On devient jeune à soixante ans.
Malheureusement c'est trop tard.
Pablo Picasso

Ajout driver dans live-build

2019-06-06 Par sujet Mac Fly 
 Bonjour,

je génère un live-build à partir d'une Debian7.

Malheureusement, suite à un changement de hardware, les disques dur ne sont
plus détecter (disques monter sur une carte Raid nécessitant le driver
MPT3SAS).

Comment puis-je ajouter ce driver en phase "installeur" sur l'iso du
live-build ?

NB : je n'ai pas la possibilité d'upgrader ma Debian :-(

D'avance merci pour votre aide.

Cordialement,
Litteul.

Re:[HS] GAFAM est devenu GAFA

2019-06-06 Par sujet ajh-valmer 
On Thursday 06 June 2019 14:56:33 Stephane Ascoet wrote:
> Le 06/06/2019 à 14:32, ajh-valmer a écrit :
> > (Linux = ~65% du marché pro, 2% du marché grand public).

> Quand tu dis 65% du marche pro, tu parles des serveurs, forcement, car 
> cote postes de travail... :

Oui, au moins 65% des serveurs sont sous GNU/Linux,
(pas les postes de travail).

Re: [HS] GAFAM est devenu GAFA

2019-06-06 Par sujet Stephane Ascoet 

Le 06/06/2019 à 14:32, ajh-valmer a écrit :

On Wednesday 05 June 2019 10:51:32 Pierre Chevalier wrote:

Il y a 20 ans, on me voyait comme un gentil extra-terrestre, avec mon
GNU/Linux...
Il y a 10 ans, on m'écoutait avec attention, chacun étant conscient de
l'importance de l'interopérabilité, des faiblesses des logiciels
propriétaires, de leur coût; on me laissait installer des GNU/Linux sur
plein de vieilles machines...
Et aujourd'hui, j'ai plus que l'impression qu'être Libriste pratiquant
me fait ranger dans la case "timbré hors sol indécrottable"...


Je dirai différemment :-)
- Il y a 10 ans, on me qualifiait de : "timbré hors sol ".
- Aujourd'hui, on me dit :
"Linux, oui, c'est bien, mais c'est pour les pros".
et/ou : "J'ai trop de logiciels Windows pour passer à Linux".
(Linux = ~65% du marché pro, 2% du marché grand public).


Bonjour, et chez les pro, on me repond que Linux, c'est pour les 
particuliers qui veulent faire joujou :-(

Bref, toujours pareil, c'est aux autres de changer, mais surtout pas a moi.
Quand tu dis 65% du marche pro, tu parles des serveurs, forcement, car 
cote postes de travail...

Pour le reste, mon experience se rapproche plutot de celle de Pierre.



faire confiance à ces gens.


Linkedin, j'ai eu beau m'y désinscrire 10 fois, je reçois encore
des mails de leur part.


Sans doute a cause de ce qui a ete evoque: ce sont des gens inscrits qui 
t'ont dans leur carnet d'adresse. Linkedin se permet de consulter 
celui-ci et d'innonder les adresses qu'il y trouve... J'avais un peu 
oublie qu'il avait ete rachete par m$, mais ca me revient maintenant.


Et a propos des gens qui n'utilisent jamais m$, ce me rappelle mon 
maitre de stage a l'ENSTB en 2001. Je lui avait pose une question au 
sujet d'Outlook et m'avait dit quelque chose comme quoi il n'avais 
jamais utilise ce systeme. Ca m'avait surpris, alors que pour moi, jeune 
etudiant en informatique, Linux etait exotique! Je me demandais presque 
s'il ne se fichait pas de moi, ou si c'etait une posture militante. 
Comme je le fais aussi maintenant quand je n'ai pas envie de resoudre le 
probleme informatique de quelqu'un, il est vrai que je dis aussi ce 
genre de chose. Jusqu'a il y a cinq ans c'etait encore vrai, n'ayant 
plus touche a l'OS aux dollars depuis XP, mais maintenant c'est un 
demi-mensonge vu que je dois helas intervenir quotidiennement sur les 
bugs de cet OS code avec les pieds, dans ses versions 7 et 10. En meme 
temps, je me contente en fait d'appliquer des procedures toutes faites, 
aboutissant generallement a deux solutions possibles:

-"transmettre le probleme aux ingenieurs qui vont regarder ce qui coince"
-"re-installer/changer l'ordinateur/le mettre a jour de win7 vers win10"

J'essaie tout de meme de trouver par moi meme la solution de problemes 
bizarres, mais presque tout le temps sans succes, la logique de 
fonctionnement de cette chose etait incompatible avec celle de mon 
cerveau(la premiere etant: vu le prix qu'on paye, pourquoi n'a t-on pas 
une ligne directe vers une plate-forme remplie de specialistes ayant la 
reponse a tous ces problemes, dus, je le rappelle, a des bugs de leur 
produit soi-disant parfait?)

--
Cordialement, Stephane Ascoet

Re: [HS] GAFAM est devenu GAFA

2019-06-06 Par sujet ajh-valmer 
On Wednesday 05 June 2019 10:51:32 Pierre Chevalier wrote:
> Il y a 20 ans, on me voyait comme un gentil extra-terrestre, avec mon 
> GNU/Linux...
> Il y a 10 ans, on m'écoutait avec attention, chacun étant conscient de 
> l'importance de l'interopérabilité, des faiblesses des logiciels 
> propriétaires, de leur coût; on me laissait installer des GNU/Linux sur 
> plein de vieilles machines...
> Et aujourd'hui, j'ai plus que l'impression qu'être Libriste pratiquant 
> me fait ranger dans la case "timbré hors sol indécrottable"...

Je dirai différemment :-)
- Il y a 10 ans, on me qualifiait de : "timbré hors sol ".
- Aujourd'hui, on me dit :
"Linux, oui, c'est bien, mais c'est pour les pros".
et/ou : "J'ai trop de logiciels Windows pour passer à Linux".
(Linux = ~65% du marché pro, 2% du marché grand public).

> > On peut aussi utiliser LinkedIn.
> Ces cons-là avaient égaré mon mot de passe dans la nature; 
> pas que le mien, d'ailleurs...
> Et ils se sont fait racheter par Crimo$oft. C'est dire si l'on peut 
> faire confiance à ces gens.

Linkedin, j'ai eu beau m'y désinscrire 10 fois, je reçois encore
des mails de leur part.
Il ne m'a non seulement strictement rien apporté,
mais causé bien de déboires dont des spams à gogo
et encore aujourd'hui.
Je savais pas qu'il est maintenant "Crimo$oft"...

Même avis et attitude avec Fesse de Bouc.

> Eh oui.
> (soupir)

Soupir d'un consterné.

Ajout driver dans live-build

2019-06-06 Par sujet Mac Fly 
Bonjour,

je génère un live-build à partir d'une Debian7.

Malheureusement, suite à un changement de hardware, les disques dur ne sont
plus détecter (disques monter sur une carte Raid nécessitant le driver
MPT3SAS).

Comment puis-je ajouter ce driver en phase "installeur" sur l'iso du
live-build ?

NB : je n'ai pas la possibilité d'upgrader ma Debian :-(

D'avance merci pour votre aide.

Cordialement,
Litteul.

Re: Authentification failure

2019-06-06 Par sujet Arnaud Gambonnet 
Bonjour la liste,

Je n'ai pas lu en détails le fil, mais pour protéger les demandes
intempestives de connexions ssh (et d'autres si besoin), il existe la
solution de port knocking.
Ce qui n’empêche pas de mettre en place une authentification par certificat
et fail2ban pour les services moins sensibles.

Bonnes cogitations...

Le jeu. 6 juin 2019 à 09:18, Pierre Malard  a écrit :

>
> > Le 6 juin 2019 à 09:09, Daniel Caillibaud  a écrit :
> >
> > Le 06/06/19 à 08:30, Pierre Malard  a écrit :
> >> Bonjour,
> >>
> >> Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…)
> >> et pratique le scan massif, je ne saurait trop conseiller un filtrage
> >> avec la limitation des ports ouverts par un pare-feu et, sur les
> serveurs
> >> ouverts, l’installation de « Fail2Ban » en validant les règles «
> récidive
> >> ».
> >
> > Sur un serveur en prod, l'intérêt d'un pare-feu est quand même très
> limité
> > (éventuellement pour gérer du throttle), à priori si un port est ouvert
> sur
> > une ip publique c'est qu'on veut qu'il soit accessible (sinon on l'aurait
> > pas ouvert là).
>
> Effectivement c’est pourquoi il y avait un « et » et non un « ou ».
>
> > Pour le sshd, le plus efficace reste encore de le configurer pour
> interdire
> > la connexion par mot de passe, ensuite fail2ban n'est plus nécessaire
> > (sinon pour réduire le bruit dans auth.log).
> >
> > Il faut mettre dans /etc/ssh/sshd_config la ligne :
> >
> >  PasswordAuthentication no
>
> Effectivement, c’est même l’option par défaut sur toute installation
> actuellement. C'était, dans mon esprit, la configuration de base mais il
> est vrai
> que ce n’est pas parce que « ça allait sans le dire qu’il ne faut pas …
> le dire ».
>
> Merci
>
> --
> Pierre Malard
> - --> Ce message n’engage que son auteur <--
>
>

Re: Authentification failure

2019-06-06 Par sujet Pierre Malard 

> Le 6 juin 2019 à 09:09, Daniel Caillibaud  a écrit :
> 
> Le 06/06/19 à 08:30, Pierre Malard  a écrit :
>> Bonjour,
>> 
>> Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…)
>> et pratique le scan massif, je ne saurait trop conseiller un filtrage
>> avec la limitation des ports ouverts par un pare-feu et, sur les serveurs
>> ouverts, l’installation de « Fail2Ban » en validant les règles « récidive
>> ».
> 
> Sur un serveur en prod, l'intérêt d'un pare-feu est quand même très limité
> (éventuellement pour gérer du throttle), à priori si un port est ouvert sur
> une ip publique c'est qu'on veut qu'il soit accessible (sinon on l'aurait
> pas ouvert là).

Effectivement c’est pourquoi il y avait un « et » et non un « ou ».

> Pour le sshd, le plus efficace reste encore de le configurer pour interdire
> la connexion par mot de passe, ensuite fail2ban n'est plus nécessaire
> (sinon pour réduire le bruit dans auth.log).
> 
> Il faut mettre dans /etc/ssh/sshd_config la ligne :
> 
>  PasswordAuthentication no

Effectivement, c’est même l’option par défaut sur toute installation
actuellement. C'était, dans mon esprit, la configuration de base mais il est 
vrai
que ce n’est pas parce que « ça allait sans le dire qu’il ne faut pas …
le dire ».

Merci

--
Pierre Malard
- --> Ce message n’engage que son auteur <--



signature.asc
Description: Message signed with OpenPGP

Re: Authentification failure

2019-06-06 Par sujet Daniel Caillibaud 
Le 06/06/19 à 08:30, Pierre Malard  a écrit :
> Bonjour,
> 
> Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…)
> et pratique le scan massif, je ne saurait trop conseiller un filtrage
> avec la limitation des ports ouverts par un pare-feu et, sur les serveurs
> ouverts, l’installation de « Fail2Ban » en validant les règles « récidive
> ».

Sur un serveur en prod, l'intérêt d'un pare-feu est quand même très limité
(éventuellement pour gérer du throttle), à priori si un port est ouvert sur
une ip publique c'est qu'on veut qu'il soit accessible (sinon on l'aurait
pas ouvert là).

Pour le sshd, le plus efficace reste encore de le configurer pour interdire
la connexion par mot de passe, ensuite fail2ban n'est plus nécessaire
(sinon pour réduire le bruit dans auth.log).

Il faut mettre dans /etc/ssh/sshd_config la ligne :

  PasswordAuthentication no

-- 
Daniel

Ne disons pas du mal du diable : c'est peut-être l'homme 
d'affaires du bon dieu.
Bernard Fontenelle 


pgpoEkqiupUlf.pgp
Description: Signature digitale OpenPGP

Re: Authentification failure

2019-06-06 Par sujet Pierre Malard 
Bonjour,

Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…) et 
pratique
le scan massif, je ne saurait trop conseiller un filtrage avec la limitation des
ports ouverts par un pare-feu et, sur les serveurs ouverts, l’installation de
« Fail2Ban » en validant les règles « récidive ».

Pour ceux qui ne savent pas entendre raison il y a le truc de « ban-them » qui
construit une liste à chaud de ceux-là et … les bannis définitivement. C’est
très utile et évite de faire tout ça à la main :
https://www.cybernaute.ch/bannir-definitivement-ip-bannies-frequemment-fail2ban/#comment-366
Cela demande tout de même une surveillance pour éviter les faux positifs mais
c’est très bien.

Cordialement

> Le 5 juin 2019 à 14:23, Yahoo  a écrit :
> 
> D??sol??, je n'avais pas compris ta demande.
> 
> Donc sur la fr??quence, de mon c??t?? j'ai tr??s peu d'attaque force brut sur 
> le service ssh, mais effectivement j'utilise un port un peu plus exotique que 
> le tiens
> 
> la vue pour un serveur up depuis 1 ans:
> 
> Status for the jail: sshd
> |- Filter
> |?? |- Currently failed: 0
> |?? |- Total failed: 23
> |?? `- File list:?? /var/log/auth.log
> `- Actions
>  |- Currently banned: 0
>  |- Total banned: 1
>  `- Banned IP list:
> 
> Il est donc possible que  soit trop simple
> 
> 
> Le 05/06/2019 ?? 13:33, steve a ??crit??:
>> Le mercredi 05 juin 2019, Yahoo a ??crit??:
>> 
>>> ?? Bonjour,
>>> 
>>> ?? c'est quasiment tous le temps, si tu veux limiter cela tu peux modifier 
>>> le
>>> ?? port de ta connexion ssh, cela ??vite une bonne partie de ces bots,
>> 
>> D??j?? fait depuis longtemps (22->). Peut-??tre faudrait-il que je
>> mette un port moins ??vident???
>> 
>>> ?? ensuite tu peux mettre fail2ban pour les irr??ductibles que trouverais le
>>> ?? bon ports.
>> 
>> # fail2ban-client status sshd
>> Status for the jail: sshd
>> |- Filter
>> |?? |- Currently failed:?? 2
>> |?? |- Total failed:?? 11952
>> |?? `- File list:?? /var/log/auth.log
>> `- Actions
>> ?? |- Currently banned:?? 3
>> ?? |- Total banned:?? 54
>> ?? `- Banned IP list:?? 73.15.91.251 104.248.187.179 41.223.142.211
>> 
>> 
>> Mais en fait ma question ??tait plus sur une ??ventuelle augmentation de
>> la fr??quence de scan que sur les m??thodes de mitigation que je connais
>> d??j?? et qui sont en place.
>> 
> 

--
Pierre Malard

  « Les utopies ne sont souvent que des vérités prématurées »
  Alphonse de Lamartine
   |\  _,,,---,,_
   /,`.-'`'-.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
 '---''(_/--'  `-'\_)   πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ 
(  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--



signature.asc
Description: Message signed with OpenPGP