Re: Sécurité informatique : mots de passe

[Stephane Bortzmeyer]

On Wed, Apr 10, 2024 at 06:29:21PM +0300,
 Alex PADOLY  wrote 
 a message of 51 lines which said:

> Je souhaiterais savoir ce que DEBIAN recommande en termes de mots de passe :

Je ne crois pas que Debian, organisation qui développe un système
d'exploitation, ait des recommandations particulières pour les mots de
passe.

On peut suivre les recommandations de l'ANSSI
 :

Utilisez un mot de passe différent pour chaque accès (messagerie,
banque en ligne, comptes de réseaux sociaux, etc.) : en cas de
compromission de l’un de vos comptes, cela évitera l’effet boule de
neige.

Créez un mot de passe suffisamment long, complexe et inattendu :
de 8 caractères minimum et contenant des minuscules, des
majuscules, des chiffres [conseil discutable, cf. celui du NIST]
et des caractères spéciaux [sic].

Ne communiquez jamais votre mot de passe à un tiers : aucune
organisation ou personne de confiance ne vous demandera de lui
communiquer votre mot de passe.

Utilisez un gestionnaire de mots de passe : pas simple de retenir tous
ses codes de connexion ! Heureusement des outils de type « coffres
forts de mots de passe » existent. Ces derniers mémorisent tous vos
mots de passe et vous permettent d’en générer de manière aléatoire.

Ou du NIST (en anglais)  :

Are password composition rules no longer recommended?
A-B06:

SP 800-63B Section 5.1.1.2 paragraph 9 recommends against the use of 
composition rules (e.g., requiring lower-case, upper-case, digits, and/or 
special characters) for memorized secrets. These rules provide less benefit 
than might be expected because users tend to use predictable methods for 
satisfying these requirements when imposed (e.g., appending a ! to a memorized 
secret when required to use a special character). The frustration they often 
face may also cause them to focus on minimally satisfying the requirements 
rather than devising a memorable but complex secret. Instead, a blacklist of 
common passwords prevents subscribers from choosing very common values that 
would be particularly vulnerable, especially to an online attack.

Composition rules also inadvertently encourage people to use the same 
password across multiple systems since they often result in passwords that are 
difficult for people to memorize.

> On voit apparaitre des sociétés qui vous proposent de gérer les mots de
> passes de leurs clients.

Ayez confiance (avec la voix du serpent dans le Livre de la Jungle).

> Enfin, comment expliquez-vous que des sociétés qui ont des moyens beaucoup
> plus importants
> qu'un particulier se fassent voler des données.

Il y a beaucoup de raisons différentes. Cela peut être la négligence
(après tout, aucune entreprise n'a jamais fait faillite, aucun PDG n'a
jamais été viré pour une fuite de données : cela n'encourage pas à
faire attention). Cela peut être l'ignorance (on rencontre encore des
gens déconseillant les gestionnaires de mots de passe, ou demandant un
changement tous les N mois). Cela peut être que l'attaquant était
particulièrement compétent. Cela peut être que la société avait
tellement de process et de règles rigides que les employés ne
faisaient plus d'efforts. Etc.

Re: Conseils sur la configuration DNS d'un serveur

[Stephane Bortzmeyer]

On Fri, Sep 22, 2023 at 05:19:08PM +0200,
 Stephane Bortzmeyer  wrote 
 a message of 13 lines which said:

> Oui. Cloudflare 1.1.1.1 ne fait pas autrement, il n'a pas de
> privilège particulier, il parle aux serveurs faisant autorité, comme
> le fait le résolveur public de FDN, ou comme le fait le petit
> résolveur Knot qui est chez moi.

La preuve avec dig. Voici la requête qu'un résolveur enverrait à un
des serveurs faisant autorité pour .fr, le d.nic.fr. La réponse arrive
bien, alors qu'elle est partie d'une petite machine Debian ordinaire, bêtement
connectée à un FAI grand public (Free) :

% dig +dnssec +norecurse @d.nic.fr www.paypal.fr 

; <<>> DiG 9.18.16-1-Debian <<>> +dnssec +norecurse @d.nic.fr www.paypal.fr 
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44594
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
; COOKIE: 55a74fbb3177a8130100650db3019fb5c6c75bc88734 (good)
;; QUESTION SECTION:
;www.paypal.fr. IN 

;; AUTHORITY SECTION:
paypal.fr.  3600 IN NS ns1.p57.dynect.net.
paypal.fr.  3600 IN NS pdns100.ultradns.net.
paypal.fr.  3600 IN NS pdns100.ultradns.com.
paypal.fr.  3600 IN NS ns2.p57.dynect.net.
paypal.fr.  3600 IN DS 49549 8 2 (
D99B0F323A7E1161CD598AA9ACDAC29235F6707D0E4A
C6EBC59FCB703E96AB63 )
paypal.fr.  3600 IN RRSIG DS 13 2 3600 (
20231126092821 20230915144228 60747 fr.
UouuMe6fve2zA8wRqaJCWXoPqjFDh0XafGdfwQ5sM65a
eRJotF77ify6lIXaYkt9iT0XueXYMDCRjeXafdBIzg== )

;; Query time: 0 msec
;; SERVER: 2001:678:c::1#53(d.nic.fr) (UDP)
;; WHEN: Fri Sep 22 15:30:09 UTC 2023
;; MSG SIZE  rcvd: 334

Re: Conseils sur la configuration DNS d'un serveur

[Stephane Bortzmeyer]

On Fri, Sep 22, 2023 at 04:49:07PM +0200,
 Olivier  wrote 
 a message of 10 lines which said:

> Quand on installe sur sa machine, un logiciel comme Unbound, celui-ci
> sait-il directement interroger les serveurs DNS centraux qui gèrent
> les .com, .fr et autres  (ie sans passer par les serveurs comme
> 1.1.1.1 ou autres ) ?

Oui. Cloudflare 1.1.1.1 ne fait pas autrement, il n'a pas de privilège
particulier, il parle aux serveurs faisant autorité, comme le fait le
résolveur public de FDN, ou comme le fait le petit résolveur Knot qui
est chez moi.

Re: Conseils sur la configuration DNS d'un serveur

[Stephane Bortzmeyer]

On Fri, Sep 22, 2023 at 04:55:05PM +0200,
 Olivier  wrote 
 a message of 11 lines which said:

> > Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en
> > direct.
> >
> Je n'avais pas compris que c'était possible !

Tout le monde peut installer un vrai résolveur (qui parle directement
aux serveurs faisant autorité). Enfin, pour l'instant : parions que le
gouvernement va proposer une loi pour interdire cela.

Re: [HS] Patche de binnaires ?

[Stephane Bortzmeyer]

On Tue, Sep 19, 2023 at 05:40:55AM -0700,
 ptilou  wrote 
 a message of 19 lines which said:

> Je me demande si il existe des lectures pour savoir comment
> manipuler des binaires et puis de les patchers ?

emacs (son hexl-mode est très bien pour ça). Mais, comme l'a noté
Basile, c'est très compliqué et il y a plein de pièges.

> Je sais qu'il y a des personnes qui sont capable de lire le binnaire
> ( en plus de programmes qui font du reverse

Si c'est un exécutable, un désassembleur fait ça très bien.

% objdump --disassemble-all binaire.elf
...
  46e548:   48 89 7c 24 78  mov%rdi,0x78(%rsp)
  46e54d:   48 89 74 24 60  mov%rsi,0x60(%rsp)
  46e552:   48 01 faadd%rdi,%rdx
...

> je l'ai vue en action a la St Olivetti (optimiser le binaire) ...

Mais s'agissait-il d'exécutables ? Ou bien de fichiers comme les
formats png ou pcap ?

> le patche kernel ou autre ce fait par script et comparaison du
> binaires sortie de compile avec diff ?

Euh, non, on ne fait plus ça depuis au moins 25 ans (je me souviens,
il y a très longtemps, avoir vu un administrateur système patcher un
noyau SunOS vivant et en production, avec un débogueur ; c'était
l'époque où changer les paramètres du noyau nécessitaient ce genre de
manipulations, moi, je n'ai jamais osé).

Re: Conseils sur la configuration DNS d'un serveur

[Stephane Bortzmeyer]

On Fri, Sep 22, 2023 at 11:01:52AM +0200,
 Olivier  wrote 
 a message of 48 lines which said:

> - pour chaque VLAN, j'aimerai pouvoir désigner un fichier
> /etc/hosts.vlanx dans lequel je liste quelques ressources locales
> (imprimante, ...) pouvant être résolues.

Hmmm, ça va sérieusement compliquer les choses (et le déboguage !). À
part avec les vues, je ne vois pas comment faire.

> Vis à vis du DNS amont, j'utilise un fichier /etc/resolv.conf dont le
> contenu est:
> options rotate timeout:1 retries:1
> search monsuperdomain.lan
> nameserver 1.1.1.1
> nameserver 9.9.9.9

Alors, quatre remarques :

- pourquoi utiliser des résolveurs étatsuniens qui font Dieu sait quoi
des données récoltées ?
- pourquoi d'ailleurs utiliser un résolveur en aval, plutôt que de
parler directement aux serveurs faisant autorité ?
- /etc/resolv.conf est pour les clients finaux, pas pour un résolveur,
- avoir à la fois un résolveur non menteur et un menteur va être assez
cauchemardesque pour le déboguage.

> 1. Préférez-vous séparer le paramétrage DNS amont (/etc/resolv.conf)
> de celui en aval ?

Pas clair. Pas compris.

> 2. Activer le DNSSEC engendre-t-il des difficultés pour
> l'exploitant ?

On est en 2023, tous les résolveurs sérieux valident avec DNSSEC.

> Les utilisateurs lambda perçoivent-ils selon vous, des bénéfices ou
> des inconvénients ?

Bénéfice : sécurité
Inconvénient : comme toutes les techniques de sécurité, ça peut
bloquer des accès légitimes

> 3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok
> ou youtube, faut-il attendre des bénéfices avec du cache DNS (par
> rapport à une configuration où les utilisateurs interrogent
> directement des DNS publics) ?

Tester. (En administration système, il faut mesurer, pas supposer.)

> 4. Conseillez-vous unbound ? Si non, quelle alternative ?

Unbound est très bien, mais Knot Resolver aussi.

Re: Conseils sur la configuration DNS d'un serveur

[Stephane Bortzmeyer]

On Fri, Sep 22, 2023 at 02:02:36PM +0200,
 Michel Verdier  wrote 
 a message of 31 lines which said:

> > 4. Conseillez-vous unbound ? Si non, quelle alternative ?
> 
> bind9 est quand même LE serveur DNS.

En 2023, c'est une affirmation très bizarre. Cela fait de nombreuses
années qu'il existe de meilleurs logiciels. BIND est utile dans deux
cas :
- si on veut une option très exotique qui n'existe que sur BIND,
- si on aime les patches de sécurité à appliquer en urgence tous les mois.

> - forwarder en servant de cache

Comem tous les résolveurs (encore heureux).

> - mettre DNSSEC

Comme tous les résolveurs (encore heureux).

> Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en
> direct.

Comme tous les résolveurs (encore heureux).

Re: comment trouver (sur Debian ou Ubuntu) le pays géographique d'une adresse IPv4 ou IPv6?

[Stephane Bortzmeyer]

On Mon, Dec 05, 2022 at 02:34:14PM +0100,
 ajh-valmer  wrote 
 a message of 6 lines which said:

> Taper : 
> whois 
> et extraire la ligne "Country:"

RDAP, c'est mieux

(le deuxième exemple, « Obtenir des informations sur le pays du
titulaire » marche avec les adresses IP).

Mais, surtout, se souvenir que les bases des RIR sont de qualité…
variable. S'il s'agit juste de produire de vagues statistiques, ce
n'est pas un problème mais s'il s'agit de faire de l'investigation
numérique sérieuse, il ne faut pas se contenter de ce que renvoient
whois et RDAP.

Re: Ma sortie traceroute contredit ce que Wireshark affiche. Une explication ?

[Stephane Bortzmeyer]

On Wed, Nov 23, 2022 at 09:42:10AM +0100,
 Olivier  wrote 
 a message of 146 lines which said:

> J'en retiens que:

Désolé mais non, ce n'est toujours pas ça.

> 1. traceroute en UDP ne marche pas.

Ça dépend. Port 53 vers un serveur DNS va marcher (ou alors c'est que
le serveur a un gros problème). Évidemment, ça ne nous dit rien de ce
que vont faire les intermédiaires.

> 2. on teste la connectivité de bout en bout avec ICMP (ping,
> traceroute -I, ...)

Non. ICMP peut être bloqué. Si on veut tester la connectivité avec un
serveur, la seule méthode qui marchera à tous les coups est de tester
avec le service que ce serveur est censé fournir.

Re: Impossible de joindre un ancien serveur

[Stephane Bortzmeyer]

On Fri, Apr 15, 2022 at 06:39:30PM +0200,
 NoSpam  wrote 
 a message of 18 lines which said:

> > En passant d'un serveur dédié à une simple freebox, je perds mon serveur
> > DHCP et DNS, du coup impossible de joindre les PC de mon réseau avec
> > leur hostname... Grr
> 
> La Freebox fait aussi serveur DHCP et DNS

Et on peut lui demander d'indiquer en DHCP comme résolveur DNS les
adresses IP qu'on veut (donc par exemple un serveur à soi). Et on peut
aussi la mettre en simple pont, et placer le routeur de son choix
derrière.

Re: Outil en CLI pour convertir une IPv4 en entier et réciproquement

[Stephane Bortzmeyer]

On Fri, Mar 11, 2022 at 05:29:01PM +0100,
 Olivier  wrote 
 a message of 11 lines which said:

> conversion d'IPv4 en entier et réciproquement ?

% python3 -c "import sys, ipaddress; addr = ipaddress.ip_address(sys.argv[1]); 
print(int(addr))" 192.0.2.1 
3221225985

Re: Exposer mon site web sur le net par l’ip publique d’un VPN comme ProtonVPN ou autre.

[Stephane Bortzmeyer]

On Tue, Jan 18, 2022 at 05:13:35PM +,
 benoit  wrote 
 a message of 56 lines which said:

> Vu que mon FAI ne me donne pas une IP fixe, que dois-je faire pour
> utiliser l’IP fixe du serveur VPN (dans ce cas ci ProtonVPN) pour
> exposer mon site web sur internet?

Une solution possible est d'utiliser un des services auxquels on se
connecte depuis l'intérieur, avant de recevoir les connexions
extérieures. Un exemple est mysocket. Mon expérience :

https://www.bortzmeyer.org/mysocket.html

Re: [résolut] Re: apache2 et virtualhosts

[Stephane Bortzmeyer]

On Sun, Nov 21, 2021 at 08:24:47PM +0100,
 Kohler Gerard  wrote 
 a message of 15 lines which said:

> reste la grande question : pourquoi firefox recherche une adresse https pour
> .home et non pour .local, .com ...

- .com existe
- .home n'existe pas
- .local n'existe pas MAIS est dans le registre des noms de domaine
  spéciaux

Ça pourrait expliquer des choses.

Re: apache2 et virtualhosts

[Stephane Bortzmeyer]

On Thu, Nov 18, 2021 at 09:52:11PM +0100,
 Kohler Gerard  wrote 
 a message of 20 lines which said:

> j'ai un réseau interne dont le nom de domaine est .home

C'est a priori une très mauvaise idée. Si un jour l'ICANN délègue
.home, le déboguage deviendra infernal. Il vaut toujours mieux
prendre un sous-domaine d'un domaine qu'on a déjà.

> je me pose cependant une question: je n'arrive pas à créer de virtualhost
> dont le nom de domaine serait yyy.home.
> 
> yyy.com, yy.local marchent.

Comme dit par ailleurs, on ne teste pas ses serveurs HTTP avec un
navigateur Web. Ceux-ci sont en effet des logiciels très complexes
avec plein de fonctions qui sont là pour aider l'utilisateur mais qui
compliquent le déboguage. (Par exemple, Firefox qui ajoute
automatiquement le "www" devant le nom de domaine si le nom en
question n'a pas d'adresse IP. C'est sympa, mais ça peut dissimuler un
problème.)

Il vaut mieux utiliser un outil simple comme curl. Par exemple :

curl -v http://yyy.home/

donne quel message d'erreur (et toujours envoyer les messages d'erreur
littéraux, pas de résumé ou d'interprétation) ?

Re: apache2 et virtualhosts

[Stephane Bortzmeyer]

On Fri, Nov 19, 2021 at 12:51:19PM +0100,
 Kohler Gerard  wrote 
 a message of 97 lines which said:

> lorsque je mets l'adresse du site dans firefox cela m'affiche la page de
> Google 
> 
> les fichiers /etc/hosts sont bien renseignés

Si ça ne marche pas comme voulu, c'est justement que QUELQUE CHOSE
(pas forcément /etc/hosts) n'est pas bien renseigné. Quand on débogue
(que ce soit un programme ou une configuration réseau), on a toujours
tendance à s'auto-rassurer, à se dire qu'on n'a pas pu faire une
erreur à cet endroit là. Et, en général, si, on a fait une erreur.

Re: apache2 et virtualhosts

[Stephane Bortzmeyer]

On Fri, Nov 19, 2021 at 05:35:15PM +0100,
 Sabri KHEMISSA  wrote 
 a message of 103 lines which said:

> Néanmoins voici quelques pistes à creuser (ne pas hésiter à partager les
> résultats des commandes) :
> - service apache2 up & running
> $ systemctl status apache2
> - lancement manuel d'apache2
> $ systemctl stop apache2
> $ sudo apachectl -D FOREGROUND

Comme le note François, il est très probable que le navigateur n'a
même pas essayé de contacter Apache car il y a un problème de
résolution de noms.

Un curl -v http://le-truc-qui-ne-va-pas.home/

nous renseignerait exactement.

Re: Activer le SSL sur un port différent que le 443

[Stephane Bortzmeyer]

On Sat, Oct 23, 2021 at 05:25:41PM +0200,
 François TOURDE  wrote 
 a message of 17 lines which said:

> Je rajouterai une question:
> 
>   - Que dit curl (avec assez de -v pour qu'il soit bavard) ?

Oui, très important (on ne teste *pas* un problème HTTPS avec un
navigateur).

PS : SSL a été remplacé par TLS il y a 21 ans (certain·es abonné·es de
cette liste n'étaient pas encore né·es) et a été officiellement
abandonné il y a 6 ans .

Re: Archiver mails

[Stephane Bortzmeyer]

On Wed, Jun 16, 2021 at 04:31:29PM +0200,
 Marc Chantreux  wrote 
 a message of 9 lines which said:

> > > > boites par exemple debian/french -> debian/french-2021-06
> 
> question: pourquoi archiver les listes alors qu'il y a une version en
> ligne? tu conserves l'intégralité des threads?

- je n'ai pas confiance dans le cloud
- ça permet de chercher avec grepmail

Re: HS: postfix relay denied en ipv6

[Stephane Bortzmeyer]

On Tue, Jun 15, 2021 at 03:56:13PM +0200,
 NoSpam  wrote 
 a message of 23 lines which said:

> Ceci doit être écrit sans les crochets et le masque ne fonctionne pas :(

Dans la directive mynetworks, ça marche très bien.

Re: HS: postfix relay denied en ipv6

[Stephane Bortzmeyer]

On Tue, Jun 15, 2021 at 10:10:19AM +0200,
 NoSpam  wrote 
 a message of 21 lines which said:

> Exact, cela ne change toutefois rien d'autant que certaines adresses sont
> des GUA que j'ai définies sans masque. Je viens de tenter en mettant le
> masque /128 sur ces GUA et le /64 comme ci dessus, résultat identique :(
> 
> ... said 554 5.7.1: Relay access denied (in reply to RCPT TO
> command)

CMCM (je viens de tester avec une machine acceptée et une rejetée et
le mail.log montre bien ce qu'il faut) donc il faudrait regarder le
message d'erreur complet, notamment l'adresse IP.

Re: Archiver mails

[Stephane Bortzmeyer]

On Tue, Jun 15, 2021 at 08:34:38AM +0200,
 Gabriel Moreau  wrote 
 a message of 113 lines which said:

> > ./backup-mailboxes.py && (find Mail -type f -ctime +90 | xargs gzip --best)
> 
> Je me disais, quoi que du bon gros Python pour faire ça, il y a un truc qui
> ne vas pas !

Ça pourrait certainement se faire en Python, mais j'avais la flemme.

> Heureusement, tout finit par une belle basherie ;-)

C'est du shell standard, il me semble.

Re: HS: postfix relay denied en ipv6

[Stephane Bortzmeyer]

On Mon, Jun 14, 2021 at 10:51:32PM +0200,
 NoSpam  wrote 
 a message of 48 lines which said:

> [fd53:ac59:337:8b38::/64] ok

Il me semble que la syntaxe normale est :

[fd53:ac59:337:8b38::]/64 ok

Re: Archiver mails

[Stephane Bortzmeyer]

On Mon, Jun 14, 2021 at 05:08:36PM +0200,
 steve  wrote 
 a message of 12 lines which said:

> > Un petit script Python lancé par cron tous les mois qui renomme les
> > boites par exemple debian/french -> debian/french-2021-06.
> 
> Serait-ce possible de le partager ou est-ce secret défense ?

Attaché. À lancer, par exemple, avec :

./backup-mailboxes.py && (find Mail -type f -ctime +90 | xargs gzip --best)
#!/usr/bin/env python3

# $Id: backup-mailboxes.py 5778 2021-06-15 06:10:10Z stephane $

import os
import re
import time

startdir = os.environ['HOME'] + "/Mail"
filter = "-[-0-9]+(\.gz|\.bz2|.Z|)$"
regexp = re.compile(filter)

def display(name):
if not regexp.search(name):
newname = name + \
  time.strftime("-%Y-%m", time.localtime(time.time()-\
(14*86400)))
if exists(newname):
print(newname + " already exists, skipping...")
else:
print(name + " -> " + newname)
os.rename (name, newname)

def exists(filename):
try:
values = os.stat(filename)
return 1
except os.error:
return 0

def listsub(dir, action):
try:	
names = os.listdir(dir)
except os.error:
print("Can't list", dir)
names = []
for name in names:
fullname = os.path.join(dir, name)
if os.path.isfile(fullname):
action(*(fullname,))
elif os.path.isdir(fullname) and \
 not os.path.islink(fullname):
listsub(fullname, action)

if __name__ == '__main__':
listsub(startdir, display)

Re: Archiver mails

[Stephane Bortzmeyer]

On Mon, Jun 14, 2021 at 01:15:04PM +0200,
 steve  wrote 
 a message of 9 lines which said:

> Comment faites-vous pour archiver vos messages ?

Un petit script Python lancé par cron tous les mois qui renomme les
boites par exemple debian/french -> debian/french-2021-06.

Re: Comparaison de bases de données PostgreSQL

[Stephane Bortzmeyer]

On Fri, Jun 04, 2021 at 12:14:51PM +0200,
 Olivier  wrote 
 a message of 49 lines which said:

> Quels outils et méthodes me conseillez-vous d'utiliser pour comparer
> deux bases de données PostgreSQL (droits, structure, données)

pg_dump (avec évidemment les mêmes options des deux côtés) et diff ?
Pas sûr que ça marche, car le dump n'est pas forcément dans un ordre
déterministe mais ça vaudrait le coup d'essayer.

Re: Hébergement de nom de domaine (sondage ultra rapide)

[Stephane Bortzmeyer]

On Wed, Apr 07, 2021 at 07:11:17PM +0200,
 Dethegeek  wrote 
 a message of 113 lines which said:

> Il y a un registrar gratuit : eu.org.

On Wed, Apr 07, 2021 at 06:56:31PM +0200,
 Wallace  wrote 
 a message of 79 lines which said:

> Je te recommande un registre [...] Pour cela j'utilise Bookmyname

J'en profite pour faire mon embêtant : eu.org n'est pas un BE
("registrar", en anglosaxonien) mais un registre, et Bookmyname, c'est
l'inverse, ce n'est pas un registre mais un BE (Bureau
d'Enregistrement).

Et maintenant une page de pub pour tout expliquer :

https://www.afnic.fr/observatoire-ressources/papier-expert/que-se-passe-t-il-quand-on-enregistre-un-nom-de-domaine/

Re: FOSDEM & RefPerSys

[Stephane Bortzmeyer]

On Tue, Feb 02, 2021 at 09:39:31AM +0100,
 Basile Starynkevitch  wrote 
 a message of 126 lines which said:

> Que me conseillez vous de faire très concrètement?
> 
> Des slides LaTeX Beamer?

Bon, évidemment, chacun ses goûts mais, oui, pour le FOSDEM, j'ai fait
mes supports avec LaTeX/Beamer et, dans la vidéo (pour les
présentations formelles, le FOSDEM demandait des vidéos faites à
l'avance), j'ai fait quelques démos avec un xterm et avec Emacs.

Re: [HS] Message suspect

[Stephane Bortzmeyer]

On Fri, Jan 08, 2021 at 10:10:01PM +0100,
 MERLIN Philippe  wrote 
 a message of 26 lines which said:

> le deuxième fait c'est que l'adresse mail n'est pas exactement la
> mienne je ne comprends pas comment cela a pu arrivé dans ma boite
> mail ?

C'est parce qu'il y a deux choses dans un message, l'enveloppe et
l'en-tête (ces termes viennent du courrier papier et veulent bien dire
ce qu'ils veulent dire).. L'en-tête est ce que vous montrent la
plupart des logiciels de messagerie mais elle est purement décorative,
et n'est pas utilisée pour le routage des messages. (Au passage, ceci
est valable pour le destinataire mais aussi pour l'expéditeur, et
c'est pour cela que le conseil classique « méfiez-vous des messages
envoyés par les inconnus » est stupide, car le fait qu'il y a un
expéditeur connu dans l'en-tête ne veut rien dire.)

Un exemple pour comprendre la distinction : cette liste de
diffusion. Vous en recevez les messages bien que votre adresse
n'apparaisse pas dans l'en-tête.

Re: [HS] Message suspect

[Stephane Bortzmeyer]

On Sat, Jan 09, 2021 at 08:37:53AM +0100,
 k6dedi...@free.fr  wrote 
 a message of 64 lines which said:

> J'ai vu dans "Linux pratique" qu'ils parlaient de Pi-Hole pour
> éviter les pubs et les  pourriels.

Je vois bien comment Pi-Hole protège contre une partie des publicités
mais je ne vois vraiment pas comment il pourrait protéger contre le
spam entrant. Des explications ?

Xorg tourne à 100 % du CPU ("ioctl(13, DRM_IOCTL_I915_GEM_CREATE...

[Stephane Bortzmeyer]

Soit une machine Debian "desktop" en 10.6 buster.

De temps en temps, le serveur X ne répond plus à rien (ni souris, ni
clavier). En se connectant depuis une autre machine, on voit qu'il
tourne à 100 % du CPU et strace montre qu'il boucle sur :

ioctl(13, DRM_IOCTL_I915_GEM_BUSY, 0xbfcc8724) = 0
ioctl(13, DRM_IOCTL_I915_GEM_EXECBUFFER2, 0xbfcc878c) = 0
ioctl(13, DRM_IOCTL_I915_GEM_BUSY, 0xbfcc878c) = 0
ioctl(13, DRM_IOCTL_I915_GEM_CREATE, 0xbfcc877c) = 0
ioctl(13, DRM_IOCTL_GEM_CLOSE, 0xbfcc86f4) = 0
ioctl(13, DRM_IOCTL_I915_GEM_BUSY, 0xbfcc8724) = 0
ioctl(13, DRM_IOCTL_I915_GEM_EXECBUFFER2, 0xbfcc878c) = 0
ioctl(13, DRM_IOCTL_I915_GEM_BUSY, 0xbfcc878c) = 0
ioctl(13, DRM_IOCTL_I915_GEM_CREATE, 0xbfcc877c) = 0
ioctl(13, DRM_IOCTL_GEM_CLOSE, 0xbfcc86f4) = 0
...

Une idée ?

X.Org X Server 1.20.4
[ 13632.206] Build Operating System: Linux 4.19.0-10-amd64 i686 Debian
[ 13632.206] Current Operating System: Linux 4.19.0-12-686-pae #1 SMP Debian 
4.19.152-1 (2020-10-18
) i686
[ 13632.206] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-4.19.0-12-686-pae 
root=UUID=1679ed76-c60d-49f8-b9c
2-a05aff7a8a08 ro quiet
[ 13632.206] Build Date: 27 August 2020  08:51:48AM
[ 13632.206] xorg-server 2:1.20.4-1+deb10u1 (https://www.debian.org/support) 

Re: Quel serveur DNS choisir pour recevoir des mises à jour DynDNS locales ?

[Stephane Bortzmeyer]

On Mon, Aug 31, 2020 at 10:01:58AM +0200,
 Olivier  wrote 
 a message of 40 lines which said:

> Est-il possible d'utiliser cela avec un autre serveur DNS que Bind9 ? Si
> oui, lesquels ?

Il faut un serveur faisant autorité qui accepte les mises à jour
dynamiques (dynamic updates). Je n'ai jamais essayé mais je crois que
ça marche avec Knot ou avec PowerDNS.

Re: Lancer une appli graphique en ssh : ça s'améliore

[Stephane Bortzmeyer]

On Wed, Apr 22, 2020 at 11:24:24AM +0200,
 ajh-valmer  wrote 
 a message of 67 lines which said:

> > Non. À moins qu'il n'y ait un script quelque part qui redéfinisse
> > DISPLAY (ce qu'il ne faut pas faire, ssh le faisant très bien tout seul) :
> 
> L'erreur affichée a toujours été : "cannot open display:
> localhost:10.0".

Mais cela n'a rien à voir avec ma question. Je la reformule. Y a-t-il,
sur la machine distante, un fichier de configuration, genre .profile
ou .zshrc, qui définit explicitement la variable d'environnement
DISPLAY ? Cela pourrait expliquer le problème.

> > Difficile à dire, comme vous n'avez pas fait de 'ssh -v' (qui
> > permettrait de voir le problème) :
> 
> Mais si, toutes mes requêtes SSH contenaient évidemment le "-v",

J'ai relu la totalité du fil de discussion, et je ne vois pas une
seule fois la sortie de la commande 'ssh -v'. Essayer de trouver la
cause du problème dans ces conditions, c'est comme déboguer un
logiciel dont on n'a pas les sources. C'est possible, mais c'est plus
dur.

> et X11Forwarding (serveur) était à "yes" dès le départ.

Je suis sceptique, puisqu'on n'a pas la sortie de 'ssh -v', et que
vous ne dites pas comment vous avez vérifié ce point (dans
sshd_config ? Dans ~/.ssh/config ?)

> Ce point d'un serveur X à lancer, sur le serveur SSH et/ou le
> client,

Je maintiens qu'une bonne partie du problème vient de ce que vous
n'utilisez pas la bonne terminologie. Notamment, "client" ou "serveur"
tout court, sans indication du protocole derrière ("serveur X",
"client HTTP") n'a pas de sens (on n'est pas "client" ou "serveur"
dans l'absolu, on l'est pour un certain protocole, et même pour une
session particulière), et ne fait qu'aggraver la confusion.

> Le sujet reste non résolu pour moi.

Parce qu'on manque de données.

Re: Lancer une appli graphique en ssh : ça s'améliore

[Stephane Bortzmeyer]

On Sat, Apr 18, 2020 at 04:46:47PM +0200,
 ajh-valmer  wrote 
 a message of 31 lines which said:

> > (au milieu des énormités lues dans ce fil),
> > Tout ce fil de discussion est à jeter à la poubelle :
> Quelles énormités... ?  Pourquoi ?

> 
> Tu ne les indiques pas

Faux (cf. ma réponse à Pierre Malard)

> et ni même une piste de solution.

Faux encore (la solution est de ne pas utiliser xhost du tout, ssh
marche sans lui)

> C'est un problème de n° de display.

Non. À moins qu'il n'y ait un script quelque part qui redéfinisse
DISPLAY (ce qu'il ne faut pas faire, ssh le faisant très bien tout seul).

Difficile à dire, comme vous n'avez pas fait de 'ssh -v' (qui
permettrait de voir le problème).

> Aucun tuto ne dit s'il faut lancer le serveur X sur le serveur ?

Je pense surtout que votre terminologie est défaillante.

Sur la machine locale (celle que vous avez sous les yeux et que vous
touchez), il faut un serveur X, pour piloter l'écran.

Sur la machine distante (celle qu'on indique en argument à ssh), il ne
faut pas de serveur X mais un client X (des bibliothèques qui sont
incluses dans Debian, par exemple 'apt-cache show PAQUETAGE' montre
qu'un programme graphique dépend de X).

Re: Lancer une appli graphique en ssh : ça s'améliore

[Stephane Bortzmeyer]

On Sun, Apr 19, 2020 at 10:10:53AM +0200,
 Pierre Malard  wrote 
 a message of 100 lines which said:

> Sauf que, avant d’être méprisant et sentencieux on peut aussi être
> constructif et … pédagogue.

Quand quelqu'un donne des conseils absurdes et dangereux, il n'y a
aucune raison d'être patient. Il est normal de crier stop.

Re: Lancer une appli graphique en ssh : ça s'améliore

[Stephane Bortzmeyer]

On Thu, Apr 16, 2020 at 10:55:30AM +0200,
 ajh-valmer  wrote 
 a message of 20 lines which said:

> et toujours l'impossibilité de faire sur le client :
> ssh user@  -X  

Le plus probable, et je suis surpris que cela n'ait pas été mentionné
(au milieu des énormités lues dans ce fil) est que la machine distante
n'autorise pas le forwarding X11. Dans le /etc/ssh/sshd_config de
cette machine distante, vérifier qu'il y a :

X11Forwarding yes

(Attention, cela peut affaiblir la sécurité.)

Et sinon, la classique option -v du client ssh donnera tous les
détails, permettant de savoir exactement ce qui n'allait pas.

Re: Lancer une appli graphique en ssh

[Stephane Bortzmeyer]

On Mon, Apr 13, 2020 at 05:36:52PM +0200,
 Pierre Malard  wrote 
 a message of 123 lines which said:

>   • lancer la commande « xhost + » sur son PC avant de
> faire le SSH -X ou -Y

NE FAITES CELA EN AUCUN CAS !

Cela permet à n'importe quelle machine de l'Internet de lancer une
application X sur votre serveur (l'appication pouvant, par exemple,
redéfinir les touches du clavier).

Tout ce fil de discussion est à jeter à la poubelle. Avec ssh, on
n'utilise PAS xhost. ssh a son propre mécanisme, bien plus sécurisé
que celui de X11.

Re: Hyperviseur

[Stephane Bortzmeyer]

On Wed, Jun 27, 2018 at 08:53:44PM +0200,
 roger.tar...@free.fr  wrote 
 a message of 43 lines which said:

> Je ne connais pas Docker. 
> J'en avais juste entendu parler à propos de l'emplilement monstrueux qu'il 
> permet, comparé à des micro-noyaux. 
> C'est insuffisant pour savoir de quoi il en retourne !

Sinon, il y a LXC ?

https://wiki.debian.org/LXC


aptitude install lxc
sudo lxc-create -t download -n Test
   Distribution: debian
   Release: stretch 
   Architecture: i386
sudo lxc-start -n Test
sudo lxc-attach -n Test

Et il n'y a plus qu'à configurer la "machine" (le container)

Re: Pas de ping sur un poste particulier

[Stephane Bortzmeyer]

On Wed, Nov 22, 2017 at 01:24:15PM +0100,
 Pierre L.  wrote 
 a message of 70 lines which said:

> Je partage effectivement ce point de vue, un "homeg.lan" devrait
> très largement suffire pour son réseau perso...

Pour un réseau personnel, en effet, je m'en fiche, mais on voit des
gens faire cela pour le réseau d'une école, d'une entreprise ou d'une
association, et ce sera leur successeur·e qui devra gérer cette faute,
gr.

> En regardant par curiosité sur OVH, je n'aperçois pas la possibilité
> d'acheter un nom en .lan par exemple.

Oui, enfin, si on veut savoir si .lan est délégué, regarder via OVH
n'est certainement pas la bonne solution. Il y a des tas de TLD qu'OVH
ne vend pas. Il faut regarder la liste officielle
 ou, bien sûr, le DNS :

% dig SOA lan
   N'existe pas
   
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 8568

Rien entre .lamer et .lancaster :
vvv
lamer.  10800 IN NSEC lancaster. NS DS RRSIG NSEC

Mais que .lan existe aujourd'hui ou pas est un détail. C'est le futur,
le problème.

Re: Pas de ping sur un poste particulier

[Stephane Bortzmeyer]

On Wed, Nov 22, 2017 at 09:48:45AM +,
 Eric Degenetais  wrote 
 a message of 72 lines which said:

> Un autre nom sur le même tld devrait fonctionner normalement

Non.

> ou est-ce que je rate quelque chose ?

Oui, le fait que le DNS est arborescent (un .lan délégué par la racine
efface tous les LAN en dessous).

Re: Pas de ping sur un poste particulier

[Stephane Bortzmeyer]

On Wed, Nov 22, 2017 at 09:58:26AM +0100,
 Pierre L.  wrote 
 a message of 63 lines which said:

> Si toutefois quelqu'un venait à acheter ce domaine "homeg.lan",

Non, le risque est que quelqu'un achète le TLD .lan (pas délégué à
l'heure actuelle).

> Sorti de cette éventualité qui me parait assez peu probable,

Des collisions se sont déjà produites avec des TLD nouvellement
créés. C'est plus que probable, ça s'est déjà fait !

(.box)

(.dev)

Re: Pas de ping sur un poste particulier

[Stephane Bortzmeyer]

On Tue, Nov 21, 2017 at 10:32:55PM +0100,
 Migrec  wrote 
 a message of 15 lines which said:

> Je voulais simplement dire par là que mon réseau perso comprend un petit
> serveur mais qui a besoin d'être nommé en interne avec un FQDN... Qu'est ce
> que je peux utiliser comme domaine afin que ça reste "interne" sans acheter
> de nom de domaine ?

Sans l'acheter ? Prendre un domaine gratuit 

Re: Pas de ping sur un poste particulier

[Stephane Bortzmeyer]

On Tue, Nov 21, 2017 at 09:11:32PM +0100,
 Migrec  wrote 
 a message of 17 lines which said:

> Si un jour le .lan fait partie des extensions possibles ?

Il n'y a que le marketing qui appelle ça « extension » :-)


> Comment gérer son domaine perso ?

Le mieux est de prendre un sous-domaine d'un domaine qu'on a déjà.

> Mes besoins sont ridicules, c'est moins de 10 machines.

Le nombre n'a pas d'importance, un domaine est loué le même prix qu'on
y mettre dix enregistrements ou dix millions.

Re: Pas de ping sur un poste particulier

[Stephane Bortzmeyer]

On Sun, Nov 19, 2017 at 09:08:19PM +0100,
 Migrec  wrote 
 a message of 23 lines which said:

> ddns-domainname "homeg.lan.";

Un rappel : c'est une grosse erreur d'utiliser un TLD actuellement non
délégué pour nommer ses machines locales. Un jour, l'ICANN le
déléguera et vous serez bien embêté. (Comme c'est arrivé aux
utilisateurs de .dev ou de .box.)

Re: Explication sur un ping étrange

[Stephane Bortzmeyer]

On Mon, Oct 30, 2017 at 08:09:00PM +0100,
 Migrec  wrote 
 a message of 42 lines which said:

> Donc ça prendrait la route par défaut, qui part vers le net et l'une des
> machines répondrait.

traceroute permettrait de remplacer le conditionnel par l'indicatif.

Re: Iceweasel a empêché l'exécution du plugin obsolète Adobe Flash

[Stephane Bortzmeyer]

On Tue, Jul 14, 2015 at 12:30:02AM +0200,
 andre_deb...@numericable.fr andre_deb...@numericable.fr wrote 
 a message of 30 lines which said:

 On faiit comment pour ne plus avoir ce message ? :

On désinstalle Flash. Rares sont les vidéos qui le nécessitent encore.

 J'en ai ras le bol avec les plugins d'Adobe Flash Player, sans arrêt
 il faut les renouveler, et là ça marche plus, car Iceweasel et
 Firefox sont de plus en plus restrictifs !
 
 D'ailleurs, jouent-ils le jeu de la liberté avec leur hyper contrôle
 de tout, certificats, plugins, modules...
 
 Ça devient plus que pénible :-(

Je vais supposer qu'il s'agit de remarques sincères et pas de
troll. Donc, pour le bénéfice des gens qui ne sont pas sortis de leur
grotte depuis trois semaines, je résume : le vendeur d'armes
numériques Hacking Team s'est fait pirater le 5 juillet. Le pirate a
mis en ligne 400 Go de données d'Hacking Team dont toutes les
exploitations découvertes (ou achetées) par cette boîte (et gardées
secrètes, pour pouvoir les vendre aux dictateurs et policiers). On
pouvait donc s'attendre à des publications de nombreuses failles et
c'est justement ce qui est arrivé pour Flash.

On en est à la troisième faille grave de Flash en une semaine :
CVE-2015-5119, CVE-2015-5122 et CVE-2015-5123
https://helpx.adobe.com/security/products/flash-player/apsa15-03.html
https://helpx.adobe.com/security/products/flash-player/apsa15-04.html
Au moins la première est activement exploitée dans la nature. L'avis
de tous les gens de la sécurité est le même :il est temps d'abandonner
Flash
http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ALE-005/index.html

Bref, Iceweasel a tout a fait raison.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150714101452.ga28...@sources.org

Re: Iceweasel a empêché l'exécution du plugin obsolète Adobe Flash

[Stephane Bortzmeyer]

On Tue, Jul 14, 2015 at 01:34:40PM +0200,
 andre_deb...@numericable.fr andre_deb...@numericable.fr wrote 
 a message of 60 lines which said:

 Je ne reproche pas Iceweasel et Firefox d'exiger l'upgrade d'applis
 internes à son navigateur, surtout si la sécurité est menacée,

Le communiqué officiel de Mozilla :

https://addons.mozilla.org/en-US/firefox/blocked/p946

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150714143958.ga30...@sources.org

Re: Script surveillance SYN_FLOOD

[Stephane Bortzmeyer]

On Fri, Jul 10, 2015 at 09:57:59PM +0200,
 Frédéric Marécaille frederique.marecai...@numericable.fr wrote 
 a message of 26 lines which said:

 envois un mail si la commande sudo netstat -atpn |grep SYN
 contient quelque chose.

La plupart des réponses sont excessivement compliquées : cron fait
déjà cela tout seul (si la commande exécutée renvoie quelque chose = mail).

Par contre, cette commande ne détecte pas les SYN flood. Sur tout
serveur Internet un peu actif, il y aura forcément des connexions en
état SYN_RECV ou SYN_SENT.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150713202150.ga11...@sources.org

Re: [HS] Chiffrer, oui mais...

[Stephane Bortzmeyer]

On Sun, Nov 16, 2014 at 12:23:37PM +0100,
 steve dl...@bluewin.ch wrote 
 a message of 32 lines which said:

   Premier problème, ça signifie envoyer 10 messages puisque le
   document chiffré sera différent pour chaque personne.

Euh, non, PGP ne fonctionne pas comme cela. Un seul document est
chiffré pour les dix destinataires (pour comprendre comment ça marche,
il faut se rappeler que le chiffrement se fait avec une clé partagée,
chiffrée avec la clé publique de chaque destinataire).

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20141116181552.ga17...@sources.org

Re: [HS] Chiffrer, oui mais...

[Stephane Bortzmeyer]

On Sun, Nov 16, 2014 at 08:31:20AM -0500,
 Fabián Rodríguez magic...@member.fsf.org wrote 
 a message of 121 lines which said:

 Thunderbird et Enigmail c'est intéressant à condition que vos
 interlocuteurs les utilisent tous,

Euh, non, Enigmail utilise la norme OpenPGP
http://www.bortzmeyer.org/4880.html et ça marche donc avec tous les
utilisateurs d'un logiciel OpenPGP.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20141116181750.gb17...@sources.org

Re: Faille Heartbleed d'Openssl

[Stephane Bortzmeyer]

On Tue, Apr 08, 2014 at 11:13:43PM +0200,
 RHATAY Sami rhatay.e1302...@etud.univ-ubs.fr wrote 
 a message of 52 lines which said:

 Par contre je suis sous Jessie et je suis aussi concerné...toujours pas
 de mise à jour en vue pour moi...

Problème classique avec testing : pas de mise à jour de sécurité
rapide. Si on tient à la sécurité, stable ou unstable.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140409073953.gb14...@sources.org

Re: Faille Heartbleed d'Openssl

[Stephane Bortzmeyer]

On Tue, Apr 08, 2014 at 11:01:25PM +0200,
 Stéphane GARGOLY stephane.garg...@gmail.com wrote 
 a message of 42 lines which said:

 En consultant la page Next INpact (ex-PC INpact)

Il vaut mieux consulter les DSA :-)

Ou, sinon, des sources plus primaires : http://seenthis.net/messages/245060

La mise à jour est nécessaire mais pas suffisante. Il faut aussi :

- invalider les sessions (la faille permet de lire les cookies)
- changer les mots de passe (la faille permet de lire un htpasswd en
  mémoire)
- et sans doute changer les clés TLS (pas uniquement re-signer les
  certificats), la faille pouvant permettre de lire les clés privées.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140409073912.ga14...@sources.org

Julian Assange: Debian Is Owned By The NSA

[Stephane Bortzmeyer]

http://igurublog.wordpress.com/2014/04/08/julian-assange-debian-is-owned-by-the-nsa/

(danger : gros fumage de moquette)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140409082101.ga19...@sources.org

Re: Faille Heartbleed d'Openssl

[Stephane Bortzmeyer]

On Wed, Apr 09, 2014 at 10:29:45AM +0200,
 Francois Mescam franc...@mescam.org wrote 
 a message of 19 lines which said:

 pour openssl je ne me rappelle pas.

:-D

http://www.debian.org/security/2008/dsa-1571

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140409085549.ga22...@sources.org

Re: Python et caractères UTF-9

[Stephane Bortzmeyer]

On Sat, Apr 05, 2014 at 12:53:07AM +0200,
 Bzzz lazyvi...@gmx.com wrote 
 a message of 32 lines which said:

 En dehors du fait que ça semble s'arrêter à 110,

Bizarre, Unicode stoppe à U+10, ce qui fait 1114111 en décimal.

 Est-ce juste parce qu'il me manque des polices couvrant les
 caractères en question,

Oui. Et aussi parce que la majorité des caractères ne sont pas encore
définis.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140407172530.ga17...@sources.org

Re: [Postfix] Rejet de nom de domaine usurpé

[Stephane Bortzmeyer]

On Mon, Apr 07, 2014 at 04:35:35PM +0200,
 C. Mourad Jaber m...@nativobject.net wrote 
 a message of 27 lines which said:

 évidement le scan.domaine.com n'existe pas mais les règles de spf
 vont laisser passer ce message parce que le domaine semble
 légitime...

Je serais curieux de voir les règles SPF du domaine. Car, justement,
ce genre d'usurpation est détectée par SPF. Bref, des détails, des
vraies adresses et des vrais noms parce que, sinon, cela semble
bizarre.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140407171847.ga16...@sources.org

Re: [tor / vie privée] Requêtes DNS trop bavardes ?

[Stephane Bortzmeyer]

On Thu, Dec 19, 2013 at 10:47:58AM +0100,
 Armande arma...@x16.fr wrote 
 a message of 71 lines which said:

 Si c'est le cas, alors le serveur DNS @home récupère l'ensemble des
 données des hôtes, et là plus aucune requête DNS des machines locales ne
 filtre à l'extérieur.

Ouh là là, heureusement que Pascal est là pour rectifier le tir et
corriger avec patience.

Bon, sinon, un travail est en cours à l'IETF (groupe de travail dnsop)
pour au moins documenter
les problèmes de vie privée liés au DNS. Le premier document est
l'Internet-Draft
http://tools.ietf.org/html/draft-bortzmeyer-dnsop-dns-privacy 





-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20131219193123.ga16...@sources.org

Re: mon petit labo d'admin - premiers pas

[Stephane Bortzmeyer]

On Tue, Oct 29, 2013 at 11:44:20AM +0100,
 Jean-Marc jean-m...@6jf.be wrote 
 a message of 34 lines which said:

 En gros, dans un premier temps, un serveur avec quelques services
 (web, ldap, dns, jabber).

Aux excellents conseils déjà donnés, je rajoute : et pourquoi pas
commencer dans le nuage ? Pour 10 à 20 € par mois, vous avez une
machine sur laquelle vous pouvez expérimenter à loisir, sans avoir à
gérer la virtualisation vous-même.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20131029193419.ga19...@sources.org

Re: IPV6 : renouveler adresse

[Stephane Bortzmeyer]

On Tue, Sep 24, 2013 at 11:52:28AM +0200,
 Angus Frinc angus.fr...@free.fr wrote 
 a message of 22 lines which said:

 Dans le monde IPv4, sous Debian, un simple dhclient eth0 me
 permet, sans redémarrer mon interface réseau, d'obtenir une nouvelle
 fois ma configuration IP,

Cela ne marche qu'en configuration DHCP. Alors que ifdown eth0; ifup
eth0 marche dans tous les cas et en IPv6 aussi.


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130924103255.ga...@sources.org

Re: bind, edns et taille udp

[Stephane Bortzmeyer]

On Mon, Jul 15, 2013 at 02:43:45PM +0200,
 Raphael Bauduin rbli...@gmail.com wrote 
 a message of 136 lines which said:

 Tentant la résolution avec dig, il veut passer en tcp:
 
   ~$ dig  20120113._domainkey.gmail.com txt
   ;; Truncated, retrying in TCP mode.

Autrefois, dig ne faisait pas d'EDNS par défaut, contrairement à ce
que fait le résolveur de la GNU libc. Il me semble que ce comportement
de dig a changé récemment (difficile à dire quand car j'ai un
+bufsize=4096 dans mon ~/.digrc depuis longtemps, pour que son
comportement soit plus proche de celui du résolveur).
 
Sinon, la lecture de la doc d'Exim indique :

dns_use_edns0   Use: main   Type: integer   Default: -1
If this option is set to a non-negative number then Exim will initialise the 
DNS resolver library to either use or not use EDNS0 extensions, overriding the 
system default. A value of 0 coerces EDNS0 off, a value of 1 coerces EDNS0 on.

If the resolver library does not support EDNS0 then this option has no
effect.

Il faudrait donc essayer en le mettant à 1. Mauvaise idée de la part
d'Exim de ne pas le faire par défaut.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130719213041.ga9...@sources.org

Re: bind, edns et taille udp

[Stephane Bortzmeyer]

On Mon, Jul 15, 2013 at 03:03:08PM +0200,
 Bzzz lazyvi...@gmx.com wrote 
 a message of 44 lines which said:

 C'est le comportement normal pour la réponse d'une requête en UDP
 dont la réponse dépasse 512 byte.

Euh, cette limite de 512 octets a été abandonnée en 1999...

 Les requêtes d'une taille de réponse ≥ 512 byte doivent-être
 ré-émises en TCP.

Certainement pas.

 en conséquence, il faut trouver une primitive d'exim qui force la
 consultation DNS en TCP.

Pas d'accord.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130719211153.gb23...@sources.org

Re: bind, edns et taille udp

[Stephane Bortzmeyer]

On Mon, Jul 15, 2013 at 02:43:45PM +0200,
 Raphael Bauduin rbli...@gmail.com wrote 
 a message of 136 lines which said:

 Cela semble etre dû au fait que la taille de la réponse udp est trop
 grande.  La réponse udp est en effet marquée comme tronquée.

En 2013, ce genre de problèmes (limitation à 512 octets, supprimée il
y a quinze ans) devrait être du passé très lointain. Il est temps de
le résoudre.

 Le serveur dns a le edns désactivé:

Très mauvaise idée.

 - le serveur dns ne supporte pas edns, mais malgré tout, le test
 dns-oarc.net parle d'une taille de buffer de 4096 communiquée... Où est
 l'erreur?
 - +bufsize de dig est aussi un parametre edns. Le serveur local
 supporterait-il donc edns, malgré la directive ci-dessus?

Oui, c'est bizarre. Comme vous n'avez pas mis un résultat de dig
complet (notamment les trois dernières lignes), je me demande si vous
parlez bien à ce serveur. Vérifiez le /etc/resolv.conf. Globalement,
les tests indiqués sont incohérents donc il doit y avoir un loup
quelque part.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130719211003.ga23...@sources.org

Re: Wheezy : l'UTF-8 est-il un prérequis

[Stephane Bortzmeyer]

On Tue, Jun 25, 2013 at 08:10:22AM +,
 moi-meme chie...@free.fr wrote 
 a message of 19 lines which said:

 le seul problème est que certains packages texte (genre a2ps) ne se
 sont pas adaptés à l'UTF-8 donc leur utilisation est problématique.

a2ps est une des rares exceptions. Pour le reste, on est en 2013,
quand même, ISO 8859 devrait être un souvenir lointain...

http://www.bortzmeyer.org/passage-a-utf8.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130626191856.ga12...@sources.org

Re: client twitter en console

[Stephane Bortzmeyer]

On Mon, Jun 17, 2013 at 04:17:16PM +,
 Frederic Robert frede...@petra.fredericrobert.be wrote 
 a message of 17 lines which said:

 Que conseillez-vous comme client twitter en console? J'utilise
 debian squeeze

J'utilise twittering-mode, un mode Emacs et qui convient donc à un
terminal texte. Attention, même la version dans wheezy est trop
ancienne (API 1.0, désormais abandonnée par Twitter) et il faut donc
impérativement utiliser la version sur Github.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130619212316.ga30...@sources.org

Re: SKYPE ou équivalent

[Stephane Bortzmeyer]

On Thu, May 02, 2013 at 10:14:34PM +0200,
 Daniel Huhardeaux no-s...@tootai.net wrote 
 a message of 49 lines which said:

 Sous Android (smartphone ou tablette), j'utilise iaxclient
 (protocole IAX) et CsipSimple (SIP) pour me connecter à mes serveurs
 VOIP. 

Oui, Csipsimple rokse and l'auteur répond toujours très vite aux
messages.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130503082552.ga10...@sources.org

Re: SKYPE ou équivalent

[Stephane Bortzmeyer]

On Thu, May 02, 2013 at 10:46:34AM +0200,
 Alex Padoly alex.pad...@laposte.net wrote 
 a message of 33 lines which said:

 Existe-t-il une alternatif libre et fiable à SKYPE si l'on veut
 faire que de l'audio,

Le protocole SIP et ses nombreux logiciels clients (sur Debian,
j'utilise Twinkle). Un récit parmi d'autre :
http://www.bortzmeyer.org/sip-free-direct.html 

 cette alternative doit etre multiplateforme,

Entendons nous bien : il n'y a *aucun* besoin d'avoir un logiciel
multi-plateforme. Il faut simplement un protocol commun, et c'est le
rôle de SIP (RFC 3261). Pour le courrier électronique, demande t-on un
logiciel particulier pour lire debian-user-french ? Évidemment non,
chacun peut utiliser le logiciel qu'il veut, du moment qu'il suit les
normes (RFC 5321 et 5322).

Skype a réussi à faire croire aux blaireaux qu'il fallait que tout le
monde utilise le même logiciel. C'est un recul considérable par
rapport à tous les autres protocoles Internet.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130502155744.ga25...@sources.org

Re: [hs] invalid packet/packet died

[Stephane Bortzmeyer]

On Fri, Mar 29, 2013 at 11:53:07PM +0100,
 Bzzz lazyvi...@gmx.com wrote 
 a message of 33 lines which said:

 Reste que free ne devrait pas laisser passer les adresses de classe
 C…

Les classes d'adresses (C ou autre) ont été supprimées il y a... vingt
ans http://www.bortzmeyer.org/fini-les-classes.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130330112839.gb32...@sources.org

Re: [hs] invalid packet/packet died

[Stephane Bortzmeyer]

On Fri, Mar 29, 2013 at 11:31:32PM +0100,
 zul...@free.fr zul...@free.fr wrote 
 a message of 154 lines which said:

 Une idée de ce qui se passe ?

Sans doute une attaque par déni de service. Ça arrive, sur
l'Internet. C'est sur quel genre d'accès Internet ? Sur un accès ADSL
à la maison, il n'y a pas grand'chose que vous puissiez faire :
l'attaquant peut en général envoyer bien plus que vos 15 ou 20 Mb/s
et, une fois que les paquets sont chez vous, il est trop tard pour les
filtrer.

Il faut donc demander de l'aide au FAI. Il demandera des détails, donc
a priori un pcap pris pendant l'attaque. ('tcpdump -n -w attaque.pcap
-i eth0 -c 1')

 Un petit  extrait  d'un moment calme  tail /var/log/syslog

Quel intérêt ? Des paquets bizarres, il y en a tout le temps sur
l'Internet. C'est le trafic pendant l'attaque qui est intéressant.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130330112627.ga32...@sources.org

Re: [hs] invalid packet/packet died

[Stephane Bortzmeyer]

On Sat, Mar 30, 2013 at 04:20:18PM +0100,
 zul...@free.fr zul...@free.fr wrote 
 a message of 103 lines which said:

 Donc il n'y a plus d'adresses reservées pour les réseaux locaux ?

Si, mais cela n'a rien à voir avec les classes 
http://www.bortzmeyer.org/1918.html.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130330202744.ga22...@sources.org

Re: [hs] -Delestage- invalid packet/packet died

[Stephane Bortzmeyer]

On Sat, Mar 30, 2013 at 04:23:13PM +0100,
 zul...@free.fr zul...@free.fr wrote 
 a message of 156 lines which said:

 Y a t-il une possibilité de soulager le serveur dans le traitement
 de ces paquets et de limiter au maximum l'utilisation de la bande
 passante par ces paquets ?

Pas de solution générale, il faut étudier au cas par cas, en examinant
les paquets utilisés pour cette attaque particulière. Ne vous lancez
pas avant d'avoir fait un diagnostic sérieux. Les attaques DoS, c'est
comme la médecine, le médicament dépend de la maladie. Si quelqu'un
sur cette liste vous répond « utilise la technique X » alors que vous
n'avez fourni aucun détail concret et précis, c'est qu'il ne connait
pas le sujet (en médecine, on appelle ça un charlatan).

Si la capacité du réseau est occupée à 100 %, vous ne pouvez rien
faire de votre côté, il est déjà trop tard. Seul le FAI peut agir.

Pour les solutions Apache
http://www.bortzmeyer.org/limit-apache.html, pour celles avec
Netfilter http://www.bortzmeyer.org/rate-limiting-dos.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130330204437.gb22...@sources.org

Re: wget: copie dynamique locale

[Stephane Bortzmeyer]

On Mon, Jan 28, 2013 at 11:04:34PM +0100,
 Luxpopuli Open source luxpopul...@gmail.com wrote 
 a message of 69 lines which said:

 J'utilise wget mais il m'est impossible de faire fonctionner
 correctement li site en local: en effet, avec un CMS, un répertoire
 est également une page web affichant du contenu: Mais wget crée
 simplement un répertoire sans son contenu.

Je n'ai pas bien compris et je n'ai jamais constaté ce problème mais,
comme noté par d'autres, httrack est meilleur pour cette
tâche. J'avais fait un article un peu détaillé à ce sujet
http://www.bortzmeyer.org/generer-version-statique-site-web.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130201213428.ga4...@sources.org

Re: wget: copie dynamique locale

[Stephane Bortzmeyer]

On Tue, Jan 29, 2013 at 04:10:25PM +0100,
 Bernard Schoenacker bernard.schoenac...@free.fr wrote 
 a message of 51 lines which said:

   pourquoi vouloir s'escrimer avec wget alors que curl le fait
   si bien

Euh ? curl ne sait pas faire de requêtes récursives, ne sait pas
modifier les fichiers HTML, ne sait pas renommer les fichiers. curl a
des tas de qualités mais, pour faire une copie locale d'un site, je ne
vois vraiment pas pourquoi le citer.

http://curl.haxx.se/docs/faq.html#What_is_curl_not
http://daniel.haxx.se/docs/curl-vs-wget.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130201213806.gb4...@sources.org

Re: SSL + Postfix et Dovecot

[Stephane Bortzmeyer]

On Tue, Jan 08, 2013 at 09:27:07PM +0100,
 andre_deb...@numericable.fr andre_deb...@numericable.fr wrote 
 a message of 27 lines which said:

 je n'arrive pas à sécuriser avec SSL mon serveur de Mails sous
 Postfix et POP3 (Dovecot).

Pour Postfix, une modeste doc' en
http://www.bortzmeyer.org/postfix-tls.html

 J'avais bien un certificat SSL qui s'est périmé.

Le terme technique correct est « certificat X.509 ».

 Y a t-il une solution de certificat gratuite ?

Comme suggéré par Alain Vaugham, CAcert
http://www.bortzmeyer.org/cacert.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130113130132.ga32...@sources.org

Re: SSL + Postfix et Dovecot

[Stephane Bortzmeyer]

On Wed, Jan 09, 2013 at 12:30:57AM +0100,
 mouss mo...@ml.netoyen.net wrote 
 a message of 59 lines which said:

 il faut bien comprendre la différence entre le mail et le web.

Dans le cas présent, il n'y a aucune différence. TLS et X.509
fonctionnent de la même façon pour SMTP et pour HTTP.

 web: avec ton navigateur, tu veux te connecter à n'importe quel serveur
 mail: avec ton mailer, tu veux te connecter à un ou quelques serveurs

Ah ? Moi, j'écris à des tas de gens, situés sur des tas de serveurs,
partout sur la planète.
 
 du coup, pour le mail, ça n'apporte rien de savoir que le certificat
 du serveur est signé par patati-padaboum ou son oncle

Ben si. Les risques sont exactement les mêmes qu'avec HTTP et la
solution est la même.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130113130322.gb32...@sources.org

Re: SSL + Postfix et Dovecot

[Stephane Bortzmeyer]

On Wed, Jan 09, 2013 at 08:05:21PM +0100,
 andre_deb...@numericable.fr andre_deb...@numericable.fr wrote 
 a message of 73 lines which said:

 Je tape cette commande dans /usr/lib/ssl/misc/demoCA
 Le répertoire CERT est bien dans ~demoCA
 
 # openssl ca -out CERT/andre-cert.pem -infiles CERT/andre-req.pem

OpenSSL est très dur à utiliser. Cela n'a d'intérêt que si on veut
créer sa propre AC (Autorité de Certification) ou si on veut
absolument comprendre tous les détails. 

Si on veut juste un certificat, il faut utiliser CAcert 
http://www.bortzmeyer.org/cacert.html.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130113130433.gc32...@sources.org

Re: butineur et utf8

[Stephane Bortzmeyer]

On Thu, Jan 03, 2013 at 08:43:47AM +0100,
 bruno.deb...@cyberoso.com bruno.deb...@cyberoso.com wrote 
 a message of 64 lines which said:

 Iceweasel 14.01 ici et il m'a fallu forcer l'encodage UTF8 car
 western était sélectionné par défaut.

En effet, le serveur de https://8n1.org/utf8 a tort, il n'indique
pas le charset utilisé.

 HTTP/1.1 200 OK
 Date: Sun, 13 Jan 2013 13:08:19 GMT
 Server: Apache/2.2.22 (Ubuntu)
 Last-Modified: Tue, 24 Jan 2012 22:06:09 GMT
 ETag: 460134-36e4-4b74d5abc9fe4
 Accept-Ranges: bytes
 Content-Length: 14052
 Vary: Accept-Encoding

(Il aurait fallu un Content-Type: text/plain; charset=UTF-8)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130113130948.gd32...@sources.org

Re: [Un peu HS] Raspberry PI clavier/souris

[Stephane Bortzmeyer]

On Fri, Dec 21, 2012 at 04:10:32PM +0100,
 David BERCOT deb...@bercot.org wrote 
 a message of 40 lines which said:

 Avez-vous une expérience personnelle avec cet objet ? 

http://linuxfr.org/users/bortzmeyer/journaux/compte-rendus-d-experience-avec-le-raspberry-pi
http://www.bortzmeyer.org/raspberry-pi.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20121221223512.ga31...@sources.org

Re: Route statique avec 2 passerelles

[Stephane Bortzmeyer]

On Sat, Dec 01, 2012 at 01:23:31PM +0100,
 Pascal Hambourg pas...@plouf.fr.eu.org wrote 
 a message of 31 lines which said:

  Par contre, tu as un lien ou plus de détails sur cette notion de
  problèmes de sécurité?
 
 C'est mentionné dans l'article pointé ci-dessus.

Vor aussi le RFC 6274 http://www.bortzmeyer.org/6274.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20121201200630.ga31...@sources.org

Re: hs iptables et reverse dns

[Stephane Bortzmeyer]

On Wed, Nov 07, 2012 at 06:29:14PM +0100,
 prego jérémy jer...@prego-network.net wrote 
 a message of 23 lines which said:

 donc de façon clair, est-ce possible de banir les ips contenant
 toute le même reverse ? par exemple, faire une règle qui dis toute
 les ip ce terminant par rev.sfr.net sont banis d'office ?

Cela me semble très dangereux, car cela signifie une requête DNS par
paquet, avec les lenteurs et timeouts associés. Pire, la seule requête
PTR n'offre aucune sécurité car le gérant d'une adresse IP peut mettre
le reverse qu'il veut.

En fouillant les archives des listes Netfilter, je ne trouve aucun
module qui permette de faire cela.

Ce message fournit une intéressante solution alternative :

http://www.spinics.net/lists/netfilter/msg15915.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20121107205019.ga18...@sources.org

Re: zones horaires

[Stephane Bortzmeyer]

On Sun, Sep 16, 2012 at 04:09:33PM +0200,
 Bzzz lazyvi...@gmx.com wrote 
 a message of 17 lines which said:

 Existe-t'il un fichier donnant la correspondance entre les noms
 longs et raccourcis des fuseaux horaires? (EST, CEST, CET, etc).

Pas sûr. Après tout, ces noms ne sont pas standards. PST, par exemple,
désign au moins trois fuseaux horaires différents. Le mieux est de ne
pas les utiliser dans des programmes (pour l'affichage à des humains,
à la rigueur...)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120916163313.ga30...@sources.org

Re: Socket unix

[Stephane Bortzmeyer]

On Fri, Sep 07, 2012 at 03:33:38PM +0200,
 Gerald gerald.ra...@gmail.com wrote 
 a message of 18 lines which said:

 La commande n'est pas assez precise, maintenant je sais que c'est du
 java (je le savais déjà) j'aurais voulu savoir les classes qui
 communiquent...

Hmmm, Linux ne peut pas le savoir (c'est du code utilisateur comme un
autre) donc je ne pense pas que cela soit possible. Il faudrait
attacher un débogueur à ce processus.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120907191156.ga17...@sources.org

Re: Socket unix

[Stephane Bortzmeyer]

On Thu, Sep 06, 2012 at 06:42:53PM +0200,
 Gerald Radix gerald.ra...@gmail.com wrote 
 a message of 13 lines which said:

 Je voudrais savoir ce que l'on entends par Socket Unix quand on fait
 par exemple un lsof -a - 4567 ?

Une prise (socket) est une structure de données qui permet la
communication entre deux processus. Les sockets TCP/IP permettent la
communication entre machines distinctes, les sockets Unix la
communication à l'intérieur de la même machine.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120906182027.ga18...@sources.org

Re: [HS] Iptables

[Stephane Bortzmeyer]

On Sat, Jul 21, 2012 at 01:51:17PM +0200,
 Pascal Hambourg pas...@plouf.fr.eu.org wrote 
 a message of 19 lines which said:

 Ne sera pas forcément effectif en fonction des règles déjà
 existantes.

Oui.

 Et -j REJECT, c'est plus amical.

Prudence : si l'adresse IP source est usurpée (ce qui arrive assez
souvent), envoyer le paquet ICMP ou RST de rejet à la dite adresse
n'est *pas* amical.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120721121957.ga15...@sources.org

Re: Serveur de secours

[Stephane Bortzmeyer]

On Fri, Jun 22, 2012 at 10:04:29AM +0200,
 Steven D ddebstu...@yahoo.fr wrote 
 a message of 174 lines which said:

 Ta démarche me semble la bonne.

Je trouve aussi.

 Il faudras juste attendre un temps de propagations dns, d'environ 24
 heures maximum suivant les FAIs.

Euh, non, désolé, mais c'est n'importe quoi, cette phrase.

http://www.bortzmeyer.org/dns-propagation.html

Sinon, en parlant du DNS, outre l'excellente suggestion de 
Daniel Caillibaud sur le serveur de messagerie, je suggère aussi
d'abaisser les TTL avant de commencer la migration :

http://www.bortzmeyer.org/changement-adresse-et-dns.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120624124824.ga15...@sources.org

Re: [HS] actualisation adresses abook

[Stephane Bortzmeyer]

On Mon, May 28, 2012 at 01:31:40AM +0200,
 Bzzz lazyvi...@gmx.com wrote 
 a message of 37 lines which said:

 sed -e 's/bbb.com/ddd.com/g' abookoriginal abookmodifié

Debian a GNU sed donc il est plus simple et surtout plus sûr de
faire :

sed -e 's/bbb.com/ddd.com/g' -i.backup abookoriginal 

Pendant qu'on y est, pour éviter tout changement accidentel, il
vaudrait mieux une expression plus stricte :

sed -e 's/@bbb\.com$/@ddd.com/g' -i.backup abookoriginal 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120528190453.ga21...@sources.org

Re: [HHS] Protocoles HTTP HTTPS

[Stephane Bortzmeyer]

On Sun, May 27, 2012 at 03:44:06PM +0200,
 Bzzz lazyvi...@gmx.com wrote 
 a message of 21 lines which said:

 J'ai besoin de contacts _experts_ dans ces 2 protocoles - entre
 autres et juste pour commencer - afin de répondre à mes questions

Et gratuitement, je suppose.

 (en MP, pour ne pas polluer la liste).

Et pour votre bénéfixe exclusif. Sympa.

 Si c'est votre cas, merci de me contacter en direct.

Je prépare le devis.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120527173230.ga5...@sources.org

Re: x509:conversion certifcat vers pem

[Stephane Bortzmeyer]

On Fri, May 11, 2012 at 10:22:39AM +0200,
 admini adm...@freeatome.com wrote 
 a message of 54 lines which said:

 j'ai un certificat x509 v3

À quel format ? 

Serifl Number:
Signfture Algorithm: sha1WithRSAEncryption
Vflieity

Drôles de noms de champs...

 je voudrais le convertir au format pem. 

Par exemple, s'il est en DER :

openssl x509 -inform DER -in me.cer -outform PEM -out me.pem

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120511182326.ga15...@sources.org

Re: Dictionnaires dictd en français

[Stephane Bortzmeyer]

On Tue, May 08, 2012 at 10:59:06PM +0200,
 Edi Stojicevic estojice...@debianworld.org wrote 
 a message of 25 lines which said:

 Quelqu'un aurait-il des infos sur le sujet ?

Pas sur ce point spécifique mais, sinon :

http://www.bortzmeyer.org/ressources-ecrire-francais.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120510194336.ga5...@sources.org

Re: tshark récupérrer l'host

[Stephane Bortzmeyer]

On Tue, May 08, 2012 at 10:15:31AM +0200,
 prego jérémy jer...@prego-network.net wrote 
 a message of 32 lines which said:

   0.020544 192.168.2.2 - 173.194.34.31 HTTP GET /blablabla.test HTTP/1.1
 
 alors que j'aimerai qu'il me récupère google.fr ce que j'ai saisie
 dans mon navigateur.

Je ne crois pas que tshark puisse faire cela : il faudrait qu'il fasse
une corrélation entre la requête DNS (qui a pu être faite longtemps
avant) et la requête HTTP.

En prime, le résultat de la requête DNS était peut-être dans le cache
interne du navigateur et donc le réseau n'a rien vu passer.

D'ailleurs, une telle information serait trompeuse (passage par un
relais HTTP, par exemple). Le mieux est tout simplement de demander
l'affichage complet, avec -V. On voit alors le nom demandé, dans le
champ Host:

Frame 4
...
Hypertext Transfer Protocol
GET / HTTP/1.1\r\n
[Expert Info (Chat/Sequence): GET / HTTP/1.1\r\n]
[Message: GET / HTTP/1.1\r\n]
[Severity level: Chat]
[Group: Sequence]
Request Method: GET
Request URI: /
Request Version: HTTP/1.1
User-Agent: curl/7.21.0 (i486-pc-linux-gnu) libcurl/7.21.0 OpenSSL/0.9.8o 
zlib/1.2.3.4 libidn/1.15 libssh2/1.2.6\r\n
Host: www.google.fr\r\n
Accept: */*\r\n
\r\n

Sinon, -Nn pour résoudre les adresses en noms mais cela ne donne pas
le résultat que vous voulez :

  0.042608 ludwigVII.sources.org - wg-in-f94.1e100.net HTTP GET / HTTP/1.1 

173.194.34.31 = par03s02-in-f31.1e100.net. 1e100.net est Google,
comme tous les matheux l'ont vu.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120508160924.ga4...@sources.org

Re: DNS

[Stephane Bortzmeyer]

On Sun, May 06, 2012 at 01:12:58PM +0200,
 JB jacques.briq...@orange.fr wrote 
 a message of 40 lines which said:

 06-May-2012 09:35:15.769 starting BIND 9.8.1-P1 -fg -u bind

La version de BIND dans Debian stable est la 9.7.3. Dans les versions
de développement de Debian (qu'il ne faut utiliser que si on sait ce
qu'on fait et si on est prêt à essuyer quelques plâtres), la bogue est
connue (#649988) mais ne semble pas encore avoir de solution.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120506120536.ga32...@sources.org

Re: Bind9 : masquage du numéro de version

[Stephane Bortzmeyer]

On Wed, Apr 11, 2012 at 01:30:49AM +0200,
 Alain Vaugham al...@vaugham.com wrote 
 a message of 202 lines which said:

 Pour masquer la version 

Cela ne sert à rien mais cela permet de faire des choses amusantes :

http://www.bortzmeyer.org/versions-serveurs-dns.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120411164741.ga7...@sources.org

Re: règle Iptables

[Stephane Bortzmeyer]

On Thu, Mar 29, 2012 at 08:00:42PM +0100,
 Tahar BEN ACHOUR tahar...@yahoo.fr wrote 
 a message of 101 lines which said:

 Chain OUTPUT (policy ACCEPT)
 target     prot opt source               destination         
 DROP       udp  --  anywhere             anywhere            udp dpt:domain 
 DROP       tcp  --  anywhere             anywhere            tcp dpt:domain 
 ACCEPT     udp  --  anywhere             my_dns_IP        udp dpt:domain 
 ACCEPT     tcp  --  anywhere             my_dns_IP        tcp dpt:domain 

J'ai l'impression que les règles n'ont pas été tapées dans le bon
ordre car, ici, les règles DROP sont avant les ACCEPT et doivent donc
avaler tous les paquets.

Une option -v ajoutée à iptables permettrait de voir les compteurs et
de dire si j'ai raison ou pas.
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120329191138.ga16...@sources.org

Re: règle Iptables

[Stephane Bortzmeyer]

On Thu, Mar 29, 2012 at 08:20:32PM +0100,
 Tahar BEN ACHOUR tahar...@yahoo.fr wrote 
 a message of 20 lines which said:

 J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP 

Ce n'est pas ce que je vois dans le résultat de iptables -L OUTPUT
(c'est sans doute pour les raisons expliquées par Bzzz).

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120329194717.ga21...@sources.org

Re: Une RBL de hostname pour postfix

[Stephane Bortzmeyer]

On Fri, Mar 02, 2012 at 06:37:11AM +0100,
 Olivier Pavilla olivier.pavi...@linux-squad.com wrote 
 a message of 44 lines which said:

 Mon serveur est sous debian squeeze où un postfix tourne cahin cahan,
 harrassé qu'il est par les chinois, les ukrainiens, les roumains,
 etc.

Que fait Claude Guéant contre tous ces étrangers ? Pas de romanichels
parmi les attaquants ?

 Je souhaiterais savoir si il existe une RBL de hostname pour les
 restrictions smtp?

Pas à ma connaissance (les autres réponses dans ce fil sont tout à
fait correctes mais tout le monde a oublié de répondre à la question
originale.)

De toute façon, les listes
noires... http://www.bortzmeyer.org/6471.html

 Ou peut-on faire des restrictions dur des ranges d'IPs?

Oui.

smtpd_client_restrictions = ... cidr:/etc/postfix/beauveau.cidr

Avec /etc/postfix/beauveau.cidr :

192.168.0.0/16  REJECT

Attention, des listes noires maintenues à la main en local
représentent beaucoup de travail et deviennent vite obsolètes et donc
plus dangereuses qu'utiles 
http://www.bortzmeyer.org/pas-de-listes-noires-statiques.html.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120303221427.ga32...@sources.org

Re: [un peu HS] mx secondaire et postfix

[Stephane Bortzmeyer]

On Thu, Mar 01, 2012 at 06:50:13PM +0100,
 Mourad Jaber m...@nativobject.net wrote 
 a message of 23 lines which said:

 J'ai un serveur de mail configuré avec postfix qui gère un autre
 domaine et je me demandai s'il est possible de l'utiliser comme mx
 secondaire ?

Pour la plupart des domaines (je ne parle pas de gmail.com), un MX
secondaire, c'est du travail et du risque pour un bénéfice très
contestable.

http://www.bortzmeyer.org/mx-secondaire.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120301191910.ga20...@sources.org

Re: IP d'interface débranchée répond au ping

[Stephane Bortzmeyer]

On Sun, Feb 26, 2012 at 02:44:21PM +0100,
 Alain Rpnpif rpn...@free.fr wrote 
 a message of 38 lines which said:

 Auriez-vous une idée de la raison qui fait qu'un ping vers
 192.168.1.24 (eth0) réponde à partir d'un autre poste du réseau
 192.168.1.0 malgré le fait que le câble soit débranché ?

Il faudrait connaître la topologie du réseau (où eth1 est-il branché ?
J'ai l'impression qu'il n'existe qu'un seul réseau physique) mais, a
priori, c'est tout à fait normal. Sur Linux, contrairement à IOS,
débrancher le câble réseau ne supprime pas l'adresse IP et la machine
continue donc normalement à y répondre.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120226194912.ga18...@sources.org

Re: Comment détecter les sous domaines

[Stephane Bortzmeyer]

On Sun, Feb 19, 2012 at 11:16:13AM +0100,
 HacKurx hack...@gmail.com wrote 
 a message of 23 lines which said:

 Il y a pleins de sites pour faire cela genre :
 http://www.webrankinfo.com/outils/sous-domaines.php?d=hackurx.info

Complètement pipeau, ce site. Avec co.uk, il prétend qu'il n'y a que
www alors que co.uk compte des millions de sous-domaines !

 Est-ce que quelqu'un à la solution ou une idée?

Problème sans solution, comme l'a bien expliqué Francois Mescam. Ce
qui s'en rapprche le plus :
http://www.bortzmeyer.org/recuperer-zone-dns.html

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120219161708.ga17...@sources.org

Re: Comment détecter les sous domaines

[Stephane Bortzmeyer]

On Sun, Feb 19, 2012 at 06:12:48PM +0100,
 Jérôme jer...@aranha.fr wrote 
 a message of 19 lines which said:

 .co.uk c'est pas vraiment un domaine si ?

Ben si. Pourquoi ne serait-il pas un domaine ? com, co.uk,
nimportequoi.truc.machin.chose.fr sont tous des domaines
(respectivement de niveau 1, 2 et 5).



-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120219214050.ga16...@sources.org

Re: Martian source? Dois je aller vir le SETI?

[Stephane Bortzmeyer]

On Thu, Dec 22, 2011 at 06:45:11AM +0100,
 Olivier Pavilla olivier.pavi...@linux-squad.com wrote 
 a message of 77 lines which said:

 Dec 22 06:35:47 korriban kernel: [  278.281753] martian source
 255.255.255.255 from 192.168.1.1, on dev wlan0

À l'excellente et détaillée réponse de nono, je rajoute qu'il ne faut
surtout pas paniquer. Il y a des choses bizarres sur l'Internet, et si
vous perdez le sommeil à chaque paquet martien, vous n'êtes pas prêt
de dormir.

Ensuite, la grande majorité des discussions sur des forums à ce sujet
raconte n'importe quoi, notamment en confondant source et
destination. Il faut dire que le message du noyau n'est pas des plus
clairs. Mais le source l'est (sur un 2.6) :

/*
 *  RFC1812 recommendation, if source is martian,
 *  the only hint is MAC header.
 */
printk(KERN_WARNING martian source %pI4 from %pI4, on dev 
%s\n,
daddr, saddr, dev-name);

La première adresse est donc l'adresse de DESTINATION, la seconde
étant la SOURCE. Ici, c'est donc 192.168.1.1 qui a écrit à
255.255.255.255, l'adresse de diffusion. C'est donc déjà beaucoup
moins inquiétant et un simple tcpdump vous dira en général de quoi il
s'agit. J'ai fait le tour de mes machines Debian et j'en ai trouvé une
qui crachait :

Dec 23 21:39:38 ada kernel: [395181.072055] martian source 255.255.255.255 from 
169.254.197.219, on dev eth1

Alors que tcpdump me dit, au même moment :

21:39:38.917331 IP (tos 0x0, ttl 255, id 41143, offset 0, flags [none], proto 
UDP (17), length 382)
169.254.197.219.68  255.255.255.255.67: [no cksum] BOOTP/DHCP, Request 
from 40:01:c6:cc:c5:dc, length 354, xid 0x90c9d043, Flags [Broadcast] (0x8000)
  Client-Ethernet-Address 40:01:c6:cc:c5:dc
  Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Hostname Option 12, length 20: 3Com Baseline Switch

Vous voyez ? C'est un simple client DHCP qui réclame une adresse. Pas
de quoi s'affoler. L'option hostname nous dit même de quel modèle il
s'agit.

Maintenant, pourquoi Linux considère ceci comme un martien ? Dans le
cas de ma machine, la table de routage dit :

% route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric RefUse Iface
204.62.14.0 0.0.0.0 255.255.255.0   U 0  00 eth0
10.9.0.00.0.0.0 255.255.0.0 U 0  00 eth1
0.0.0.0 204.62.14.1 0.0.0.0 UG0  00 eth0

Pour écrire à 169.254.197.219, on passerait donc par la route par
défaut, en eth0. Mais le paquet vient de eth1 ! Linux, par défaut,
trouve cela suspect. Si on l'estime excessivement paranoïaque (après
tous, ces adresses sont normalement sur plusieurs liens physiques,
cf. http://www.bortzmeyer.org/3927.html), on peut utiliser sysctl
pour le faire taire.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20111223214614.ga26...@sources.org

Re: Conseils dans l'utilisation de Github

[Stephane Bortzmeyer]

On Fri, Nov 25, 2011 at 10:30:50AM +0100,
 Sylvain L. Sauvage sylvain.l.sauv...@free.fr wrote 
 a message of 55 lines which said:

 Dans la série « Youpi, c'est vendredi ! », il est de bon ton de
 préférer Gitorious

Une forge sans système de suivi des bogues, ça n'est pas une forge. Je
reste à Github en attendant.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/2027211245.ga13...@sources.org

Re: config wicd et Free

[Stephane Bortzmeyer]

On Wed, Oct 26, 2011 at 08:29:30PM +0200,
 Klaus Becker colon...@free.fr wrote 
 a message of 45 lines which said:

 Préférences :
 - profil par défaut : static
 - Use global DNS servers : 
 - DNS domain : je ne sais pas

Mais pourquoi une config' statique ? Je viens de tester wicd avec Free
(sur une Ubuntu, il est vrai) et tout marche parfaitement sans aucun
réglage. Pourquoi voulez-vous mettre en dur ce genre d'informations ?

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20111026202710.ga4...@sources.org