Re: [FRsAG] WikiLeaks - Mass Mirroring Project - On a besoin de vous !
On Sun, 05 Dec 2010 13:17:34 +0100, Jérôme Nicolle jer...@ceriz.fr wrote: Bonjour à tous, Pour ceux qui n'ont pas suivi l'affaire WikiLeaks, une situation assez dangereuse est en train de se développer sur Internet. Petit récap : WikiLeaks existe depuis 4 ans, et a pour mission de relayer anonymement des fuites de documents officiels. C'est eux qui ont éventé le traité ACTA, par exemple, ainsi que des documents relatant les coulisses des guerres en Afghanistan, Iraq et ailleurs. Récemment, WikiLeaks a obtenu d'une source anonyme des messages diplomatiques échangés entre le secrétariat d'état américain et et ses ambassades. Et a commencé à les diffuser, avec le concours de cinq quotidiens nationaux reconnus, qui analysent et filtrent les informations pour garantir que leur diffusion ne mettra pas de vies humaines en danger. Les gouvernements du monde entier ont très mal pris ce déballage de leurs petits secrets, et luttent activement, usant de touts les formes de pression à leur disposition, contre le site coupable de ce crime de lèse majesté. Le domaine WikiLeaks.org a été paralysé par l'hébergeur du DNS. Le site, précédemment hébergé chez Amazon, a été shooté par l'hébergeur sous un prétexte fallacieux. Paypal a gelé le compte de donation à l'attention de WikiLeaks, le considérant comme lié a des activités criminelles. Le site est désormais hébergé (au moins pour partie) chez OVH, qui n'a pas baissé son froc, et qui a lancé un recours au tribunal de Lille pour trancher sur la légalité du site en droit français. Pendant ce temps, notre ministre de la reconduite à la frontière, Eric Besson, cherche tous les moyens possibles de faire interdire le site en France. Face à ces tentatives de censure, l'Internet se rebiffe et use d'un moyen simple pour préserver notre liberté d'expression : faire des miroirs. Le principe est simple : si vous avez un serveur HTTP, une petite demi heure à y passer et envie de contribuer à la préservation de vos libertés, VOUS pouvez devenir un miroir de WikiLeaks. Le formulaire de déclaration de miroir se trouve là : http://46.59.1.2/mass-mirror.html Le principe est le suivant : - créez un utilisateur sur votre serveur - Donnez lui le droit de se connecter en SSH avec la clef indiquée sur la page sus-citée - Faites pointer un vhost vers le home de cet utilisateur, acceptant les servername *wikileaks* - Sécurisez un peu le tout (pas besoin d'un shell, juste un rsync, chrootez le éventuellement, chmod 600 ou 640 en fonction du HTTPd, etc...) Quelques précision techniques : - Fonctionnement du miroring : Les contributeurs de WikiLeaks ont mis au point un système automatisé pour propager les miroirs et les mises à jour. Un robot se connectera aux serveurs miroirs déclarés pour aller déposer les mises à jour, il n'y a pas de manipulation de contenu à faire. - Les risques encourus * Sur le plan légal Il n'y a rien, en droit français, qui puisse faire interdire l'hébergement du site dans notre pays. Néanmoins, on peut supposer que la détermination de nos gouvernants pourrait aboutir à l'édiction d'un décret illégal. Dans ce cas, une ordonnance pourrait vous être adressé afin de faire fermer le miroir. Mais c'est peu probable et vous en seriez averti par l'adresse mail de contact laissé à WikiLeaks avant que la moindre procédure puisse t être déclenchée. * Sur le plan technique Des DDoS (Distributed Denial of Service), ou attaques par débordement, sont encore en cours contre Wikileaks. Vous pourriez voir arriver un grand nombre de requêtes sur votre miroir, qui risquerait de le faire planter sous la charge. Plus il y a de miroirs, moins ça a de chance d'arriver. Mais si vous décidez de le faire malgré le risque, prenez garde à ce que la machine hébergeant le miroir puisse être indisponible sans mettre en danger d'autres services. On évitera, par exemple, de faire ça sur un serveur d'un employeur ;) Le risque est faible, mais il existe. - De la confiance en Wikileaks (un shell account, c'est pas rien quand même) Là dessus, libre à vous. Les mise à jour du site peuvent être faites par FTP, si vous êtes plus en confiance dans ce protocole que dans un SSH identifié par clef publique. Dans ce cas, pensez bien à chrooter le FTPd dans le home de l'utilisateur, si ce n'est déjà fait, et à interdire l'exécution de code (CGI) dans la configuration du HTTPd. Le FTP est moins efficace que le rsync over SSH, donc consommera plus de ressources pour les robots de mise à jour. Du coup, les mises à jour pourraient être moins fréquentes. Voilà, si vous avez d'autres questions, n'hésitez pas ! Merci d'avance ! Et voilà, +1 \o/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] WikiLeaks - Mass Mirroring Project - On a besoin de vous !
Le Wed, Dec 08, 2010 at 09:19:55AM +0100, Julien Gormotte [jul...@gormotte.info] a écrit: [...] Et voilà, +1 \o/ Et fallait vraiment citer 140 lignes intégralement pour ajouter un « +1 » à la fin ?! -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] WikiLeaks - Mass Mirroring Project - On a besoin de vous !
On Wed, 8 Dec 2010 10:15:30 +0100, Dominique Rousseau d.rouss...@nnx.com wrote: Le Wed, Dec 08, 2010 at 09:19:55AM +0100, Julien Gormotte [jul...@gormotte.info] a écrit: [...] Et voilà, +1 \o/ Et fallait vraiment citer 140 lignes intégralement pour ajouter un « +1 » à la fin ?! En effet, c'était pas franchement vital. Pardon aux routeurs, toussa. ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] Re : WikiLeaks - Mass Mirroring Project - On a besoin de vous !
Bonjour, Désolé, mais j'ai pas bien, compris finalement avec le shell rssh, rsync utilisant ssh fonctionne-t-il ou vaut il mieux passer par chroot ? Par avance merci. __ Renaud Hager - Message d'origine De : Olivier Bonvalet frsag.l...@daevel.fr À : frsag@frsag.org Envoyé le : Lun 6 décembre 2010, 0h 41min 47s Objet : Re: [FRsAG] WikiLeaks - Mass Mirroring Project - On a besoin de vous ! rssh dans ce cas, en activant uniquement allowrsync. Le 06/12/2010 00:39, Christophe De Wolf a écrit : Non, c'était ma première idée aussi mais ils utilisent Rsync. Rsync c'est pas juste du SFTP, il faut pouvoir lancer rsync --server en SSH. Tito 2010/12/6 Antoine MILLET antoine.mil...@grimly.org mailto:antoine.mil...@grimly.org Sinon vous pouvez utiliser le shell : scponly ca fera très bien l'affaire :-) On 12/06/2010 12:03 AM, eldre8 wrote: Bonsoir, premier message sur cette mailing list! salut donc, linux since 1.2.x, etc blabla:) un petit ajout, par rapport au dummy shell, cette ligne devrait bypasser ton dummyshell ;) ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih) man sshd_config indique forcecommand, salutations, Le Sun, Dec 05, 2010 at 10:33:39PM +0100, Christophe De Wolf: J'ai moi-même plublié un tutoriel pour sécuriser le bouzin : http://geekfault.org/2010/12/05/devenez-miroir-de-wikileaks-sans-risque/ C'est plus ou moins la même chose que ton tuto, j'ai juste un dummyshell en plus pour s'assurer que seul Rsync pouvait être exécuté. Tito 2010/12/5 Gaetan Duchaussois gaetan.duchauss...@laposte.net mailto:gaetan.duchauss...@laposte.net Bonsoir, pour ceux qui se démandent comment facilement faire un chroot openssh avec rsync, j'ai écrit en vitesse un petit tuto: http://www.justasysadmin.net/fr/practical/chroot-ssh-rsync/ Commentaires bienvenus, c'est perfectible et je le sais Gaëtan Le 05/12/2010 14:25, Jérôme Nicolle a écrit : Petite précision technique : - La clef de Wikileaks doit être placée dans le fichier ~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la votre, par exemple) - Le miroir se compose uniquement de fichiers statiques (html, png, css) et occupe un peu moins de 2Go pour le site complet. - Une fois la clef ou le compte FTP enregistré sur wikileaks, le robot déposera un fichier test. Le site complet n'arrivera que d'ici quelques heures (12 au plus) - Si votre serveur est joignable en IPv4 et IPv6, enregistrez de préférence l'entrée en v6 ou un hostname disposant d'un A et d'un . Cette adresse ne sert que pour l'envoi des fichiers, pas pour le référencement des miroirs. Il est préférable, pour l'instant que vous mettiez en place un hostname dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez l'inspiration) L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est celle renseignée un peu plus bas dans le formulaire, pas nécessairement l'hostname auquel les fichiers sont envoyés. La correspondance entre les deux sera testée par l'envoi du premier fichier avant le miroir complet. On me dit dans l'oreillette que les servername www.wikileaks.* ne seront pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en tenir à un vhost sur un domaine à vous. -- Antoine MILLET http://scrier.grimly.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] Question ZSH
C'est un sujet plus léger que wikileaks ou que l'ipv6 sur frnog, mais je ne trouve ni sur google ni dans le man comment faire pour utiliser la complétion non pas avec un binaire système ou un alias mais avec une fonction zsh. Je m'explique j'ai une fonction lorsque je me connecte sur un serveur qui fait plusieurs chose et j'aimerais appliquer à cette fonction la même complétion que pour scp, ssh et compagnie. Un idée ? -- Antoine MILLET http://scrier.grimly.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Question ZSH
On 08/12/10 14:38, Antoine MILLET wrote: C'est un sujet plus léger que wikileaks ou que l'ipv6 sur frnog, mais je ne trouve ni sur google ni dans le man comment faire pour utiliser la complétion non pas avec un binaire système ou un alias mais avec une fonction zsh. Je m'explique j'ai une fonction lorsque je me connecte sur un serveur qui fait plusieurs chose et j'aimerais appliquer à cette fonction la même complétion que pour scp, ssh et compagnie. Un idée ? $ cat .zsh/complete #!/usr/bin/zsh function _complete_blih { reply=(`sqlite3 /home/trac/db/trac.db 'select ticket from ticket_custom where blah'`) } compctl -K _complete_blih blih ça marche que blih soit un binaire ou une fonction :) (coucou arthur) ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Proxy transparent derrière une box (9box / BBox /*Box) ?
Bonjour, Le 13 octobre 2010 10:08, Nicolas Steinmetz nsteinm...@gmail.com a écrit : Bonjour à tous, Est-ce que certains d'entre-vous ont eu l'opportunité de mettre en place un proxy transparent derrière une ligne ADSL portée par une *Box (dans mon cas une 9box et une Bbox) ? Juste pour indiquer que j'ai finalement pris 2 cartes alix2D2 + disque dur + pfsense [1] pour monter mes infra. Il me reste encore le vpn site à site à mettre en place pour arriver au bout de mon CdC. Il faut que je me batte avec le * de GUI pour gérer le parefeu de la bbox qui est non intuitif à souhait. D'ici que je remplace ma bbox par un modem classique, ça me tente bien mais se pose le problème du téléphone (si des gens ont des retours d'expérience, je suis preneur). Pour le reste, à l'usage, ça marche très bien :-) [1] http://nicolas.steinmetz.fr/journal/post/2010/11/08/Monter-un-routeur-proxy-filtrant-vpn-avec-pfsense-sur-une-carte-alix-2D2-et-avec-disque-dur -- Nicolas Steinmetz http://www.steinmetz.fr - http://nicolas.steinmetz.fr/ ___ Liste de diffusion du FRsAG http://www.frsag.org/