Traduction de libellés en base

Frédéric :

du coup, tu vas au domicile de qqu’un, meme pas la peine de
rentrer, t’as tout ce qu’il faut sur la porte d’entrée, tu chopes
les empreintes, tu refais ça tranquille dans ton labo…

c’est surement encore de la pure SF, mais je vois pas trop, en
théorie, ce qui l’empecherait !

Le fait que la cire fonde à 37 degrés et demi et que je vois mal un
truc à reconnaissance palmaire un tant soit peu fiable ne pas aussi
matcher la température corporelle d’un gugusse en pleine santé.

C’est peut-être parce que j’ai pas fini de digérer ? en tout cas, je
n’ai rien compris à cette phrase, je n’ai même pas réussi à
trouver le verbe de la proposition principale !

– Jean-François.

je vois mal un
truc à reconnaissance palmaire un tant soit peu fiable ne pas aussi
matcher la température corporelle d’un gugusse en pleine santé.

bin apparemment ça marche avec un cadavre…

en tous cas, je suis bon pour continuer à séquestrer mes vieux pendant
quelques
temps encore (tellement plus simple).
remarque, la bonne chose, c’est que du coup ça leur fait un bilan de santé
gratos.
“ah papi, faudra y metre du tien, la machine elle te reconnait que si tu
atteinds 10 de tension”

(-:

gUI

Guillaume :

je vois mal un truc à reconnaissance palmaire un tant soit
peu fiable ne pas aussi
matcher la température corporelle d’un gugusse en pleine santé.

bin apparemment ça marche avec un cadavre…

ah ça y est, j’ai mieux compris le sens.

en tous cas, je suis bon pour continuer à séquestrer mes vieux
pendant quelques temps encore (tellement plus simple).

pas convaincu sur la simplicité. Faut s’en occuper (hébergement

• nourriture)

remarque, la bonne chose, c’est que du coup ça leur fait un bilan
de santé gratos.
“ah papi, faudra y metre du tien, la machine elle te reconnait que si tu
atteinds 10 de tension”

Mais justement, plus on stresse, plus on a les doigts froids, moins
ça marche, plus le stress augmente, on a les doigts encore plus
froids…

– Jean-François.

On 2/19/07, loiseau gaetan [email protected] wrote:

Une solution aussi et d’avoir une double identification, une
identification sur un site web, suivit d’une identification ssh, qui
n’autorise qu’une ip en modifiant l’iptables, lui permetant de ce logué
pendant quelques minutes …

Bof, ça n’amène pas grand chose de plus à part être extrèment chiant.
Si quelqu’un a pris la clé privée SSH et sa phrase clé, que ce
quelqu’un se connecte sur ton site est le moindre de tes soucis…

PS : merci de couper les citations lors des réponses.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 19 févr. 07 à 15:56, Jean-François Trân a écrit :

ça marche, plus le stress augmente, on a les doigts encore plus
froids…

Ça marche avec un cadavre parce qu’à l’heure actuelle, les scanners à
empruntes digitales ne vérifient pas la température du corps, ainsi
d’ailleurs que la pression sanguine dans le doigt.

Dans le même genre, je ne suis pas certain que la méthode utilisée
par Wesley Snipes dans Demolition Man fonctionne (il arrache un oeil
à un pauvre gars et le pique au bout d’un crayon. En effet, cela
m’étonnerait qu’un scanner à emprunte rétinienne ne fasse pas de
contrôle sur les palpitations à l’intérieur de l’oeil dues à la
pression sanguine.

Cela dit, je ne suis pas certain qu’il faille en arriver là : peu de
gens se feraient couper un doigt ou arracher un oeil pour un accès SSH.

Frédéric de Villamil
[email protected] tel: +33 (0)6 62 19 1337
http://fredericdevillamil.com

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (Darwin)

iD8DBQFF2bzXCvkKk5nKviARAlv/AJ0Z5v307/oKNuAF+q190SaP9ChJJQCgzI7+
3b9HUXEpSdmhFTZTwf2r7ic=
=GuHb
-----END PGP SIGNATURE-----

Pour la sécurisation SSH j’ai fait :

dans sshd_config :

PermitRootLogin no #pas de connexion root

Port xxx #modification du port de connexion (!= 22)

AllowUsers moi_meme #moi tout seul, personne d’autre !

Protocole 2 #j’ai dégagé le protocol 1 car il a des défauts de
conception qui facilite le crack de mots de passe

UsePam no #pas de connexion par contrôle PAM

PasswordAuthentication no #interdiction de se connecter par mot de passe
=> utilisation d’une cle RSA

MaxStartups 10:30:60 #limiter le nombre de tentative de connexion
refusées (blacklist)

Après, création d’une clé RSA et utilisation de ssh-add pour ne pas
avoir à ressaisir à chaque fois ma passphrase de 2343322355 de
caractères aléatoires

Sinon, je n’ai pas choisi etch car je n’en vois pas l’utilité…tout
fonctionne en stable et de manière sécurisée (en fait si, j’ai utilisé
etch sur mon serveur @home mais pas sur mon serveur de prod). Par la
suite, je vais sûrement switcher vers du BSD (suite du gentil troll ;-))

Jérémy.

Le 19/02/07, Jean-François Trân[email protected] a écrit :

1/ soit ça sous entend, que c’est toi qui as configuré ça,
donc t’as changé la config, donc par défaut OpenBSD autorise
root à se connecter en ssh par défaut.

2/ Soit OpenBSD n’autorise pas root à se connecter en ssh
par défaut. ça voudrait donc dire que par défaut, il crée un
utilisateur par défaut, avec lequel on peut se connecter en
ssh ?

C’est le 1/. Effectivement openbsd ne te fait créer qu’un user à
l’installation: root. Et donc ssh est activé (c’est le seul service
d’ailleurs) avec root autorisé. C’est la seul modif que j’ai fait pour
ce qui est des connexions (avec l’ajout de mon utilisateurs dans les
sudoers).

Configuré sécurisé par défaut, ça veut dire que le firewall
(pf je crois ?) est activé par défaut ?

Très honnetement, je ne me suis pas penché sur toutes ces questions
justement. J’ai simplement parcouru quelque pages:
http://www.openbsd.org/fr/goals.html
http://www.openbsd.org/fr/security.html
http://www.openbsd.org/fr/crypto.html

Et si j’installe des serveurs (genre postfix, apache), ils
vont être configuré sécurisé par défaut, c’est ça ? Et en
quoi ?

Pour Postfix je ne sais pas. Par contre apache n’est pas un “paquet”
qu’on install. Il fait parti du “noyau” openbsd de base. C’est à dire
qu’il a subit les audits de sécurité réalisé par l’équipe de
developpement. D’ailleurs, pour des raisons de license, ils sont resté
avec un apache 1.2 qu’ils font évoluer (à mon avis en attendant un
openserveur ou un truc du genre ).
L’environnement par défaut (si tu démarre le service apache) est
chrooté. C’est bien, mais c’est très chiant à utiliser aussi (partie
administration, ajout de rails…). Cependant je crois qu’on ne peut
pas faire beaucoup mieux au niveau sécu sur la partie serveur web.
Pour plus d’info sur l’installation de rails avec openbsd dans
l’environnement chrooté de l’apache version openbsd team:
http://bsd.phoenix.az.us/faq/openbsd/rails-chroot-fastcgi

Désolé de ne pas pouvoir plus te renseigner. J’avoue que j’aime
openBsd surtout pour les prises de position de Theo de Raadt (
Theo de Raadt — Wikipédia ,
http://www.theos.com/deraadt/ ) très pro libre, très tranché aussi
comme avis. Bref, c’est pour la propreté du code, la simplicité des
choses, et le coté
“libre-pour-de-vrai-sans-utiliser-de-driver-proprio” que j’aime
OpenBSD. Le coté sécu est un plus.

En gros c’est un choix, comme pour les couleurs

–
Je vous serais reconnaissant de ne pas m’envoyer de pièces jointes
aux formats Mp3, Wmv, Word, Excel, PowerPoint, RTF, fichiers aux
formats propriétaires.
Utilisez des formats universels et libres tels que texte, html,
OpenOffice.Org, TeX, à la limite PDF, Ogg, mpg à la limite. Merci.
Voir Finissons-en avec les pièces jointes Word - Projet GNU - Free Software Foundation

Yannick :

Tu peux m’expliquer en quoi ça change ? Que ce soit OpenBSD,
Debian… c’est toujours openssh derrière, non ?

OpenBSD est configuré sécurité par défaut. Donc oui c’est toujours
openssh derrière, mais pour le reste, en général sur autre chose
qu’OpenBSD il faut faire les choses pour sécuriser. C’est un gentil
troll

Je cherche pas à troller, je cherche à comprendre. Et à être
convaincu aussi, mais il me faut des arguments.

Par exemple, tu dis qu’OpenBSD est configuré sécurité par défaut.

Plus tôt tu as dit :

Personnelement, je n’ai pas autorisé root à ce connecter en
ssh. J’y vais avec un utilisateur qui fait partie des sudoers

1/ soit ça sous entend, que c’est toi qui as configuré ça,
donc t’as changé la config, donc par défaut OpenBSD autorise
root à se connecter en ssh par défaut.

2/ Soit OpenBSD n’autorise pas root à se connecter en ssh
par défaut. ça voudrait donc dire que par défaut, il crée un
utilisateur par défaut, avec lequel on peut se connecter en
ssh ?

Configuré sécurisé par défaut, ça veut dire que le firewall
(pf je crois ?) est activé par défaut ?

Et si j’installe des serveurs (genre postfix, apache), ils
vont être configuré sécurisé par défaut, c’est ça ? Et en
quoi ?

ça suffira comme questions pour le moment,

– Jean-François.

Bref, c’est pour la propreté du code, la simplicité des
choses, et le coté “libre-pour-de-vrai-sans-utiliser-de-driver-proprio” que j’aime
OpenBSD. Le coté sécu est un plus.

Tiens en parlant de BSD (et tant qu’on est Hors Sujet), Linux Magazine
(si je ne
me trompe pas) a un Hors Série actuellement en kiosque sur les BSD. Ne
connaissant pas plus que ça, je l’ai acheté à midi (mais je l’ai pas sur moi
pour vérifier le nom du mag’).

Si vous ne l’achetez pas, faites au moins le détour pour lire le premier
chapitre d’intro qui ne fait que qques lignes, qui est du 100%
propagande
pro-BSD, très humoristique (-:

gUI

Le Lun 19 février 2007 16:24, Jean-François Trân a écrit :

Par exemple, tu dis qu’OpenBSD est configuré sécurité par défaut.

On va simplement dire que c’est la légende/rumeur/réputation/affirmation.
a entre aussi en résonance avec l’affirmation qui a longtemps été prônée
par OpenBSD de “zéro exploits distants depuis [longtemps] dans la
configuration par défaut”

Après il y a eu de multiples trolls pour signaler que par contre les
exploits locaux n’étaient pas toujours corrigés rapidement et que s’il
était très sûr à distance par défaut c’était parce que par défaut tous les
services réseau sont éteints sauf ssh.
D’un autre côté BSD a quelques fonctionnalités de sécurité qui vont plus
loin qu’un linux (genre isolement des processus qui parait-il va plus
loin
côté chroot de linux).

Je ne suis pas sûr qu’on aille beaucoup plus loin qu’un troll et je n’ai
jamais vu de consensus en conclusion de ce genre de question, même entre
gens de bonne
volonté.
Ce qui est certain c’est qu’il y a quand même un gros aspect
légende/réputation à l’idée que OpenBSD est plus sûr. Il est réputé
l’être, mais pour le reste c’est trop matière à débat.

–
Éric Daspet
http://eric.daspet.name/

Il est réputé l’être, mais pour le reste c’est trop matière à débat.

il a aussi pour lui le fait d’être bcp moins courant, et donc de représenter
un
interêt d’attaque moindre (développer un exploit pour aller taquiner 4 geeks
barbus, c’est pas franchement fantasmant).

rien que pour ça, un firewall non-Linux sur une machine non-x86 (OpenBSD
sur une
Sparc par exemple) reste un must.

gUI

C’est pas forcement beaucoup beaucoup hors sujet puisque openssh (le
ssh qu’on retrouve dans la pluspart des unixlike et autre linux) est
un sous projet d’openbsd :).
Pour ce qui est du mag linux, c’est linux magazine hors sujet. Rédigé
par la joyeuse troupe de lutin du http://www.gcu-squad.org/ . Et tout
les sujet sont traité correctement, avec humour.

–
Je vous serais reconnaissant de ne pas m’envoyer de pièces jointes
aux formats Mp3, Wmv, Word, Excel, PowerPoint, RTF, fichiers aux
formats propriétaires.
Utilisez des formats universels et libres tels que texte, html,
OpenOffice.Org, TeX, à la limite PDF, Ogg, mpg à la limite. Merci.
Voir Finissons-en avec les pièces jointes Word - Projet GNU - Free Software Foundation

Yannick :

C’est pas forcement beaucoup beaucoup hors sujet puisque
openssh (le ssh qu’on retrouve dans la pluspart des unixlike et
autre linux) est un sous projet d’openbsd :).

Et aussi parce qu’on peut évoquer le déploiement de Rails
sur OpenBSD.

Pour ce qui est du mag linux, c’est linux magazine hors sujet.

Hors série, pas hors sujet

Rédigé par la joyeuse troupe de lutin du http://www.gcu-squad.org/ .
Et tout les sujet sont traité correctement, avec humour.

Il y avait une affiche qui annonçait le numéro à Solutions Linux.
Ollivier n’était même pas au courant. Les BSDistes français
sont organisés bizarrement. D’ailleurs il n’y avait pas de stand
BSD cette année.

Et ça me fait penser, ya Lisa Gerrard au Grand Rex le 15 avril.
Non je dis ça, parce que ceux qui n’ont pas voulu rater Dead
Can Dance au Palais des Congrès en 2005, ne voudront pas
rater ce concert-ci. Le concert de 2005 était bien.

-- Jean-François.

Yannick :

serveur web.
Pour plus d’info sur l’installation de rails avec openbsd dans
l’environnement chrooté de l’apache version openbsd team:
http://bsd.phoenix.az.us/faq/openbsd/rails-chroot-fastcgi

Merci pour la réponse. Le fait qu’OpenBSD ait un Apache maison
signifie que si l’on veut déployer du Rails avec une config
plutôt basé sur mongrel genre le classique Apache 2.2 +
mod_proxy_balancer + mongrels, faut installer ça manuellement.
Ou alors on utilise l’Apache maison qui fait proxy pour un
balancer à la pen/pound pour des mongrels derrière.
Le tout chrooté, bien
sûr.
“[OpenBSD] Bref, c’est pour la propreté du code, la simplicité des
choses,”

Pas sûr que la sécurité ne s’accorde toujours avec la
simplicité.Pas sûr que les choses soient toujours simple sous OpenBSD.
Un Apache chrooté, c’est moins simple qu’un Apache non
chrooté.
– Jean-François.

Éric :

D’un autre côté BSD a quelques fonctionnalités de sécurité
qui vont plus loin qu’un linux (genre isolement des processus
qui parait-il va plus loin côté chroot de linux).

Tu veux sûrement parler des jails ? Mais je ne sais pas trop
en quoi diffère l’implémentation openbsdiste des jails de FreeBSD.

  -- Jean-François.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 20 févr. 07 à 15:40, Jean-François Trân a écrit :

(partie administration, ajout de rails…). Cependant je crois qu’on
Ou alors on utilise l’Apache maison qui fait proxy pour un
balancer à la pen/pound pour des mongrels derrière.
Le tout chrooté, bien sûr.

“[OpenBSD] Bref, c’est pour la propreté du code, la simplicité des
choses,”

Pas sûr que la sécurité ne s’accorde toujours avec la simplicité.
Pas sûr que les choses soient toujours simple sous OpenBSD.
Un Apache chrooté, c’est moins simple qu’un Apache non
chrooté.

Vous aurez beau penser blinder vos machines dans tous les sens, ça ne
suffit pas toujours. Plus de 75% des attaques sur les serveurs web
sont le fait de failles applicatives (donc pas dans les services). Si
vous utilisez des softs codés avec les pieds, ou par des gens peu ou
pas au fait de ce qui se fait en termes de sécurité, vous aurez beau
avoir un fort knox derrière, ça ne servira pas à grand chose.

Même GRSecurity (patch kernel linux sensé empêcher l’exploitation des
buffer overflow, format string et autres joyeusetés tout en rajoutant
un système d’ACL hyper contraignant sur les appels système) a eu sa
grosse faille de sécurité en son temps.

Et pas la peine de se br*#@! la nouille sur la sécurisation du
serveur si l’interface chaise / clavier ne suit pas et met son login
en mot de passe ou laisse ce dernier traîner sur un post-it sous son
clavier. Ce n’est pas pour rien que la première chose qu’on enseigne
dans un cours de sécu c’est que 75% des attaques ont des causes
internes. La seconde, c’est que la sécurité absolue n’existe pas.

Frédéric

Frédéric de Villamil
[email protected] tel: +33 (0)6 62 19 1337
http://fredericdevillamil.com

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (Darwin)

iD8DBQFF2wxXCvkKk5nKviARAo4VAJ95Yodz6JHxi2/OqeonU+E0tRxvCwCfSeQC
jn8tjAEtb+I+lYX0zEcLiJc=
=LtOO
-----END PGP SIGNATURE-----

Le 20/02/07, Frederic de Villamil[email protected] a écrit :

Et pas la peine de se br*#@! la nouille sur la sécurisation du
serveur si l’interface chaise / clavier ne suit pas et met son login
en mot de passe ou laisse ce dernier traîner sur un post-it sous son
clavier. Ce n’est pas pour rien que la première chose qu’on enseigne
dans un cours de sécu c’est que 75% des attaques ont des causes
internes. La seconde, c’est que la sécurité absolue n’existe pas.

Frédéric

Entierement d’accord !

–
Je vous serais reconnaissant de ne pas m’envoyer de pièces jointes
aux formats Mp3, Wmv, Word, Excel, PowerPoint, RTF, fichiers aux
formats propriétaires.
Utilisez des formats universels et libres tels que texte, html,
OpenOffice.Org, TeX, à la limite PDF, Ogg, mpg à la limite. Merci.
Voir Finissons-en avec les pièces jointes Word - Projet GNU - Free Software Foundation

Et pas la peine de se br*#@! la nouille sur la sécurisation

Poésie et informatique ne font pas bon ménage visiblement

Petite conclusion personnelle sur la sécurisation :

1. je sécurise comme je peux
2. je m’abonne aux mailing-list de sécu des techno que j’utilise
3. je surveille mes logs

J.

Frédéric :

Vous aurez beau penser blinder vos machines dans tous les
sens, ça ne suffit pas toujours. […]
La seconde, c’est que la sécurité absolue n’existe pas.

Joli discours, mais je ne vois pas trop le rapport avec mon
message, qui parlait 1/ du déploiement de Rails avec Mongrel
sur OpenBSD 2/ de savoir si sécurité rimait avec
simplicité.
C’est sûr que si on configure un OpenBSD pour au final
mettre un phpBB dessus, on a pas l’air fin. Mais c’était pas
le sujet.

-- Jean-François.

Le 20/02/07, Jérémy Dierx[email protected] a écrit :

Petite conclusion personnelle sur la sécurisation :

1. je sécurise comme je peux
2. je m’abonne aux mailing-list de sécu des techno que j’utilise
3. je surveille mes logs

J.

Je crois que c’est le mieux.

–
Je vous serais reconnaissant de ne pas m’envoyer de pièces jointes
aux formats Mp3, Wmv, Word, Excel, PowerPoint, RTF, fichiers aux
formats propriétaires.
Utilisez des formats universels et libres tels que texte, html,
OpenOffice.Org, TeX, à la limite PDF, Ogg, mpg à la limite. Merci.
Voir Finissons-en avec les pièces jointes Word - Projet GNU - Free Software Foundation