1530

redangel (./1527) :
Lionel Debroux (./1526):
Les BMCs (iLO, iDRAC, etc.), même combat:
Au moins pour iLO (et je suppose pour les autres), le mdp par défaut est unique sur chaque machine.
Par contre, il est écrit sur une languette sur le serveur, donc si c'est pas soit changé (gni) soit arraché, bin effectivement pas très dur de se connecter en remote.
flanker (./1525):
Bin pour fouiner dans le contenu d'un ordi portable, pas besoin de changer le mot de passe : suffit de booter sur n'importe quel LiveCD de Linux.
Oui et non. Je suis d'accord avec toi, mais consulter le Outlook/Thunderbird de la victime, ça va plus vite en bootant sur sa session qu'en extrayant ses fichiers... voir en imap, ça marche pas du tout avec le contenu du disque dur.
Mais soit tu as un accès pérenne à son ordi et dans ce cas, j'imagine que le critère de vitesse n'a pas trop d'importance, soit tu dois rendre l'ordi à la victime et il va vite se rendre compte de quelque chose si tu as changé son mot de passe.
Bref, dans tous les cas : il faut chiffrer intégralement son disque embarrassed
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1531

Ouais enfin chiffrer son disque c'est bien mais le chiffrer sans s'appuyer sur un truc qui dépend entièrement des mécanismes "de confiance" Intel (cf. Bitlocker) c'est mieux helico

5 years of Intel CPUs and chipsets have a concerning flaw that’s unfixableArs TechnicaConverged Security and Management Engine flaw may jeopardize Intel's root of trust.
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

1532

avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1533

C'est connu qu'il faut filtrer l'arrivée électrique des salles sensibles : les frappes clavier, par exemple, peuvent perturber l'arrivée électrique sans aucun malware (surtout quand le matériel n'est pas de bonne qualité).
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1534

C'est pas a la porté du premier quidam venu
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1535

Non, mais j'imagine que quand tu fais un réseau déconnecté, tu pars du principe que l'attaquant n'est pas le premier quidam venu.
J'avais vu une démo, et ça ne semble pas si compliqué que ça (il faut juste récupérer assez de frappes pour pouvoir associer les touches aux bonnes interférences).
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1536

Ca fait beaucoup de "il faut" sachant que c'est probablement unique pour la cible en question, et il faut savoir exactement ce qui est tape.

Ca me semble compliqué quand meme
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1537

Russian hacker group using HTTP status codes to control malware implants | ZDNetZDNetNew Turla cyber-espionage operation targets diplomatic entities in Europe with new COMpfun malware.

Faut reconnaître que l'idée est originale...
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1538

Et un spécial pour Lionel :
Tech's Volkswagen moment? Trend Micro accused of cheating Microsoft driver QA by detecting test suitewww.theregister.co.ukAV maker denies allegation, says researcher is 'looking for attention'
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1539

Merci, je l'avais vu passer et je l'ai notée dans ma liste de liens sur les bêtises des pro-virus et autres solutions d'insécurité smile

Globalement, il y a un problème avec WHQL. C'est loin d'être le premier driver signé qui fait des bêtises, et je ne parle même pas de ceux qui ont des ioctls pour désactiver SMEP, SMAP et/ou autres mesures de sécurité. Plus bas dans le flux Twitter d'Alex Ionescu, qui a relayé les soucis du pro-virus Trend Micro que tu linkes ici, on en trouve justement un:
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1540

Trend Micro a été puni, son driver qui triche avec la certification WHQL est maintenant bloqué sur Windows 10 post-moderne:
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1541

Qu’est-ce qu’un Windows post-moderne ?
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1542

(c'est quand y'a un fond d'écran steampunk embarrassed)

1543

L'interdiction de ce driver semble avoir été appliquée au récent Windows 20H1, c'est ça que je voulais signifier par "post-moderne" grin
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1544

ça fait un moment qu'ils trichent aux test de cert, non?

1545

Je vais devoir faire une fresh install pour un serveur linux.

Sur quelle distrib vous partiriez ?
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

1546

[flanker]
CLIP OSANSSIL’ANSSI a élaboré un système d’exploitation multiniveau sécurisé dénommé CLIP OS, pour répondre aux besoins de l’administration. Basé sur un noyau Linux et capable de gérer des informations de plusieurs niveaux de sensibilité, CLIP OS est à présent disponible en open source* dans le cadre d’un projet de développement collaboratif.
[/flanker]

C'est pour TI-FR ou pour le boulot ?
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1547

Zerosquare (./1546) :
[flanker]
CLIP OSANSSIL’ANSSI a élaboré un système d’exploitation multiniveau sécurisé dénommé CLIP OS, pour répondre aux besoins de l’administration. Basé sur un noyau Linux et capable de gérer des informations de plusieurs niveaux de sensibilité, CLIP OS est à présent disponible en open source* dans le cadre d’un projet de développement collaboratif.
[/flanker]

C'est pour TI-FR ou pour le boulot ?
il n’existe actuellement pas de version « prête à l’emploi » de CLIP OS pour les utilisateurs
C'est ti-fr, je vais changer ram/cpu/cm/ssd et actuellement c'est un Ubuntu Serveur 18.04.3 LTS

et le casse tête ça va être de réussir à "exporter" comme il faut le contenu de la machine actuelle vers la nouvelle (les disques non systèmes passeront d'une machine à l'autre)
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

1548

T'as une raison particulière pour vouloir changer de distrib ?

Parce que vu l'utilisation, je vois pas trop ce qu'une distrib différente pourrait t'apporter de plus qu'Ubuntu, et ça sera sûrement plus compliqué à migrer que de simplement passer à une version plus à jour (sans parler de devoir réapprendre comment marchent certains trucs).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1549

en fait : ça sera pas une "simple migration" parce que nouveau disque, nouvelle archi donc fresh install.

la raison particulière c'est qu'avec les années, la distrib linux serveur "au top" a tourné et c'est comme ça que je suis passé (entre autres) sur debian ou gentoo avant d'arriver à ubuntu... l'idée c'est que j'aimerai trouver laquelle propose aujourd'hui le meilleur compromis en terme de stabilité tout en ne sacrifiant pas trop les nouveautés (comme le fait debian avec ses trois trains de retard sur certains outils)
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

1550

Ok smile
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1551

Pour le coup j'ai récemment changé de CM +processeur + mémoire et ajouté un SSD. Et j'ai eu l'agréable surprise de voir mon Ubuntu démarrer comme si de rien n'était.

Je dis pas que ca marche a tout les coups, mais si ça ce trouve ça vaut le coup d'essayer pour toi. Il y a des outils qui permettent de cloner ton ancien disque vers ton SSD (il y en avait un de fourni avec mon ssd).
avatar

1552

Ubuntu LTS, Debian ou CentOS smile
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1553

Du coup Ubuntu 20.04 top

Si je devais résumer "bêtement", je dirais:
3- Centos (y a tout, mais ça vient d'une distro payante)
2- Debian (c'est la base la plus utilisée)
1- Ubuntu : c'est comme Debian mais en plus user-utilisable.
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

1554

Zerosquare (./1546):
[flanker]
CLIP OSANSSIL’ANSSI a élaboré un système d’exploitation multiniveau sécurisé dénommé CLIP OS, pour répondre aux besoins de l’administration. Basé sur un noyau Linux et capable de gérer des informations de plusieurs niveaux de sensibilité, CLIP OS est à présent disponible en open source* dans le cadre d’un projet de développement collaboratif.
[/flanker]

C'est pour TI-FR ou pour le boulot ?
Hey c'est cool, ça !
On peut essayer par là : https://docs.clip-os.org/toolkit/quick-try.html
Mais bon c'est sûrement un peu tôt. A surveiller en tout cas top
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

1555

C'est amusant mais je ne me risquerais pas à installer ça chez moi : ça risque d'être difficile d'avoir du support en cas de pépin sad (et j'ai du mal à trouver sur le site des infos concrètes sur ce qui a été ajouté dans cette distrib... bon le fait que GitHub soit mort actuellement n'aide pas !)
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

1556

Pour le support, c'est facile : tu envoies ta demande à Flan, il passe le mot à ses amis hehe

Mais plus sérieusement, à moins d'avoir des contraintes de sécurité Flankeresques, je pense pas que ça ait un intérêt (et puis c'est une version bêta, de toute façon).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1557

* le plus naturel serait de passer d'Ubuntu 18.04.3 LTS vers 20.04 LTS;

* en effet, il n'est pas trop improbable qu'un Linux moderne puisse être passé d'une machine à une autre sans avoir à le reparamétrer, donc je pense aussi que ça serait à tester;

* je ne connais pas de distribution de plus de 2 ans qui reçoive un support sécurité digne de ce nom...
Pour le kernel, au bout d'un an, il manque déjà quelques centaines de fixes de sécurité aux kernels Linux LTS, et les kernels Linux XLTS sont pires. Pour les deux infos, la source est spender, qui sait de quoi il parle. Il a récemment fait une présentation au Linux Security Summit ( https://mobile.twitter.com/opensrcsec/status/1278798266646306817 ), la slide 26 du PDF contient un nombre: "As of our final 4.4 patch, had at least 1250 security-relevant fixes missing in the upstream 4.4 LTS". Et il ne prétend certainement pas qu'il n'a pas pu rater un seul commit.
Pour le user-space, j'ai fait l'expérience plusieurs fois que même des packages "populaires" (Debian popcon top 1000, pour ce que le popcon vaut) bourrés de failles allant parfois au-delà du simple DoS ne reçoivent pas toujours, et pas toujours rapidement, de backports dans Debian ou les autres distros majeures, même en notifiant security@ . Seul un jeu assez restreint de packages reçoit des mises à jour de sécurité. Une des méthodes les plus efficaces pour déclencher les mises à jour de sécurité est d'obtenir des CVE IDs pour les vulnérabilités, mais c'est beaucoup de boulot s'il y a beaucoup de vulnérabilités.
RHEL fait maintenant bien moins qu'une release tous les deux ans... donc pour moi, RHEL et ses dérivées font partie du gros ensemble des distros qui n'ont pas un support sécurité digne de ce nom, une partie du temps. Sur les packages majeurs, ils sont pourtant assez réactifs, en général.

* le support sécurité de CentOS est d'autant plus mauvais qu'il est retardé par rapport à RHEL: en comparant le flux de vulnérabilités du CERT-FR, qui linke des advisories RedHat contenant des infos sur les versions corrigées, et le repo de packages updates de CentOS - ça fait partie de mes tâches au boulot - je vois que les packages corrigés parviennent dans les repos CentOS quelques jours à quelques semaines après leur arrivée dans les repos RHEL.

* transférer les données de /boot , /boot/efi , / et autres partitions Linux vers une nouveau disque / une nouvelle machine est jouable, avec par exemple rsync -avHEAXSxt . J'ai fait ce genre de manips plusieurs fois ces dernières années pour faire des forks de machines, avec un downtime assez faible. Au passage, j'ai même changé de système de boot et de partitions (en installant d'abord le nouveau système, puis en transférant les données): je suis passé d'un boot BIOS classique avec partitions "physiques" /home et / non chiffrées, / à un boot UEFI avec /boot, /boot/efi bien sûr, et un volume LUKS contenant un PV LVM contenant un VG contenant deux LVs /home et /.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1558

Zerosquare (./1556) :
Pour le support, c'est facile : tu envoies ta demande à Flan, il passe le mot à ses amis hehe

Mais plus sérieusement, à moins d'avoir des contraintes de sécurité Flankeresques, je pense pas que ça ait un intérêt (et puis c'est une version bêta, de toute façon).
Faut avoir le besoin assez spécifique de nécessiter plusieurs niveaux de sécurité différents (genre non protégé et diffusion restreinte, vu que tu ne pourras pas faire de plus grand écart de toute façon) sur la même machine, ou éventuellement si tu veux isoler différentes fonctions d'un même réseau (genre poste bureautique et poste d'admin ou poste de développement).

Tu peux avoir des blagounettes avec le passage à 20.04, avec la gestion du réseau notamment.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1559

(J’aime bien Lionel, la bible de Linux pour qui tout ça semble évident grin il est au monde Linux ce que Zerosquare est à yAronet cheeky)

1560

Merci, c'est gentil, mais je ne suis pas au niveau d'être une bible pour Linux, et je ne le serai jamais smile
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.