Logo journal du hacker middle
  1. 1

    Juste une coquille dans son titre, l’outil s’appelle rustdeSk :) Sinon je valide, il fonctionne bien.

    1. 1

      J’aimerai votre avis sur le commentaire que je viens d’ajouter svp

      1. 1

        Et moi j’aimerais que Scarlett Johansson me demande en mariage. :o)

        1. 1

          Je pense qu’on peut introduire du code malveillant par continuité dans n’importe quel logiciel (temps + énergie + complexité + ingéniosité + confiance). La surface d’exploitation est toujours problématique : plus un système devient sécurisé moins il est pratique à utiliser. Il me semble qu’on ne cherche pas à protéger totalement son système mais on se protège de menaces identifiables. Donc, à minima, il me semble qu’il faut avoir des connaissances sur le fonctionnement des systèmes d’exploitation (et) ou se former en sécurité informatique. Aucune magie noire. Pour rappel, l’extrait de code Java le plus recopié sur Stack Exchange contenait un bogue mineur. Le logiciel mentionné a 154 fichiers .rs et 47 413 lignes.

      1. 2

        Une alternative : vim qui propose les mêmes choses sauf que pour moi c’est un éditeur et non pas un outil de visualisation.

        Ça se discute : la commande view (fournie dans le paquet vim) est un alias de vim -R qui ouvre le fichier en lecture seule, empêchant les modifications mais permettant navigation, coloration syntaxique et autres friandises de vim.

        1. 1

          Rhô, tu viens de me faire découvrir un truc. Je savais pas. Merci. <3

        1. 1

          Pourquoi vaut-il mieux être root pour se lancer dans la recherche d’un fichier de configuration du système ?

          Le système signale comme il se devrait qu’on ne peut pas lancer la recherche dans tel répertoire à cause des droits d’accès.

          find /usr/bin -size +1M -exec ls -lh {} + \;
          

          find lance un nouveau processus ls pour chaque résultat.

          Mais en ajoutant un signe plus après les accolades, find ne lance de nouveau processus que lorsque le nombre de noms de fichiers a dépassé le nombre limite d’arguments de la ligne de commande.

          cat /etc/passwd | grep bash
          

          C’est vraiment montrer le mauvais exemple ; fournir plutôt la bonne explication.

          grep "PS1" /etc/*
          

          Le motif de noms de fichiers ne correspond pas absolument : la recherche n’est pas récursive, ….

          grep -R "PS1" /etc/
          
          1. 2
            1. /usr/bin est accessible en lecture à tout le monde.

            2. On s’en fiche des processus lancés par -exec. C’est un cours d’introduction au shell, pas un exposé sur l’optimisation à outrance des commandes du shell.

            3. L’exemple avec le “useless use of cat” est avant tout pédagogique. D’ailleurs il aurait suffi de lire la phrase juste après pour s’en rendre compte. C’est expliqué. Suffit de lire l’article.

            4. Ben non, la recherche n’est pas récursive. Rien ne le dit dans le texte.

            1. 1

              Mes remarques peuvent paraître pointilleuses mais c’est important pour la compréhension.

              Tous les fichiers de configuration de mon système dans le répertoire /etc sont protégés en écriture pour un utilisateur courant.

              find /etc -type f -writable
              

              La commande cat combinée avec grep est fautive sans que l’on comprenne vraiment pourquoi. On pourrait penser que c’est plutôt équivalent à cat /etc/passwd ; grep bash /etc/passwd. L’utilisateur souhaite afficher le contenu du fichier, s’aperçoit que cat n’est pas adapté et réduit donc à l’essentiel ce qui est affiché grâce à grep. Néanmoins, il faut savoir que des commandes fonctionnent directement avec des fichiers et dans des pipes. Cela est éventuellement plus difficile dans la manière d’exposer mais le propos n’est pas forcément plus compliqué (quoique plus fastidieux).

              On comprend que grep "PS1" /etc/* est incorrect puisque le motif du nom de fichier donne accès à des fichiers quelconques (caractère de substitution étoile) dans un répertoire rempli de fichiers. Peu importe que la recherche soit poursuivie dans les sous-répertoires mais cela paraît plus logique et surtout correct.

              1. 2

                Mec.

          1. 1

            Chtite suggestion. Sur les postes clients Linux dont je dois assurer la télémaintenance en mode graphique, j’utilise Anydesk, qui fonctionne à merveille.

            1. 1

              L’article était pour répondre à un besoin particulier. Mais en effet je préfère largement Anydesk qui est fonctionnel correctement et disponible directement en flatpak. D’ailleurs j’ai mis la petite phrase dans l’intro “A noter que je préfère personnellement Anydesk qui est disponible directement en Flatpak.”

            1. 1

              CentOS 6 est officiellement EOL depuis novembre 2020.

              1. 2

                Oui et dans le cas où on utilise ce système parce que les applis qui tournent dessus ne sont pas encore migrées et qu’on a besoin d’outils à installer, ça peut toujours être utile. Après dans le monde entreprise il y a plein de cas où des systèmes obsolètes tournent encore, le cloisonnement réseau via VLAN, parefeu, ou WAF dans le cas d’un applicatif rendent moins vulnérables des systèmes qui peut être complexes à migrer (soit techniquement, soit logiciellement, soit au niveau des moyens humains)

              1. 1

                “Les jeunes d’aujourd’hui ne valent pas grand-chose, et le pire est à craindre pour les générations à venir.” (Traduction de l’inscription figurant sur un vase phénicien datant de 4000 av. JC)

                1. 1

                  Chouette article, et chouette blog ! J’adore !

                  1. 2

                    Ça doit vraiment dépendre de la machine, car j’ai un MacBook Pro de 2013 (sous Catalina) que j’utilise tous les jours pour le pro (web design, code…) et le perso, et je n’ai jamais eu le moins problème. Le Bluetooth a une bonne portée, pas de souci avec les écrans, ni avec la veille… tout fonctionne comme il faut, même après 8 ans.

                    1. 1

                      J’ai aussi eu un MacBook Pro de 2013. Et, ça fonctionnait sans problème. Puis j’ai travaillé aussi avec un iMac de 2015 pendant quelques semaines. Tout fonctionnait bien, mais il soufflait en permanence sans raison. Même après réinstallation. J’ai vraiment l’impression que c’est de pire en pire chez Apple.

                      1. 1

                        C’est dans les vieilles marmites qu’on fait les meilleures soupes.

                        https://blog.microlinux.fr/opensuse-leap-15-2-macbook-pro/

                        :o)

                    1. 2

                      Y’aurait moyen d’intégrer le plonk dans le JdH, comme au bon vieux temps de USENET ?

                      1. 1

                        Uh, la violence ^^ Si c’était implémenté tu l’aurais utilisé?

                        1. 1

                          Oui. J’arrive à un âge où l’on apprécie un ratio signal/bruit favorable.

                          1. 1

                            Cascador s’est déjà prononcé plusieurs fois sur le sujet. Si je ne me trompe pas, ce n’est pas dans l’esprit du JDH de downvote. Si on aime on vote si on aime pas on ignore et en moins de 24h la news a disparu.

                            Ce n’est pas mon article et je ne l’ai pas vu mais tu peux, rapidement et si tu as le temps, justifier pourquoi tu voudrais le downvote ? Merci :)

                            1. 1

                              Ça parle pas de downvote ici mais juste d’un moyen d’ignorer.

                      1. [Comment removed by author]

                        1. 2

                          Si vraiment ça te pose un problème (et que c’est pas juste pour faire ton pénible comme l’autre gars avec ses articles bizarres), utilse RHEL, SLES ou SLED.

                          1. 1

                            Il ne me semble pas que Windows ait une quelconque garantie… En tout cas, la majorité des personnes qui me contactent pour du dépannage sont sur Windows.

                            1. [Comment removed by author]

                              1. 5

                                Derrière cette réflexion il y a tout simplement la question de la confiance : Accordes-tu plus de confiance envers Microsoft et son armée de dev et ses motivations purement financières (c’est une entreprise) ou bien la communauté Linux qui n’est pas une entité unique mais un aggrégats de devs aux motivations diverses (et parfois contradictoires) ?

                                À titre perso, j’ai plus confiance envers le noyau Linux qui attire l’attention d’énormément de monde avec son code ouvert plutôt qu’envers Microsoft qui fait ce qui fout ce qu’il veut dans sa soupe. Pour l’instant, l’Histoire a prouvé que d’un point de vue sécurité Linux s’en sort mieux…

                                1. 1

                                  C’est exactement ça, merci @Lord d’avoir répondu à ma place.

                                  1. [Comment removed by author]

                                    1. 1

                                      Stallman, il a fait des chouettes trucs comme le projet GNU et la GPL. Et c’est aussi une diva ingérable qui fait son pénible à tout bout de champ. Pas la peine de l’imiter là-dessus, franchement.

                                      1. [Comment removed by author]

                                        1. 1

                                          Mec, je comprends rien à ce que tu racontes. Mais je pense que toi non plus, tu comprends rien à ce que tu racontes. :o)

                                          1. [Comment removed by author]

                                            1. 2

                                              Est-il vraiment si invraisemblable qu’une entité malveillante s’introduise dans votre système d’exploitation grâce à (ou par) « la communauté » ?

                                              La réponse oui, 1000 fois oui. En parallèle, il est aussi évident qu’il faut partir sur une alternative Linux éprouvée (Ubuntu ou Ubuntu base, Debian base) et rester dans les standards. Tant que tu es dans les standard et que tu maj souvent ton système, ton scénario est proche du 0.

                                              Et le jour où une entité infectera du Debian ou du Ubuntu, c’est peut-être déjà le cas, elle ne va pas utiliser son virus sur Madame Michu et visera quelque chose de beaucoup plus critique/valeur.

                                              1. 1

                                                On a déjà vu des logiciels libres compromis. Ca arrive. Notamment sur des librairies.

                                                L’avantage d’un code ouvert, c’est qu’il y a potentiellement toute l’humanité qui est capable de voir ce qui y a été fait. (toute l’humanité n’est pas compétente pour évaluer du code pour autant, on est bien d’accord).

                                                Par contre je préfère utiliser une distribution la plus minimaliste possible pour laisser le moins d’angles d’attaque possible. Une Alpine sur laquelle on installe le strict nécessaire est bien plus sécurisée qu’une Debian qu’on laisse en base install à mon sens.

                                                Et sinon oui, le particulier a bien peu de chance d’être victime d’une attaque ciblée. A moins que quelqu’un vous en veuille terriblement… c’est généralement des grosses entités qui sont visées (entreprises / états / parcs énergétiques…).

                            1. 1

                              Vi, c’est comme le Nutella. Quarante-cinq ans d’expérience feront toujours la différence.

                              1. 2

                                C’est vrai que “Murena” c’est un peu plus percutant que “euh” ou alors “slash euh slash” on sait pas trop finalement.

                                1. 1

                                  J’ai cru comprendre que ça devait se prononcer leelo ou quelque chose dans le style. Ou j’ai inventé

                                  1. 2

                                    Non, ça s’appelait Eelo avant. Et puis y’a eu un souci juridique parce que le nom avait déjà été choisi par un autre projet. Du coup ils ont dû le rebaptiser.

                                    Ma théorie c’est que dans le monde du libre, les gens qui choisissent les noms des projets c’est les mêmes qui appellent leurs gamins Thor, Goldorak ou Plume-Libellule-Papillon.

                                1. 1

                                  Ne ratez pas notre prochain article “Cette robe est-elle verte ou bleue ?”

                                  1. 2

                                    En dehors de ça, je me rappelle avoir testé Emmabuntüs. Le concept de cette distribution semble être quelque chose de l’ordre de “dix applications pour chaque tâche”.

                                    1. 2

                                      Dans mon quotidien, je suis régulièrement confronté à cette problématique. Perso j’ai opté pour Q4OS, une distribution bien plus légère que celles présentées dans l’article, et qui offre autant de fonctionnalités.

                                      https://blog.microlinux.fr/q4os-acer-travelmate/

                                      1. 4

                                        Perso j’aime beaucoup ce genre d’article, que je classerais volontiers dans une catégorie “hygiène numérique” ou “organisation du travail”. De mon côté j’allais m’atteler à la rédaction d’un article de blog sur le mind mapping (avec l’appli libre VYM), et je pense que là on a le même problème de pertinence pour quelques-uns.

                                        1. 1

                                          Sympa, cet article. En revanche [devenez membre pour lire le reste de ce commentaire].

                                          1. 1

                                            Oui c’est indiqué par l’étiquette “contenu payant”.

                                          1. 1

                                            Après, il est possible (moins simple certe) d’installer n’importe quel OS sur les serveurs.

                                            1. 2

                                              Pas en dessous d’une certaine gamme. J’ai commandé un START 2, il n’y a pas cette possibilité.

                                              1. 1

                                                Je sais bien. Il fut un temps où je faisais tourner Slackware sur les serveurs Dedibox, en l’installant depuis la session de secours. Pour l’instant je m’en sors en installant CentOS et en “convertissant” mon installation en Oracle Linux moyennant ce script: https://github.com/oracle/centos2ol

                                                Mais bon, je préfère autant ne pas avoir à sauter à travers des cerceaux en feu. D’autant que l’effort à fournir par Online/Scaleway serait minime, vu qu’ils ont déjà fait le boulot pour CentOS et pour Rocky Linux. Suffirait qu’ils adaptent leurs scripts d’installation.

                                              1. 1

                                                Pour info/mémoire l’utilisateur fgallaire a été banni : “Bonjour ton attitude sur le Jdh ne permet plus que tu fasses partie de cette communauté. Bonne continuation”. Ses derniers commentaires.

                                                1. 1

                                                  Dommage qu’il n’y ait pas une modération similaire sur Linuxfr.org.

                                                1. 2

                                                  Il m’arrive de lire la LKML juste pour le fun, et j’avoue que justement j’apprécie Linus pour ses gueulantes shakespeariennes. Après, les Américains - et parfois aussi les gens en France - ont un problème avec le franc-parler des nordiques (je précise que je ne suis pas français et que je viens d’un pays qui a un peu la même mentalité de dire les choses en face brut de décoffrage). Perso je préfère carrément ça aux litanies passives-agressives politiquement correctes et autres Codes of Conduct. :o)