Archlinux.fr [Forums]

Nic0 a écrit :Je ne connaissais pas le « QoS », mais en effet ça parais logique, encore faut il savoir l'appliquer, je n'ai jamais ouvert mon « iproute », mais j'essayerai sûrement bientôt. Le « paquet filter » n'est donc pas disponible sur Arch ?

La question n’est pas là, iptables s’en sort très bien pour ce qui est de la mise en place d’un pare-feu efficace et iptables est juste un CLI en user-land qui communique avec la couche netfilter du noyau linux.
Le QoS (Quality of Service) est un système qui permet de gérer la bande passante (euh entre autre ?) — BP. En tout cas avec iproute tu peux par exemple allouer une certaine largeur de BP pour telle ou telle adresse ou plage d’adresses IP aussi bien en download qu’en upload mais c’est d’une complexité ahurissante :?
Mais bon, là aussi, on trouve des scripts qui permet d’abstraire la complexité de cet outil…

En espérant de ne pas tomber dans les travers du troll, mais ce sont des questions que je me pose.

Ben le forum est justement fait pour ça, tu es tout en droit de te poser ce genre de questions et certaines personnes paranoïaques sont sujettes à des visions d’énergumènes à la pilosité dense :P

J'utilise pas de firewall parce que j'aime bien l'idee qu'avec Linux, je n'ai pas besoin de m'en soucier.

Bien sur, d'apres ce que j'ai lu un peu partout, c'est pas vrai, et c'est pas une attitude prudente.

J'attends cependant d'avoir la preuve que j'en ai besoin avant de faire quoi que ce soit. J'ai vraiment horreur de passer du temps a faire des choses en prevision de problemes que je n'aurai peut etre (probablement? surement?) jamais. Je dois etre vraiment paresseux.

Après un peu de lecture, ce qui ne fait pas de mal,

Un sujet intéressant tout en rapport, entre une victime de hack, membres et devs de Archlinux :Securing archlinux scripts and help, pour ne cité qu'une anecdote(d'un devs) : « or even worse, this GRC crap » (en rapport avec le lien que farvardin nous donne, le mieux c'est d'essayer sois même de toute façon).

Sinon, un tutorial sur l'iptables sur ubun*tousse* mais par un arché également : HOWTO: Set a custom firewall (iptables) and Tips [Beginners edition]

A titre indicatif, chkrootkit, disponible dans [extra] par un simple « pacman -S chkrootkit »

@jiu, bien sûr, les chances d'avoir des soucis avec un desktop sous linux doivent être moindre que celle d'un windowsien inconscient avec peu de sécurité, mais comme montre le sujet (arch.org) cité, elle ne sont pas nul.

gyo a écrit :certaines personnes paranoïaques sont sujettes à des visions d’énergumènes à la pilosité dense

Une vision qui m'a fait sourire ,

En fait, j'ai abordé le sujet avec une approche (vision) un peu différente, non pas dans un usage courant, ou là certes peu de « chance » d'avoir des soucis, mais que ce passerait-il, si, suite à une prise de tête par exemple avec un hacker compétant, (en le sachant ou pas peu importe) il décide en représaille de passé quelques nuits blanches à trouver une faille de mon ordi, et de là, les probabilité qu'il finisse à ses fin…
Bien sûr ça reste subjectif, mais certains évènement passé (par exemple) sur #archlinux-fr ou #ubuntu-fr peuvent en rappeler la réalité.

Hors sujet mais pas grave :

Qualité de service (Wikipédia) a écrit :Lorsque plusieurs routes vers une destination sont disponible, le choix d'une des routes peut se faire pour garantir la qualité de services. Par exemple, une route proposant délai faible mais débit faible sera utilisée pour les applications interactives, tandis qu'une route acceptant un meilleur débit au prix d'un délai plus long sera préférée pour les applications moins sensible au délai (Streaming, téléchargement, etc.).

@gyo, c'est possible de gérer cela, ou c'est ce qu'il ce passe déjà, et pas du ressort de l'utilisateur ?

Nic0 a écrit : Un sujet intéressant tout en rapport, entre une victime de hack, membres et devs de Archlinux
:Securing archlinux scripts and help, pour ne cité qu'une anecdote(d'un devs) : « or even worse, this GRC crap » (en rapport avec le lien que farvardin nous donne, le mieux c'est d'essayer sois même de toute façon).

j'ai peut être lu en diagonale, mais il n'y a pas d'allusion à une victime dans ce topic, et je vois pas trop l'anecdote... en gros le dev en question dit de façon plus technique ce que j'ai dit plus haut, il voit pas l'intérêt d'un firewall !

Nic0 a écrit : @jiu, bien sûr, les chances d'avoir des soucis avec un desktop sous linux doivent être moindre que celle d'un windowsien inconscient avec peu de sécurité, mais comme montre le sujet (arch.org) cité, elle ne sont pas nul.

ça par exemple, c'est du troll, installes des soft proprio que tu lanceras en root parce que c'est la seule solution que t'as trouvé à un bug propre au soft et t'auras les mêmes conséquences que celui qui installe un soft pris depuis un site qu'il connait pas juste pour faire comme le copain et sans payer un sou.

Nic0 a écrit : Bien sûr ça reste subjectif, mais certains évènement passé (par exemple) sur #archlinux-fr ou #ubuntu-fr peuvent en rappeler la réalité.

quels événements ?

tuxce a écrit :j'ai peut être lu en diagonale, mais il n'y a pas d'allusion à une victime dans ce topic

premier post, et 13ème (entre autre) :

Ps: BluPhoenyx as you may bean guessing by now I have been hacked the hard way
...
I m not fully aware on the method the guy used but I m pretty sure that I was root kited I have not allot of info about the hack

tuxce a écrit :en gros le dev en question dit de façon plus technique ce que j'ai dit plus haut, il voit pas l'intérêt d'un firewall !

y a beaucoup de ça, et ça m'avais fait pensé un peu à ta réaction sur le coup, mais ça veux pas dire que j'en suis totalement d'accord, il est peut être en effet plus simple d'apprendre à mettre en place ses services correctement que de mettre en place des règles de firewall. Or, je peux faire des erreurs sur mon PC par négligence et lacunes.

Pour le topic, j'ai en effet suivis, un peu de loin, je suis d'accord qu'on nous préviens partout de ne pas lancer d'application en root, mais pour ne pas avoir été aussi vigilant, je comprends qu'on puisse être tenté.

Quand à l'allusion de l'IRC, je parlais de flood, ne provenant pas de cloneur/proxies à mon avis. Mais un peu hors sujet je suppose.

Bref, tant que je serais conscient de mon incompétence sur ce sujet, je vais gardé iptables, continuer de me documenter, et qui sait, si un jour j'ai ton assurance envers ce qu'il ce passe sur mon propre ordinateur, je trouverais cela absurde de garder ce parfeu.

Nic0 a écrit :premier post, et 13ème (entre autre)

ok, ça m'apprendra à lire le post jusqu'au bout

Nic0 a écrit : Pour le topic, j'ai en effet suivis, un peu de loin, je suis d'accord qu'on nous préviens partout de ne pas lancer d'application en root, mais pour ne pas avoir été aussi vigilant, je comprends qu'on puisse être tenté.

c'est pas une question de vigilance, il n'y a aucun intérêt à lancer une application utilisateur en root.

Nic0 a écrit : Quand à l'allusion de l'IRC, je parlais de flood, ne provenant pas de cloneur/proxies à mon avis. Mais un peu hors sujet je suppose.

un peu beaucoup même je vois pas le rapport entre un serveur irc (freenode) et la machine desktop d'un particulier, sinon un flood, c'est pas vraiment un piratage.

Nic0 a écrit : si un jour j'ai ton assurance envers ce qu'il ce passe sur mon propre ordinateur, je trouverais cela absurde de garder ce parfeu.

merci pour l'assurance (je fais quand même relativement confiance à la communauté de développeurs), mais ce qui suit me choque, en gros, tu supposes qu'il peut y avoir un truc pirate sur ton poste... du coup le firewall, c'est pour protéger ton FAI ?
mais bon je suis mauvaise langue, ça peut se justifier si tu as plusieurs pcs ou que des personnes se connectent de chez toi...

Bref, tant que je serais conscient de mon incompétence sur ce sujet, je vais gardé iptables, continuer de me documenter, et qui sait, si un jour j'ai ton assurance envers ce qu'il ce passe sur mon propre ordinateur, je trouverais cela absurde de garder ce parfeu.

Analysons les choses à tête reposée…
Tu es chez orange (comme moi d’ailleurs), et tu n’es pas sans savoir que ton IP change tous les 24h (ou quelque chose comme ça). Donc, déjà, on peut considérer qu’une IP changeante apporte une sécurité en plus.
De plus, il me semble que la livebox (chose que je n’ai pas par contre) fait office de pare-feu (après tout, comme toutes *box)… Alors l’intérêt de mettre en place un pare-feu au niveau de ton ordinateur est discutable…

Alors, en revanche, si tu te la joues wifi, c’est déjà plus délicat. Une personne peut hacker ta connexion et à ce moment-là la question de mise en place d’un pare-feu sur ton ordinateur est plus pertinante…

tuxce a écrit :

Nic0 a écrit : @jiu, bien sûr, les chances d'avoir des soucis avec un desktop sous linux doivent être moindre que celle d'un windowsien inconscient avec peu de sécurité, mais comme montre le sujet (arch.org) cité, elle ne sont pas nul.

ça par exemple, c'est du troll, installes des soft proprio que tu lanceras en root parce que c'est la seule solution que t'as trouvé à un bug propre au soft et t'auras les mêmes conséquences que celui qui installe un soft pris depuis un site qu'il connait pas juste pour faire comme le copain et sans payer un sou.

Tout à fait d’accord, je rajouterais qu’il faut faire attention aux paquets en provenance de AUR… Parce vive les chevaux de Troie et compagnie !
Par contre, ce n’est pas du troll mais du FUD
Après, il est vrai que la plupart des linuxiens sont en général des gens avertis surtout les archeurs (oula un troll s’est glissé…)

Nic0 a écrit : Bien sûr ça reste subjectif, mais certains évènement passé (par exemple) sur #archlinux-fr ou #ubuntu-fr peuvent en rappeler la réalité.

Euh je crois que c’est la faute à m!m@s

(praïvête djauk)

gyo a écrit :Alors, en revanche, si tu te la joues wifi, c’est déjà plus délicat. Une personne peut hacker ta connexion et à ce moment-là la question de mise en place d’un pare-feu sur ton ordinateur est plus pertinante…

firewall ou pas, il lui suffira par exemple, de faire un serveur dhcp pour te donner un dns bidon et à lui tout ce qu'il veut.
sinon pour le wifi, un chiffrage WPA2 est loin (même très loin) d'être facilement crackable même en force brute.

tuxce a écrit :je vois pas le rapport entre un serveur irc (freenode) et la machine desktop d'un particulier, sinon un flood, c'est pas vraiment un piratage.

En vu des IP impliqué, y as du y avoir du hack à un niveau, et là été le rapport (non pas pour le flood en lui même).

tuxce a écrit :mais ce qui suit me choque, en gros, tu supposes qu'il peut y avoir un truc pirate sur ton poste... du coup le firewall, c'est pour protéger ton FAI ?

Bien je n'exclus pas le fait d'être infecter, et pour cité vincentxavier, autant que t'as machine ne servent pas à spammer ou faire des DDoS.

gyo a écrit :je rajouterais qu’il faut faire attention aux paquets en provenance de AUR

En vérifiant le PKGbuild je suppose ? certes je ne le fais pas à chaque fois, de plus, si il y avais réellement un paquet douteux, je ne parierais pas sur le fait de le reconnaitre.
Pour ce qui est du changement d'IP, je ne pense pas que ma livebox change toute les 24h mais beaucoup plus que ça(je vais essayer de vérifié). Et il me semble avoir lu quelques chose sur suivre le saut d'ip, (j'avance ça sans être sûr là…)

Encore deux points, en rapport à la box, il semblerais que déluge ai ouvert des ports (en plus j'en retrouve des différents selon les mises à jours), et cela sans m'en avertir au préalable. (enfin il me semble)
Et le wifi été resté (par défaut) connecté, pourtant visible par une diode, mais laissé par négligence.

Nic0 a écrit :il semblerais que déluge ai ouvert des ports (en plus j'en retrouve des différents selon les mises à jours), et cela sans m'en avertir au préalable. (enfin il me semble)

euhhhh, c'est un peu le principe même d'un échange p2p ! sinon le programme a une interface de config assez complète.

Qu'il m'ouvre des ports c'est pas ce qu'il me dérange le plus, quoique, il pourrait me prévenir, mais le fait d'en avoir avec les différentes versions de déluge, du coup, je ne suis pas sûr si il en a encore besoin ou si il ne les a pas refermer après MAJ. Je regarderais cela.

on dérive, mais bon

Nic0 a écrit :Qu'il m'ouvre des ports c'est pas ce qu'il me dérange le plus, quoique, il pourrait me prévenir,

est ce que firefox te prévient qu'il va ouvrir une page web ? evolution te prévient qu'il va rapatrier des mails ?

Nic0 a écrit : mais le fait d'en avoir avec les différentes versions de déluge, du coup, je ne suis pas sûr si il en a encore besoin ou si il ne les a pas refermer après MAJ. Je regarderais cela.

rien compris! refermer un port après maj ?!?? je pense qu'une recherche sur ce qu'est un port en informatique est nécessaire avant même de se jeter dans iptables et compagnie.

sur la page web de la box : peut être pas de rapport mais bon, je regarderai ça plus tard.

Je viens de voir un truc vraiment intéressant, un remplaçant officiel de iptables :
NFtables, successeur d'Iptables (journal linuxfr.org)

gyo a écrit :Je viens de voir un truc vraiment intéressant, un remplaçant officiel de iptables :
NFtables, successeur d'Iptables (journal linuxfr.org)

Rhooo, j'allais le poster ici même apres ma pause déjeuné mais tu m'as griller

C'est vrai que ça a quand même l'air très intéréssant car iptable n'est plus tout jeune et ne repond plus vraiment aux besoins actuels.
NFtable est depuis qd dans notre noyau? 2.6.28? Nouveau 2.6.29?

Grillé aussi

Par contre va t-il être intégré à la première RC 2.6.30 afin que je teste ca dans mon coin :p

Par rapport au conseil de ne jamais se connecter en root:
En gros, ca protege ce qui fait tourner ton PC, mais pour un ordi personnel c'est pas le plus important a mon avis. Le plus important, c'est les donnees perso qui sont accessibles sans etre root. Le reste peut etre reinstalle.

Du coup je pense que la protection contre les intrusions est plus importante que de savoir si oui ou non on se connecte en root. Cette histoire de voir la connection en root comme le truc a eviter a tout prix, c'est valable qd on est admin de serveurs mais pas pour un utilisateur lambda.

des commentaires?

jiu a écrit :Cette histoire de voir la connection en root comme le truc a eviter a tout prix, c'est valable qd on est admin de serveurs mais pas pour un utilisateur lambda.

des commentaires?

L'utilisateur lambda protège forcément moins son PC (absence de firewall même si pas forcément utile s'il ne fait pas de serveur)... Mais s'il se connecte en root à un prog genre xchat, firefox et qu'une faille peut être exploitée, on se retrouve avec le risque de voir son OS détruit, comme sous windows. De plus on est jamais à l'abri de faire une connerie soi-même comme supprimer un fichier système, chose impossible en user. Donc il est de toutes facons très dangereux de se connecter en root pour les tâches ordinaires non administratives.

Pour ma part c'est netfilter configuré avec des règles iptables sur tous mes PCs... en plus de ma box qui route les ports ftp,ssh,web etc. vers mon serveur local.
Actuellement, j'ai un script bash qui est appelé durant le boot qui applique les règle. Cependant, après la lecture de l'hors-serie GNU/Linux Magazine France de ce mois-ci je me suis rendu compte que mes règles iptables n'était pas optimisées et secure

Perso j'utilise le NAT de la freebox qui redirige ... rien