Ashram de Swâmi Petaramesh - Linux - Commentaires

You've got mail ! - Swâmi Petaramesh

Swâmi Petaramesh — Fri, 13 Jun 2008 16:45:59 +0200

@Arno : le retour du mode veille ne fonctionne pas genial

You've got mail ! - Arno

Arno — Fri, 13 Jun 2008 16:36:40 +0200

YES ! Comment remercier ce brave peuple Irlandais ? J'aimerais tellement leur faire savoir ma joie.

Heu sinon, super article :-) Mon portable Toshiba A100-110 tourne impecablement sous Ubuntu 8.04 (en fait presque... le retour du mode veille ne fonctionne pas genial mais bref... c'est loin d'etre grave)

You've got mail ! - Swâmi Petaramesh

Swâmi Petaramesh — Fri, 13 Jun 2008 14:24:58 +0200

@Walken : Non, non et non ! Trois peuples d'Europe interrogés ont dit NON. Deux d'entre-eux se sont aussitôt fait enfler par leurs gouvernements et députés qui ont trahi la souveraineté populaire sans la moindre vergogne (et mériteraient à l'aise la guillotine pour ça). Attendons de voir comment ils vont enfler le troisième peuple : un petit pays, ça ne devrait pas leur poser trop de problèmes (je ne parle même pas de scrupules...)

Enfin, sur le plan symbolique, c'est une victoire qu'il convient de savourer sans bouder son plaisir, mais il y a fort à parier que les irlandais ont, comme nous, pissé dans un violon...

You've got mail ! - walken

walken — Fri, 13 Jun 2008 14:19:32 +0200

Ca n'a rien a voir avec le billet, mais bon: Vive L'Irlande !

You've got mail ! - Swâmi Petaramesh

Swâmi Petaramesh — Fri, 13 Jun 2008 12:56:59 +0200

@wastedtime : Pour cela, regarder le journal télévisé suffit...

You've got mail ! - wastedtime

wastedtime — Fri, 13 Jun 2008 12:16:35 +0200

@Swâmi
Une attaque contre l'utilisateur, en la faisant clignoter à un rythme qui déclenche des crises d'épilepsie ? :D

Dent bleue - Swâmi Petaramesh

Swâmi Petaramesh — Fri, 13 Jun 2008 10:10:19 +0200

Sinon, comme effet indésirable, j'ai l'impression que l'autonomie de batterie de mon téléphone s'est pris un monstre coup dans les carreaux depuis que j'utilise ce truc... Faut croire que se faire poller par le portable et devoir lui répondre Oui, oui, chuis toujours là ! toutes les 30 secondes n'est pas sans incidence sur sa consommation d'énergie...
...À moins que l'avenir ne me montre que j'ai seulement été trop bavard ces jours derniers ;-)

You've got mail ! - Swâmi Petaramesh

Swâmi Petaramesh — Fri, 13 Jun 2008 10:01:24 +0200

@effraie : Il serait peut-être de bon ton d'interdire ce script en écriture a toute autre utilisateur que root

C'est bien le cas avec le "chmod 755 /usr/local/bin/mail-led" tel qu'indiqué plus haut, faut lire ;-)

Quant au fait que n'importe quel utilisateur puisse allumer ou éteindre une LED, je ne pense pas que cela aie de bien grosses implications en matière de sécurité ;-))

You've got mail ! - effraie

effraie — Fri, 13 Jun 2008 09:22:56 +0200

il serait peut-être de bon ton d'interdire ce script en écriture a toute autre utilisateur que root, histoire que des petits malin ne s'en servent pas pour autre chose que son objectif principal, non?

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 12 Jun 2008 07:43:45 +0200

@Julon : Donc, tu nous expliques en substance que tu as essayé d'utiliser un script conçu uniquement pour fonctionner depuis l'initramfs pour monter une racine sur LVM chiffrée, sur une machine dont la racine n'est pas chiffrée et qui n'utilise pas de LVM... Non, rien :-D

Cela dit, il n'est pas bien compliqué de copier l'intégralité de ton système sur un disque externe puis de créer une LVM chiffrée et tout retransférer dessus ;-)

Une clé de contact pour votre portable chiffré - julon

julon — Wed, 11 Jun 2008 22:19:27 +0200

Tout d'abord, merci pour ta réponse rapide!

Pour une raison qui m'échappe, ton bootkeyscript ne fonctionne pas sur ma config - peut-être parce que mes disques cryptés n'ont pas été créés de la même manière que les tiens vu qu'ils sont hérités d'un Fedora 6, sans lvm (le root n'est pas crypté, donc).

Toujours est-il que j'ai résolu le problème en créant un tout petit script taillé pour mes besoins uniquement, en m'inspirant de ton bootkeyscript.

Dent bleue - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 11 Jun 2008 16:40:28 +0200

Et cela dit, il suffit de porter sur soi le plus-si-nouveau passeport électronique de la République Françouaise, ou le tout nouveau passeport biométrique pour être furtivement et à l'insu de son plein gré transpondable et contrôle d'identitable à trois mètres dans son dos, et pire encore : vold'informationnable...

Gageons que la carte d'identité ne sera pas bien longtemps en reste.

À côté de ça, un téléphone Bluetooth avec une adresse MAC dedans, hein... :-/

Dent bleue - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 11 Jun 2008 16:29:21 +0200

@Thanatloc : La sécurité du Bluetooth est un sujet qui va bien au-delà de l'application précise évoquée ici, aussi ne ferai-je guère de commentaire à son propos. Un périphérique Bluetooth allumé peut en effet (dans certaines conditions) être détecté et donc pouvoir éventuellement servir à tracer le passage de son porteur. C'est vrai de tout émetteur-récepteur (ou transpondeur, i.e. RFID) ayant un identifiant matériel unique (portable avec Wi-Fi...) surtout s'il peut être aisément mis en relation avec une personne donnée (téléphone GSM...). L'accès aux données de connexion des téléphones GSM est a priori disponible seulement pour les opérateurs télécoms (et les flics...), tandis que la détection d'un Wi-Fi ou Bluetooth est réalisable par toute personne disposant d'un matériel similaire, avec le distingo que le Wi-Fi porte bien plus loin (et est utilisé généralement de manière plus statique et pas allumé quand on se balade avec un ordinateur portable fermé dans son sac) alors que le Bluetooth ne porte typiquement qu'à une dizaine de mètres ce qui limite les risques de "piratage" dans la mesure où il est de plus souvent en mouvement, mais ne limite pas la possibilité de le détecter au passage... D'autant que le Bluetooth se trouve dans des appareils que l'on porte sur soi en déplacement et qui sont le plus souvent allumés en permanence (i.e. un téléphone GSM avec Bluetooth).

Dent bleue - thanatloc

thanatloc — Wed, 11 Jun 2008 11:50:25 +0200

Bon, je vais surement faire mon rabat joie mais il me semble qu'il faudrait un peu moins "vendre" les "bienfaits" de la technologie bluetooth

Ce qui est dit dans le lien est à relativiser, vu la valorisation manifeste de la recherche du type, mais quant même... Avec ce qu'on nous prépare déjà...

C'est ainsi qu'un bon dossier "protéger votre vie privée lorsque vous utilisez le bluetooth", mais est-ce possible en ce moment, devrait être un bon contrepoids.

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Tue, 10 Jun 2008 23:17:26 +0200

@Julon : Pas bien précise ta description, mais je parie sur un /etc/crypttab foireux, genre double entrée pour la LVM racine...

Une clé de contact pour votre portable chiffré - julon

julon — Tue, 10 Jun 2008 22:53:50 +0200

Bonjour,

Ca l'a été dit plusieurs fois, mais j'imagine que ça n'est jamais superflu: cet article est très intéressant, d'autant plus qu'il correspond exactement à ce que je cherche à faire, et en nettement plus propre que mes propres bidouillages (changement des scripts init etc..).

Cependant, j'ai un petit soucis avec le script bootkeyscript: en effet, j'ai de belles lignes d'erreur au moment du boot me disant qu'il ne trouve pas le fichier /scripts/functions. Après avoir jeté un oeil à bootkeyscript, il y a un appel à ce fichier au tout début - c'est même la première ligne de code.

Je me débrouille un peu sous linux, suffisamment pour avoir une idée de comment tout ça fonctionne, mais les fonctions des scripts d'initialisation, c'est bien au-delà de mes connaissances.

Une idée d'où est le problème? Ma config est un Ubuntu Hardy Heron tout frais.

En espérant que ce billet n'est pas encore dans le cimetierre des blogs, d'avance merci!

Pôôôôôôôôôô ! - Fulcanelli

Fulcanelli — Fri, 06 Jun 2008 11:24:30 +0200

Ca va pas le faire, cela fait 4 jours que je veux résilier mon certificat, et cela fait 4 jours que j'ai ce beau message :

«Les données saisies sont incorrectes

Nous vous invitons à vérifier l'ensemble des champs que vous avez saisi : une aide est disponible en cliquant sur les symboles "?" placés devant les zones de saisie. Vous avez également la possibilité de contacter le service d'assistance en cliquant sur le bouton d'aide situé en haut à droite de cet écran.»

Explicite, n'est ce point ? Controlé re contrôlé, re re re re contrôlé par des personnes externes. Comprends pas...

Renvoyé en papier avec une explication, l'année derniere cela avait déjà explosé en marche

Raf c'est beau la modernité

Pôôôôôôôôôô ! - pas perdus

pas perdus — Wed, 04 Jun 2008 14:34:56 +0200

J'ai désinstallé firefox 3 b..n et installé firefox 2 pour pouvoir écouter de la zik.

Une clé de contact pour votre portable chiffré : Mise à jour - Swâmi Petaramesh

Swâmi Petaramesh — Tue, 03 Jun 2008 15:10:19 +0200

@mitch : La dernière Ubuntu 8.04 que j'ai installée, je l'ai faite avec l'alternate install CD en LVM par-dessus du RAID-1 soft, et ça le fait bien. Mais je n'ai pas tenté le coup "LVM chiffrée" sur celle-là, par contre... Je ne vois pas trop pourquoi ça ne le ferait pas ?

J'ai simplement remarqué à cette occasion (c'était la première fois que je jouais avec le CD alternate) qu'il était beaucoup plus long de le faire ainsi en suivant les systèmes de menus à la con que de préparer tout ça à la main en ligne de commande vite-fait bien-fait mdadm / fdisk / cryptsetup / lvm / mke2fs en utilisant le CD-live ordinaire avant de balancer l'install ordinaire par-dessus...

Donc je continuerai sans doute de tailler mes prochaines machines à la main avec le CD d'install live bête et con ;-)

Une clé de contact pour votre portable chiffré : Mise à jour - mitch

mitch — Tue, 03 Jun 2008 14:57:18 +0200

"Un moyen facile, allez : Le CD Ubuntu/Kubuntu "Alternate Install" permet de faire automatiquement l'installation sur une LVM chiffrée, donc d'avoir une machine entièrement chiffrée (sauf /boot)."

C'est ce que j'ai fait sur un vieux portable, c'est facile en effet.

Une question sinon, est-ce possible d'installer cette lvm chiffrée sur un volume raid c'est à dire en combinant raid, lvm, luks/dm-crypt et ext3 pour installer le système ? Parce qu'avec l'alternate cd, une fois qu'on a configuré le volume raid on a plus accès à l'option chiffrement intégral (qui est plutôt rassurante pour un non spécialiste comme moi).

C'est ce que j'ai en tête pour ma prochaine machine : 3 ou 4 disques identiques en raid5, et faire l'installation sur lvm chiffrée. Mais bon, je mets peut être les pieds dans qqchose de trop technique.

Pôôôôôôôôôô ! - marie

marie — Tue, 03 Jun 2008 09:49:32 +0200

@ Christine
Interessant ton doc sur "Sortir de l'économie" pas de solutions toutes faites mais des pistes
en ce qui concerne l'enseignement je depasse toujours mes exigences / au referentiel
parce que le but c'est d'en faire des individus qui reflechissent et je les secoue regulierement ......parce que fabriquer des cretins ( voir nouvaux programmes primaire et secondaire notemment au collège qui repondent aux exigences du medef.....) là je peux pas......

Pôôôôôôôôôô ! - Patrick

Patrick — Tue, 03 Jun 2008 01:07:55 +0200

AH bin d'accord ! si je veux des nouvelles de mes co-blogueurs, faut que je vienne faire un tour chez Swami, si j'ai bien compris ! ça fait plaisir de les savoir en forme, merci Swami :o))

A part ça, pour mes pôts, c'est du papier itou.

Pôôôôôôôôôô ! - vieil anar

vieil anar — Mon, 02 Jun 2008 23:41:54 +0200

@ Christine, bof tu sais, moi sur Vénus il n'y a que les monts qui m'intéressent, mais on peut pas toujours rester en altitude, faut redescendre des fois!! :o)).

@ Swâmi, c'est vrai que c'est un blog de filles, y'a pleins de p'tits émoticons rose bonbon, c'est très mignon et même une rubrique spéciale sur les féministes qui n'ont pas d'humour, c'est dingue!

Pôôôôôôôôôô ! - Swâmi Petaramesh

Swâmi Petaramesh — Mon, 02 Jun 2008 23:13:39 +0200

@Christine : *coeur* <== pour ceux et celles qui sont jamais venu-es "chez nous" (on sait jamais, hein ;-), là y'a un joli coeur rose animé

Ouais, c't'un vrai blog de fille :-D

Pôôôôôôôôôô ! - Christine

Christine — Mon, 02 Jun 2008 21:24:36 +0200

@vieil anar : Je sais pas où tu trouves le temps! Au bureau, j'suis salariée (salut à toi, jean-Pierre Martin)

Allez, tu vas pas aller sur Mars. La rumeur dit qu'il n'y a que des hommes, faut aller sur Vénus ;-))

Pôôôôôôôôôô ! - vieil anar

vieil anar — Mon, 02 Jun 2008 21:09:43 +0200

@ Christine, j'ai pas trop la tête à commenter en ce moment, encore moins à écrire un billet ou alors ce serait sinistre, comme je disais à Pat tout à l'heure chez, je suis en train de préparer mes valises pour la planète Mars! Eh voui, trop dégoûté de tout ce merdier, surtout après la déclaration des pôts, pour rester dans le sujet!

Faut dire aussi Christine que t'écris plus vite que ton ombre! Je sais pas où tu trouves le temps! :o))

Pôôôôôôôôôô ! - Christine

Christine — Mon, 02 Jun 2008 19:02:08 +0200

tu peux te brosser : y'a que Patrick qu'est gentil. *coeur* <== pour ceux et celles qui sont jamais venu-es "chez nous" (on sait jamais, hein ;-), là y'a un joli coeur rose animé

ouvrir ton blog à part entière : ben non, passe que
- je suis sûre d'avoir 1 ou 2 commentaires
- Patrick, il me défend contre ceux qui crient ;-)
- il s'occupe de la déco
- je passe déjà la moitié de mon temps de bureau sur Internet et c'est bientôt les vacances

Je vois que les sujets ne te manquent pas : et encore je trie les plus intéressants. Oui, alors là, vos vannes à deux balles, je me les pense toute seule ;-))

Pôôôôôôôôôô ! - Swâmi Petaramesh

Swâmi Petaramesh — Mon, 02 Jun 2008 18:02:32 +0200

@Christine : Si c'est pour avoir les clés ici aussi, tu peux te brosser :-D

...mais tu devrais peut-être songer à ouvrir ton blog à part entière ? Je vois que les sujets ne te manquent pas :-}

Pôôôôôôôôôô ! - Christine

Christine — Mon, 02 Jun 2008 16:51:35 +0200

Absolument et totalement hors sujet (et ne parlant même pas de cul ;-)) mais vraiment très intéressant et plein d'informations, le n° 1 de "Sortir de l'économie - bulletin critique de la machine travail planétaire" . Le n° 2 a l'air intéresssant aussi.

Je pourrais en parler chez Les suiveurs, mais j'ai décidé de ne plus écrire qu'après un billet de chacun de mes coblogeurs, c'est vrai ça, foutent rien. Alors, j'suis obligée de squatter ailleurs (bonjour, Monguru)

Retailler à la volée une LVM chiffrée LUKS - Swâmi Petaramesh

Swâmi Petaramesh — Mon, 02 Jun 2008 15:03:03 +0200

@ccal : Tu as raison, ça s'appelle une erreur de copié/collé de ma part. J'ai suffixé mes propres clés en .bin ce qui n'est pas nécessaire, je l'ai viré de quelques entrées dans le commentaire ci-dessus pour les raccourcir, et je l'ai oublié dans l'autre... Je vais corriger l'erreur ci-dessus, merci :-)

Retailler à la volée une LVM chiffrée LUKS - ccal

ccal — Mon, 02 Jun 2008 14:56:34 +0200

c'est /etc/keys/.sdb1.key sans l'extention .bin dans /etc/crypttab non ?

Pôôôôôôôôôô ! - Swâmi Petaramesh

Swâmi Petaramesh — Mon, 02 Jun 2008 07:49:01 +0200

@mitch : L'installation du paquet libnss3-dev était pas nécessaire alors ...

Ah je ne sais pas, je viens de regarder et il est déjà installé sur ma machine. En bonne logique, les paquets "-dev" ne servent que pour pouvoir compiler des programmes utilisant la bibliothèque correspondante, et ne devraient donc jamais être nécessaires pour pouvoir simplement utiliser quelque chose. mais tout n'est pas toujours logique ;-) et j'ai parfois vu des paquets "-dev" contenir des trucs qui auraient du plutôt figurer dans le paquet "pas-dev" correspondant...

@Otrynteus : Je l'ai fait une année, ce fut long et saturé, puis l'année suivante, ils ont changé tout le bazar et ce fut de nouveau long et saturé.

Bah, je déclare mes pôôôôôôs sur le 'net depuis que ça existe (2002 au moins, peut-être 2001 ou avant, je ne sais plus) et l'ai toujours fait sous GNU/Linux sans problème particulier. Il me semble qu'en effet la deuxième année il y a eu une période où ça saturait pas mal (pas la première, y'avait que les geeks pour tenter le truc ;-) mais avec ce genre de choses il est prudent de ne pas attendre le dernier jour ;-)

C'est aussi pratique pour récupérer son avis d'imposition en PDF et en imprimer autant qu'on veut pour les milliers d'organismes qui te le demandent dès que tu veux inscrire tes mômes dans un centre aéré, une crèche, une MJC ou n'importe lequel des tétrachiées de trucs où les droits et tarifs sont indexés sur ton avis d'imposition. Depuis que j'ai des gniards, j'en imprime à la chaîne, des avis d'imposition...

Quoiqu'il en soit, le site du père Cepteur marche considérablement mieux que celui des ASSEDIC. On se demande bien pourquoi...

Pôôôôôôôôôô ! - otrynteus

otrynteus — Mon, 02 Jun 2008 01:36:56 +0200

Achhh! La télédéclaration !

Je l'ai fait une année, ce fut long et saturé, puis l'année suivante, ils ont changé tout le bazar et ce fut de nouveau long et saturé.

L'année dernière, ma compagne s'est aperçu, le dernier jour, qu'elle ne pouvait déclarer ses impôts par internet car elle n'avait pas d'abonnement internet mais que moi, oui. Elle fit donc sa déclaration par téléphone et je me transformais en secrétaire dévoué mais fort ronchonnant .Lorsque fut venu le temps de remplir mon devoir de citoyen crétin, gouv.fr ne voulu rien entendre, j'avais déjà déclaré mes impôts. J'eus beau lui rentrer tous les numéros et lui promettre que j'étais moi, il s'obstinait à me prendre pour une autre.

Las, j'ai renvoyé l'exemplaire papier et une lettre expliquant le retard. Je n'ai pas eu d'explication ni 10 %.

Cette année, j'ai pris mon stylo, 4 minutes pour remplir, signer et écrire l'adresse sur l'enveloppe plus 10 minutes A/R jusqu'à la poste. Fini.

Je crois que je vais attendre une dizaine d'années que gouv.fr ait rangé ses minitels pour passer à l'informatique.

PS : En plus, je n'ai pas fait le malin, comme certain, j'ai utilisé tout Micro$oft.

Pôôôôôôôôôô ! - Chompitiarve

Chompitiarve — Sun, 01 Jun 2008 23:31:39 +0200

"...Sinon mon p'tit bonhomme de même pas 6 ans est en larmes parce que sa petite amoureuse qui a passé la nuit à la maison est partie et qu'il ne la reverra pas avant demain matin... Ces deux-là sont salement accrochés :-} "

Tu vois Swâmi, c'est ça qu'est bien, dans ton ici-même, tu gardes les nouvelles importantes pour la fin et tout ça :-)

Pour Firefox, j'avais constaté ce syndrôme pittoresque chez un """copain""" qui m'a forcé à lui installer un Pingouin (j'voulais pô, tellement il est space ...) il y a quelques temps
mais ce n'était pas à cause de Java-6, mais à cause de l'absence de Java que ses pots n'étaient pas casables.
Nous réparâmes, après que je l'eus copieusement engueulé d'avoir encore bidouillé des trucs, ce qui en vérité, sur ce coup là était faux: c'est moi qui avait viré Java de sa machine parce je ne savais pas à quoi ça sert, en fait (je me suis bien gardé de lui rappeler ce souvenir, hu hu hu)

Honte à moi, propagandsiste corrompu du Héron...
:-)

Pôôôôôôôôôô ! - mitch

mitch — Sun, 01 Jun 2008 22:00:02 +0200

http://forum.ubuntu-fr.org/viewtopi...
L'installation du paquet libnss3-dev était pas nécessaire alors ...

Sur la machine d'un pote sous gutsy ça n'a fonctionné qu'avec java5 également.

Pôôôôôôôôôô ! - Fulcanelli

Fulcanelli — Sun, 01 Jun 2008 21:45:31 +0200

plouf plouf

Bizarrement vendredi je me suis posé la question des impots (du salaire de sa ....) si si c'est le dernier jour les fonctionnaires ne travaillant pas du 31 au 1 (ah bon travailler plus pour gagner plus, non!, j'ai tout faux?)

Je me retrouve à déclarer mes impots (non impossable) par un outils qui n'est pas du tout maitrisé par des personnes qui ont fait des études.

Bon je vais me coucher demain 6h taffe (pour ma gueule)

Les impots attenderons

Non ?

Retailler à la volée une LVM chiffrée LUKS - mitch

mitch — Sun, 01 Jun 2008 13:53:55 +0200

Super !!! Merci beaucoup !

M'en vais bidouiller mon EeePC moi ... gnark gnark gnark :-)

Retailler à la volée une LVM chiffrée LUKS - Swâmi Petaramesh

Swâmi Petaramesh — Sun, 01 Jun 2008 08:25:11 +0200

@mitch : Chiffrement de la carte SD du EEEPC d'asus avec luks (montage automatique au boot, inutilisable sans la machine).

C'est ce que je fais sur le mien (la carte SD reste dedans en permanence, me sert de "disque dur étendu" grâce à un jeu de liens symboliques, est montée automatiquement au boot avec l'ensemble du système chiffré).

Rien n'est plus simple. Il suffit de chiffrer la carte SD en LUKS avec un fichier-clé aléatoire que je conserve dans /etc/keys (le root filesystem étant lui-même chiffré, cela ne pose pas de problème), le fichier-clé ayant été initialement généré avec une instruction du genre :

dd if=/dev/random of=/etc/keys/.sdb1.key bs=1 count=512

Avant de chiffrer la carte SD avec :

cryptsetup luksFormat /dev/sdb1 /etc/keys/.sdb1.key

(Ouvrir ensuite manuellement le container et créer un filesystem dedans avec mke2fs.)

Il suffit ensuite de mettre dans /etc/crypttab:

SD_card /dev/sdb1 /etc/keys/.sdb1.key luks,check,checkargs=ext3

et dans /etc/fstab :

/dev/mapper/SD_card /mnt/SD_card ext3 noatime 0 0

C'est tout !

N.B.: Si l'on veut que le montage de la carte SD chiffrée survive à une suspension ou une hibernation du système, il faut utiliser un noyau supportant "USB_PERSIST", c'est-à-dire au moins un 2.6.24. J'utilise celui-ci sur mon EeePC. (Attention, il est vulnérable à l'affreuse faille de "local privilege escalation")

Hibernatus - Swâmi Petaramesh

Swâmi Petaramesh — Sun, 01 Jun 2008 08:00:18 +0200

Tiens, je viens d'essayer sur mon EeePC :

echo 0 > /sys/power/image_size

...eh bien, ça accélère dramatiquement sa mise en hibernation et son réveil :-)

Les entrées intéressantes du /etc/rc.local de mon EeePC (Sous EeeXUbuntu 3 (Gutsy) sont :

sysctl -w vm.swappiness=1           # Strongly discourage the swapping of application data to disk
sysctl -w vm.vfs_cache_pressure=50  # Don't shrink the inode cache so aggressively.
echo 0 > /sys/power/image_size # Speed up hibernation to disk

Retailler à la volée une LVM chiffrée LUKS - mitch

mitch — Sat, 31 May 2008 20:13:22 +0200

Nickel, merci pour ce billet technique. Clair, pertinent, qui permet d'apprendre énormément de chose (comme d'hab. quoi!).

Il ne te reste plus qu'à rédiger des billets du style :

Chiffrement de la carte SD du EEEPC d'asus avec luks (montage automatique au boot, inutilisable sans la machine).
Un billet qui explique comment résoudre simplement le bug https://bugs.launchpad.net/gnome-mo... et le quidam moyen pourra chiffrer toute sa production simplement.

Merci encore pour la qualité de tes billets.

Hibernatus - Patrick

Patrick — Sat, 31 May 2008 01:53:41 +0200

@Christine : avec du chocolat :o)

Ubuntu: Verrouillage numérique au démarrage - rizzlaba

rizzlaba — Fri, 30 May 2008 11:13:55 +0200

bon plan!

Retailler à la volée une LVM chiffrée LUKS - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 29 May 2008 13:53:28 +0200

@Gab : Oui, c'est tout l'intérêt des LVM et systèmes apparentés, que de s'affranchir des limites strictes, bêtes et méchantes qui s'appliquent aux partitions de disques...

Aucun outil libre, à ma connaissance, ne permet de redimensionner une partition autrement que par la fin, aucun outil libre ne permet d'en déplacer le début (sauf à recopier l'ensemble de la partition vers l'avant du disque si on a la place suffisante).

Note que si l'on aime les acrobaties risquées, on peut déplacer une partition vers le début du disque avec un bête "dd" et la partition s'écrasera alors elle-même pendant sa propre copie. Ça marche, c'est sauvage à faire, mais il vaut mieux que rien n'interrompe le processus avant le coup de fdisk final...

Il existe un outil qui permet de retailler, copier et déplacer les partoches dans tous les sens, mais c'est un outil commercial que je ne citerai donc pas ici, et d'autant moins qu'il est très risqué de l'utiliser pour retailler un disque qui a été initialement partitionné avec des outils différents et qui n'avaient pas forcément la même vision de la géométrie du disque. Ah, les différentes visions de la géométrie d'un disque de nos jours, c'est rien que du bonheur... Faut même parfois faire gaffe selon la version de noyau avec laquelle on a booté la machine, je me suis parfois vu obligé de lancer fdisk en forçant manuellement une vision particulière de la géométrie d'un disque pour pouvoir retailler sans casser des trucs qui avaient été faits par gparted sur un live-CD utilisant une autre version de noyau.

Tiens, la machine sur laquelle je suis, là :

Selon le noyau (dmesg) :

[sda] 312581808 512-byte hardware sectors (160042 MB)

Selon fdisk :

# fdisk -l /dev/sda
Disque /dev/sda: 160.0 Go, 160041885696 octets
255 heads, 63 sectors/track, 19457 cylinders
Units = cylindres of 16065 * 512 = 8225280 bytes

Selon hdparm :

RawCHS=16383/16/63, TrkSize=0, SectSize=0, ECCbytes=4
BuffType=unknown, BuffSize=8192kB, MaxMultSect=16, MultSect=?8?
CurCHS=16383/16/63, CurSects=16514064, LBA=yes, LBAsects=312581808

Tu noteras peut-être une certaine différence de la vision de la géométrie C/H/S selon qu'on pose la question à fdisk ou hdparm, et je ne préfère même pas savoir ce que le BIOS en pense...

Il y a des cas où ce genre de chose peut avoir des conséquences franchement rigolotes...

Retailler à la volée une LVM chiffrée LUKS - Gab

Gab — Thu, 29 May 2008 13:15:11 +0200

Vu comme ça, certes. Mais j'ai toujours trouvé ça contraignant de devoir avoir de la place //après// pour redimensionner une partition. A ma connaissance il n'y a pas de méthode si on a de la place //avant// ou //ailleurs// (à part avec lvm).
Le cas le plus général, en tous cas que j'ai le plus souvent croisé, est que d'un coup une partition ne sert plus (parce qu'on l'a déplacé sur un disque qu'on vient d'acheter, par exemple), et cette partition n'est pas du tout derrière celle qu'on voudrait agrandir.
Et là, ta méthode ne fonctionne pas, d'où la qualification de 'cas particulier' ;)

Hibernatus - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 29 May 2008 08:34:56 +0200

@Nattfodd : D'autant que la machine sur laquelle j'ai été obligé de jouer avec image_size était une machine qui refusait systématiquement swsusp: Not enough free memory d'hiberner juste après son démarrage, c'est-à-dire avec seulement KDE lancé et aucune application ouverte, sauf un terminal peut-être...

Et que le message swsusp: Not enough free memory est trompeur, puisqu'il ne s'agit pas nécessairement de mémoire RAM disponible mais de l'espace libre d'un seul tenant qu'il peut trouver sur le swap. On obtiendra apparemment ce râlage si image_size est supérieur à cet espace libre même si disposer d'autant de place n'est pas effectivement nécessaire à la mise en hibernation...

Donc je dirais bien qu'en cas de message d'erreur de ce type, réduire image_size est bien la première chose à faire avant de se poser la question de fermer des applications - l'intérêt premier de l'hibernation étant justement de pouvoir hiberner le système sans devoir préalablement arrêter les applications, sinon, on se demande bien à quoi ça sert... ;-)

Retailler à la volée une LVM chiffrée LUKS - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 29 May 2008 08:27:23 +0200

@gab (re) : A part insister sur le fait que ce que tu présente un cas très particulier

Pour revenir là-dessus, il me semble que ce que tu considères comme un "cas particulier" est le fait d'étendre une partition alors qu'on dispose d'espace libre adjacent. Si tu y réfléchis une seconde, tu t'apercevras que toute extension de partition nécessite au préalable de disposer d'espace disque libre adjacent, et que si l'on n'en a pas, il faut donc en faire ;-)

Il me semble donc que ce "cas particulier" ramène donc bel et bien à un cas général.

D'autre part, s'agissant de l'extension d'une LVM chiffrée sur laquelle est installée tout un système, on n'aura généralement sur le disque pas d'autres partitions qu'un petit /boot et une grosse partition pour la LVM chiffrée. S'il reste de la place, soit elle aura été laissée libre "pour le cas où, un jour...", soit elle aura été utilisée pour des partitions spécifiques, typiquement temporaires, qui peuvent être supprimées sans casse (mon cas), soit elle aura été utilisée pour un quelconque espace de stockage additionnel que l'on pourra sans problème recopier sur un support externe le temps d'effectuer les modifications nécessaires (puisque par définition ce qui n'est pas à l'intérieur de la LVM chiffrée n'est pas vital au fonctionnement du système...).
Et il y a bien sûr aussi le cas de figure de l'extension de la LVM après recopie de l'ensemble du système sur un disque plus gros, situation commune où la présence d'espace libre derrière la LVM coule de source.

Décidément, je trouve ce cas particulier vraiment bien général ;-)

Hibernatus - nattfodd

nattfodd — Wed, 28 May 2008 21:46:08 +0200

@Swâmi: c'est peut-être tout bêtement que mon ancienne swap était trop petite (j'avais 512 pour 512) ou alors que ubuntu strop bien, ou que eeepc a des pouvoirs magiques, ou que tu intimides tellement firefox qu'il n'ose pas bouffer trop de mémoire... Je ne suis ni eeeologue, ni swâmologue, donc je ne peux pas me prononcer :)

Retailler à la volée une LVM chiffrée LUKS - Le Joker

Le Joker — Wed, 28 May 2008 20:44:58 +0200

charge guruïque .

C'est un truc de sanglier ca !

Hibernatus - Christine

Christine — Wed, 28 May 2008 20:28:09 +0200

Et les marmottes, on les réveille comment ?

Hibernatus - Le Joker

Le Joker — Wed, 28 May 2008 20:27:26 +0200

Sans doute est tu béni par les dieux ?

Ubuntu: Verrouillage numérique au démarrage - Christine

Christine — Wed, 28 May 2008 20:23:01 +0200

Comment t'as deviné que j'avais besoin de ça ? ;-))

Hibernatus - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 28 May 2008 19:18:30 +0200

@Nattfodd : Alors il faudra que tu m'expliques comment il se fait que j'arrive toujours à hiberner mon EeePC (512 Mo de RAM, 700 de swap...) même si c'est affreusement long, sans rien devoir tuer, alors qu'il a généralement au moins 3 fenêtres Firefox ouvertes avec plusieurs onglets chacune, Thunderbird ouvert, Liferea ouvert et plusieurs terminaux ouverts, ce qui est grosso-merdo ma config fonctionnelle usuelle...

Hibernatus - nattfodd

nattfodd — Wed, 28 May 2008 18:55:44 +0200

Avant de jouer avec image_size dans le cas d'une plainte que pas assez d'espace disque, il peut être utile de verifier le niveau de swap des applications lancées (par exemple en disant 'fpFp' à top, qui les classera alors par usage swap), il suffit bien souvent de tuer firefox, java ou un autre monstre pour réussir l'hibernation.

Retailler à la volée une LVM chiffrée LUKS - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 28 May 2008 18:17:00 +0200

Mouarf, c'est pas parce que ça marche que c'est particulier, on n'est pas sous Windows :-D

Retailler à la volée une LVM chiffrée LUKS - Gab

Gab — Wed, 28 May 2008 18:05:43 +0200

@S.A.S. Swâmi

> j'émets quelques légers doutes quant à l'utilité pratique de ton commentaire...

A part insister sur le fait que ce que tu présente un cas très particulier? Aucun :)

Retailler à la volée une LVM chiffrée LUKS - krysalia

krysalia — Wed, 28 May 2008 15:55:18 +0200

Ouais. Mais t'as un système d'exploitation bien rangé qui tourne bien... On ne peut pas tout avoir :D

Retailler à la volée une LVM chiffrée LUKS - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 28 May 2008 14:30:09 +0200

@Krysalia : J'adore m'adonner aux trucs les plus débridés, hélas, ma charge guruïque m'en laisse trop peu le loisir :-}

Retailler à la volée une LVM chiffrée LUKS - krysalia

krysalia — Wed, 28 May 2008 14:20:38 +0200

Quoiii ? en ces temps de disette tu t'adonnes au luks le plus débridé ?
y'en a qui ont de la chance ici :}

Retailler à la volée une LVM chiffrée LUKS - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 28 May 2008 08:40:10 +0200

Tiens, j'ai eu le plaisir de voir hier soir qu'une corrective que j'ai apportée au package cryptsetup a été acceptée et incorporée aux futurs packages cryptsetup Ubuntu...

Retailler à la volée une LVM chiffrée LUKS - Swâmi Petaramesh

Swâmi Petaramesh — Tue, 27 May 2008 15:45:04 +0200

@ccal : Merci, le typo que tu m'as signalé est corrigé.

> Tu utilises aes-cbc-essiv:sha256 pour chiffrer ?

C'est ce que propose cryptsetup par défaut pour LUKS, mais pour des raisons de performances j'utilise généralement une clé plus courte (AES128 ou 192, surtout pour du swap ou du temp) qui me semblent bien suffisants en termes de sécurité (au rapport du contenu des machines), le "SHA256" ici étant pour les IVs.

Retailler à la volée une LVM chiffrée LUKS - ccal

ccal — Tue, 27 May 2008 15:36:21 +0200

Correction :
- updfate-initramfs -u
+ update-initramfs -u

Tu utilises aes-cbc-essiv:sha256 pour chiffrer ?

Retailler à la volée une LVM chiffrée LUKS - Swâmi Petaramesh

Swâmi Petaramesh — Tue, 27 May 2008 15:02:33 +0200

UNIX Sex: {look; find; talk; grep; touch; finger; find; flex; unzip; mount; workbone; fsck; yes; gasp; fsck; yes; eject; umount; makeclean; zip; split; done; exit}

Retailler à la volée une LVM chiffrée LUKS - Christine

Christine — Tue, 27 May 2008 14:42:25 +0200

@Chompitiarve : c'est vrai, en cherchant bien j'ai trouvé
dur
incorporer
à l'intérieur
à l'extérieur
plus gros
plus drôle
erreur
j'agrandirai le volume physique
manuellement
vraiment terrifiante
montées
changement de taille
truly bad

Finalement, ça peut l'faire ;-))

Retailler à la volée une LVM chiffrée LUKS - Chompitiarve

Chompitiarve — Tue, 27 May 2008 14:07:30 +0200

@Christine
Pourquoi digresser? On est en plein dans le sujet, non ?
Bon, d'accord ça suppose une certaine orientation-objet de nos penchants, un fau(x)con n'y suffira peut-être pas ...

:-)

Retailler à la volée une LVM chiffrée LUKS - Christine

Christine — Tue, 27 May 2008 13:18:52 +0200

Et ben dis donc, pour trouver matière à digression sexuelle, je vais ramer ;-))

Retailler à la volée une LVM chiffrée LUKS - Le Joker

Le Joker — Tue, 27 May 2008 12:57:41 +0200

Tout cela est bel et bien beau mais n'a quand même rien a voir avec les paysages magnifiques de la Patagonie septentrionale surtout vus par l'oeuil d'un Yaka-Faucon en vol, fut-il d'élevage.

Retailler à la volée une LVM chiffrée LUKS - Swâmi Petaramesh

Swâmi Petaramesh — Tue, 27 May 2008 12:50:18 +0200

@Gab : Sauf que ton truc avec fdisk ne marche QUE si les partoches /tmp et swap sont physiquement à côté de la partoche que tu veux redimensionner!

Te ferai-je remarquer que c'était précisé dans le texte ?

> en plus si tu te plante d'un octet lors de la re-création, toute le partoche dégage...

Tu ne peux pas te planter "d'un octet". Tu peux te planter d'un cylindre ;-)

> Bref, un peu dangereuse, cette méthode :)

Te ferai-je remarquer que c'était précisé en gras dans le texte ?

Maintenant, si tu en connais une "pas dangereuse", je suis preneur ; dans le cas contraire, j'émets quelques légers doutes quant à l'utilité pratique de ton commentaire...

Retailler à la volée une LVM chiffrée LUKS - Gab

Gab — Tue, 27 May 2008 12:37:19 +0200

Sauf que ton truc avec fdisk ne marche QUE si les partoches /tmp et swap sont physiquement à côté de la partoche que tu veux redimensionner!
Si elles sont ailleurs, tu vas rien agrandir du tout.
Il faut bien préciser qu'agrandir une partition de cette manière n'est possible que s'il y a de l'espace disque derrière. Et en plus si tu te plante d'un octet lors de la re-création, toute le partoche dégage...
Bref, un peu dangereuse, cette méthode :)

Une clé de contact pour votre portable chiffré : Mise à jour - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 14 May 2008 09:00:04 +0200

@Le Joker : une "page" compilatoire reprenant l'intégrale de cette saga de cryptage de portable ne serait pas du luxe pour celui (ou celle) qui voudrait tout refaire depuis le début.

Beh, y'en n'a pas tant que ça ;-)

Un moyen facile, allez : Le CD Ubuntu/Kubuntu "Alternate Install" permet de faire automatiquement l'installation sur une LVM chiffrée, donc d'avoir une machine entièrement chiffrée (sauf /boot).

Si on veut ensuite ajouter la fonction "clé de contact", il doit suffire de faire cette dernière étape après avoir fait l'install chiffrée "automatique" comme un bon gros bourrin :-}

L'intérêt de mes articles précédents est essentiellement de décortiquer le mécanisme, proposer des solutions alternatives et expliquer la conversion d'une machine d'une installation non chiffrée vers une installation chiffrée.

Une clé de contact pour votre portable chiffré : Mise à jour - Le Joker

Le Joker — Mon, 12 May 2008 20:26:51 +0200

Comme je remarque que personne n'a mis de commentaire, je tiens a préciser que même si ca ne se voit pas, cet article est digne d'intérêt !
Ceci dit une "page" compilatoire reprenant l'intégrale de cette saga de cryptage de portable ne serait pas du luxe pour celui (ou celle) qui voudrait tout refaire depuis le début.

C'est + ca moi que j'dis !

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - cobbea

cobbea — Thu, 08 May 2008 21:57:23 +0200

bonjour Merci bcp cela a très bien fonctionner, par contre je ne comprends pas pourquoi l'écran se voile très très souvent et se bloque

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - bhubuntu

bhubuntu — Wed, 07 May 2008 09:53:58 +0200

le choix kernel 2.6.22 soit je crois comprendre Gusty donc comment le desinstaller proprement ?
C'est très simple tu vas dans ton gestionnaire de paquets Synaptic , chercher linux-image- 2-6-22-14, tu supprimes le paquet, tu rebootes, il n'y aura plus que 2.6.24 de Hardy au redémarrage ;-))

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - cobbea

cobbea — Tue, 06 May 2008 20:44:28 +0200

Bonjour à tous je suis novice,sur ubuntu et j'ai donc fais sous gusty la mise à jour proposée la il telecharger hardy tout c'est tres bien passer et tout marche correctment sauf que ca freeze tel est le nom que vous utilisez. Ma question est pourquoi quand je boot mon ordi j'ai le choix kernel 2.6.22 soit je crois comprendre Gusty donc comment le desinstaller proprement ? et si eventuellement vous pouvez ce que je peux aussi faire pour que ça ne freeze pas toutes les cinq minute ce serait super
merci à tous

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Christine

Christine — Sat, 03 May 2008 16:42:53 +0200

Ah tu vois, ma config, elle n'est pas moisie. C'est juste les bouts qu'on été rajoutés j'sais pas pourquoi ;-))

Noooooon, pas taper.

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Swâmi Petaramesh

Swâmi Petaramesh — Sat, 03 May 2008 15:52:44 +0200

Ach ! Pour info, j'ai trouvé ce qui plante totalement le noyau 2.6.24 de Hardy au redémarrage : C'est la présence d'un adaptateur Wi-Fi USB Thomson WLG-1500A piloté par ndiswrapper et le pilote sis163u !

Tu mets le truc, le noyau explose en vol. Tu l'enlèves, ça boote...

HIstoire d'être rigolo, c'est justement le bidule que Wanadoo/Orange a distribué par milliers avec ses Livebox... Vais pas être le seul à être emmerdé !

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Swâmi Petaramesh

Swâmi Petaramesh — Sat, 03 May 2008 13:20:52 +0200

@Christine : Ben ça y est, Ma Sainteté a béni ta machine. « Alors, heureuse ? » ;-))

Bon à savoir : Le noyau 2.6.24-16 de la Hardy ne tourne définitivement pas sur certaine config moisie à base de carte mère MSI MS-7260, AMD Sempron et chipset NVidia MCP55 / GeForce 7100 GS...

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Christine

Christine — Fri, 02 May 2008 18:29:56 +0200

A y est. J'ai un BIOS tout neuf ! Mais comment dire.... ça marche pas ;-))

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Swâmi Petaramesh

Swâmi Petaramesh — Fri, 02 May 2008 17:03:05 +0200

@Steph K: Faites des sauvegardes ; j'utilise pour cela simplebackup

Encore plus simple et rapide: Des rsync sur une structure de partitions identique sur un disque externe. Et en plus on peut booter dessus en cas de tastrophe...

@wastedtime : La seule chose qui me manque sur le eee c'est de pouvoir éteindre le wifi.

Mais ça marche parfaitement, ça !

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - wastedtime

wastedtime — Fri, 02 May 2008 16:54:55 +0200

@Swâmi Petaramesh Il est particulier au niveau noyau et pilotes, et j'en ai trop besoin pour être pressé de le casser ;-)
Bon, vu ce qui à été dit (par Steph. K pour débiner un peu), je reste aussi avec la "vieille" version.
Je suis pas partisan de l'upgrade pour l'upgrade. Donc, wait and see. La seule chose qui me manque sur le eee c'est de pouvoir éteindre le wifi.

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Steph. K

Steph. K — Fri, 02 May 2008 16:53:37 +0200

En fait maintenant que tout marche comme je le veux je ne vais pas re-installer Gutsy.
Pour ceux qui voudrait bien oser mais qui n'ose pas, quelques principes toujours bon à rappeler :

Faites des sauvegardes ; j'utilise pour cela simplebackup (dans les dépots de base) qui est vraiment archi simple et efficace et remastersys qui permet de manière très simple de se fabriquer son propre live-cd avec tous les paquets que l'on souhaite.
Utilisez une partition séparée pour /home et une autre pour /opt si vous en avez besoin.
Faites des sauvegardes.
Imprimez les fichiers source.list, fstab, xorg.conf ça peut toujours servir.
Faites des sauvegardes mais je l'ai peut-être déjà dit.

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Swâmi Petaramesh

Swâmi Petaramesh — Fri, 02 May 2008 16:49:39 +0200

@Christine :...et ta bécane a un BIOS vraiment pourri de chez pourri...

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Christine

Christine — Fri, 02 May 2008 12:40:05 +0200

J'ai eu confiance :-((

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Swâmi Petaramesh

Swâmi Petaramesh — Fri, 02 May 2008 11:56:52 +0200

@les marques du plaisir : des fois une bonne reinstallation vaut bien des MAJ ... enfin, je dis ça je dis rien hein ...

Bof. pas quand c'est fait proprement. sur Totor, j'ai installé une Madrake 6.1 en 2000... et ai upgradé à travers presque toutes les versions successives jusqu'à la Mandriva 2007.0 sans jamais "réinstaller". (La totalité du hardware composant la machine ayant changé plusieurs fois entre-temps.)

J'ai réinstallé pour passer de Mandriva à Ubuntu Feisty l'été dernier, j'ai depuis upgradé à Gutsy, j'upgraderai sans doute à Hardy dans un mois ou deux, et je ne compte pas réinstaller avant 2030...

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - les marques du plaisir

les marques du plaisir — Fri, 02 May 2008 11:22:59 +0200

ben on survit m'sieur le gourou ...
bon un tit conseil aux ceux qui ont pas encore migré :
attendez un peu ...
FF3 est pas prét d'être en RC, vu les bugs bloquants révélés par le passage massif à Hardy .
par contre, une fois désactivé le tout sécuritaire de FF3 ( l'option antiphising ) , comme je le disais, ben c'est plutôt mieux que FF2 sous Gusty ...
pour les plugins et autres extensions, il y a une semaine , on avait Adblockplus et downloadhelper, tous les jours y a de nouvelles extensions livrées ... un chouia de patience ...

Dernier truc , des fois une bonne reinstallation vaut bien des MAJ ... enfin, je dis ça je dis rien hein ...

Par contre , j'avais migré mon portable qu'arrétait pas de surchauffer sous W$ XP ... ben sous gusty, y chauffe plus du tout ... j'ai pas mal galéré pour trouver comment intaller sur cette p**** de bécane qu'a plus de lecteur CD , y a un petit truc bien pratique qui permet d'installer avec une connexion ethernet ( unetbootin pour tout dire ) ben c'est tip-top pour les décroissants qu'ont pas les moyens de se payer un lecteur de cd externe ...

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Swâmi Petaramesh

Swâmi Petaramesh — Fri, 02 May 2008 11:03:06 +0200

@Christine : Bon alors je peux y aller ?

J'ai fait la mise à jour de 3 machines différentes de Gutsy à Hardy sans problème majeur...

@Wastedtime : Et pour le EEE ? ca donne quoi ?

Il est particulier au niveau noyau et pilotes, et j'en ai trop besoin pour être pressé de le casser ;-)

@Le Monolecte : ma carte wifi n'est plus reconnue [...] Faut dire que j'ai une des ces foutues cartes qui ne marchent qu'avec Ndiswrapper. En fait, ma carte est maintenant gérée par un paquet spécifique, que j'installe via synaptic et hop! tout va.

C'est bien, ça prouve que ta carte est maintenant gérée par un pilote natif ;-) La mienne marchait sous ndiswrapper avant la mise à jour, et marche toujours sans toucher à rien après la mise à jour, toujours avec ndiswrapper. J'ai regardé : Elle n'est apparemment toujours pas gérée par un pilote natif. Tu peux pour info indiquer le modèle de ta carte Wi-Fi et le paquet qui la prend en charge ?

> Seul bémol : firefox 3 qui est bien une version béta et qui fige salement sans trop savoir pourquoi.

Je n'ai remarqué aucun problème particulier sur les 3 machines où je l'ai installé et où je l'utilise assez intensivement...

@les marques du plaisir : Content de te revoir ! Ça va, vieille branche ?

@Steph K. : Perso j'ai eu quelques galères avec Hardy et je me demande si je ne vais pas tout simplement repasser à GG.

Oh, c'est courant comme truc, sur une mise à jour. quand je suis passé de Feisty à Gutsy, je me suis dit "Feisty marchat mieux, zut !", et puis les problèmes les plus criants se résolvent vite... Voir mon problème de pilote graphique résolu en 24h grâce au fantastique support de la communauté (addendum au bas du billet).
Faut pas trop vite jeter le nouveau bébé avec l'eau des bugs ;-)

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Steph. K

Steph. K — Thu, 01 May 2008 14:49:33 +0200

Un mauvais cru ?
Perso j'ai eu quelques galères avec Hardy et je me demande si je ne vais pas tout simplement repasser à GG.
Suite à la mise à jour, plus de connexion automatique, obligé de taper mon login et mon mot de passe... pas grave je vais re-régler tout ça en 2 minutes. Mais non, pas moyen. Je peux essayer 100 fois, pas moyen de conserver mes préférences de la "Fenêtre de connexion". Pas grave je vais essayer d'ajouter un nouvel utilisateur, ça marchera peut-être. Ben c'est encore pire, v'la que l'on me demande un mot de passe de 6 lettres au minimum... Déjà que ça me gave de devoir taper mon mot de passe spécial Haute Sécurité de 2 lettres alors 6... Pas grave je vais refaire une installation complète, de toutes façons mes données sont à l'abri dans des partitions séparées et sauvegardées régulièrement (tous les quand j'y pense).
Nouvelle installation, tout va bien, je redémarre le pc et paf, plus de souris alors qu'elle marchait impeccable 30 secondes avant. Ma souris sans fil usb branchée sur le port ps2 n'est plus reconnue que comme souris usb et ne fonctionne plus si elle est branchée sur le port ps2... pas grave. Oui mais si ma souris est branchée sur un port usb c'est xp dans une virtualbox qui ne veut plus démarrer alors que justement j'ai besoin du scanner (qui ne marche que sous win) pour une photocopie.
Je récupère le bout de code kivabien dans une sauvegarde et je retrouve ma souris et ses 5 boutons en ordre de marche. Tout va bien je vais pouvoir surfer sur le web avec le tout nouveau Firefox 3, beta que je suis (jeu de mot pour geek) j'ai une fenêtre qui me liste les extensions qui ne marche plus... c'est marrant c'est celles qui me sont indispensables. C'est pas grave, je vais virer Firefox 3 de mes 2 et je vais remettre firefox 2. Je le fais mais là plus moyen d'avoir mes extensions favorites, je ne peux ni enlever les extensions en cause ni les réinstaller, obligé de repartir avec un nouveau profil.
Tout fonctionnant bien et comme je ne suis pas du genre à renoncer je me lance dans la mise à jour de mon eeepc qui tourne avec eeexubuntu... Pour faire court j'ai sorti le cd de eeexubuntu 0.3 et une clé usb et j'ai refais une installation complète. Finalement je vais attendre la sortie de eeexubuntu 0.4.
Voila un héron qui mériterait qu'on lui vole dans les plumes.

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - les marques du plaisir

les marques du plaisir — Thu, 01 May 2008 13:41:04 +0200

FF3, désactiver les options sécuritaires améliore nettement le surf ... plus de freeze entre autres ...

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - les marques du plaisir

les marques du plaisir — Thu, 01 May 2008 13:38:30 +0200

seule ombre au tableau ...
FF3 est pas ce qu'on fait de mieux ...
reste pas mal de boulot pour en faire un navigateur au top

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Transmission

Transmission — Thu, 01 May 2008 10:48:56 +0200

Les serveurs FTP sont saturés... mais par contre avec BitTorrent qu'est-ce que ça débite ! Ça va jusqu'à la saturation de ma connexion (la mienne pas celle du serveur). Sans compter les centaines de disciples (aussi appelé seeders :-) ) qui portent ainsi la bonne parole...

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Le Monolecte

Le Monolecte — Thu, 01 May 2008 10:30:11 +0200

Le monolecte au rapport :
Dans un premier temps, j'avais pensé faire une mise à jour standard, sachant que c'est ce que je fais depuis 3 ans. Mais cela fait quelques mois que l'idée de virer windows de mon disque dur me titille sérieusement. Donc, j'ai fini par charger une image iso du live CD d'Ubuntu Hardy Heron (assez rapide sur le torrent). J'ai sauvegardé ma partition /home sur un disque dur externe (ce que je fais régulièrement grâce à une ligne de commande Rsync, parce que le /home contient ma vie!), puis j'ai redémarré sur le live CD : directement vers l'installation.
L'outil de partitionnement intégré est réellement bien foutu et me permet alors d'écraser les 2 partitions windows et de mettre la racine / à la place. J'ajoute ma partition de swap et Ô bonheur, je peux désigner ma vieille partition /home comme nouvelle partition /home.
Au redémarrage, je retrouve directement mes dossiers et mes paramètres persos pour mes programmes, mais avec un système tout propre tout neuf, sans les multiples programmes que j'avais installé à la longue et oublié depuis.

Ombre au tableau : ma carte wifi n'est plus reconnue, donc plus de net. Arg. Je me retrouve donc à pianoter debout dans le couloir, connectée en filaire à mon routeur. Faut dire que j'ai une des ces foutues cartes qui ne marchent qu'avec Ndiswrapper. En fait, ma carte est maintenant gérée par un paquet spécifique, que j'installe via synaptic et hop! tout va.

Au final, j'ai une bécane plus rapide, avec des logiciels plus récents.
Seul bémol : firefox 3 qui est bien une version béta et qui fige salement sans trop savoir pourquoi. 9a ira mieux à la RC...

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - wastedtime

wastedtime — Thu, 01 May 2008 10:21:41 +0200

Et pour le EEE ? ca donne quoi ?

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Patrick

Patrick — Thu, 01 May 2008 00:37:35 +0200

ah chic ! un billet en martien. Et en VO même pas sous-titrée ;o)

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Christine

Christine — Wed, 30 Apr 2008 23:40:34 +0200

Bon alors je peux y aller ? T'as la manivelle à portée de main ?

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Marie.Rêveuse

Marie.Rêveuse — Wed, 30 Apr 2008 23:23:33 +0200

Pouuuuu!!!!! Sans vouloir froisser sa Sainteté, pour moé, c'est du chinois tout ça!J'suis pas prête pour les J.O. de l'(K)Ubuntu

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - Le Joker

Le Joker — Wed, 30 Apr 2008 19:42:19 +0200

DOWNGRADE POWAAAAA !!!

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - pjv

pjv — Wed, 30 Apr 2008 18:00:57 +0200

Comme le dit un autre Guru : Don't buy from ATI, ennemy of your freedom
J'ai installé 8.04 à partir de rien (pour avoir moi aussi ma LVM chiffrée) sur mon portable ASUS avec une ATI (!?) et ça marche bien en 3D avec lepilote propriétaire (y compris Compiz).

Mise à jour (K)Ubuntu 7.10 Gutsy => 8.04 Hardy LTS - totolezheros

totolezheros — Wed, 30 Apr 2008 15:30:34 +0200

prem's !!

yeahhhh !!!

LUKSfile for dummies - Swâmi Petaramesh

Swâmi Petaramesh — Sun, 20 Apr 2008 19:32:27 +0200

@Salan : Bonjour,

Je n'ai en effet pas initialement prévu le sctipt pour une utilisation sur des containers en lecture seule.

Vous pouvez essayer (je n'ai pas testé, donc je ne garantis pas) de copier votre script "lfd" sous le nom "lfd-ro" pour vous en faire "un qui marche en lecture seule" et faire les modifs suivantes (à vue de nez)

A partir de la version 0.97 du script:
Ligne 823, ôtez « -a -w "${cfile}" » du test
Ligne 1237: idem
Ligne 1493, ôtez « -a -w "${cdir}" » du test
Ligne 682, juste après "luksOpen", rajoutez le paramètre « --readonly »
Lignes 942 et 944, juste après "-o ", rajoutez « ro, » en ne laissant pas d'espace entre « ro, » et l'option qui suit.
Ligne 900, remplacez "-p" par "-n"

Avec ces modifs, ça a une bonne chance de marcher. Vous utiliserez le script "lfd-ro" et non plus "lfd" pour monter vos volumes en lecture seule.

LUKSfile for dummies - Salan

Salan — Sun, 20 Apr 2008 19:00:21 +0200

Bonjour. J'utilise votre script depuis quelques temps et je le trouve fort pratique. Merci beaucoup. Comme ceux-ci devenaient encombrants, j'ai commencé à graver des containers cryptés sur CDROM. Hélas, lorsque j'essaie de les monter par "lfd /media/cdrom/test on", j'ai un message me disant que " Le répertoire '/media/cdrom' n'existe pas ou n'est pas accessible en écriture !"... ce qui est vrai ;-) N'y a t-il pas moyen de monter dans ce cas le volume en lecture seule ? Je vais essayer de me plonger dans votre script... mais je ne suis pas très doué ;-)

Merci d'avance et merci d'avoir mis ce script en ligne.

Elle a tout d'oune grandé - Swâmi Petaramesh

Swâmi Petaramesh — Sat, 15 Mar 2008 19:53:43 +0100

@cjpkifons : je n'ai pas insisté vu que la carte se coince dans l'eeePC et qu'il faut la sortir avec l'ongle.

Au début, je croyais également que l'ongle était le seul recours pour sortir la carte SD, puis je me suis aperçu qu'il y avait effectivement un ressort qui facilite grandement l'extraction de la carte, mais qu'il faut l'enfoncer vraiment franchement pour que le cliquet de ce ressort daigne se déclencher.

Elle a tout d'oune grandé - cjpkifons

cjpkifons — Sat, 15 Mar 2008 19:45:19 +0100

. Génial ce blog découvert par hasard avec google et avec un gourou qui a l'air hypersympa cf les petites piques à sarkoquisaitout et d'autres choses par ci, par là.

. Pour l'instant je reste sous xandros, mais vu divers pbs, je vais peut-être essayer eeeXubuntu.
. Pour la question Skype, au début ça été géant : planté un bout de cable éthernet chez ma soeur qu'à une freebox mais pas de wifi et hop : la conversation familiale Menton San-Francisco ! Retour chez moi : planté une bonne webcam dans l'usb, le vidéoprojecteur de salon sur la vga et rehop : la visiophonie en super grand écran pour moi, image impec de l'autre côté avec cette cam vu que celle de l'eee n'est pas terrible.
. Trois semaines et diverses MàJ plus tard, l'eeepc ne veut plus voir la bonne webcam que je lui avais collé à l'usb. Il ne veut marcher qu'avec sa méchante cam. Je cherche, je cherche. Peut-être que du côté de l'eeeXubuntu justement.
. Pour les SDcard, aucun problème avec la sd de 4 Go qui est sur mon PDA Palm TX (je cherche à marier le TX et l'eeePC). A lire les posts, il semble que j'ai été un peu inconscient vu que les données de mon Palm j'y tiens. de toute façon, je n'ai pas insisté vu que la carte se coince dans l'eeePC et qu'il faut la sortir avec l'ongle. Pb de ressort ? Pas vu ce pb ailleurs et pour l'instant, je n'utilise que l'usb.

. Au bout de trois semaines, le linux xandros s'est bien rouillé, on dirait un windows ! : démarrage de plus en plus lent, problèmes pour accéder au réseau domestique par wifi donc aux DD qui contiennent les docs de travail (hyper efficace au début) + la webcam. J'hésite encore à sauter le pas ubuntu, mais je sens que je vais craquer

Cartes Flash "SD" et portables Ubuntu Linux - Amazone

Amazone — Sat, 08 Mar 2008 23:22:15 +0100

Je viens de tomber sur ça
et j'imagine que cela peut t'intéresser.

Elle a tout d'oune grandé - Steph. K

Steph. K — Sat, 01 Mar 2008 18:54:22 +0100

Compiz fonctionne à la perfection avec Eeexubuntu, ce serait dommage de s'en passer. Les fenêtres déformées ne servent à rien mais le cube 3d qui tourne ça le fait bien.
Sinon pour ceux qui veulent de l'ultraléger je viens d'installer une Toutou Linux (Puppy en english) sur mon vieux portable PII et c'est bluffant ce que l'on faire tenir dans 300 Mo.
Y'a encore des gens sous Winmachin ?

Elle a tout d'oune grandé - Swâmi Petaramesh

Swâmi Petaramesh — Sat, 01 Mar 2008 10:34:18 +0100

@Popolon : apres 5,6 jours d'utilisation intensive ... j'ai eu un probleme sur la carte SD, j'ai eu 2 fois de suite ce qui pourrait être des secteurs defectueux

Je ne sais si c'est lié au hardware ou au pilote, mais le lecteur de carte SD "ENE" de l'EeePC a des problèmes avec de très nombreuses cartes (tout comme le lecteur de carte SD "ENE" de mon Acer...). Après divers tests, je n'utilise sur ces machines que des cartes SD SanDisk Ultra II de capacité <= 2 Go, et je n'ai aucun problème avec. (Je ne dis pas que d'autres ne marchent pas, mais je sais que celles-là marchent, et que la plupart des autres merdoient toujours ou aléatoirement).

> j'ai un noyau generic qui gere mal la consommation d'energie du coup, le noyau spécialisé ultra mobile (ume), par contre ne gère ni le réseau, ni le son, ni la 3d (on peut pas frimer avec compiz fusion qui est plus ancien et tourne mieux que aero visprout sur un tout petit truc en plus, du coup :).

J'utilise sur mon EeePC avec eeeXubuntu ce noyau qui marche parfaitement, et je n'ai aucun problème avec. (mais je le sais vulnérable au "local root exploit", ce qui n'est pas très grave dans mon cas, et je n'ai pas encore eu le temps de me pencher sur le fait d'en recompiler un autre).

Sinon, vouloir faire tourner Compiz fusion sur une telle machine, compte tenu de la taille de son écran et de ses capacités graphiques, c'est un peu du total délire façon tirlipotage de nouille, non ?

Elle a tout d'oune grandé - Popolon

Popolon — Sat, 01 Mar 2008 00:52:31 +0100

@ Steph. K : pour l'histoire de la clé USB qui ne se monte pas, il faut commenter la ligne concernant le montage en iso dans /etc/fstab.

Les eeePC sont en quantité illimitées rue Montgallet, et chez les chaines de magasins esclavagistes maintenant. rue Montgallet c'est affiché de 307 à 330€ selon les magasin, ca vaut le coup de faire le tour et de marchander (en disant par exemple qu'on l'a vu a 300 au magasin d'a coté). Certains ne descendront pas en dessous des 330€ bizarrement.

J'ai installé l'Eeexubuntu sur une carte SD (pour avoir toujours le choix xandros rapide ou xubuntu plus lente au démarrage), et apres 5,6 jours d'utilisation intensive (en bouffant largement sur mes nuits d'ailleurs), j'ai eu un probleme sur la carte SD, j'ai eu 2 fois de suite ce qui pourrait être des secteurs deffectueux. Les causes des erreurs pourraient être multiples, j'ai remplacé par erreur les depots eeexubuntu par les depots ubuntu officiel, j'ai un noyau generic qui gere mal la consommation d'energie du coup, le noyau spécialisé ultra mobile (ume), par contre ne gère ni le réseau, ni le son, ni la 3d (on peut pas frimer avec compiz fusion qui est plus ancien et tourne mieux que aero visprout sur un tout petit truc en plus, du coup :).

Bref le noyau generic n'eteind pas la machine, et a un mode veille qui ne marche pas du tout, ce qui fait que j'ai du éteindre a chaud plusieurs fois, mettant le filesystem (dont j'ai réduit au maximum la fréquence d'écriture pour eviter d'utiliser le nombre de cycle d'écriture de la SDHC (le SSD a l'interieur de l'eeepc a une meilleure durée de vie).

Sinon, totalement d'accord avec toi, super fonctionnel, j'adooore, je vais reinstaller le noyau depuis la clé USB eeexubuntu :).

Flinguez le disque dur de votre portable avec Linux ! - erwan

erwan — Mon, 25 Feb 2008 16:36:54 +0100

Au regard de rc.sysinit, /etc/sysconfig/harddisksda n'existe plus donc ca risque de ne pas marcher pour les laptops SATA.

Patchez vos noyaux ! - Lietho

Lietho — Fri, 15 Feb 2008 23:50:03 +0100

Je profite de ce billet sur Linux pour vous laisser un lien vers le podcast de France Inter et plus précisément sur l'émission "Service public" du 14 fevrier 2008 concernant le monopole Microsoft.

Comme je sais votre non-dualité libre de ses pensées et tenant à ce que ses outils soient tout aussi libre, j'ai pensé de suite à vous.

Patchez vos noyaux ! - Vengeur Masqué

Vengeur Masqué — Fri, 15 Feb 2008 11:33:21 +0100

Pour info, j'ai testé ce matin:
while : ; do exploitz; done
Ma Passoire a freezé en une seconde.
M'en fous, il reste TPE pour me protéger des invités facétieux.

Patchez vos noyaux ! - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 14 Feb 2008 12:22:45 +0100

@Wastedtime : Cela impose seulement que les machines-cible possèdent les clés publiques autorisées à se connecter, et que celui qui veut se connecter à distance possède la clé privée correspondante - pas nécessairement sur une machine particulière, on peut très bien avoir cette clé avec soi, et elle est supposée être de surcroît protégée par mot de passe.

Patchez vos noyaux ! - wastedtime

wastedtime — Thu, 14 Feb 2008 12:14:59 +0100

C'est une solution. Mais elle impose de travailler sur une machine bien précise et reconnue (ou alors je me plante ? )

Patchez vos noyaux ! - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 14 Feb 2008 12:00:05 +0100

@Wastedtime : le plus simple, c'est de ne pas accepter de connexion type ssh

...ou de ne les accepter qu'avec authentification par paire de clés, et surtout pas par login / password.

Patchez vos noyaux ! - wastedtime

wastedtime — Thu, 14 Feb 2008 11:51:14 +0100

+1 Vengeur masqué. La gentoo hardened evite bcp de désagrements liés a la plebe des malfaisants et autres script kiddies. Mais bon, le plus simple, c'est de ne pas accepter de connexion type ssh (bon, j'admet que dans mon cas ca marche bien vu que petipentium (ma machine) est dans mon salon, et que pour un vrai admin avec de vrais serveurs dans un datacenter, c'est un mal necessaire).
Ca faisait quand meme super longtemps que j'avais pas vu aussi d'exploit aussi "straightforward".
Enfin, 1 exploit sur le kernel linux pour 200 patchs critique sous zindozs, ca reste tolerable.

Patchez vos noyaux ! - Vengeur Masqué

Vengeur Masqué — Thu, 14 Feb 2008 11:42:45 +0100

Mon noyau n'a toujours pas crashé...

De toute façon, vu que seul root est dans le groupe "trusted path execution", il faut lui demander de bien vouloir installer l'exploit sous /usr/local/bin pour pouvoir l'exécuter.
Evidemment, on peut toujours trouver un binaire système mal foutu qui appelle vmslicetrucbidule, ou tenter un "return into libc", mais ça devient coton.

Il faudrait quand même que je reconfigure ce fichu RBAC pour vraiment durcir ce système...

Patchez vos noyaux ! - Nico

Nico — Thu, 14 Feb 2008 00:13:07 +0100

-- PaX flingue le processus en annonçant suspicious global protection fault.

Heu non ...
En faite, une partie de la payload a le temps de s'executer avant que PaX intervienne.
Donc tu as un kernel instable et qui crash generalement au bout de 10-15 minutes.

Et pourquoi ne peux-tu pas mettre le noyau à jour ?
C'est un kernel assez particulier sur une machine trés particuliére qui necessite quelqu'un devant elle pour booter correctement.
Et puis, comme c'est devenu un serveur trés frequenté, je peut pas foutre tout le monde dehors sans préavis ...

Patchez vos noyaux ! - Patrick

Patrick — Thu, 14 Feb 2008 00:05:12 +0100

@Danton : moi non plus, je ne comprend pas tout. Tiens, par exemple, j'ai bien essayé de me "patcher le noyau" hier soir, bin j'ai dû mal m'y prendre parce que ça m'a rudement mal, en fait. :o)))

Patchez vos noyaux ! - Le Joker

Le Joker — Wed, 13 Feb 2008 23:40:33 +0100

eh eh eh grsec y a que ca de vrai !

Patchez vos noyaux ! - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 13 Feb 2008 21:27:44 +0100

@Vengeur Masqué : Ce n'est pas le premier "privilege escalation" local, et ce n'est pas le dernier.

Certes, certes. Mais celui-là était vraiment net et sans bavures. J'en ai vu de tordus qui nécessitaient des conditions vachement particulières et marchaient au petit bonheur la chance, mais çui-là, c'était quand même un beau "su" sans mot de passe... Enfin moi, il m'a impressionné, mais c'est parce que je suis encore jeune ;-)

> De mon côté, je donne accès à de sinistres individus sur une machine

Beh, les loups ne se dévorent pas entre eux :-}

En plus, je trouve que faire un privilege escalation chez quelqu'un qui t'ouvre volontairement un accès, c'est un kolossal manque de savoir-vivre ;-)

...Surtout si ce quelqu'un a des munitions ;-))

Patchez vos noyaux ! - Vengeur Masqué

Vengeur Masqué — Wed, 13 Feb 2008 21:19:35 +0100

Il vous en faut peu pour vous émoustiller. Ce n'est pas le premier "privilege escalation" local, et ce n'est pas le dernier.
De totue façon, si vous donnez accès à des extérieurs à une machine, ils finiront root un jour ou l'autre s'ils ne se comportent pas en gens civilisés. De mon côté, je donne accès à de sinistres individus sur une machine qui fait tourner grsecurity en niveau Gentoo Hardened, et ces beaux exploitz foirent minablement -- PaX flingue le processus en annonçant suspicious global protection fault.
Je ne dis pas que ça soit blindé, mais ça réduit considérablement la fréquence des patchs urgents.

On peut même faire d'autres choses pour cantonner les sinistres individus dans le bocal qui leur est réservé:

casserole@~$ ssh -l root passoire
Last login: Wed Feb 13 15:20:28 2008 from 192.168.4.6
passoire ~ # telnet casserole
...
Linux 2.6.23-gentoo-r6 (casserole) (28)

casserole login:
telnet> q
passoire ~ # exit
casserole@~$ ssh -l guru passoire
guru@passoire ~ $ telnet casserole
telnet: socket: Permission denied
guru@passoire ~ $

Et je n'ai pas encore réactivé le RBAC, feignasse que je suis...

Patchez vos noyaux ! - Danton

Danton — Wed, 13 Feb 2008 19:47:53 +0100

Fidèle lecteur, il m'arrive quelquefois de ne rien comprendre à vos billets.
Qu'importe!.
Comme dans un poème de René Char, je me laisse porter par la musique des mots et la beauté des images.
"Patchez vos noyaux", vraiment?

Patchez vos noyaux ! - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 13 Feb 2008 11:15:48 +0100

@Nico : Ben dis donc, par chez toi, c'est un univers impitoyable ! ;-)

Et pourquoi ne peux-tu pas mettre le noyau à jour ? C'est une machine critique et "non-rebootable", ou un noyau vraiment très custom nécessitant ample réflexion avant bidouille ?

Patchez vos noyaux ! - Nico

Nico — Wed, 13 Feb 2008 10:59:55 +0100

À l'ashram, c'est fait.

Mince !
Pourquoi je n'ai pas installé ce r00tk1t alors que j'était r00t il y a 2 jours ?
Encore une occassion manquée :-(

En tous cas, sur un serveur ouvert au public, il y en a des tentatives:

kernel BUG at /home/nico/novmsplice/novmsplice.c:59!
invalid opcode: 0000 [#1]
Modules linked in: novmsplice iptable_filter ip_tables it87 hwmon_vid hwmon i2c_isa xt_physdev x_tables i2c_i801 i2c_core
...
EIP: 0061: Not tainted VLI
EFLAGS: 00010287 (2.6.20-xen-r6 #1)
EIP is at nosuchsyscall+0x0/0x4 [novmsplice]
...
Process jessica_biel_na (pid: 6408, ti=c6c30000 task=c6de4550 task.ti=c6c30000)

J'en suis à 400 oops dans ce style.
Je ne peut pas updater le kernel de cette machine donc j'utilise un workaround de fou furieux: edition de la table syscall du noyaux pour rediriger vmsplice vers rien (ce qui fait oopser le kernel) ...

Patchez vos noyaux ! - Swâmi Petaramesh

Swâmi Petaramesh — Tue, 12 Feb 2008 23:32:28 +0100

À l'ashram, c'est fait. Bon, ben vous avez raté l'occasion de devenir root sur Totor. C'est bête, hein ? ;-)

Sauf pour les blondes. Et quelques brunes à la rigueur, mais à titre exceptionnel. Là, le rootkit peut toujours se négocier ;-)

Patchez vos noyaux ! - Patrick

Patrick — Tue, 12 Feb 2008 23:26:46 +0100

@Swami : t'as raison, tiens, je vais me patcher le noyau. Bonuitre à tous !

Patchez vos noyaux ! - Patrick

Patrick — Tue, 12 Feb 2008 22:22:14 +0100

@krysalia : ah non, ça c'est quand on veux devenir blonde :o))

Patchez vos noyaux ! - krysalia

krysalia — Tue, 12 Feb 2008 22:10:13 +0100

devenir root c'est quand on veut se teindre les cheveux c'est ça :-} ?

Patchez vos noyaux ! - Le Joker

Le Joker — Tue, 12 Feb 2008 17:29:56 +0100

Une faille qui ne concernent pas les gens (comme votre serviteur) pratiquant le downgrade puisque vmsplice() a été introduit dans le noyau depuis la version 2.6.17 :D

Patchez vos noyaux ! - Fred., de L.

Fred., de L. — Tue, 12 Feb 2008 17:25:03 +0100

Il n'y a pas qu'en SSH qu'on peut exécuter des binaires... un site en PHP où l'on trouve le moyen de contourner le script pour télécharger le binaire puis l'exécuter... ça le fait aussi. :-/

Je croise les doigts pour que OVH nous tienne au courant... au plus vite. :-)

Patchez vos noyaux ! - Christine

Christine — Tue, 12 Feb 2008 16:53:31 +0100

D'où l'intérêt, plus que jamais, de ne filer d'accès ssh qu'à des gens en qui on a entièrement confiance

Aaaaaaargh ;-))

Patchez vos noyaux ! - Bob

Bob — Tue, 12 Feb 2008 16:40:33 +0100

J'ai honte je viens de tester chez un pote.

Patchez vos noyaux ! - nattfodd

nattfodd — Tue, 12 Feb 2008 16:32:19 +0100

D'où l'intérêt, plus que jamais, de ne filer d'accès ssh qu'à des gens en qui on a entièrement confiance...