Re: debian jessie / Mise a jour securite kernel / affichage cassé

[Florent Jugla]

>> peux-tu nous envoyer les caracteristiques de ta carte graphique ?
>> (avec "lspci" )


J'ai le même problème ici sur une tour hp (debian jessie + kernel 
3.16.0.9 => pb affichage puis freeze systeme).


Voici la carte graphique

00:02.0 VGA compatible controller: Intel Corporation Core Processor 
Integrated Graphics Controller (rev 18) (prog-if 00 [VGA controller])

Subsystem: Hewlett-Packard Company Device 2a9c
Flags: bus master, fast devsel, latency 0, IRQ 44
Memory at fb80 (64-bit, non-prefetchable) [size=4M]
Memory at d000 (64-bit, prefetchable) [size=256M]
I/O ports at cc00 [size=8]
Expansion ROM at  [disabled]
Capabilities: [90] MSI: Enable+ Count=1/1 Maskable- 64bit-
Capabilities: [d0] Power Management version 2
Capabilities: [a4] PCI Advanced Features
Kernel driver in use: i915


Et le processeur
Intel(R) Core(TM) i3 CPU540  @ 3.07GHz

Florent

Le 30/05/2019 à 18:44, Frederic Robert a écrit :

On 5/30/19 4:18 PM, fw wrote:
peux-tu nous envoyer les caracteristiques de ta carte graphique ? 
(avec "lspci" )


Cdlt

"Dire que l'on s'en fiche du droit à la vie privée sous prétexte qu'on 
a rien à cacher,
c'est comme déclarer que l'on se fiche du droit à la liberté 
d'expression sous prétexte qu'on a rien à dire."

Edward Snowden



Bonsoir,

L'ordinateur est lenovo thinkpad t410. Le résultat de lspci pour la 
carte graphique


00:02.0 VGA compatible controller: Intel Corporation Core Processor 
Integrated Graphics Controller (rev 02) (prog-if 00 [VGA controller])

 Subsystem: Lenovo Core Processor Integrated Graphics Controller
 Flags: bus master, fast devsel, latency 0, IRQ 28
 Memory at f200 (64-bit, non-prefetchable) [size=4M]
 Memory at d000 (64-bit, prefetchable) [size=256M]
 I/O ports at 1800 [size=8]
 [virtual] Expansion ROM at 000c [disabled] [size=128K]
 Capabilities: 
 Kernel driver in use: i915
 Kernel modules: i915

Bonne soirée,

Re: debian jessie / Mise a jour securite kernel / affichage cassé

[Frederic Robert]

On 5/30/19 4:18 PM, fw wrote:
peux-tu nous envoyer les caracteristiques de ta carte graphique ? (avec 
"lspci" )


Cdlt

"Dire que l'on s'en fiche du droit à la vie privée sous prétexte qu'on a rien à 
cacher,
c'est comme déclarer que l'on se fiche du droit à la liberté d'expression sous 
prétexte qu'on a rien à dire."
Edward Snowden



Bonsoir,

L'ordinateur est lenovo thinkpad t410. Le résultat de lspci pour la 
carte graphique


00:02.0 VGA compatible controller: Intel Corporation Core Processor 
Integrated Graphics Controller (rev 02) (prog-if 00 [VGA controller])

Subsystem: Lenovo Core Processor Integrated Graphics Controller
Flags: bus master, fast devsel, latency 0, IRQ 28
Memory at f200 (64-bit, non-prefetchable) [size=4M]
Memory at d000 (64-bit, prefetchable) [size=256M]
I/O ports at 1800 [size=8]
[virtual] Expansion ROM at 000c [disabled] [size=128K]
Capabilities: 
Kernel driver in use: i915
Kernel modules: i915

Bonne soirée,

--
Frédéric Robert

Re: debian jessie / Mise a jour securite kernel / affichage cassé

[fw]

peux-tu nous envoyer les caracteristiques de ta carte graphique ? (avec 
"lspci" )


Cdlt

"Dire que l'on s'en fiche du droit à la vie privée sous prétexte qu'on a rien à 
cacher,
c'est comme déclarer que l'on se fiche du droit à la liberté d'expression sous 
prétexte qu'on a rien à dire."
Edward Snowden

Re: debian jessie / Mise a jour securite kernel / affichage cassé

[Frederic Robert]

On 5/29/19 5:13 AM, Florent Jugla wrote:


 >> Comment allez-vous? J'utilise DEbian Jessie
 >> et depuis ce jour une mise
 >> à jour sécurité pour le kernel vers 3.16.0-9-amd64 et d'autres

 > et quand je boot sur le noyau précédent 3.16.0-8-amd64 le problème
 > semble solutionné. Je n'ai pourtant fais que les mise
 > à jour sécurité et
 > avec le noyau 3.16.0.9 l'ordinateur freeze
 >


J'ai exactement le même problème ici... Debian 8.11, lorsque je boote 
sur la 3.16.0-9-amd64 j'ai des pbs d'écran et au bout d'un moment ça 
freeze. Par contre avec le noyau 3.16.0-8-amd64 tout est OK.


Florent



Si je réinstallais Debian Jessie, je n'aurai plus que le noyau qui cause 
problème :(


--
Frédéric Robert

Re: debian jessie / Mise a jour securite kernel / affichage cassé

[Frederic Robert]

On 5/29/19 5:55 AM, Jean-Michel OLTRA wrote:


 Bonjour,


Le mardi 28 mai 2019, Frederic Robert a écrit...



et quand je boot sur le noyau précédent 3.16.0-8-amd64 le problème semble
solutionné. Je n'ai pourtant fais que les mise à jour sécurité et avec le
noyau 3.16.0.9 l'ordinateur freeze


Quel processeur sur ta machine ? J'ai eu des problèmes avec un Ryzen (que
j'ai toujours mais plus les problèmes), mais je ne sais pas à partir de
quelle version du noyau ça a commencé.



Bonjour,

Intel(R) Core(TM) i5 CPU   M 520  @ 2.40GHz

Bonne journée,


--
Frédéric Robert

Re: debian jessie / Mise a jour securite kernel / affichage cassé

[Frederic Robert]

On 5/29/19 5:13 AM, Florent Jugla wrote:


 >> Comment allez-vous? J'utilise DEbian Jessie
 >> et depuis ce jour une mise
 >> à jour sécurité pour le kernel vers 3.16.0-9-amd64 et d'autres

 > et quand je boot sur le noyau précédent 3.16.0-8-amd64 le problème
 > semble solutionné. Je n'ai pourtant fais que les mise
 > à jour sécurité et
 > avec le noyau 3.16.0.9 l'ordinateur freeze
 >


J'ai exactement le même problème ici... Debian 8.11, lorsque je boote 
sur la 3.16.0-9-amd64 j'ai des pbs d'écran et au bout d'un moment ça 
freeze. Par contre avec le noyau 3.16.0-8-amd64 tout est OK.


Florent



Bonjour,

Ravi de savoir que je ne suis pas seul. J'ai passé la machine en Debian 
Stretch


Bonne journée,

--
Frédéric Robert

Re: debian jessie / Mise a jour securite kernel / affichage cassé

[Jean-Michel OLTRA]

Bonjour,


Le mardi 28 mai 2019, Frederic Robert a écrit...


> et quand je boot sur le noyau précédent 3.16.0-8-amd64 le problème semble
> solutionné. Je n'ai pourtant fais que les mise à jour sécurité et avec le
> noyau 3.16.0.9 l'ordinateur freeze

Quel processeur sur ta machine ? J'ai eu des problèmes avec un Ryzen (que
j'ai toujours mais plus les problèmes), mais je ne sais pas à partir de
quelle version du noyau ça a commencé.

-- 
jm

Re: debian jessie / Mise a jour securite kernel / affichage cassé

[Florent Jugla]

>> Comment allez-vous? J'utilise DEbian Jessie
>> et depuis ce jour une mise
>> à jour sécurité pour le kernel vers 3.16.0-9-amd64 et d'autres

> et quand je boot sur le noyau précédent 3.16.0-8-amd64 le problème
> semble solutionné. Je n'ai pourtant fais que les mise
> à jour sécurité et
> avec le noyau 3.16.0.9 l'ordinateur freeze
>


J'ai exactement le même problème ici... Debian 8.11, lorsque je boote 
sur la 3.16.0-9-amd64 j'ai des pbs d'écran et au bout d'un moment ça 
freeze. Par contre avec le noyau 3.16.0-8-amd64 tout est OK.


Florent

Re: debian jessie / Mise a jour securite kernel / affichage cassé

[Frederic Robert]

On 5/28/19 5:23 PM, Frederic Robert wrote:

Bonsoir,

Comment allez-vous? J'utilise DEbian Jessie et depuis ce jour une mise à 
jour sécurité pour le kernel vers 3.16.0-9-amd64 et d'autres 
applications. J'ai remarqué qu'après la mise à jour de ces paquets 
l'interface graphique est un peu cassé dans certaines parties de 
l'écran. Excusez moi si je m'exprime mal mais avez-vous remarqué ce 
genre de chôses.


Bonne soirée à vous,



et quand je boot sur le noyau précédent 3.16.0-8-amd64 le problème 
semble solutionné. Je n'ai pourtant fais que les mise à jour sécurité et 
avec le noyau 3.16.0.9 l'ordinateur freeze


--
Frédéric Robert

debian jessie / Mise a jour securite kernel / affichage cassé

[Frederic Robert]

Bonsoir,

Comment allez-vous? J'utilise DEbian Jessie et depuis ce jour une mise à 
jour sécurité pour le kernel vers 3.16.0-9-amd64 et d'autres 
applications. J'ai remarqué qu'après la mise à jour de ces paquets 
l'interface graphique est un peu cassé dans certaines parties de 
l'écran. Excusez moi si je m'exprime mal mais avez-vous remarqué ce 
genre de chôses.


Bonne soirée à vous,

--
Frédéric Robert

Re: programme d'analyse de log apache pour la securite

[Hugues MORIN]

Bonjour

Merci Sebastien, j'ai eu ton dernier message juste apres avoir poste le miens.

Donc pour Netfilter, je ne trompe pas mais en ce qui concerne le
reste, est ce que c'est correct aussi.

Cordialement
Hugues

Le 13 mars 2013 12:21, Hugues MORIN  a écrit :
> Bonjour :D
>
>
> Je suis debutant dans ce domaine et j'ai un peu de mal a
> conceptualiser le fonctionnement des Netfilter, Iptables, Ipset et le
> "petit nouveau" xtables.
>
> Corriger moi si je me trompe:
> - Netfilter est (entre guillemet) "le firewall du noyau", il observe
> les paquets et les intercepte si necessaire.
> (cf. http://fr.wikipedia.org/wiki/Netfilter)
>
> - Iptables est un programme permettant la configuration de Netfilter.
> (cf. http://fr.wikipedia.org/wiki/Netfilter,
> http://fr.wikipedia.org/wiki/Iptables
> et http://doc.ubuntu-fr.org/iptables)
>
> - IP Sets fait partie du noyau et fonctionne en parallele de Netfilter
> car il remplie d'autres fonctions.
> Il peut intervenir sur Iptables pour modifier les regles.
> (Cf. http://ipset.netfilter.org/)
>
> - Ipset est comme Iptable, l'outils d'administration de IP Sets
> (Cf. http://ipset.netfilter.org/ipset.man.html)
>
> - xtables-addons ajoute des librairies qui permettent d'utiliser des
> modules supplementaires avec Iptables.
> (cf. http://packages.debian.org/fr/sid/xtables-addons-common)
>
>
> Merci encore pour votre aide ;-)
> Cordialement
> Hugues
>
>
> Le 13 mars 2013 09:19, Bernard Schoenacker
>  a écrit :
>> Le Wed, 13 Mar 2013 08:02:24 +0100,
>> Jean-Michel OLTRA  a écrit :
>>
>>>
>>> Bonjour,
>>>
>>>
>>> Le mardi 12 mars 2013, Hugues MORIN a écrit...
>>>
>>>
>>> > IPSET/NETFILTER: *** Recherche a approfondir ***
>>> > Netfilter est un framework implémentant un pare-feu au sein du
>>> > noyau Linux. IP sets are a framework inside the Linux 2.4.x and
>>> > 2.6.x kernel, which can be administered by the ipset utility
>>>
>>> Les sets peuvent être implémentées en installant
>>> xtables-addons-source, xtables-addons-common, et en compilant
>>> xtables-addons-source avec module-assistant (paquetage du même nom),
>>> via la commande : m-a a-i xtables-addons-source (ou xtables-addons,
>>> tout court ??).
>>>
>>
>> bonjour,
>>
>> voici ce qui est disponible directement et sans m-a ( extrait ):
>>
>> apt-cache search xtables
>>
>> xtables-addons-common - Extensions targets and matches for iptables
>>[tools, libs]
>> xtables-addons-dkms - Extensions targets and matches for iptables
>> xtables-addons-source - Extensions targets and matches for iptables
>> [modules sources]
>>
>> slt
>> bernard
>>
>> --
>> Lisez la FAQ de la liste avant de poser une question :
>> http://wiki.debian.org/fr/FrenchLists
>>
>> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
>> vers debian-user-french-requ...@lists.debian.org
>> En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
>> Archive: 
>> http://lists.debian.org/20130313091940.7490fb53.bernard.schoenac...@free.fr
>>

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/cameenc2m5z13jdd7brr52ge3f3yt8txxbko8ycjehd09dec...@mail.gmail.com

Re: programme d'analyse de log apache pour la securite

[Hugues MORIN]

Bonjour :D


Je suis debutant dans ce domaine et j'ai un peu de mal a
conceptualiser le fonctionnement des Netfilter, Iptables, Ipset et le
"petit nouveau" xtables.

Corriger moi si je me trompe:
- Netfilter est (entre guillemet) "le firewall du noyau", il observe
les paquets et les intercepte si necessaire.
(cf. http://fr.wikipedia.org/wiki/Netfilter)

- Iptables est un programme permettant la configuration de Netfilter.
(cf. http://fr.wikipedia.org/wiki/Netfilter,
http://fr.wikipedia.org/wiki/Iptables
et http://doc.ubuntu-fr.org/iptables)

- IP Sets fait partie du noyau et fonctionne en parallele de Netfilter
car il remplie d'autres fonctions.
Il peut intervenir sur Iptables pour modifier les regles.
(Cf. http://ipset.netfilter.org/)

- Ipset est comme Iptable, l'outils d'administration de IP Sets
(Cf. http://ipset.netfilter.org/ipset.man.html)

- xtables-addons ajoute des librairies qui permettent d'utiliser des
modules supplementaires avec Iptables.
(cf. http://packages.debian.org/fr/sid/xtables-addons-common)


Merci encore pour votre aide ;-)
Cordialement
Hugues


Le 13 mars 2013 09:19, Bernard Schoenacker
 a écrit :
> Le Wed, 13 Mar 2013 08:02:24 +0100,
> Jean-Michel OLTRA  a écrit :
>
>>
>> Bonjour,
>>
>>
>> Le mardi 12 mars 2013, Hugues MORIN a écrit...
>>
>>
>> > IPSET/NETFILTER: *** Recherche a approfondir ***
>> > Netfilter est un framework implémentant un pare-feu au sein du
>> > noyau Linux. IP sets are a framework inside the Linux 2.4.x and
>> > 2.6.x kernel, which can be administered by the ipset utility
>>
>> Les sets peuvent être implémentées en installant
>> xtables-addons-source, xtables-addons-common, et en compilant
>> xtables-addons-source avec module-assistant (paquetage du même nom),
>> via la commande : m-a a-i xtables-addons-source (ou xtables-addons,
>> tout court ??).
>>
>
> bonjour,
>
> voici ce qui est disponible directement et sans m-a ( extrait ):
>
> apt-cache search xtables
>
> xtables-addons-common - Extensions targets and matches for iptables
>[tools, libs]
> xtables-addons-dkms - Extensions targets and matches for iptables
> xtables-addons-source - Extensions targets and matches for iptables
> [modules sources]
>
> slt
> bernard
>
> --
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.org/fr/FrenchLists
>
> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
> vers debian-user-french-requ...@lists.debian.org
> En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
> Archive: 
> http://lists.debian.org/20130313091940.7490fb53.bernard.schoenac...@free.fr
>

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/CAMEeNc0w_WXdnJW231C=pDxBtnHNEWxSD_J9-Qe39V1+Z=e...@mail.gmail.com

Re: programme d'analyse de log apache pour la securite

[Sébastien NOBILI]

Le mardi 12 mars 2013 à 15:52, Hugues MORIN a écrit :
> Par contre je n'ai pas bien compris ce qu'est IPSET/NETFILTER.

Netfilter c'est la couche du noyau qui se charge du filtrage réseau. Ce qui peut
permettre, notamment, le routage des paquets en fonctions de règles qui
t'intéressent ou le filtrage de paquets (firewall).

Seb

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130313091041.gc7...@sebian.nob900.homeip.net

Re: programme d'analyse de log apache pour la securite

[Bernard Schoenacker]

Le Wed, 13 Mar 2013 08:02:24 +0100,
Jean-Michel OLTRA  a écrit :

> 
> Bonjour,
> 
> 
> Le mardi 12 mars 2013, Hugues MORIN a écrit...
> 
> 
> > IPSET/NETFILTER: *** Recherche a approfondir ***
> > Netfilter est un framework implémentant un pare-feu au sein du
> > noyau Linux. IP sets are a framework inside the Linux 2.4.x and
> > 2.6.x kernel, which can be administered by the ipset utility
> 
> Les sets peuvent être implémentées en installant
> xtables-addons-source, xtables-addons-common, et en compilant
> xtables-addons-source avec module-assistant (paquetage du même nom),
> via la commande : m-a a-i xtables-addons-source (ou xtables-addons,
> tout court ??).
> 

bonjour,

voici ce qui est disponible directement et sans m-a ( extrait ):

apt-cache search xtables

xtables-addons-common - Extensions targets and matches for iptables
   [tools, libs]
xtables-addons-dkms - Extensions targets and matches for iptables
xtables-addons-source - Extensions targets and matches for iptables
[modules sources]

slt
bernard

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/20130313091940.7490fb53.bernard.schoenac...@free.fr

Re: programme d'analyse de log apache pour la securite

[Jean-Michel OLTRA]

Bonjour,


Le mardi 12 mars 2013, Hugues MORIN a écrit...


> IPSET/NETFILTER: *** Recherche a approfondir ***
> Netfilter est un framework implémentant un pare-feu au sein du noyau Linux.
> IP sets are a framework inside the Linux 2.4.x and 2.6.x kernel, which
> can be administered by the ipset utility

Les sets peuvent être implémentées en installant xtables-addons-source,
xtables-addons-common, et en compilant xtables-addons-source avec
module-assistant (paquetage du même nom), via la commande :
m-a a-i xtables-addons-source (ou xtables-addons, tout court ??).

-- 
jm

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130313070224.GA23626@espinasse

Re: programme d'analyse de log apache pour la securite

[Mickael]

Le 12/03/2013 18:24, andre_deb...@numericable.fr a écrit :

Bonne initiative, merci.

Ce type de bilan rend bien service.

Si tout le monde pouvait en faire autant ... :-)

Ou et comment peut-on consulter les archives de la ML ?

Pour cette ML
http://lists.debian.org/debian-user-french/

Sinon d'une façon globale
http://lists.debian.org/


André


On Tuesday 12 March 2013 15:52:57 Hugues MORIN wrote:

Merci Sebastien pour le tuto sur les firewall, il a l'air bien
structure pour apprendre ;-)

Je pense que je vais m'orienter vers SNORT ou OSSEC. Et ajouter peut
etre LOGWATCH si ceux-ci ne gerent pas l'envoi d'email de rapport.

Par contre je n'ai pas bien compris ce qu'est IPSET/NETFILTER.

Pour info a ce qui consulteront les archives de la liste:
(... et un peu pour moi aussi ;-)

VLOGGER:
permet de reorganiser les logs afin que chaque virtualhost est le
sien. Il se configure directement dans le apache.conf a l'aide des
directive logformat et customlog.
Voir:
http://pwet.fr/man/linux/commandes/vlogger
http://httpd.apache.org/docs/2.2/fr/logs.html
http://www.howtoforge.com/apache_log_splitting_vlogger

LOGWATCH:
"est un système configurable d'analyse de fichiers journaux ( log )
distribué sous licence MIT.
Il va parcourir et analyser les fichiers journaux, et envoyer par un
rapport par courriel." (ubuntu-fr.org)
Il peut s'utiliser avec n'importe quel fichier journal du systeme
Voir:
http://doc.ubuntu-fr.org/logwatch

SNORT: *** Recherche a approfondir ***
Plusieurs mode de fonctionement et mise a jour des regles regulieres.
Fonctionne avec BASE pour la visualistion des donnees.

PRELUDE:
Systeme tres complet et professionnel.
Il semblerai que la version Open source souffre de probleme de
performance (Cf.
http://www.prelude-ids.com/fr/communaute/telechargement/index.html)
Voir:
http://www.prelude-ids.com/fr/bienvenue/index.html
http://doc.ubuntu-fr.org/prelude

OSSEC:
est un Host based IDS (HIDS) et aussi un IPS (Intrusion Prevention
System) actif.
Il est libre et a l'air facile a installer.
Voir:
http://www.ossec.net/
http://doc.ubuntu-fr.org/ossec
http://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-config
uration-d-Ossec

IPSET/NETFILTER: *** Recherche a approfondir ***
Netfilter est un framework implémentant un pare-feu au sein du noyau Linux.
IP sets are a framework inside the Linux 2.4.x and 2.6.x kernel, which
can be administered by the ipset utility

Cordialement
Hugues


Le 12 mars 2013 11:07, Jean-Michel OLTRA

 a écrit :

 Bonjour,


Le mardi 12 mars 2013, Hugues MORIN a écrit...


Je vais potasser tout ca et tester les programmes pour voir celui qui
me convient le mieux.

J'utilise Ossec (http://www.ossec.net), pour analyser les logs d'Apache,
et apporter éventuellement la réponse qui convient…avec Netfilter
(iptables) et ipset (http://ipset.netfilter.org/).

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130312100704.GC13640@espinasse


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/513fc052.9070...@robertain.com

Re: programme d'analyse de log apache pour la securite

[andre_debian]

Bonne initiative, merci.

Ce type de bilan rend bien service.

Si tout le monde pouvait en faire autant ... :-)

Ou et comment peut-on consulter les archives de la ML ?

André


On Tuesday 12 March 2013 15:52:57 Hugues MORIN wrote:
> Merci Sebastien pour le tuto sur les firewall, il a l'air bien
> structure pour apprendre ;-)
>
> Je pense que je vais m'orienter vers SNORT ou OSSEC. Et ajouter peut
> etre LOGWATCH si ceux-ci ne gerent pas l'envoi d'email de rapport.
>
> Par contre je n'ai pas bien compris ce qu'est IPSET/NETFILTER.
>
> Pour info a ce qui consulteront les archives de la liste:
> (... et un peu pour moi aussi ;-)
>
> VLOGGER:
> permet de reorganiser les logs afin que chaque virtualhost est le
> sien. Il se configure directement dans le apache.conf a l'aide des
> directive logformat et customlog.
> Voir:
> http://pwet.fr/man/linux/commandes/vlogger
> http://httpd.apache.org/docs/2.2/fr/logs.html
> http://www.howtoforge.com/apache_log_splitting_vlogger
>
> LOGWATCH:
> "est un système configurable d'analyse de fichiers journaux ( log )
> distribué sous licence MIT.
> Il va parcourir et analyser les fichiers journaux, et envoyer par un
> rapport par courriel." (ubuntu-fr.org)
> Il peut s'utiliser avec n'importe quel fichier journal du systeme
> Voir:
> http://doc.ubuntu-fr.org/logwatch
>
> SNORT: *** Recherche a approfondir ***
> Plusieurs mode de fonctionement et mise a jour des regles regulieres.
> Fonctionne avec BASE pour la visualistion des donnees.
>
> PRELUDE:
> Systeme tres complet et professionnel.
> Il semblerai que la version Open source souffre de probleme de
> performance (Cf.
> http://www.prelude-ids.com/fr/communaute/telechargement/index.html)
> Voir:
> http://www.prelude-ids.com/fr/bienvenue/index.html
> http://doc.ubuntu-fr.org/prelude
>
> OSSEC:
> est un Host based IDS (HIDS) et aussi un IPS (Intrusion Prevention
> System) actif.
> Il est libre et a l'air facile a installer.
> Voir:
> http://www.ossec.net/
> http://doc.ubuntu-fr.org/ossec
> http://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-config
>uration-d-Ossec
>
> IPSET/NETFILTER: *** Recherche a approfondir ***
> Netfilter est un framework implémentant un pare-feu au sein du noyau Linux.
> IP sets are a framework inside the Linux 2.4.x and 2.6.x kernel, which
> can be administered by the ipset utility
>
> Cordialement
> Hugues
>
>
> Le 12 mars 2013 11:07, Jean-Michel OLTRA
>
>  a écrit :
> > Bonjour,
> >
> >
> > Le mardi 12 mars 2013, Hugues MORIN a écrit...
> >
> >> Je vais potasser tout ca et tester les programmes pour voir celui qui
> >> me convient le mieux.
> >
> > J'utilise Ossec (http://www.ossec.net), pour analyser les logs d'Apache,
> > et apporter éventuellement la réponse qui convient…avec Netfilter
> > (iptables) et ipset (http://ipset.netfilter.org/).
> >
> > --
> > jm
> >
> > --
> > Lisez la FAQ de la liste avant de poser une question :
> > http://wiki.debian.org/fr/FrenchLists
> >
> > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
> > vers debian-user-french-requ...@lists.debian.org
> > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
> > Archive: http://lists.debian.org/20130312100704.GC13640@espinasse

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/201303122324.17082.andre_deb...@numericable.fr

Re: programme d'analyse de log apache pour la securite

[Hugues MORIN]

Bonjour

Merci Sebastien pour le tuto sur les firewall, il a l'air bien
structure pour apprendre ;-)

Je pense que je vais m'orienter vers SNORT ou OSSEC. Et ajouter peut
etre LOGWATCH si ceux-ci ne gerent pas l'envoi d'email de rapport.

Par contre je n'ai pas bien compris ce qu'est IPSET/NETFILTER.

Pour info a ce qui consulteront les archives de la liste:
(... et un peu pour moi aussi ;-)

VLOGGER:
permet de reorganiser les logs afin que chaque virtualhost est le
sien. Il se configure directement dans le apache.conf a l'aide des
directive logformat et customlog.
Voir:
http://pwet.fr/man/linux/commandes/vlogger
http://httpd.apache.org/docs/2.2/fr/logs.html
http://www.howtoforge.com/apache_log_splitting_vlogger

LOGWATCH:
"est un système configurable d'analyse de fichiers journaux ( log )
distribué sous licence MIT.
Il va parcourir et analyser les fichiers journaux, et envoyer par un
rapport par courriel." (ubuntu-fr.org)
Il peut s'utiliser avec n'importe quel fichier journal du systeme
Voir:
http://doc.ubuntu-fr.org/logwatch

SNORT: *** Recherche a approfondir ***
Plusieurs mode de fonctionement et mise a jour des regles regulieres.
Fonctionne avec BASE pour la visualistion des donnees.

PRELUDE:
Systeme tres complet et professionnel.
Il semblerai que la version Open source souffre de probleme de
performance (Cf.
http://www.prelude-ids.com/fr/communaute/telechargement/index.html)
Voir:
http://www.prelude-ids.com/fr/bienvenue/index.html
http://doc.ubuntu-fr.org/prelude

OSSEC:
est un Host based IDS (HIDS) et aussi un IPS (Intrusion Prevention
System) actif.
Il est libre et a l'air facile a installer.
Voir:
http://www.ossec.net/
http://doc.ubuntu-fr.org/ossec
http://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-configuration-d-Ossec

IPSET/NETFILTER: *** Recherche a approfondir ***
Netfilter est un framework implémentant un pare-feu au sein du noyau Linux.
IP sets are a framework inside the Linux 2.4.x and 2.6.x kernel, which
can be administered by the ipset utility

Cordialement
Hugues


Le 12 mars 2013 11:07, Jean-Michel OLTRA
 a écrit :
>
> Bonjour,
>
>
> Le mardi 12 mars 2013, Hugues MORIN a écrit...
>
>
>> Je vais potasser tout ca et tester les programmes pour voir celui qui
>> me convient le mieux.
>
> J'utilise Ossec (http://www.ossec.net), pour analyser les logs d'Apache,
> et apporter éventuellement la réponse qui convient…avec Netfilter
> (iptables) et ipset (http://ipset.netfilter.org/).
>
> --
> jm
>
> --
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.org/fr/FrenchLists
>
> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
> vers debian-user-french-requ...@lists.debian.org
> En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
> Archive: http://lists.debian.org/20130312100704.GC13640@espinasse
>

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/cameenc3ytt+z1+reuevf7tx_s2e4_kzwk77fyl9e0omsmgv...@mail.gmail.com

Re: programme d'analyse de log apache pour la securite

[Jean-Michel OLTRA]

Bonjour,


Le mardi 12 mars 2013, Hugues MORIN a écrit...


> Je vais potasser tout ca et tester les programmes pour voir celui qui
> me convient le mieux.

J'utilise Ossec (http://www.ossec.net), pour analyser les logs d'Apache,
et apporter éventuellement la réponse qui convient…avec Netfilter
(iptables) et ipset (http://ipset.netfilter.org/).

-- 
jm

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130312100704.GC13640@espinasse

Re: programme d'analyse de log apache pour la securite

[Sébastien NOBILI]

Le mardi 12 mars 2013 à 10:29, Hugues MORIN a écrit :
> Je sais que google regorge de tuto sur les firewall mais si vous en
> connaissez qui sont "particulierement bien et accessible" pour un
> debutant, je suis preneur :D

Quand j'ai débuté, cette page m'a pas mal aidé. Il reprend les bases, et, si mes
souvenirs sont bons, c'est assez progressif.
http://olivieraj.free.fr/fr/linux/information/firewall/

Seb

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130312100059.gb7...@sebian.nob900.homeip.net

Re: programme d'analyse de log apache pour la securite

[Hugues MORIN]

Bonjour

Merci pour vos reponses

Je vais potasser tout ca et tester les programmes pour voir celui qui
me convient le mieux.

Je sais que google regorge de tuto sur les firewall mais si vous en
connaissez qui sont "particulierement bien et accessible" pour un
debutant, je suis preneur :D

Bonne journee
Cordialement
Hugues




Le 11 mars 2013 14:57, Bzzz  a écrit :
> On Mon, 11 Mar 2013 13:10:32 +0100
> Hugues MORIN  wrote:
>
>> J'aurai besoin d'un programme d'analyse qui me permettent de
>> surveiller celui-ci et de "tracker" d'eventuel pirate.
>>
>> A default de pouvoir anticiper les attaques, ca me permettrait de les
>> voir rapidement et de faire le necessaire pour les bloquer.
>
> Ça n'est pas dans le svr http que ça se passe, c'est dans
> les règles du firewall (eg: plus de 5 connexions/s => banni
> 30 minutes, avec tolérance pour les moteurs de référencement).
>
> Avec des choses comme fail2ban, snort, etc
>
> Mais le Pal pour sécuriser un svr, c'est déjà de fermer toutes
> les portes derrière soi, en vérifiant par ex. que les sites ne
> sont pas vulnérable au cross scripting ou au sql injection² et de
> s'abonner à une ou des listes de sécurité pour suivre les
> éventuelles failles susceptibles d'être exploitées dans ta
> version de svr.
>
> ² Et de suspendre l'exploitation di site tant que les devs n'ont
>   pas bouché le trou de sécurité, ce qui peut vite devenir
>   folklorique dans certains cas.
> --
> Lou : Pfff j'ai trop chaud...
> Titus : bah enlève ton t-shirt
> Lou : déjà fait
> Titus : Ah...
> * Titus voudrait voir votre webcam. Acceptez-vous ? - (Accepter / Refuser)
>
> --
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.org/fr/FrenchLists
>
> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
> vers debian-user-french-requ...@lists.debian.org
> En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
> Archive: http://lists.debian.org/20130311145707.4fba0240@anubis.defcon1
>

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/cameenc3afcopmgjh5kdzkemex-8ymsytx-x0tf8wfcyrdru...@mail.gmail.com

Re: programme d'analyse de log apache pour la securite

[Bzzz]

On Mon, 11 Mar 2013 13:10:32 +0100
Hugues MORIN  wrote:

> J'aurai besoin d'un programme d'analyse qui me permettent de
> surveiller celui-ci et de "tracker" d'eventuel pirate.
> 
> A default de pouvoir anticiper les attaques, ca me permettrait de les
> voir rapidement et de faire le necessaire pour les bloquer.

Ça n'est pas dans le svr http que ça se passe, c'est dans
les règles du firewall (eg: plus de 5 connexions/s => banni
30 minutes, avec tolérance pour les moteurs de référencement).

Avec des choses comme fail2ban, snort, etc
 
Mais le Pal pour sécuriser un svr, c'est déjà de fermer toutes
les portes derrière soi, en vérifiant par ex. que les sites ne
sont pas vulnérable au cross scripting ou au sql injection² et de
s'abonner à une ou des listes de sécurité pour suivre les 
éventuelles failles susceptibles d'être exploitées dans ta 
version de svr.

² Et de suspendre l'exploitation di site tant que les devs n'ont
  pas bouché le trou de sécurité, ce qui peut vite devenir
  folklorique dans certains cas.
-- 
Lou : Pfff j'ai trop chaud...
Titus : bah enlève ton t-shirt
Lou : déjà fait
Titus : Ah...
* Titus voudrait voir votre webcam. Acceptez-vous ? - (Accepter / Refuser)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130311145707.4fba0240@anubis.defcon1

Re: programme d'analyse de log apache pour la securite

[andre_debian]

* logwatch *
couplé avec "cron" envoie un rapport quotidien très circonstancié
du serveur via une adresse email, dont Apache.
Ceci permet de surveiller tous les aspects du serveur.

André

On Monday 11 March 2013 14:31:45 Frédéric Massot wrote:
> Le 11/03/2013 13:10, Hugues MORIN a écrit :
> > Je suis a la recherche d'un programme d'analyse de log apache.
> > La majorite des programmes (urchin, awstat, etc...) sont bien pour
> > voir le comportement general mais j'en cherche un qui pourrait me
> > permettre de suivre les requete emanant d'une seule IP et le resultat
> > de celle-ci.
> > Je suis responsable d'un serveur depuis peu et je ne suis pas encore
> > tres a l'aise avec ce serveur.
> > J'aurai besoin d'un programme d'analyse qui me permettent de
> > surveiller celui-ci et de "tracker" d'eventuel pirate.
> > A default de pouvoir anticiper les attaques, ca me permettrait de les
> > voir rapidement et de faire le necessaire pour les bloquer.
> > Si ce n'ai pas la bonne maniere de proceder, n'hesiter pas me le dire
> > car je suis dans l'impro la plus totale ;-)

> Regarde du coté des IDS (Intrusion Detection System), parmi les plus
> plus connu il y a Snort et Prelude. Après, c'est comme le fromage,
> chacun a son préférer.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/201303111453.15434.andre_deb...@numericable.fr

Re: programme d'analyse de log apache pour la securite

[Frédéric Massot]

Le 11/03/2013 13:10, Hugues MORIN a écrit :

Bonjour a tous


Je suis a la recherche d'un programme d'analyse de log apache.

La majorite des programmes (urchin, awstat, etc...) sont bien pour
voir le comportement general mais j'en cherche un qui pourrait me
permettre de suivre les requete emanant d'une seule IP et le resultat
de celle-ci.

Je suis responsable d'un serveur depuis peu et je ne suis pas encore
tres a l'aise avec ce serveur.
J'aurai besoin d'un programme d'analyse qui me permettent de
surveiller celui-ci et de "tracker" d'eventuel pirate.

A default de pouvoir anticiper les attaques, ca me permettrait de les
voir rapidement et de faire le necessaire pour les bloquer.

Si ce n'ai pas la bonne maniere de proceder, n'hesiter pas me le dire
car je suis dans l'impro la plus totale ;-)


Regarde du coté des IDS (Intrusion Detection System), parmi les plus 
plus connu il y a Snort et Prelude. Après, c'est comme le fromage, 
chacun a son préférer.




--
==
|  FRÉDÉRIC MASSOT   |
| http://www.juliana-multimedia.com  |
|   mailto:frede...@juliana-multimedia.com   |
| +33.(0)2.97.54.77.94  +33.(0)6.67.19.95.69 |
===Debian=GNU/Linux===

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/513ddcc1.4070...@juliana-multimedia.com

Re: programme d'analyse de log apache pour la securite

[Sandro CAZZANIGA]

On Mon, Mar 11, 2013 at 01:10:32PM +0100, Hugues MORIN wrote:
> Bonjour a tous
> 
> 
> Je suis a la recherche d'un programme d'analyse de log apache.
> 
> La majorite des programmes (urchin, awstat, etc...) sont bien pour
> voir le comportement general mais j'en cherche un qui pourrait me
> permettre de suivre les requete emanant d'une seule IP et le resultat
> de celle-ci.
> 
> Je suis responsable d'un serveur depuis peu et je ne suis pas encore
> tres a l'aise avec ce serveur.
> J'aurai besoin d'un programme d'analyse qui me permettent de
> surveiller celui-ci et de "tracker" d'eventuel pirate.
> 
> A default de pouvoir anticiper les attaques, ca me permettrait de les
> voir rapidement et de faire le necessaire pour les bloquer.
> 
> Si ce n'ai pas la bonne maniere de proceder, n'hesiter pas me le dire
> car je suis dans l'impro la plus totale ;-)
> 
> Merci d'avance de vos conseils :D
> 
> Cordialement
> Hugues
> 

Bonjour Hugues,

Il y a vlogger, qui sert à analyser des journaux, mais je ne l'ai jamais 
essayé. A voir donc...

-- 
Sandro Cazzaniga 
Jabber: kha...@jabber.fr
Twitter: @Kharec



signature.asc
Description: Digital signature

programme d'analyse de log apache pour la securite

[Hugues MORIN]

Bonjour a tous


Je suis a la recherche d'un programme d'analyse de log apache.

La majorite des programmes (urchin, awstat, etc...) sont bien pour
voir le comportement general mais j'en cherche un qui pourrait me
permettre de suivre les requete emanant d'une seule IP et le resultat
de celle-ci.

Je suis responsable d'un serveur depuis peu et je ne suis pas encore
tres a l'aise avec ce serveur.
J'aurai besoin d'un programme d'analyse qui me permettent de
surveiller celui-ci et de "tracker" d'eventuel pirate.

A default de pouvoir anticiper les attaques, ca me permettrait de les
voir rapidement et de faire le necessaire pour les bloquer.

Si ce n'ai pas la bonne maniere de proceder, n'hesiter pas me le dire
car je suis dans l'impro la plus totale ;-)

Merci d'avance de vos conseils :D

Cordialement
Hugues

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/cameenc02vr1zsbvuqqgpnpezgogasx-t3h5v4urcsifcejy...@mail.gmail.com

Re: Securite reseau

[mouss]

Christophe VINCHON a écrit :
> Le mardi 18 novembre 2008 à 09:12:36, Guy Roussin a écrit :
>> Bonjour,
>>
>> Que donne la commande (en root) :
>> dhclient eth0
>> ?
> platon:~# dhclient eth0
> There is already a pid file /var/run/dhclient.pid with pid 2157
> killed old client process, removed PID file
> Internet Systems Consortium DHCP Client V3.0.4
> Copyright 2004-2006 Internet Systems Consortium.
> All rights reserved.
> For info, please visit http://www.isc.org/sw/dhcp/
> 
> Listening on LPF/eth0/00:4f:4e:14:fe:f8
> Sending on   LPF/eth0/00:4f:4e:14:fe:f8
> Sending on   Socket/fallback
> DHCPREQUEST on eth0 to 255.255.255.255 port 67
> DHCPACK from 192.168.1.1
> bound to 192.168.1.103 -- renewal in 28303 seconds.

si c'est pour prendre des adresses privées dans un réseau de 4 machines,
pourquoi s'embêter avec DHCP? tu donnes une IP statique à ta machine et
on n'en parle plus ;-p

sauf si c'est un (trans)portable qui voyage dans plusieurs réseaux...


> 
> Toutes les autres machines du réseau (Win ME et XP) ont obtenu leur adresse 
> ip du
> routeur. Seule la mienne, sous debian, a connu cet incident.
> 
> La machine n'a pas été redémarré depuis ma reconfiguration "en dur" hier
> midi. En général, le routeur/passerelle réaffecte la même ip au
> démarrage des machines (il n'est jamais éteint).
> 
> Cordialement,
> Christophe.
> 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Securite reseau

[Christophe VINCHON]

Le lundi 17 novembre 2008 à 09:26:23, David Prévot a écrit :
> Bonjour,
> > Arpwatch :
> > 
> > 
> > hostname: platon.local
> >   ip address: 169.254.214.233
> 
> Ha ben voilà : un petit tour via la RFC 3330 devrait t'apprendre qu'il
> s'agit d'une adresse attribuée par défaut, donc que l'attribution
> d'adresse via DHCP a échoué probablement.

Ben c'est le dernier endroit où je serai allé. Faut dire qu'avec mes
"surveillants", j'étais psychologiquement prêt à réagir en mode
paranoïd... ;-)

Cordialement,
Christophe.

-- 
L'ordinateur mène de loin le groupe des inventions grâce auxquelles on peut
très vite aligner les conneries. Seules les armes de poing et la tequila
menacent sa suprématie. -- Mitch Ratcliffe

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Securite reseau

[Christophe VINCHON]

Le mardi 18 novembre 2008 à 09:12:36, Guy Roussin a écrit :
> Bonjour,
> 
> Que donne la commande (en root) :
> dhclient eth0
> ?
platon:~# dhclient eth0
There is already a pid file /var/run/dhclient.pid with pid 2157
killed old client process, removed PID file
Internet Systems Consortium DHCP Client V3.0.4
Copyright 2004-2006 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/

Listening on LPF/eth0/00:4f:4e:14:fe:f8
Sending on   LPF/eth0/00:4f:4e:14:fe:f8
Sending on   Socket/fallback
DHCPREQUEST on eth0 to 255.255.255.255 port 67
DHCPACK from 192.168.1.1
bound to 192.168.1.103 -- renewal in 28303 seconds.

Toutes les autres machines du réseau (Win ME et XP) ont obtenu leur adresse ip 
du
routeur. Seule la mienne, sous debian, a connu cet incident.

La machine n'a pas été redémarré depuis ma reconfiguration "en dur" hier
midi. En général, le routeur/passerelle réaffecte la même ip au
démarrage des machines (il n'est jamais éteint).

Cordialement,
Christophe.

-- 
« The process of preparing programs for a digital computer [...] can
 be an aesthetic experience much like composing poetry or music. »
Donald Knuth

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Securite reseau

[Guy Roussin]

Bonjour,

Que donne la commande (en root) :
dhclient eth0
?
Les infos détaillées se trouvent normalement dans /var/log/syslog

Guy

Christophe VINCHON a écrit :

Bonjour,

Ce n'est pas à proprement parler une question Debian, mais c'est sous
une Debian Etch que ça m'arrive, et il y a certainement des admin réseau
sur la liste...

Ce midi, au boot la machine va chercher son adresse ip sur le routeur.
Ok, c'est fait. J'ouvre une session x, lance icewiesel... Le site choisi
comme page par défaut ne s'affiche pas. Je tente une requête http sur le
routeur. idem. Le routeur m'est donc inaccessible...

J'ai consulté ma messagerie (voir ci-dessous) et puis évidemment
reconfiguré mon interface réseau pour dans un premier temps me connecter
à mon routeur : rien d'anormal.

Je joins, expugés au maximum, les rapports de mes divers "surveillants".
Vous y verrez sans doute des choses que je n'ai pas vu. Malgré tous mes
efforts sur les sites en anglais, je ne parviens pas à me représenter
les procédures à suivre pour palier les failles dénoncées par chkrootkit
et rkhunter.  Il ne s'agit pas ici d'un logiciel récalcitrant, mais
peut-être de l'avenir à cout terme de mon réseau familial (4 machines)
et de nos données personnelles et professionnelles, en clair j'ai besoin
d'aide.

  


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Securite reseau

[Eddy Touati]

Bonjour,

Pas de gros problème sauf que ton dhcp est en rade. c'est pour cela que 
ton ordinateur ne peut pas aller sur internet.


Arpwatch :


   hostname: platon.local
 ip address: 169.254.214.233
  interface: eth0


Regarde sur ton routeur pour redémarrer le protocol dhcp, et tout 
devrait bien se passer.


Pour vérifier sur ta machine tu peux aussi taper la commande ifconfig eth0
la deuxième ligne chez toi doit ressembler à ça :

inet adr:192.168.1.103  Bcast:192.168.1.255  Masque:255.255.255.0

Eddy

Christophe VINCHON a écrit :

Bonjour,

Ce n'est pas à proprement parler une question Debian, mais c'est sous
une Debian Etch que ça m'arrive, et il y a certainement des admin réseau
sur la liste...

Ce midi, au boot la machine va chercher son adresse ip sur le routeur.
Ok, c'est fait. J'ouvre une session x, lance icewiesel... Le site choisi
comme page par défaut ne s'affiche pas. Je tente une requête http sur le
routeur. idem. Le routeur m'est donc inaccessible...

J'ai consulté ma messagerie (voir ci-dessous) et puis évidemment
reconfiguré mon interface réseau pour dans un premier temps me connecter
à mon routeur : rien d'anormal.

Je joins, expugés au maximum, les rapports de mes divers "surveillants".
Vous y verrez sans doute des choses que je n'ai pas vu. Malgré tous mes
efforts sur les sites en anglais, je ne parviens pas à me représenter
les procédures à suivre pour palier les failles dénoncées par chkrootkit
et rkhunter.  Il ne s'agit pas ici d'un logiciel récalcitrant, mais
peut-être de l'avenir à cout terme de mon réseau familial (4 machines)
et de nos données personnelles et professionnelles, en clair j'ai besoin
d'aide.

Cordialement,
Christophe.



Arpwatch :


hostname: platon.local
  ip address: 169.254.214.233
   interface: eth0
ethernet address: 0:4f:4e:14:fe:f8
 ethernet vendor: 
   timestamp: Monday, November 17, 2008 12:11:26 +0100

Ce qui diffère du message envoyé après son installation 


 hostname: platon.excathedra.lan
  ip address: 192.168.1.103
   interface: eth0
ethernet address: 0:4f:4e:14:fe:f8
 ethernet vendor: 
   timestamp: Thursday, November 13, 2008 19:01:51 +0100


Logwatch :

 ### Logwatch 7.3.1 (09/15/06)  
Processing Initiated: Mon Nov 17 12:15:58 2008

Date Range Processed: yesterday
  ( 2008-Nov-16 )
  Period is day.
  Detail Level of Output: 5
  Type of Output: unformatted
   Logfiles for Host: platon
  ## 
 
 - Cron Begin  


 [...]

 -- Cron End - 

 
 - dpkg status changes Begin  

 
 Installed:

ksh 93r-1
 
 Removed:

firestarter 1.0.3-1.3
winbind 3.0.24-6etch10
 
 Purged:

firestarter 1.0.3-1.3
winbind 3.0.24-6etch10
 
 -- dpkg status changes End - 

 
 - httpd Begin  

 0.00 MB transferred in 7 responses  (1xx 0, 2xx 2, 3xx 2, 4xx 3, 5xx 0) 
3 Images (0.00 MB),

4 Content pages (0.00 MB),
 
 Requests with error response codes

404 Not Found
   /favicon.ico: 3 Time(s)
 
 -- httpd End - 

 
 - Kernel Begin  


 [...]
 
 -- Kernel End - 

 
 - Named Begin  


 [...]
 -- Named End - 

 
 - pam_unix Begin  


 cron:
 [...]

 gdm:
 [...]

 proftpd:
 [...]

 smbd:
 [...]

 sshd:
Authentication Failures:
   unknown (r028.red.fastwebserver.de): 6 Time(s)
   unknown (24-182-161-69.dhcp.stls.mo.charter.com): 5 Time(s)
   unknown (sd-16247.dedibox.fr): 4 Time(s)
   root (89.163.250.121.static.rdns-uclo.net): 2 Time(s)
   root (sd-16247.dedibox.fr): 2 Time(s)
   unknown (89.163.250.121.static.rdns-uclo.net): 2 Time(s)
   bin (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   daemon (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   games (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   lp (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   mail (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   news (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   root (122.200.102.6): 1 Time(s)
   root (79.170.216.8): 1 Time(s)
   sync (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   unknown (79.99.248.4): 1 Time(s)
   uucp (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
Invalid Users:
   Unknown Account: 18 Time(s)
 
 su:

[...]
Sessions Opened:
[...]  

Re: Securite reseau

[David Prévot]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Christophe VINCHON a écrit :
> Bonjour,

Bonjour,

> Ce midi, au boot la machine va chercher son adresse ip sur le routeur.
> Ok, c'est fait. J'ouvre une session x, lance icewiesel... Le site choisi
> comme page par défaut ne s'affiche pas. Je tente une requête http sur le
> routeur. idem. Le routeur m'est donc inaccessible...

Que c'est-il passé ?

> Arpwatch :
> 
> 
> hostname: platon.local
>   ip address: 169.254.214.233

Ha ben voilà : un petit tour via la RFC 3330 devrait t'apprendre qu'il
s'agit d'une adresse attribuée par défaut, donc que l'attribution
d'adresse via DHCP a échoué probablement.

Amicalement

David


Request for Comments: 3330September 2002
[...]
2. Global and Other Specialized Address Blocks

[...]

   169.254.0.0/16 - This is the "link local" block.  It is allocated for
   communication between hosts on a single link.  Hosts obtain these
   addresses by auto-configuration, such as when a DHCP server may not
   be found.


Et en français, un lien utile : http://www.bortzmeyer.org/3330.html

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkkiGb4ACgkQ18/WetbTC/qvcwCcDMWSjJCcxOI4fOSX6Ps/QbGE
BU0Anja9nsdEg14v4ODGrADOObk2fU26
=N7Xk
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Securite reseau

[Christophe VINCHON]

Bonjour,

Ce n'est pas à proprement parler une question Debian, mais c'est sous
une Debian Etch que ça m'arrive, et il y a certainement des admin réseau
sur la liste...

Ce midi, au boot la machine va chercher son adresse ip sur le routeur.
Ok, c'est fait. J'ouvre une session x, lance icewiesel... Le site choisi
comme page par défaut ne s'affiche pas. Je tente une requête http sur le
routeur. idem. Le routeur m'est donc inaccessible...

J'ai consulté ma messagerie (voir ci-dessous) et puis évidemment
reconfiguré mon interface réseau pour dans un premier temps me connecter
à mon routeur : rien d'anormal.

Je joins, expugés au maximum, les rapports de mes divers "surveillants".
Vous y verrez sans doute des choses que je n'ai pas vu. Malgré tous mes
efforts sur les sites en anglais, je ne parviens pas à me représenter
les procédures à suivre pour palier les failles dénoncées par chkrootkit
et rkhunter.  Il ne s'agit pas ici d'un logiciel récalcitrant, mais
peut-être de l'avenir à cout terme de mon réseau familial (4 machines)
et de nos données personnelles et professionnelles, en clair j'ai besoin
d'aide.

Cordialement,
Christophe.



Arpwatch :


hostname: platon.local
  ip address: 169.254.214.233
   interface: eth0
ethernet address: 0:4f:4e:14:fe:f8
 ethernet vendor: 
   timestamp: Monday, November 17, 2008 12:11:26 +0100

Ce qui diffère du message envoyé après son installation 

 hostname: platon.excathedra.lan
  ip address: 192.168.1.103
   interface: eth0
ethernet address: 0:4f:4e:14:fe:f8
 ethernet vendor: 
   timestamp: Thursday, November 13, 2008 19:01:51 +0100


Logwatch :

 ### Logwatch 7.3.1 (09/15/06)  
Processing Initiated: Mon Nov 17 12:15:58 2008
Date Range Processed: yesterday
  ( 2008-Nov-16 )
  Period is day.
  Detail Level of Output: 5
  Type of Output: unformatted
   Logfiles for Host: platon
  ## 
 
 - Cron Begin  

 [...]

 -- Cron End - 

 
 - dpkg status changes Begin  

 
 Installed:
ksh 93r-1
 
 Removed:
firestarter 1.0.3-1.3
winbind 3.0.24-6etch10
 
 Purged:
firestarter 1.0.3-1.3
winbind 3.0.24-6etch10
 
 -- dpkg status changes End - 

 
 - httpd Begin  

 0.00 MB transferred in 7 responses  (1xx 0, 2xx 2, 3xx 2, 4xx 3, 5xx 0) 
3 Images (0.00 MB),
4 Content pages (0.00 MB),
 
 Requests with error response codes
404 Not Found
   /favicon.ico: 3 Time(s)
 
 -- httpd End - 

 
 - Kernel Begin  

 [...]
 
 -- Kernel End - 

 
 - Named Begin  

 [...]
 -- Named End - 

 
 - pam_unix Begin  

 cron:
 [...]

 gdm:
 [...]

 proftpd:
 [...]

 smbd:
 [...]

 sshd:
Authentication Failures:
   unknown (r028.red.fastwebserver.de): 6 Time(s)
   unknown (24-182-161-69.dhcp.stls.mo.charter.com): 5 Time(s)
   unknown (sd-16247.dedibox.fr): 4 Time(s)
   root (89.163.250.121.static.rdns-uclo.net): 2 Time(s)
   root (sd-16247.dedibox.fr): 2 Time(s)
   unknown (89.163.250.121.static.rdns-uclo.net): 2 Time(s)
   bin (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   daemon (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   games (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   lp (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   mail (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   news (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   root (122.200.102.6): 1 Time(s)
   root (79.170.216.8): 1 Time(s)
   sync (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
   unknown (79.99.248.4): 1 Time(s)
   uucp (24-182-161-69.dhcp.stls.mo.charter.com): 1 Time(s)
Invalid Users:
   Unknown Account: 18 Time(s)
 
 su:
[...]
Sessions Opened:
[...]  
  root -> nobody: 3 Time(s)
  root -> mixmaster: 1 Time(s)
 
 
 -- pam_unix End - 

 
 - postfix Begin  

 [...]

 -- postfix End - 

 
 - samba Begin  

[...] 
 
 -- samba End - 

 
 - SSHD Begin  

 
 SSHD Killed: 1 Time(s)
 
 SSHD Started: 1 Time(s)
 
 Failed logins from:
24.182.161.69: 8 times
   b

console ouverte et securite

[remi suinot]

Bonjour all

je me pose une question:
sur mon serveur perso, ou j'utilise à 75% ssh depuis un poste distant,
je laisse parfois une console locale ouverte, pas sous root bien sur
(quand mon wifi plante, par exemple).
Par le net, serait il possible "d'intercepter" cette console pour
avoir un acces au serveur?
La sécurité me pousse à couper toutes consoles ouvertes, mais parfois
j'oublie un peu... (alzheimer)

Est il possible de déconnecter simplement un utilisateur après un 
certain temps d'inactivité?

Merci pour vos avis.
Rémi.

-- 
Merci de m'avoir lu jusqu'ici, longue Vie et Prosperite.
http://rsuinot.free.fr

Re: Mise a jour de securite paquet gzip 1.3.2-3woody4 ?

[Frédéric Bothamy]

* [EMAIL PROTECTED] <[EMAIL PROTECTED]> [2005-06-11 14:11] :
> Salut à tous,

Salut [avec un peu de retard],

> Je laisse ma passerelle en Woody devenue oldstable encore quelques temps 
> en attendant de valider la migration en Sarge sur une machine de test. Et 
> apparemment une mise à jour de sécurité du paquet gzip pour Woody est 
> disponible depuis le 03/06/2005. Mais :
> 
> - aucune annonce n'a été publiée sur la page sécurité du site web 
> http://www.debian.org/security ni dans la liste de diffusion 
> debian-security-announce
> 
> - la version précédente 1.3.2-3woody3 coexiste à côté de la nouvelle dans 
>  le site des paquets packages.debian.org 
> (http://packages.debian.org/cgi-bin/search_packages.pl?keywords=gzip&searchon=names&version=oldstable&release=all).
> 
> Tout ce que je trouve est une page d'un site japonais qui cite ce qui 
> ressemble à un extrait de changelog.
> 
> http://www.deer-n-horse.jp/linux/diary :
> 
> "gzip (1.3.2-3woody4) stable-security; urgency=high
> 
>   * Non-maintainer upload by the Security Team
>   * Applied patch by Steve Grub to fix premission setting race condition
> [gzip.c, CAN-2005-0988]
>   * Applied patch by Ulf Hnhammar to fix directory traversal
> problem[gzip.c, CAN-2005-1228, Bug#305255]
> 
>  -- Martin Schulze   Thu,  2 Jun 2005 16:26:06 +0200"
> 
> Changelog qui est introuvable sur le site web de Debian, le répertoire 
> http://packages.debian.org/changelogs/pool/main/g/gzip/gzip_1.3.2-3woody4/ 
> pointé dans http://packages.debian.org/oldstable/base/gzip n'existant pas.

Ce n'est pas tout à fait exact : tu peux récupérer le fichier .deb
depuis security.debian.org et en extraire le changelog.Debian.gz.
 
> Une explication ?
> Que vaut cette mise à jour ?

À mon avis, la sortie de Sarge a un peu perturbé le fonctionnement des
mises à jour de sécurité pour Woody et Sarge (qui normalement devait
fonctionner auparavant pour les 2 distributions).

Voir ce message du blog de Martin Schulze (qui appartient à l'équipe de
sécurité Debian) :
http://www.infodrom.org/~joey/log/?200506142140

Par contre, ce qui est un peu encourageant, c'est dans ce fil
(http://lists.debian.org/debian-security/2005/06/msg00055.html) de
discussion qui évoque ce problème, ce message :
http://lists.debian.org/debian-security/2005/06/msg00075.html

  Rumors suggest that the technical foundations of security support for
  sarge and woody are working again.


C'est tout de même un peu inquiétant que l'on puisse se retrouver sans
suivi de sécurité pendant deux semaines... Et pas d'autres infos sur
debian-security.


Fred

-- 
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Mise a jour de securite paquet gzip 1.3.2-3woody4 ?

[[EMAIL PROTECTED]]

Salut à tous,

Je laisse ma passerelle en Woody devenue oldstable encore quelques temps 
en attendant de valider la migration en Sarge sur une machine de test. Et 
apparemment une mise à jour de sécurité du paquet gzip pour Woody est 
disponible depuis le 03/06/2005. Mais :


- aucune annonce n'a été publiée sur la page sécurité du site web 
http://www.debian.org/security ni dans la liste de diffusion 
debian-security-announce


- la version précédente 1.3.2-3woody3 coexiste à côté de la nouvelle dans 
 le site des paquets packages.debian.org 
(http://packages.debian.org/cgi-bin/search_packages.pl?keywords=gzip&searchon=names&version=oldstable&release=all).


Tout ce que je trouve est une page d'un site japonais qui cite ce qui 
ressemble à un extrait de changelog.


http://www.deer-n-horse.jp/linux/diary :

"gzip (1.3.2-3woody4) stable-security; urgency=high

  * Non-maintainer upload by the Security Team
  * Applied patch by Steve Grub to fix premission setting race condition
[gzip.c, CAN-2005-0988]
  * Applied patch by Ulf Hnhammar to fix directory traversal
problem[gzip.c, CAN-2005-1228, Bug#305255]

 -- Martin Schulze   Thu,  2 Jun 2005 16:26:06 +0200"

Changelog qui est introuvable sur le site web de Debian, le répertoire 
http://packages.debian.org/changelogs/pool/main/g/gzip/gzip_1.3.2-3woody4/ 
pointé dans http://packages.debian.org/oldstable/base/gzip n'existant pas.


Une explication ?
Que vaut cette mise à jour ?


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: WEP, WPA et securite [Etait: 2.6.8, WiFi et chipset Prism54]

[Jean-Luc Coulon (f5ibh)]

Le 16.10.2004 15:09:34, François TOURDE a écrit :

Le 12707ième jour après Epoch,
Yves Rutschle écrivait:


> [1] http://whitepapers.zdnet.co.uk/0,39025945,60022729p,00.htm
n'existe plus.


Damned. Google avec "break wep" renvoie un millier de liens
vers le même article, le second lien marche.


Sinon, un petit "apt-get install airsnort" et le tour est joué ;)

--
How come everyone's going so slow if it's called rush hour?


J'ai ma livebox qui a une option "wep ou wpa". je l'ai validée.
Ensuite, lorsque je lance ma liaison WiFi, je déclare une clé 128 bits.

Le driver dit :
wlan0: encryption modes supported: WEP, WPA with TKIP, AES/CCMP
ndiswrapper: driver 2802w (SMC,04/29/2004, 3.0.11.1) added

Comment est-ce que je sais si je focntionne en WEP ou WPA ?
Voici ce que me donne un iwconfig wlan0 (les , c'est moi qui les ai  
mis ;-) mais je ne pense pas que quelqu'un va pirater ma clé..)


wlan0   IEEE 802.11g  ESSID:"WANADOO-79EB"
   Mode:Managed  Frequency:2.457 GHz  Access Point:  
00:90:4B:84:F7:96

   Bit Rate:6 Mb/s   Tx-Power:32 dBm
   RTS thr:2347 B   Fragment thr:2346 B
   Encryption key:------xx   Security  
mode:restricted

   Power Management:off
   Link Quality:94/100  Signal level:-82 dBm  Noise level:-256 dBm
   Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
   Tx excessive retries:254  Invalid misc:843   Missed beacon:0



Jean-Luc


pgptr0cWX9vMx.pgp
Description: PGP signature

Re: WEP, WPA et securite [Etait: 2.6.8, WiFi et chipset Prism54]

[François TOURDE]

Le 12707ième jour après Epoch,
Yves Rutschle écrivait:

>> > [1] http://whitepapers.zdnet.co.uk/0,39025945,60022729p,00.htm
>> n'existe plus.
>
> Damned. Google avec "break wep" renvoie un millier de liens
> vers le même article, le second lien marche.

Sinon, un petit "apt-get install airsnort" et le tour est joué ;)

-- 
How come everyone's going so slow if it's called rush hour?

WEP, WPA et securite [Etait: 2.6.8, WiFi et chipset Prism54]

[Yves Rutschle]

On Sat, Oct 16, 2004 at 11:21:11AM +0200, dlist wrote:
> > > >(en passant, seulement 27% des signaux sont cryptés avec
> > > >une clé WEP, expérience du jour , ..., c'est fou).
> faute de typo ici en fait: je parlais de WPA.

Ah bon, autant pour ma diatribe.

> WEP ok, mais WPA?

WPA a l'air mieux, mais il faudrait voir en détail comment
il décide de changer les clés régulièrement. Si la prochaine
clé peut être calculée par un observateur exterieur, ça pas
aider des masses.

Ce que je ne comprend pas, c'est que les fabricants de
sans-fils semblent insister avec des clés symétriques. En
utilisant qqch comme SSH, on aurait en même temps encryption
et authentification, et ce en utilisant des technologies
connues qui existent déjà.

> >  En d'autre termes, il faut considérer que le réseau
> >  intérieur est aussi sûr que l'Internet.
> donc pas sûr.

Correct :-)
 
> > [1] http://whitepapers.zdnet.co.uk/0,39025945,60022729p,00.htm
> n'existe plus.

Damned. Google avec "break wep" renvoie un millier de liens
vers le même article, le second lien marche.

Y.

Re: Re : Re : securite (encore)

[Frédéric Bothamy]

* Nicolas Roudninski <[EMAIL PROTECTED]> [2003-12-28 22:48] :
> Jean-Luc Coulon (f5ibh) a brillamment dit le 28.12.2003 20:47:
> 
> >Jetez un oeil sur les premiers processus, vous devriez trouver:
> >   3 ?SWN0:00 [ksoftirqd_CPU0]
> >   4 ?SW 0:46 [kswapd]
> >   5 ?SW 0:00 [bdflush]
> >   6 ?SW 0:00 [kupdated]
> >
> >cat /proc/3/stat vous donnera par exemple :
> >[EMAIL PROTECTED] /proc/3 # cat stat
> >3 (ksoftirqd_CPU0) S 1 1 1 0 -1 64 0 0 0 0 0 8 0 0 19 19 0 0 42 0 0  
> >4294967295 0 0 0 0 0 0 2147483647 0 0 3222395308 0 0 0 0
> Exact :
> cat/proc/3/stat : 3 (ksoftirqd_CPU0) ...
> cat/proc/4/stat : 4 (kswapd) ...
> cat/proc/5/stat : 5 (bdflush) ...
> cat/proc/6/stat : 6 (kupdated) ...
> 
> Mais je n'y comprends pas grand chose !

Ce problème a été corrigé dans la dernière version de procps (3.1.15),
voir par exemple le bogue #219730.


Fred

-- 
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Code de conduite des listes Debian
http://www.fr.debian.org/MailingLists/#codeofconduct

Re: Re : Re : securite (encore)

[Nicolas Roudninski]

Jean-Luc Coulon (f5ibh) a brillamment dit le 28.12.2003 20:47:


Jetez un oeil sur les premiers processus, vous devriez trouver:
   3 ?SWN0:00 [ksoftirqd_CPU0]
   4 ?SW 0:46 [kswapd]
   5 ?SW 0:00 [bdflush]
   6 ?SW 0:00 [kupdated]

cat /proc/3/stat vous donnera par exemple :
[EMAIL PROTECTED] /proc/3 # cat stat
3 (ksoftirqd_CPU0) S 1 1 1 0 -1 64 0 0 0 0 0 8 0 0 19 19 0 0 42 0 0  
4294967295 0 0 0 0 0 0 2147483647 0 0 3222395308 0 0 0 0

Exact :
cat/proc/3/stat : 3 (ksoftirqd_CPU0) ...
cat/proc/4/stat : 4 (kswapd) ...
cat/proc/5/stat : 5 (bdflush) ...
cat/proc/6/stat : 6 (kupdated) ...

Mais je n'y comprends pas grand chose !
--
=
Nicolas Roudninski
[EMAIL PROTECTED]

http://www.nicoroud.net
=
vft8mk650

Re : Re : securite (encore)

[Jean-Luc Coulon (f5ibh)]

Le 28.12.2003 18:56, Nicolas Roudninski a écrit :

Jean-Luc Coulon (f5ibh) a brillamment dit le 28.12.2003 18:40:

Pour celui-là, ça provient du fait que la commande ps reporte le  
gid  du process au lieu du pid. Il suffit de faire chkrootkit -x  
lkm  pour  avoir des précisions concernant les processus en  
question. Comme je  le disais dans un précédent message, le  
dernier paquet procps de sid  semble corriger ce problème.


Voici la sortie de chkrootkit -x lkm:
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 3: not in ps output
CWD 3: /
EXE 3: /
PID 4: not in ps output
CWD 4: /
EXE 4: /
PID 5: not in ps output
CWD 5: /
EXE 5: /
PID 6: not in ps output
CWD 6: /
EXE 6: /
You have 4 process hidden for ps command


Jetez un oeil sur les premiers processus, vous devriez trouver:
   3 ?SWN0:00 [ksoftirqd_CPU0]
   4 ?SW 0:46 [kswapd]
   5 ?SW 0:00 [bdflush]
   6 ?SW 0:00 [kupdated]

cat /proc/3/stat vous donnera par exemple :
[EMAIL PROTECTED] /proc/3 # cat stat
3 (ksoftirqd_CPU0) S 1 1 1 0 -1 64 0 0 0 0 0 8 0 0 19 19 0 0 42 0 0  
4294967295 0 0 0 0 0 0 2147483647 0 0 3222395308 0 0 0 0






Checking `sniffer'...
PROMISC mode detected in one of these interfaces: eth0 ppp0


Le mode est positionné sur une interface lorsqu'on veut en faire  
une  trace (avec tcpdump ou ethereal par exemple). Si vous avez un  
sniffer  comme snort vous allez également trouver les interfaces  
qu'il  surveille en mode promisc. Sinon, il peut s'agir du sniffer ...  
de  quelqu'un d'autre.




J'utilise portsentry, d'ou sans doute la réponse...

Oui, sans doute.




--
=
Nicolas Roudninski
[EMAIL PROTECTED]

http://www.nicoroud.net
=
vft8mk650


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://savannah.nongnu.org/download/debfr-faq/html/

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply- 
To:"


To UNSUBSCRIBE, email to [EMAIL PROTECTED] 
org
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] 
debian.org


pgpj0bJ2j0mS2.pgp
Description: PGP signature

Re: Re : securite (encore)

[Nicolas Roudninski]

Jean-Luc Coulon (f5ibh) a brillamment dit le 28.12.2003 18:40:

Pour celui-là, ça provient du fait que la commande ps reporte le gid  du 
process au lieu du pid. Il suffit de faire chkrootkit -x lkm  pour  
avoir des précisions concernant les processus en question. Comme je  le 
disais dans un précédent message, le dernier paquet procps de sid  
semble corriger ce problème.


Voici la sortie de chkrootkit -x lkm:
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 3: not in ps output
CWD 3: /
EXE 3: /
PID 4: not in ps output
CWD 4: /
EXE 4: /
PID 5: not in ps output
CWD 5: /
EXE 5: /
PID 6: not in ps output
CWD 6: /
EXE 6: /
You have 4 process hidden for ps command



Checking `sniffer'...
PROMISC mode detected in one of these interfaces: eth0 ppp0


Le mode est positionné sur une interface lorsqu'on veut en faire une  
trace (avec tcpdump ou ethereal par exemple). Si vous avez un sniffer  
comme snort vous allez également trouver les interfaces qu'il  surveille 
en mode promisc. Sinon, il peut s'agir du sniffer ... de  quelqu'un 
d'autre.




J'utilise portsentry, d'ou sans doute la réponse...


--
=
Nicolas Roudninski
[EMAIL PROTECTED]

http://www.nicoroud.net
=
vft8mk650

Re: Re : securite (encore)

[JusTiCe8]

Bonsoir,

Jean-Luc Coulon (f5ibh) wrote:


Le 28.12.2003 18:27, Nicolas Roudninski a écrit :


Bonjour,
suite aux différents mesages traitant de sécurité sur la liste,  j'ai 
utilisé chkrootkit.

Voici quelques sorties qui m'inquiètent :

Checking `bindshell'... INFECTED (PORTS:  1524 31337)


Celui-là semble sérieux...


sauf si Portsentry est actif sur sa machine, cf : 
http://frenchkrootkit.free.fr/


A+,

 J8.

Re : securite (encore)

[Jean-Luc Coulon (f5ibh)]

Le 28.12.2003 18:27, Nicolas Roudninski a écrit :

Bonjour,
suite aux différents mesages traitant de sécurité sur la liste,  
j'ai utilisé chkrootkit.

Voici quelques sorties qui m'inquiètent :

Checking `bindshell'... INFECTED (PORTS:  1524 31337)

Celui-là semble sérieux...


Checking `lkm'... You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed
...
Pour celui-là, ça provient du fait que la commande ps reporte le gid  
du process au lieu du pid. Il suffit de faire chkrootkit -x lkm  pour  
avoir des précisions concernant les processus en question. Comme je  
le disais dans un précédent message, le dernier paquet procps de sid  
semble corriger ce problème.



Checking `sniffer'...
PROMISC mode detected in one of these interfaces: eth0 ppp0
Le mode est positionné sur une interface lorsqu'on veut en faire une  
trace (avec tcpdump ou ethereal par exemple). Si vous avez un sniffer  
comme snort vous allez également trouver les interfaces qu'il  
surveille en mode promisc. Sinon, il peut s'agir du sniffer ... de  
quelqu'un d'autre.




Est-ce grave ?

Merci de vos réponse car je ne comprends pas grand chose aux  
virus !



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://savannah.nongnu.org/download/debfr-faq/html/

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply- 
To:"


To UNSUBSCRIBE, email to [EMAIL PROTECTED] 
org
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] 
debian.org


pgp3YyIA1eo4P.pgp
Description: PGP signature

securite (encore)

[Nicolas Roudninski]

Bonjour,
suite aux différents mesages traitant de sécurité sur la liste, j'ai 
utilisé chkrootkit.

Voici quelques sorties qui m'inquiètent :

Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed
...
Checking `sniffer'...
PROMISC mode detected in one of these interfaces: eth0 ppp0

Est-ce grave ?

Merci de vos réponse car je ne comprends pas grand chose aux virus !

Re: Securite

[Nicolas CANIART]

On Thu, Dec 25, 2003 at 11:22:00PM +0100, Olivier Garet wrote:
> Salut,
> 
> j'ai pareil dans mes logs.
> Comme ma machine est rarement allumée à 6h25, je n'ai que 9
> apparitions depuis le 17 mars 2003.
> (C'est l'occasion de me rendre compte que je n'ai pas installé anacron;
> entre parenthèses un peu étonnnant que ce ne soit qu'en  "optional".)
> 
Boujour à tous,

  J'ai également la même chose. Sur deux machine, une qui n'était
jamais démarrée a 6h25 jusqu'à il y à deux semaine et su laquelle le
message apparaît dans les log depuis. Et une qui l'etait mais ne l'est
plus de puis la même période et où le message disparaît...
  Apparemment pas de su dans les cron daily, mais je n'ai pas encore eu
le temps de regarder si d'autres scipts sont appellés via ceux-là.
  Doit on vraiment s'alarmer ?

Cordialement,
Nicolas.

Re: Securite

[Olivier Garet]

Salut,

j'ai pareil dans mes logs.
Comme ma machine est rarement allumée à 6h25, je n'ai que 9
apparitions depuis le 17 mars 2003.
(C'est l'occasion de me rendre compte que je n'ai pas installé anacron;
entre parenthèses un peu étonnnant que ce ne soit qu'en  "optional".)

Olivier


-- 
Laboratoire de Mathématiques, Applications et Physique Mathématique
d'Orléans UMR 6628 - Université d'Orléans - B.P. 6759 - 45067 Orléans Cedex 2
E-Mail: [EMAIL PROTECTED]
http://www.univ-orleans.fr/SCIENCES/MAPMO/membres/garet/

Re: Securite

[Georges Roux]

Moi, pas le meme jour mais a peu pres la meme heure, je pense a un cron

sudo sudo fgrep -r "root-nobody" /var/log/*
...
/var/log/auth.log:Dec 22 06:25:13 mimosa su[12294]: + ??? root-nobody
/var/log/auth.log:Dec 23 06:25:14 mimosa su[24730]: + ??? root-nobody
/var/log/auth.log:Dec 24 06:25:17 mimosa su[5057]: + ??? root-nobody
/var/log/auth.log:Dec 25 06:25:13 mimosa su[16687]: + ??? root-nobody
...

Georges

baptiste Mille-Mathias wrote:


Charles Grellois wrote:


Bonnjour,
Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant
pas expert en securite j'aimerais avoir votre avis pour savoir si je
dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux
qu'un long discours:

**auth.log:

Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for
user root by (uid=0)
Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody Dec 25 
06:25:02 homedebian PAM_unix[3751]: (su) session opened for user

nobody by (uid=0)
Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for
user root

  




bizarre j'ai les memes evenements a la meme heure et au meme jour sur 
mon serveur


Dec 22 06:25:01 www su[19884]: + ??? root-nobody
Dec 22 06:25:01 www PAM_unix[19884]: (su) session opened for user 
nobody by (uid=0)

Dec 23 06:25:01 www su[22253]: + ??? root-nobody
Dec 23 06:25:01 www PAM_unix[22253]: (su) session opened for user 
nobody by (uid=0)

Dec 24 06:25:01 www su[24606]: + ??? root-nobody
Dec 24 06:25:01 www PAM_unix[24606]: (su) session opened for user 
nobody by (uid=0)

Dec 25 06:25:01 www su[26066]: + ??? root-nobody
Dec 25 06:25:01 www PAM_unix[26066]: (su) session opened for user 
nobody by (uid=0)

Re: Securite

[baptiste Mille-Mathias]

Charles Grellois wrote:


Bonnjour,
Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant
pas expert en securite j'aimerais avoir votre avis pour savoir si je
dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux
qu'un long discours:

**auth.log:
Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for
user root by (uid=0)
Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody 
Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user

nobody by (uid=0)
Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for
user root

   



bizarre j'ai les memes evenements a la meme heure et au meme jour sur 
mon serveur


Dec 22 06:25:01 www su[19884]: + ??? root-nobody
Dec 22 06:25:01 www PAM_unix[19884]: (su) session opened for user nobody 
by (uid=0)

Dec 23 06:25:01 www su[22253]: + ??? root-nobody
Dec 23 06:25:01 www PAM_unix[22253]: (su) session opened for user nobody 
by (uid=0)

Dec 24 06:25:01 www su[24606]: + ??? root-nobody
Dec 24 06:25:01 www PAM_unix[24606]: (su) session opened for user nobody 
by (uid=0)

Dec 25 06:25:01 www su[26066]: + ??? root-nobody
Dec 25 06:25:01 www PAM_unix[26066]: (su) session opened for user nobody 
by (uid=0)

Re: Securite

[Vincent Bernat]

OoO En cette matinée pluvieuse du  jeudi 25 décembre 2003, vers 10:45,
"Charles Grellois" <[EMAIL PROTECTED]> disait:

>> **apache/error.log:
>> #Un asticot acharné, je ne vous est pas mis le debut ça aurait fait
>> long
>> [Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not
>> exist: /var/www/d/winnt/system32/cmd.exe
>> [Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not
>> exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe
>> [Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not
>> exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
>> [Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not
>> exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
>> [Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not
>> exist: /var/www/scripts/root.exe

> un peu blaireau sur les bords, il a d'abord cru que t'étais sous win
> NT. il a donc testé l'exploit classique, garanti script-kiddie

Ou alors un vers. C'est en tout cas très courant.

> 8 h plus tard, il  capte que t'es  sous linux et t'envoie un exploit
> pour apache, que tu devrais  d'ailleurs mettre à jour (1.3.26, c'est
> vraiment vieux comme version, maintenant ça s'appelle httpd et c'est
> en  version  2.0.?, j'ai oublié). utilisesaussi les mises à jour
> sécurité de debian (option à activer  dans apt-setup ou  par édition
> manuelle  du   /etc/apt/sources.list,   décommente   laligne
> correspondante)

La 1.3.26  est la dernière stable pour  Woody. Les correctifs pour les
failles sont backportées vers cette version.

>> **syslog:
>> Là c'est interessant car il a redemarré à 6H27 en créant un nouveau
>> fichier syslog.
>> #La fin de l'ancien; syslog.0
>> Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e
>> /usr/sbin/anacron || run-parts --report /etc/cron.daily)
>> #Et le debut du nouveau
>> Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart.
>> 

> il doit  avoir l'habitude de  cracker du  windows,  ce qui  laisse à
> penser que son niveau  est assez bas : il  redémarre un  linux, sans
> doute pour appliquer  des modifications (!),  d'autant plus ridicule
> qu'il est root

C'est syslog qui fait un rotate  de ses logs. Regarde  tes logs, tu as
exactement la même chose.
-- 
BOFH excuse #285:
Telecommunications is upgrading.


pgpKU25Qz4hfa.pgp
Description: PGP signature

Re: Securite

[Jean-Michel OLTRA]

Le jeudi 25 décembre 2003, Charles Grellois a écrit...
bonjour,


> il doit avoir l'habitude de cracker du windows, ce qui laisse à penser 
> que son niveau est assez bas : il redémarre un linux, sans doute pour 
> appliquer des modifications (!), d'autant plus ridicule qu'il est root
non pas. cron redémarre syslogd et klogd. Ce qui ne veut pas dire qu'il
ne s'est rien passé.

> > PS: Woody + Iptables avec apache. Noyau 2.4.22
> METS-MOI CA A JOUR ! Je veux que tu changes de version d'apache, que tu 
Le 2.4.22 est "sujet" à la faille brk()
un `apt-cache search kernel` sur Woody ne donne _pas_ de version 2.4.22
(enfin, chez moi...)
Si tu es en woody, donc en version stable, et que tu utilises des
versions de noyau perso il te faudra les mettre à jour personnellemnt.

PS: un `apt-cache show apache` sur mon fw en Woody me donne 1.3.26-0woody3
-- 
jean-michel

Re: Securite

[Charles Grellois]

> Bonnjour,
> Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant
> pas expert en securite j'aimerais avoir votre avis pour savoir si je
> dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux
> qu'un long discours:
>   
> **auth.log:
> Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for
> user root by (uid=0)
> Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody 
> Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user
> nobody by (uid=0)
> Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for
> user root
> 

oh le beau rootkit !

> **apache/error.log:
> #Un asticot acharné, je ne vous est pas mis le debut ça aurait fait
> long
> [Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not
> exist: /var/www/d/winnt/system32/cmd.exe
> [Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not
> exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe
> [Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not
> exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
> [Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not
> exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
> [Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not
> exist: /var/www/scripts/root.exe

un peu blaireau sur les bords, il a d'abord cru que t'étais sous win NT. 
il a donc testé l'exploit classique, garanti script-kiddie

au moins, il t'a laissé une IP (la sienne ? vu ses méthodes, ça ne serait 
pas étonnant) : 80.14.89.16 (d'après ton log, il la possédait au moins de 
19:32:16 à 22:22:08 le 24/12/2003 , garde ça au cas où, on sait 
jamais ... c'est le seul moyen de le retrouver s'il fait des conneries)

> #La partie "interessante"
> [Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received.  Doing graceful
> restart
> [Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory:
> mod_mime_magic: can't read magic file /etc/apache/share/magic
> [Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian
> GNU/Linux PHP/4.1.2 configured -- resuming normal operations
> [Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper:
> /usr/lib/apache/suexec)
> [Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default:
> sysvsem)
> 

8 h plus tard, il capte que t'es sous linux et t'envoie un exploit pour 
apache, que tu devrais d'ailleurs mettre à jour (1.3.26, c'est vraiment 
vieux comme version, maintenant ça s'appelle httpd et c'est en version 
2.0.?, j'ai oublié). utilises aussi les mises à jour sécurité de debian 
(option à activer dans apt-setup ou par édition manuelle 
du /etc/apt/sources.list , décommente la ligne correspondante)

> **syslog:
> Là c'est interessant car il a redemarré à 6H27 en créant un nouveau
> fichier syslog.
> #La fin de l'ancien; syslog.0
> Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e
> /usr/sbin/anacron || run-parts --report /etc/cron.daily)
> #Et le debut du nouveau
> Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart.
> 

il doit avoir l'habitude de cracker du windows, ce qui laisse à penser 
que son niveau est assez bas : il redémarre un linux, sans doute pour 
appliquer des modifications (!), d'autant plus ridicule qu'il est root

> Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant
> mais c'est peut être une erreur de ma part) portant le nom setuid.*
> dont
> voici le contenu:
> #setuid.changes
> homedebian changes to setuid programs and devices:
> --- setuid.today  Thu Dec 25 06:27:05 2003
> +++ /var/log/setuid.new.tmp   Thu Dec 25 06:27:05 2003
> @@ -0,0 +1,5442 @@
> +   15586   666   1 root   root   0 Wed Dec 24 12:41:26
> 2003 /dev/dri/card0
> +   15707  4755   1 root   root   14508 Mon Jan 21 21:25:22
> 2002 /sbin/unix_chkpwd
> +   15769   660   1 root   root   0 Thu Mar 14 22:54:42
> 2002 /dev/input/mice
> Environ 6000 lignes dans le même type suivent...
> Là c'à m'inquiète parce que mon système a été réinstallé en novembre
> 2003 et ce fichier crée ce matin à 6H27 contient des infos datant de
> 2002.
> Ce fichier est accompagné d'autres du même type: setuid.changes.0,
> setuid.changes.new, setuid.today, setuid.yesterday crées en même temps.
> 

ben ouais, il a fait joujou avec le rootkit (c'est le père noël qui lui a 
filé le manuel du parfait petit lamer ;-) )

> Pour terminer au redemarrage de ma connexion ADSL j'ai trouvé quelque
> chose de bizarre:
> Dec 25 12:38:23 homedebian named[292]: denied query from

Re: Securite

[Jean-Michel OLTRA]

Le jeudi 25 décembre 2003, Paulo.debian a écrit...
bonjour,


> +   15707  4755   1 root   root   14508 Mon Jan 21 21:25:22 2002 
> /sbin/unix_chkpwd
Regarde dans syslog si ce binaire est mentionné.

> Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 
> for "funkytaz10.myftp.org" A/IN
Vérifies si qqch tourne sur le port 32789

-- 
jean-michel

Re: Securite

[yoann]

Bonjour,


Bonjour,


Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant
pas expert en securite j'aimerais avoir votre avis pour savoir si je
dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux
qu'un long discours:


:)


**auth.log:
Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root 
by (uid=0)
Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody 
Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user nobody by (uid=0)

Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root


regarde les scripts placés dans /etc/cron.daily, il doit y en avoir un qui
cherche à faire un su


**apache/error.log:
#Un asticot acharné, je ne vous est pas mis le debut ça aurait fait long
[Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/d/winnt/system32/cmd.exe
[Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/scripts/..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/scripts/root.exe


tentative d'attaque connu sur un serveur IIS de M$, a part te faire pourrir
tes log, tu ne craints rien de ce coté là


#La partie "interessante"
[Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received.  Doing graceful restart
[Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory: 
mod_mime_magic: can't read magic file /etc/apache/share/magic
[Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian GNU/Linux 
PHP/4.1.2 configured -- resuming normal operations
[Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper: 
/usr/lib/apache/suexec)
[Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default: sysvsem)


Rien de léchant ici, a 6h25 le matin il y a cron.daily ou cron.weekly qui se
lance. -> voir dans /etc/crontab et man cron. et dans ces scripts, il doit y
avoir logrotate qui te permet de faire tourner tes logs, pour éviter d'avoir
de trop gros fichier dans /var/log, et à la fin le script relance apache pour
recréer les fichiers de log
pour ce qui est du mod_mime_magic, simplement qu'au redémarrage, il charge les
modules et en chargeant ce module, il a besoin de lire le fichier
/etc/apache/share/magic et il n'y arrive pas.


**syslog:
Là c'est interessant car il a redemarré à 6H27 en créant un nouveau
fichier syslog.
#La fin de l'ancien; syslog.0
Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e 
/usr/sbin/anacron || run-parts --report /etc/cron.daily)
#Et le debut du nouveau
Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart.


cf logrotate pour les log d'apache, il le fait également sur syslog


Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant
mais c'est peut être une erreur de ma part) portant le nom setuid.* dont
voici le contenu:
#setuid.changes
homedebian changes to setuid programs and devices:
--- setuid.todayThu Dec 25 06:27:05 2003
+++ /var/log/setuid.new.tmp Thu Dec 25 06:27:05 2003
@@ -0,0 +1,5442 @@
+   15586   666   1 root   root   0 Wed Dec 24 12:41:26 2003 
/dev/dri/card0
+   15707  4755   1 root   root   14508 Mon Jan 21 21:25:22 2002 
/sbin/unix_chkpwd
+   15769   660   1 root   root   0 Thu Mar 14 22:54:42 2002 
/dev/input/mice
Environ 6000 lignes dans le même type suivent...
Là c'à m'inquiète parce que mon système a été réinstallé en novembre
2003 et ce fichier crée ce matin à 6H27 contient des infos datant de
2002.


je ne connais pas trop donc je ne dirais ne donnerai pas d'explication, mais a
priori ce n'est pas inquiétant


Ce fichier est accompagné d'autres du même type: setuid.changes.0,
setuid.changes.new, setuid.today, setuid.yesterday crées en même temps.

Pour terminer au redemarrage de ma connexion ADSL j'ai trouvé quelque
chose de bizarre:
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" /IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" /IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" /IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz

Securite

[Paulo.debian]

Bonnjour,
Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant
pas expert en securite j'aimerais avoir votre avis pour savoir si je
dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux
qu'un long discours:

**auth.log:
Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root 
by (uid=0)
Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody 
Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user nobody 
by (uid=0)
Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root

**apache/error.log:
#Un asticot acharné, je ne vous est pas mis le debut ça aurait fait long
[Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/d/winnt/system32/cmd.exe
[Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/scripts/..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not exist: 
/var/www/scripts/root.exe
#La partie "interessante"
[Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received.  Doing graceful restart
[Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory: 
mod_mime_magic: can't read magic file /etc/apache/share/magic
[Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian GNU/Linux 
PHP/4.1.2 configured -- resuming normal operations
[Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper: 
/usr/lib/apache/suexec)
[Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default: sysvsem)

**syslog:
Là c'est interessant car il a redemarré à 6H27 en créant un nouveau
fichier syslog.
#La fin de l'ancien; syslog.0
Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e 
/usr/sbin/anacron || run-parts --report /etc/cron.daily)
#Et le debut du nouveau
Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart.

Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant
mais c'est peut être une erreur de ma part) portant le nom setuid.* dont
voici le contenu:
#setuid.changes
homedebian changes to setuid programs and devices:
--- setuid.todayThu Dec 25 06:27:05 2003
+++ /var/log/setuid.new.tmp Thu Dec 25 06:27:05 2003
@@ -0,0 +1,5442 @@
+   15586   666   1 root   root   0 Wed Dec 24 12:41:26 2003 
/dev/dri/card0
+   15707  4755   1 root   root   14508 Mon Jan 21 21:25:22 2002 
/sbin/unix_chkpwd
+   15769   660   1 root   root   0 Thu Mar 14 22:54:42 2002 
/dev/input/mice
Environ 6000 lignes dans le même type suivent...
Là c'à m'inquiète parce que mon système a été réinstallé en novembre
2003 et ce fichier crée ce matin à 6H27 contient des infos datant de
2002.
Ce fichier est accompagné d'autres du même type: setuid.changes.0,
setuid.changes.new, setuid.today, setuid.yesterday crées en même temps.

Pour terminer au redemarrage de ma connexion ADSL j'ai trouvé quelque
chose de bizarre:
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" /IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" /IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" /IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" /IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" /IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" /IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org.linuxlan" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for 
"funkytaz10.myftp.org" A/IN

Voilà c'est tout. Si vous avez une idée...
Je vous souhaite un joyeux noel à tous.
Paul

PS: Woody + Iptables avec apache. Noyau 2.4.22

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Philippe Merlin]

Bonjour,
Je me suis mal exprimé, il s'agissait évidemment des sources 2.4.22-5, j'avais 
déjà chargé les sources 2.4.22 et lorsque je faisait un apt-get install après 
un apt-get update bien entendu, il disait que c'était déjà installé, si je 
faisait apt-get upgrade mon source n'était pas modifié.
Maintenant qu'on sait que la modif est vraiment minime un patch de 3 lignes, 
mes récriminations n'ont plus lieu d'être, quoi que il aurait été sympa pour 
les mainteneurs du kernel de diffuser cette info ainsi que le patch  très 
rapidement.
Le ronchon de service.
A+
Philou75

Le Mardi 23 Décembre 2003 11:24, [EMAIL PROTECTED] a écrit :
> Selon Philippe Merlin <[EMAIL PROTECTED]>:
> > Dans ton message  tu parles du noyau 2.4.22-5 ou se trouve t'il ? en
> > Woody je
> >
> > n'ai trouver que la version 2.4.22-3.
>
> Le 2.4.22-5 n'est pas disponible en version précompilée, il te faut
> télécharger les paquets sources et le compiler toi-même...

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Vincent Lefevre]

On 2003-12-23 01:43:56 +, Yves Rutschle wrote:
> On Tue, Dec 23, 2003 at 09:18:05AM +0900, Vincent Lefevre wrote:
> > You may also need to rebuild lxdialog.  This can be done by moving to
> > the /usr/src/linux/scripts/lxdialog directory and issuing the 
> > "make clean all" command.
> 
> Tu as bien essayé ça? (à mon avis, tu as compilé le noyau il
> y a longtemps, puis upgradé ncurses, du coup lxdialog ne
> veut plus tourner et il faut le recompiler contre la
> nouvelle ncurses).

Non, je venais de télécharger les sources sur kernel.org, donc ce n'est
pas ce problème.

> > Mon installation de ncurses semble correcte, et je n'ai pas eu
> > beaucoup d'information sur debian-user. 
> 
> Sinon, donner plus d'infos sur ton install (dpkg -l
> "*curses*")?

Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Installed/Config-files/Unpacked/Failed-config/Half-installed
|/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err: uppercase=bad)
||/ Name   VersionDescription
+++-==-==-
un  bochs-curses(no description available)
in  evms-ncurses(no description available)
in  gsn-curses  (no description available)
in  libcurses-perl  (no description available)
in  libcurses-ruby  (no description available)
un  libcurses-ruby  (no description available)
in  libcurses-ruby  (no description available)
pn  libcurses-widg  (no description available)
un  libncurses-dev  (no description available)
in  libncurses4 (no description available)
ii  libncurses55.3.20030719-4 Shared libraries for terminal handling
in  libncurses5-db  (no description available)
ii  libncurses5-de 5.3.20030719-4 Developer's libraries and docs for ncurses
ii  libncursesw5   5.3.20030719-4 Shared libraries for terminal handling (wide
in  libncursesw5-d  (no description available)
in  libncursesw5-d  (no description available)
un  ncurses (no description available)
ii  ncurses-base   5.3.20030719-4 Descriptions of common terminal types
ii  ncurses-bin5.3.20030719-4 Terminal-related programs and man pages
un  ncurses-dev (no description available)
un  ncurses-develo  (no description available)
in  ncurses-hexedi  (no description available)
un  ncurses-runtim  (no description available)
ii  ncurses-term   5.3.20030719-4 Additional terminal type definitions
un  perl-curses (no description available)
pn  pexts-curses(no description available)
in  plex86-curses   (no description available)

-- 
Vincent Lefèvre <[EMAIL PROTECTED]> - Web:  - 100%
validated (X)HTML - Acorn Risc PC, Yellow Pig 17, Championnat International
des Jeux Mathématiques et Logiques, TETRHEX, etc.
Work: CR INRIA - computer arithmetic / SPACES project at LORIA

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[gaetan . perrier]

Selon Philippe Merlin <[EMAIL PROTECTED]>:

> Dans ton message  tu parles du noyau 2.4.22-5 ou se trouve t'il ? en Woody je
> 
> n'ai trouver que la version 2.4.22-3.

Le 2.4.22-5 n'est pas disponible en version précompilée, il te faut télécharger
les paquets sources et le compiler toi-même...

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Thomas Labourdette]

Le Mon, Dec 22, 2003 at 10:21:10PM +0100, Philippe Merlin écrivait:
> Bonjour,
Bonjour,

> Dans ton message tu parles du noyau 2.4.22-5 ou se trouve t'il ? 
En ce qui me concerne en sarge et sid

> en Woody je n'ai trouver que la version 2.4.22-3.  
As-tu fait un apt-get update ?

> Quand au point de
> vue sécurité, je trouve ridicule de dire que les autres versions de
> la Debian n'ont pas le droit à une mise à jour de sécurité 
J'ai dit ça ?

@
-- 
Thomas Labourdette

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Yves Rutschle]

On Tue, Dec 23, 2003 at 09:18:05AM +0900, Vincent Lefevre wrote:
> You may also need to rebuild lxdialog.  This can be done by moving to
> the /usr/src/linux/scripts/lxdialog directory and issuing the 
> "make clean all" command.

Tu as bien essayé ça? (à mon avis, tu as compilé le noyau il
y a longtemps, puis upgradé ncurses, du coup lxdialog ne
veut plus tourner et il faut le recompiler contre la
nouvelle ncurses).
 
> Mon installation de ncurses semble correcte, et je n'ai pas eu
> beaucoup d'information sur debian-user. 

Sinon, donner plus d'infos sur ton install (dpkg -l
"*curses*")?

/Y

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Vincent Lefevre]

On 2003-12-21 22:21:51 +0100, Stephane Bortzmeyer wrote:
> Comme je viens de me faire pirater une machine suite à la faille
> "brk", c'est l'occasion de sonner un peu le tocsin.

Oui, mais que faire quand on a une machine non supportée en standard
et qu'on ne peut pas recompiler le noyau? Un "make menuconfig" me
donne le message d'erreur suivant:

There seems to be a problem with the lxdialog companion utility which is
built prior to running Menuconfig.  Usually this is an indicator that you
have upgraded/downgraded your ncurses libraries and did not remove the 
old ncurses header file(s) in /usr/include or /usr/include/ncurses.

It is VERY important that you have only one set of ncurses header files
and that those files are properly version matched to the ncurses libraries 
installed on your machine.

You may also need to rebuild lxdialog.  This can be done by moving to
the /usr/src/linux/scripts/lxdialog directory and issuing the 
"make clean all" command.

If you have verified that your ncurses install is correct, you may email
the maintainer <[EMAIL PROTECTED]> or post a message to
 for additional assistance. 

make: *** [menuconfig] Error 139

Mon installation de ncurses semble correcte, et je n'ai pas eu
beaucoup d'information sur debian-user. Je crois que je vais alors
passer au post à , mais auparavant
il n'y aurait pas un programme de test de ncurses pour que je
puisse en savoir plus? Ou si quelqu'un a eu la même erreur que
moi...

Merci d'avance pour toute information,

-- 
Vincent Lefèvre <[EMAIL PROTECTED]> - Web:  - 100%
validated (X)HTML - Acorn Risc PC, Yellow Pig 17, Championnat International
des Jeux Mathématiques et Logiques, TETRHEX, etc.
Work: CR INRIA - computer arithmetic / SPACES project at LORIA

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Philippe Merlin]

Bonjour,
J'aimerai  tout d'abord rectifier un point, je suis en stable et donc en Woody 
et si je fais un apt-cache search kernel-source , j'ai à ma disposition les 
sources du noyau du 2.4.18 à 2.4.22 donc même en woody on peut avoir des 
noyaux un peu plus récent.
Dans ton message  tu parles du noyau 2.4.22-5 ou se trouve t'il ? en Woody je 
n'ai trouver que la version 2.4.22-3.
Quand au point de vue sécurité, je trouve ridicule de dire que les autres 
versions de la Debian n'ont pas le droit à une mise à jour de sécurité quant 
il s'agit d'un problème concernant le noyau, pour une version donnée du noyau 
les sources sont identiques qu'on soit en Woody, Sarge, Sid.
Je résume en un mot : Woody,Sid, Sarge même combat!!! ou plutôt même problème!
A+
Philou75


Le Lundi 22 Décembre 2003 06:47, Thomas Labourdette a écrit :
> Le Sun, Dec 21, 2003 at 10:43:58PM +0100, nicolas écrivait:
> > On Sun, 21 Dec 2003 22:30:15 +0100, Stephane Bortzmeyer wrote:
> > > Comme je viens de me faire pirater une machine suite à la faille "brk",
> > > c'est l'occasion de sonner un peu le tocsin.
> >
> > Comment l'as-tu su ?
> >
> > > http://www.debian.org/security/2003/dsa-403 explique les versions du
> > > noyau qui sont sûres.
> >
> > Rien pour Sarge ?
>
> Si, il y a le kernel-source-2.4.22-5.
>
> Je rappelle quand même que c'est une faille locale. Donc ne pas
> oublier de contrôler que personne ne puisse obtenir à distance un
> compte local.
>
> @+
> --
> Thomas Labourdette
> BAC :
> - Archimède a été le premier à prouver qu'une baignoire peut flotter.

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[François TOURDE]

Le 12408ième jour après Epoch,
gaetan perrier écrivait:

> Selon Yves Rutschle <[EMAIL PROTECTED]>:
>
>> On Sun, Dec 21, 2003 at 10:43:58PM +0100, nicolas wrote:
>> > Rien pour Sarge ?
>> 
>> Ça fait parti du contrat: il n'y a pas de mises à jours de
>> sécurité pour Sarge, et on ne l'installe donc pas sur un
>> serveur ou une machine où la sécurité est importante.
>> 
>
> Ouais et bien dans ce cas on ne l'installe nulle part... Et testing ne sert 
> plus
> à rien...

Ah, j'oubliais: Testing permet de récupérer des retours d'expérience
de paquets avant leur intégration dans stable... Comme quoi, penser un
peu aux autres avant de penser à soi ça peut servir ;)

-- 
If I were to walk on water, the press would say I'm only doing it
because I can't swim.
-- Bob Stanfield

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[François TOURDE]

Le 12408ième jour après Epoch,
gaetan perrier écrivait:

> Selon Yves Rutschle <[EMAIL PROTECTED]>:
>
>> On Sun, Dec 21, 2003 at 10:43:58PM +0100, nicolas wrote:
>> > Rien pour Sarge ?
>> 
>> Ça fait parti du contrat: il n'y a pas de mises à jours de
>> sécurité pour Sarge, et on ne l'installe donc pas sur un
>> serveur ou une machine où la sécurité est importante.
>> 
>
> Ouais et bien dans ce cas on ne l'installe nulle part... Et testing ne sert 
> plus
> à rien...

Oula, faut pas le prendre comme ça :)

Testing est un niveau de debian dans lequel la sécurité marche comme
ça:

- Tu suis régulièrement les annonces de trous de sécurité
- Tu appliques toi-même ces patches quand tu les trouves
- Tu es prêt à devoir arrêter des services ou même la machine
  elle-même si les patches n'existent pas encore.

> C'est quoi une machine où la sécurité n'est pas importante? A part
> une machine qui ne sert à rien...

Ben par exemple, le portable que j'utilise pour bosser est en testing,
voire même en panaché testing/unstable car certains softs sont un peu
plus à jour. Et puis si tu es "aware", tu peux même mettre une machine
testing comme serveur sur le net. Il suffit de connaitre les règles du
jeu. :)

> Je veux bien qu'il n'y ait pas une politique générale de sécurité sur testing 
> et
> unstable mais ce n'est pas une raison pour ne rien faire dans le cas de 
> grosses
> failles.

Voir plus haut.

> La sécurité globale d'internet ne dépend-t'elle pas aussi de la sécurité de
> chaque machine qui y est reliée?

Oui et non. Je me vois mal aller voir tous les gens que je connais et
qui ont un accès très haut débit pour leur expliquer qu'il faut
installer un firewall, des patches de sécurité, etc... Ils s'en
servent pour faire du *mule ou *donkey et autre application ultra
sécurisées et cliquent sur tous les liens des messages qu'ils
reçoivent, et installent tous les exécutables qu'ils voient passer
dans leurs mailboxes.

C'est dur mais c'est comme ça.

-- 
Nobody suffers the pain of birth or the anguish of loving a child in order
for presidents to make wars, for governments to feed on the substance of
their people, for insurance companies to cheat the young and rob the old.
-- Lewis Lapham

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Yves Rutschle]

On Mon, Dec 22, 2003 at 01:33:23PM +0100,
[EMAIL PROTECTED] wrote:
> Ouais et bien dans ce cas on ne l'installe nulle part...

C'est peut-être une solution à envisager. Je me trouve
nettement plus heureux depuis que j'ai arreté d'essayer de
l'utiliser.

> C'est quoi une machine où la sécurité n'est pas
> importante? A part une machine qui ne sert à rien...  

Une machine non connectée à Internet, ou une machine
cliente seulement connectée à travers un pare-feu (donc
non-accessible de l'exterieur. Il faut encore faire
attention aux trous dans les applications clientes, mais ça
reste moins problématique).

> Je veux bien qu'il n'y ait pas une politique générale de
> sécurité sur testing et unstable mais ce n'est pas une
> raison pour ne rien faire dans le cas de grosses failles.  

Tu peux installer temporairement le paquet d'unstable en
attandant que la correction atteigne testing...

> La sécurité globale d'internet ne dépend-t'elle pas aussi
> de la sécurité de chaque machine qui y est reliée?

Non, heureusement. Les problèmes de sécurité ne sont un
problème QUE si il y a des gens pour les exploiter. Et ces
gens là existent, et ont des ordinateurs qui sont connectés
à l'internet...

/Y

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[daniel huhardeaux]

[EMAIL PROTECTED] wrote:


Selon Yves Rutschle <[EMAIL PROTECTED]>:

 


On Sun, Dec 21, 2003 at 10:43:58PM +0100, nicolas wrote:
   


Rien pour Sarge ?
 


Ça fait parti du contrat: il n'y a pas de mises à jours de
sécurité pour Sarge, et on ne l'installe donc pas sur un
serveur ou une machine où la sécurité est importante.

   



Ouais et bien dans ce cas on ne l'installe nulle part... Et testing ne sert plus
à rien...
 


Et pourquoi?


C'est quoi une machine où la sécurité n'est pas importante? A part une machine
qui ne sert à rien...
 

Mon portable par ex. Ou toutes les machines situees derriere mon 
firewall. La securite _est_ importante mais pas *aussi* importante que 
sur les machines connectees directement a internet



Je veux bien qu'il n'y ait pas une politique générale de sécurité sur testing et
unstable mais ce n'est pas une raison pour ne rien faire dans le cas de grosses
failles.
 

Mais c'est fait: installe le kernel 2.4.23 de kernel.org et testing ou 
unstable seront proteges.



La sécurité globale d'internet ne dépend-t'elle pas aussi de la sécurité de
chaque machine qui y est reliée?
 

Oui. Mais il ne faut pas attendre les bras croises que quelqu'un te 
fasse le package qui va bien. Comme dit Yves, lorsqu'on choisit sarge ou 
sid on sait ce que l'on fait. Et donc on accepte de mettre les mains 
dans la cambouille losqu'il y a des situations chaudes.


--
:  __ __ __ __ __ __  [EMAIL PROTECTED]
: /_// __  // __  //_// __  // / phone.: +48 32 285 5276
:  / /  / /_/ // /_/ /  / /  / /_/ // / fax: +48 32 285 5276
: /_/  /_//_/  /_/  /_/ /_//_/ mobile..: +48 602 284 546

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[gaetan . perrier]

Selon Yves Rutschle <[EMAIL PROTECTED]>:

> On Sun, Dec 21, 2003 at 10:43:58PM +0100, nicolas wrote:
> > Rien pour Sarge ?
> 
> Ça fait parti du contrat: il n'y a pas de mises à jours de
> sécurité pour Sarge, et on ne l'installe donc pas sur un
> serveur ou une machine où la sécurité est importante.
> 

Ouais et bien dans ce cas on ne l'installe nulle part... Et testing ne sert plus
à rien...
C'est quoi une machine où la sécurité n'est pas importante? A part une machine
qui ne sert à rien...
Je veux bien qu'il n'y ait pas une politique générale de sécurité sur testing et
unstable mais ce n'est pas une raison pour ne rien faire dans le cas de grosses
failles.
La sécurité globale d'internet ne dépend-t'elle pas aussi de la sécurité de
chaque machine qui y est reliée?

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Thomas Labourdette]

Le Sun, Dec 21, 2003 at 10:43:58PM +0100, nicolas écrivait:
> On Sun, 21 Dec 2003 22:30:15 +0100, Stephane Bortzmeyer wrote:
> 
> 
> > Comme je viens de me faire pirater une machine suite à la faille "brk", 
> > c'est 
> > l'occasion de sonner un peu le tocsin.
> 
> Comment l'as-tu su ?
> 
> > http://www.debian.org/security/2003/dsa-403 explique les versions du noyau 
> > qui 
> > sont sûres.
> 
> Rien pour Sarge ?
> 

Si, il y a le kernel-source-2.4.22-5. 

Je rappelle quand même que c'est une faille locale. Donc ne pas
oublier de contrôler que personne ne puisse obtenir à distance un
compte local.

@+
-- 
Thomas Labourdette
BAC :
- Archimède a été le premier à prouver qu'une baignoire peut flotter.

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Vincent Bernat]

OoO  Vers la fin  de l'après-midi du  dimanche  21 décembre 2003, vers
16:55, Guillaume Duveau <[EMAIL PROTECTED]> disait:

> On peut le savoir sans télécharger le package ? Ce qu'il faut regarder
> j'imagine c'est les changelogs mais y'en a pas à l'adresse que tu m'as
> indiquée..

Perso, je l'ai  téléchargé  (le  plus  petit) pour regarder  dans   le
changelog et effectivement, ça y est. Tu peux  aussi te fier à la date
(postérieure à l'advisory).
-- 
printk("autofs: Out of inode numbers -- what the heck did you do??\n"); 
2.0.38 /usr/src/linux/fs/autofs/root.c


pgpOKjZlYibRP.pgp
Description: PGP signature

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Guillaume Duveau]

On peut le savoir sans télécharger le package ? Ce qu'il faut regarder 
j'imagine c'est les changelogs mais y'en a pas à l'adresse que tu m'as 
indiquée..


Vincent Bernat wrote:

OoO Vers la fin  de l'après-midi du   dimanche 21 décembre 2003,  vers
16:24, Guillaume Duveau <[EMAIL PROTECTED]> disait:



Et quel noyau faut-il choisir sur cette page
http://www.debian.org/security/2003/dsa-403 ?



[...]



Donc pas de noyau de la saveur bf2.4 patché alors...



Le -5woody5 est patché.

 
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-i386bf/>

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Vincent Bernat]

OoO Vers la fin  de l'après-midi du   dimanche 21 décembre 2003,  vers
16:24, Guillaume Duveau <[EMAIL PROTECTED]> disait:

> Et quel noyau faut-il choisir sur cette page
> http://www.debian.org/security/2003/dsa-403 ?

[...]

> Donc pas de noyau de la saveur bf2.4 patché alors...

Le -5woody5 est patché.

 
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-i386bf/>
-- 
BOFH excuse #327:
The POP server is out of Coke


pgpRr4SW5saiY.pgp
Description: PGP signature

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Yves Rutschle]

On Sun, Dec 21, 2003 at 10:43:58PM +0100, nicolas wrote:
> Rien pour Sarge ?

Ça fait parti du contrat: il n'y a pas de mises à jours de
sécurité pour Sarge, et on ne l'installe donc pas sur un
serveur ou une machine où la sécurité est importante.

/Y

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Guillaume Duveau]

Et quel noyau faut-il choisir sur cette page 
http://www.debian.org/security/2003/dsa-403 ?


Apparemment il y a une image de noyau pour woody sur i386 :
'section Source' :
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-i386_2.4.18-12.tar.gz

et même un package :
'section Intel IA-32' (au fait cette architecture c'est un autre nom que 
i386, pour un Pentium IV ça va ?)

http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-386_2.4.18-12_i386.deb

ou je dois lui préférer la version 686 ?
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-686_2.4.18-12_i386.deb

Donc pas de noyau de la saveur bf2.4 patché alors...

Vincent Bernat wrote:

OoO Peu  avant le début de l'après-midi  du dimanche 21 décembre 2003,
vers 13:43, nicolas <[EMAIL PROTECTED]> disait:



http://www.debian.org/security/2003/dsa-403  explique  les versions
du noyau qui sont sûres.





Rien pour Sarge ?



Il n'y a pas de politique de sécurité pour Sarge.

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Vincent Bernat]

OoO Peu  avant le début de l'après-midi  du dimanche 21 décembre 2003,
vers 13:43, nicolas <[EMAIL PROTECTED]> disait:

>> http://www.debian.org/security/2003/dsa-403  explique  les versions
>> du noyau qui sont sûres.

> Rien pour Sarge ?

Il n'y a pas de politique de sécurité pour Sarge.
-- 
Write and test a big program in small pieces.
- The Elements of Programming Style (Kernighan & Plaugher)


pgpa2nlEvKhDA.pgp
Description: PGP signature

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[nicolas]

On Sun, 21 Dec 2003 22:30:15 +0100, Stephane Bortzmeyer wrote:


> Comme je viens de me faire pirater une machine suite à la faille "brk", c'est 
> l'occasion de sonner un peu le tocsin.

Comment l'as-tu su ?

> http://www.debian.org/security/2003/dsa-403 explique les versions du noyau 
> qui 
> sont sûres.

Rien pour Sarge ?

nicolas patrois : pts noir asocial
-- 
GLOU-GLOU

P : Ouerk ! C'est dégueulasse, j'ai bu la tasse !
M : Panique pas... La mer est pleine de microbes, mais tellement dilués qu'ils 
sont inoffensifs...
P : C'est ça... La mer, c'est de la merde homéopathique !

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Gaëtan PERRIER]

Le Sun, 21 Dec 2003 22:57:09 +0100
Stephane Bortzmeyer <[EMAIL PROTECTED]> a écrit:

> On Sunday 21 December 2003, at 22 h 56, the keyboard of 
> =?ISO-8859-15?Q?Ga=EBtan?= PERRIER <[EMAIL PROTECTED]> wrote:
> 
> > C'est très bien tout ça mais si j'ai bien compris il n'y a un
> > noyau officiel Debian avec le patch que pour la Woody. Non?
> 
> Je crois, oui. C'est logique, les gens qui utilisent "sarge" ou
> "sid" savent ce qu'ils font et ce qu'ils risquent.

Ouais mais bon ça fait déjà un moment que le 2.4.23 est sorti et
toujours pas de paquets Debian

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Stephane Bortzmeyer]

On Sunday 21 December 2003, at 22 h 56, the keyboard of 
=?ISO-8859-15?Q?Ga=EBtan?= PERRIER <[EMAIL PROTECTED]> wrote:

> C'est très bien tout ça mais si j'ai bien compris il n'y a un noyau
> officiel Debian avec le patch que pour la Woody. Non?

Je crois, oui. C'est logique, les gens qui utilisent "sarge" ou "sid" savent ce 
qu'ils font et ce qu'ils risquent.

Re: [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Gaëtan PERRIER]

C'est très bien tout ça mais si j'ai bien compris il n'y a un noyau
officiel Debian avec le patch que pour la Woody. Non?

Le Sun, 21 Dec 2003 22:21:51 +0100
Stephane Bortzmeyer <[EMAIL PROTECTED]> a écrit:

> 
> Comme je viens de me faire pirater une machine suite à la faille
> "brk", c'est l'occasion de sonner un peu le tocsin.
> 
> La faille dite "brk", qui a permis le piratage de Debian, Gentoo et
> Savannah continue de frapper. Des machines Linux qui n'ont pas été
> mises à jour sont attaquées tous les jours, souvent avec succès. Si
> la machine est joignable par le réseau, et que le pirate peut y
> faire exécuter un programme sur un compte ordinaire (beaucoup de
> scripts PHP permettent cela...) elle est potentiellement vulnérable.
> 
> http://www.debian.org/security/2003/dsa-403 explique les versions du
> noyau qui sont sûres.
> 
> Je ne crois pas qu'il existe un kernel-IMAGE-2.4.18 sûr dans
> "woody". Il faut donc recompiler avec un kernel-SOURCE-2.4.18 (ou
> avec un noyau 2.4.23 non-Debian). Pour le paquetage Debian, vérifiez
> que vos sources ont la mention suivante :
> 
> --> /usr/share/doc/kernel-source-2.4.18/changelog.gz <--
> kernel-source-2.4.18 (2.4.18-14) stable-security; urgency=high
> 
>   * Added TASK_SIZE check to do_brk in mm/mmap.c.
> 
>  -- Herbert Xu <[EMAIL PROTECTED]>  Sat, 29 Nov 2003 10:06:19 +1100
> 
> 
> 
> 
> 
> 
> -- 
> Pensez à lire la FAQ de la liste avant de poser une question :
> http://savannah.nongnu.org/download/debfr-faq/html/
> 
> Pensez à rajouter le mot ``spam'' dans vos champs "From" et
> "Reply-To:"
> 
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
> [EMAIL PROTECTED]
> 
> 

Re : [Securite] Les attaques contre les machines Linux non mises a jour continuent

[Jean-Luc Coulon (f5ibh)]

Après l'attaque des machines Debian, il a été émis un advisory  
concernant ce problème et les packages image "sûrs" de Debian pour  
stable y sont indiqués.

L'advisory est :
[SECURITY] [DSA-403-1] userland can access Linux kernel memory

Je peux faire suivre cet advisory à ceux qui auraient manqué une page  
de l'Histoire.


--
- Jean-Luc


Le 21.12.2003 22:21, Stephane Bortzmeyer a écrit :
|
|Comme je viens de me faire pirater une machine suite à la faille
|"brk", c'est
|l'occasion de sonner un peu le tocsin.
|
|La faille dite "brk", qui a permis le piratage de Debian, Gentoo et
|Savannah
|continue de frapper. Des machines Linux qui n'ont pas été mises à
|jour sont
|attaquées tous les jours, souvent avec succès. Si la machine est
|joignable par
|le réseau, et que le pirate peut y faire exécuter un programme sur  
un

|compte
|ordinaire (beaucoup de scripts PHP permettent cela...) elle est
|potentiellement vulnérable.
|
|http://www.debian.org/security/2003/dsa-403 explique les versions du
|noyau qui
|sont sûres.
|
|Je ne crois pas qu'il existe un kernel-IMAGE-2.4.18 sûr dans  
"woody".

|Il faut
|donc recompiler avec un kernel-SOURCE-2.4.18 (ou avec un noyau  
2.4.23

|
|non-Debian). Pour le paquetage Debian, vérifiez que vos sources ont
|la mention
|suivante :
|
|--> /usr/share/doc/kernel-source-2.4.18/changelog.gz <--
|kernel-source-2.4.18 (2.4.18-14) stable-security; urgency=high
|
|  * Added TASK_SIZE check to do_brk in mm/mmap.c.
|
| -- Herbert Xu <[EMAIL PROTECTED]>  Sat, 29 Nov 2003 10:06:19 +1100
|
|
|
|
|
|
|--
|Pensez à lire la FAQ de la liste avant de poser une question :
|http://savannah.nongnu.org/download/debfr-faq/html/
|
|Pensez à rajouter le mot ``spam'' dans vos champs "From" et
|"Reply-To:"
|
|To UNSUBSCRIBE, email to [EMAIL PROTECTED]
|with a subject of "unsubscribe". Trouble? Contact
|[EMAIL PROTECTED]
|
|


pgpVx8Td3ZpJC.pgp
Description: PGP signature

[Securite] Les attaques contre les machines Linux non mises a jour continuent

[Stephane Bortzmeyer]

Comme je viens de me faire pirater une machine suite à la faille "brk", c'est 
l'occasion de sonner un peu le tocsin.

La faille dite "brk", qui a permis le piratage de Debian, Gentoo et Savannah 
continue de frapper. Des machines Linux qui n'ont pas été mises à jour sont 
attaquées tous les jours, souvent avec succès. Si la machine est joignable par 
le réseau, et que le pirate peut y faire exécuter un programme sur un compte 
ordinaire (beaucoup de scripts PHP permettent cela...) elle est 
potentiellement vulnérable.

http://www.debian.org/security/2003/dsa-403 explique les versions du noyau qui 
sont sûres.

Je ne crois pas qu'il existe un kernel-IMAGE-2.4.18 sûr dans "woody". Il faut 
donc recompiler avec un kernel-SOURCE-2.4.18 (ou avec un noyau 2.4.23 
non-Debian). Pour le paquetage Debian, vérifiez que vos sources ont la mention 
suivante :

--> /usr/share/doc/kernel-source-2.4.18/changelog.gz <--
kernel-source-2.4.18 (2.4.18-14) stable-security; urgency=high

  * Added TASK_SIZE check to do_brk in mm/mmap.c.

 -- Herbert Xu <[EMAIL PROTECTED]>  Sat, 29 Nov 2003 10:06:19 +1100

Re: rech doc sur les strategie securite info

[gonzalez]

Bonsoir,

Debian sur le plan de la sécurité est un très bon choix.

Voici quelques liens :
http://www.cru.fr/securite/
http://www.urec.cnrs.fr/securite/
http://www.cnrs.fr/Infosecu/Revue.html


Salutations.

Michel GONZALEZ

- Original Message -
From: moon <[EMAIL PROTECTED]>
To: debian-user-french 
Sent: Wednesday, January 08, 2003 6:05 PM
Subject: HS: rech doc sur les strategie securite info


> salut,
> desole c'est un peu hors sujet
> mais je cherche de la doc en francais
> sur la strategie de securite informatique !
> ou est ce que je peut trouver ca ?
> merci
> za+ moon
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
>
>

HS: rech doc sur les strategie securite info

[moon]

salut,
desole c'est un peu hors sujet 
mais je cherche de la doc en francais
sur la strategie de securite informatique !
ou est ce que je peut trouver ca ?
merci   
za+ moon

Re: [HS] Colle sur la securite...

[Frédéric Giquel]

Le 11 décembre 2002 à 19:56 (+0100), Yannick Roehlly a tapoté sur son
clavier :
> Salut,
>
> Voici un petit « jeu » sur la sécurité sous Linux. Comme il s'agit
> d'une machine sous Debian, je me permet de poste l'url ici :
>
> http://www.hackinglinuxexposed.com/articles/20021127.html

Ce n'est même pas marrant puisqu'il y a la solution sur la page
suivante. De toute façon la solution à laquelle je pensais (modification
de l'executable /sbin/init puis utilisation de touch pour masquer la
date de modification) n'était pas la bonne même si elle est proche.

Fred

[HS] Colle sur la securite...

[Yannick Roehlly]

Salut,

Voici un petit « jeu » sur la sécurité sous Linux. Comme il s'agit
d'une machine sous Debian, je me permet de poste l'url ici :

http://www.hackinglinuxexposed.com/articles/20021127.html

Yannick

-- 
La tragedie de l'homme moderne n'est pas qu'il en sache 
de moins en moins sur le sens de la vie
Mais que cela ne le derange presque plus.
Vaclav Havel

Re: Telechargement des mise à jour de securite

[Sébastien JULIENNE]

>
>On Tue, 10 Sep 2002, christo courrier wrote:
>
>> bonjour ,
>> pardon pour mon ignorance mais que signifient les options -q et -y dans
>> apt-get , merci

il faut lui apprendre à pêcher le poisson et pas lui pêcher à chaque fois
qu'il veut manger.

il faut faire un 'man apt-get'

>   -q
>   --quiet
>  Quiet;  produces output suitable for logging, omitting
>progress indicators.  More q's will pro-
>  duce more quiet up to a maximum of 2. You can also use -q=#
>to set the quiet level,  overriding
>  the configuration file.  Note that quiet level 2 implies -
>y, you should never use -qq without a
>  no-action modifier such as -d, --print-uris or -s as APT
>may decided to do  something  you  did
>  not expect.  Configuration Item: quiet.
>
>
>   -y
>   --yes
>   --assume-yes
>  Automatic yes to prompts; assume "yes" as answer to all
>prompts and run  non-interactively.  If
>  an  undesirable  situation,  such  as  changing a held
>package or removing an essential package
>  occurs then apt-get will abort.  Configuration Item:
>APT::Get::Assume-Yes.

Re: Telechargement des mise à jour de securite

[Vincent Renardias]

On Tue, 10 Sep 2002, christo courrier wrote:

> bonjour ,
> pardon pour mon ignorance mais que signifient les options -q et -y dans
> apt-get , merci

   -q
   --quiet
  Quiet;  produces output suitable for logging, omitting progress 
indicators.  More q's will pro­
  duce more quiet up to a maximum of 2. You can also use -q=# to 
set the quiet level,  overriding
  the configuration file.  Note that quiet level 2 implies -y, you 
should never use -qq without a
  no-action modifier such as -d, --print-uris or -s as APT may 
decided to do  something  you  did
  not expect.  Configuration Item: quiet.


   -y
   --yes
   --assume-yes
  Automatic yes to prompts; assume "yes" as answer to all prompts 
and run  non-interactively.  If
  an  undesirable  situation,  such  as  changing a held package or 
removing an essential package
  occurs then apt-get will abort.  Configuration Item: 
APT::Get::Assume-Yes.


> - Original Message -
> From: "Vincent Renardias" <[EMAIL PROTECTED]>
> To: "Alain Tesio" <[EMAIL PROTECTED]>
> Cc: 
> Sent: Tuesday, September 10, 2002 10:26 AM
> Subject: Re: Telechargement des mise à jour de securite
> 
> 
> 
> On Tue, 10 Sep 2002, Alain Tesio wrote:
> 
> > On Tue, 10 Sep 2002 08:30:24 +0200
> > Touch13 <[EMAIL PROTECTED]> wrote:
> >
> > >
> > >  1) J'aimerais télécharger les mises à jour de sécurité et leur
> dépendances en une seule commande sans les installer.
> > > Je n'est pas encore trouvé d'informations traitant de ce sujet (j'ai
> sûrement mal regardé :) ) ?
> >
> > Un script à mettre en crontab qui downloade et en bonus un mail à root
> > lorsqu'il y a du nouveau :
> > 
> > #!/bin/sh
> > apt-get update -qq
> > apt-get dist-upgrade -d -u -y -q | fgrep -v "Reading Package Lists...
> > Building Dependency Tree...
> > 0 packages upgraded, 0 newly installed, 0 to remove and 0  not upgraded.
> > Download complete and in download only mode"
> > 
> 
> Il se passe quoi dans le cas où le package a un script postinst qui pose
> des questions interactivement ?
> 
> A+
> 
> --
> Vincent RENARDIAS
> Directeur Technique
> StrongHoldNET / http://www.strongholdnet.com
> 
> 
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
> [EMAIL PROTECTED]
> 
> 
> 
> -- 
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 
> 

--
Vincent RENARDIAS
Directeur Technique
StrongHoldNET / http://www.strongholdnet.com

Re: Telechargement des mise à jour de securite

[christo courrier]

bonjour ,
pardon pour mon ignorance mais que signifient les options -q et -y dans
apt-get , merci

- Original Message -
From: "Vincent Renardias" <[EMAIL PROTECTED]>
To: "Alain Tesio" <[EMAIL PROTECTED]>
Cc: 
Sent: Tuesday, September 10, 2002 10:26 AM
Subject: Re: Telechargement des mise à jour de securite



On Tue, 10 Sep 2002, Alain Tesio wrote:

> On Tue, 10 Sep 2002 08:30:24 +0200
> Touch13 <[EMAIL PROTECTED]> wrote:
>
> >
> >  1) J'aimerais télécharger les mises à jour de sécurité et leur
dépendances en une seule commande sans les installer.
> > Je n'est pas encore trouvé d'informations traitant de ce sujet (j'ai
sûrement mal regardé :) ) ?
>
> Un script à mettre en crontab qui downloade et en bonus un mail à root
> lorsqu'il y a du nouveau :
> 
> #!/bin/sh
> apt-get update -qq
> apt-get dist-upgrade -d -u -y -q | fgrep -v "Reading Package Lists...
> Building Dependency Tree...
> 0 packages upgraded, 0 newly installed, 0 to remove and 0  not upgraded.
> Download complete and in download only mode"
> 

Il se passe quoi dans le cas où le package a un script postinst qui pose
des questions interactivement ?

A+

--
Vincent RENARDIAS
Directeur Technique
StrongHoldNET / http://www.strongholdnet.com


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]

Re: Telechargement des mise à jour de securite

[Francois . Mescam]

On Tue, Sep 10, 2002 at 10:26:55AM +0200, Vincent Renardias wrote:
> 
> On Tue, 10 Sep 2002, Alain Tesio wrote:
> 
> > apt-get dist-upgrade -d -u -y -q | fgrep -v "Reading Package Lists...
> > Building Dependency Tree...
> > 0 packages upgraded, 0 newly installed, 0 to remove and 0  not upgraded.
> > Download complete and in download only mode"
> > 
> 
> Il se passe quoi dans le cas où le package a un script postinst qui pose
> des questions interactivement ?

-d veut dire "download only" c'est à dire que les scripts postinst ne
sont pas exécutés, ils le seront quand tu feras l'installation
effective lors par exemple de :

apt-get install 

-- 
 Francois Mescam Tel:+33 1 46 73 44 06 Fax:+33 1 46 73 41 50
 

Re: Telechargement des mise à jour de securite

[Georges Mariano]

On Tue, 10 Sep 2002 10:34:19 +0200
Yannick Roehlly <[EMAIL PROTECTED]> wrote:

> Salut à Vous !

Salut 
> > la notion de modification irréversible, ça te dis qqchose ??
> 
> Personnellement, cela ne me dit rien. Pourrais-tu expliquer s'il
> te plaît ?

No problemo.
Je veux juste dire que lors de l'évolution d'un paquet (une appli en
général), son contexte d'évolution peut évoluer de telle manière qu'on
ne peut revenir en arrière en toute généralités (sauf à
"photographier" la partie du système concernée, ... si on la connait
de manière complète...).

Des tas de trucs évoluent de manière irréversible (les fichiers de
conf de gnome, de kde, de ... X, les différentes générations de
noyau,...)

En toute généralité, il est donc impossible de faire un downgrade
automatique  par apt. On peut le tenter pour des applications
superficielles mais pas pour libc6, X, perl, ..., un tas de trucs en
fait... à moins d'avoir bcp bcp de temps devant soit.

PAR CONTRE, effectivement, il est possible de "verrouiller" une
version déjà installée (soit avec les préférence soit avec le "hold")
mais cela n'a plus grand chose à voir avec le sujet de départ : le
downgrade.  

Merci de ne pas mélanger les questions et les réponses.
(i.e ce que je suis en train de faire ;-)
A+
-- 
mailto:[EMAIL PROTECTED] tel: (33) 03 20 43 84 06   
INRETS, 20 rue Élisée Reclus fax: (33) 03 20 43 83 59   
BP 317 -- 59666 Villeneuve d'Ascq   
http://www3.inrets.fr/estas/mariano

Re: Telechargement des mise à jour de securite

[Daniel Déchelotte]

Georges Mariano <[EMAIL PROTECTED]> a écrit :

| Je veux dire que tu es sur une liste avec plusieurs centaines de
| lecteurs, alors autant aller jusqu'au bout de ton argumentation ...

Oulah :(

Alors je rappelle aux lecteurs de la liste que mes conseils et
informations sont délivrés "EN L'ETAT" et "SANS AUCUNE GARANTIE". ;)

Si vous êtes intéressé par le contrôle au poil la gestion des paquets et
de leurs différentes versions, man apt_preferences devrait vous
permettre d'aller jusqu'au bout de vous-même.

| "Je suis sûr que" ça suffit pas.

Comment en es-tu aussi sûr ?

-- Dan

Re: Telechargement des mise à jour de securite

[Frédéric Bothamy]

On Tue, Sep 10, 2002 at 10:16:49AM +0200, Georges Mariano wrote:
> On Tue, 10 Sep 2002 09:51:49 +0200
> Daniel Déchelotte <[EMAIL PROTECTED]> wrote:
> 
> > Mais je suis sûr qu'en raffinant le /etc/apt/preferences, on peut
> > dire à apt « pour tel paquet, et pour ce paquet seulement, je veux
> > telle version, (même si j'ai une version supérieure installée), et
> > que ça force l'install des paquets qui en dépendent ».
> 
> Comment  en es tu sûr  ?? 
> 
> Je veux dire que tu es sur une liste avec plusieurs centaines de
> lecteurs, alors autant aller jusqu'au bout de ton argumentation ...
> 
> "Je suis sûr que" ça suffit pas.

Il me semble que la procédure décrite dans la section 3.9 du Apt HOWTO
décrit pas mal cela : « Comment garder des versions spécifiques de
paquets installés (complexe) » (paquet apt-howto-fr)

Fred

Re: Telechargement des mise à jour de securite

[Yannick Roehlly]

Salut à Vous !

Le Tue, 10 Sep 2002 10:16:49 +0200
Georges Mariano <[EMAIL PROTECTED]> a tapoté sur son
clavier :

> la notion de modification irréversible, ça te dis qqchose ??

Personnellement, cela ne me dit rien. Pourrais-tu expliquer s'il
te plaît ?

Merci,

Yannick

-- 
Courage is grace under pressure.

Re: Telechargement des mise à jour de securite

[Vincent Renardias]

On Tue, 10 Sep 2002, Alain Tesio wrote:

> On Tue, 10 Sep 2002 08:30:24 +0200
> Touch13 <[EMAIL PROTECTED]> wrote:
> 
> > 
> >  1) J'aimerais télécharger les mises à jour de sécurité et leur dépendances 
> > en une seule commande sans les installer.
> > Je n'est pas encore trouvé d'informations traitant de ce sujet (j'ai 
> > sûrement mal regardé :) ) ?
> 
> Un script à mettre en crontab qui downloade et en bonus un mail à root
> lorsqu'il y a du nouveau :
> 
> #!/bin/sh
> apt-get update -qq
> apt-get dist-upgrade -d -u -y -q | fgrep -v "Reading Package Lists...
> Building Dependency Tree...
> 0 packages upgraded, 0 newly installed, 0 to remove and 0  not upgraded.
> Download complete and in download only mode"
> 

Il se passe quoi dans le cas où le package a un script postinst qui pose
des questions interactivement ?

A+

--
Vincent RENARDIAS
Directeur Technique
StrongHoldNET / http://www.strongholdnet.com

Re: Telechargement des mise à jour de securite

[Georges Mariano]

On Tue, 10 Sep 2002 09:51:49 +0200
Daniel Déchelotte <[EMAIL PROTECTED]> wrote:

> Mais je suis sûr qu'en raffinant le /etc/apt/preferences, on peut
> dire à apt « pour tel paquet, et pour ce paquet seulement, je veux
> telle version, (même si j'ai une version supérieure installée), et
> que ça force l'install des paquets qui en dépendent ».

Comment  en es tu sûr  ?? 

Je veux dire que tu es sur une liste avec plusieurs centaines de
lecteurs, alors autant aller jusqu'au bout de ton argumentation ...

"Je suis sûr que" ça suffit pas.

> | je veux dire qu'apt "sait" comment il doit faire pour passer de la
> | version k à la k+1, mais comment devine-t-il (apt) ce qu'il doit
> faire| pour passer de la version k+2 à k+1 ??
> 
> Bah, pour apt c'est pas plus dur de faire l'un ou l'autre (àmha).

la notion de modification irréversible, ça te dis qqchose ??
tu sous-entend que tout manip induite par l'utilisation de apt est
réversible également par utilisation de apt ??
 

A+


-- 
mailto:[EMAIL PROTECTED] tel: (33) 03 20 43 84 06   
INRETS, 20 rue Élisée Reclus fax: (33) 03 20 43 83 59   
BP 317 -- 59666 Villeneuve d'Ascq   
http://www3.inrets.fr/estas/mariano

Re: Telechargement des mise à jour de securite

[Daniel Déchelotte]

| > Mmmm je crois que mettre ceci dans /etc/apt/preferences lui fera
| > préférer quelque chose qui vient de stable, quitte à downgrader les
| > paquets :«
| 
| ?? gulps, comment fait on pour downgrader *automatiquement* ??

On lui dit qu'il faut préférer un paquet qui vient de stable à un paquet
installé sur ton système. OK, avec ça tu ne fais pas de downgrade
générique, mais juste des downgrades vers la stable. Typiquement : de
unstable à stable ;)

Mais je suis sûr qu'en raffinant le /etc/apt/preferences, on peut dire à
apt « pour tel paquet, et pour ce paquet seulement, je veux telle
version, (même si j'ai une version supérieure installée), et que ça
force l'install des paquets qui en dépendent ».

Ceci étant dit, la question valait juste pour faire un retour de la
libc6 de unstable à la libc6 de stable à cause du pb avec apache, et
comme avec le paquet kivabien le pb est résolu, j'imagine que notre ami
n'y pense déjà plus ;)

| je veux dire qu'apt "sait" comment il doit faire pour passer de la
| version k à la k+1, mais comment devine-t-il (apt) ce qu'il doit faire
| pour passer de la version k+2 à k+1 ??

Bah, pour apt c'est pas plus dur de faire l'un ou l'autre (àmha).

| > |  A priori le paquet 'libc6_2.2.5-14' supprime la librairie
| > |  'libdb.so.2' se qui pose des problèmes a 'apache' et 'gnucash'
| > par|  exemple, existe t'il une solutions pour résoudre se problèmes
| > sans|  revenir à la version précédente.
| 
| s'il y en a une je suis curieux de le savoir
| [plus intéressé car j'ai régler le problème en réinstallant par dpkg,
| i.e en court-circuitant apt, non recommandé mais bon ça a marché...]

?? Relis bien le mail auquel tu as répondu...

Pour répondre à Alain Tesio dans le même thread :

Le pb apparaît quand on passe à la libc6 d'unstable mais qu'on garde
l'apache de stable.

-- Dan

Re: Telechargement des mise à jour de securite

[Georges Mariano]

On Tue, 10 Sep 2002 09:05:11 +0200
Daniel Déchelotte <[EMAIL PROTECTED]> wrote:

> Je ne sais plus quel paquet m'a rajouté un
> « deb http://security.debian.org/ stable/updates main »
> dans mon /etc/apt/sources.list, mais en tout cas, avec cette ligne
> tu auras les màj de sécurité.

juste pour râler un peu :
et non pas  "deb http://security.debian.org/ woody/updates main"

qui a très bien fonctionner chez moi pendant je sais plus combien de
temps, jusqu'à ce que ça foire subitement, pour une raison que je
viens de comprendre


> |  2) Comment 'downgrader' un paquet installé et ces dépendances
> |  simplement (le paquet libc6_2.2.5-14 par exemple), en une seule
> |  commande ?
> 
> Mmmm je crois que mettre ceci dans /etc/apt/preferences lui fera
> préférer quelque chose qui vient de stable, quitte à downgrader les
> paquets :«

?? gulps, comment fait on pour downgrader *automatiquement* ??

je veux dire qu'apt "sait" comment il doit faire pour passer de la
version k à la k+1, mais comment devine-t-il (apt) ce qu'il doit faire
pour passer de la version k+2 à k+1 ??
 
> (hum : man apt_preferences)
> 
> Désolé, je ne tiens pas à tester ;) 

à mon avis pas du tout oui...

> |  A priori le paquet 'libc6_2.2.5-14' supprime la librairie
> |  'libdb.so.2' se qui pose des problèmes a 'apache' et 'gnucash'
> par|  exemple, existe t'il une solutions pour résoudre se problèmes
> sans|  revenir à la version précédente.

s'il y en a une je suis curieux de le savoir
[plus intéressé car j'ai régler le problème en réinstallant par dpkg,
i.e en court-circuitant apt, non recommandé mais bon ça a marché...]


(il n'est pas nécessaire de dowgrader pour régler ce problème
apparemment...)

en fait, à la réflexion, ildoit être possible  de résoudre le problème
en faisant rejouer aux différents paquets concernés leurs scripts de
post-installation mais bon, c'est plus sioux...


-- 
mailto:[EMAIL PROTECTED] tel: (33) 03 20 43 84 06   
INRETS, 20 rue Élisée Reclus fax: (33) 03 20 43 83 59   
BP 317 -- 59666 Villeneuve d'Ascq   
http://www3.inrets.fr/estas/mariano

Re: Telechargement des mise à jour de securite

[Alain Tesio]

On Tue, 10 Sep 2002 08:30:24 +0200
Touch13 <[EMAIL PROTECTED]> wrote:

> 
>  1) J'aimerais télécharger les mises à jour de sécurité et leur dépendances 
> en une seule commande sans les installer.
> Je n'est pas encore trouvé d'informations traitant de ce sujet (j'ai sûrement 
> mal regardé :) ) ?

Un script à mettre en crontab qui downloade et en bonus un mail à root
lorsqu'il y a du nouveau :

#!/bin/sh
apt-get update -qq
apt-get dist-upgrade -d -u -y -q | fgrep -v "Reading Package Lists...
Building Dependency Tree...
0 packages upgraded, 0 newly installed, 0 to remove and 0  not upgraded.
Download complete and in download only mode"


> 2) Comment 'downgrader' un paquet installé et ces dépendances simplement (le 
> paquet libc6_2.2.5-14 par exemple), en une seule commande ?

Vu le nombre de package qui dépendent directement ou indirectement de la libc,
j'ai un mauvais pressentimment !

>  A priori le paquet 'libc6_2.2.5-14' supprime la librairie 'libdb.so.2' se 
> qui pose des problèmes a 'apache' et 'gnucash' par exemple, existe t'il une 
> solutions pour résoudre se problèmes sans revenir à la version précédente.

J'ai cette version de la libc en sid et mon apache marche très bien, chez moi 
ce fichier
est dans le package libdb1-compat
Mais apache (ldd /usr/sbin/apache) utilise libdb2.so.2

Alain

Re: Telechargement des mise à jour de securite

[Daniel Déchelotte]

Touch13 <[EMAIL PROTECTED]> a écrit :

|  1) J'aimerais télécharger les mises à jour de sécurité et leur
|  dépendances en une seule commande sans les installer.
| Je n'est pas encore trouvé d'informations traitant de ce sujet (j'ai
| sûrement mal regardé :) ) ?

Je ne sais plus quel paquet m'a rajouté un
« deb http://security.debian.org/ stable/updates main »
dans mon /etc/apt/sources.list, mais en tout cas, avec cette ligne
tu auras les màj de sécurité.

Pour télécharger sans installer, t'aurais pu risquer un man apt-get :
--download-only !

|  2) Comment 'downgrader' un paquet installé et ces dépendances
|  simplement (le paquet libc6_2.2.5-14 par exemple), en une seule
|  commande ?

Mmmm je crois que mettre ceci dans /etc/apt/preferences lui fera préférer
quelque chose qui vient de stable, quitte à downgrader les paquets :
«
Package: *
Pin: release a=stable
Pin-Priority: 1010
»

(hum : man apt_preferences)

Désolé, je ne tiens pas à tester ;) mais ça devrait fonctionner et même
ne pas être dangereux. Mais une fois que ta downgrade est faite, remet
une valeur inférieur à 1000 pour éviter dans le futur de downgrader qqch
sans le vouloir.

|  A priori le paquet 'libc6_2.2.5-14' supprime la librairie
|  'libdb.so.2' se qui pose des problèmes a 'apache' et 'gnucash' par
|  exemple, existe t'il une solutions pour résoudre se problèmes sans
|  revenir à la version précédente.

Héhé... ça me rappelle qqch...
Le paquet libdb1-compat (de unstable) fournit la lib qu'il te faut.

-- Dan

Re: Telechargement des mise à jour de securite

[Francois . Mescam]

On Tue, Sep 10, 2002 at 08:30:24AM +0200, Touch13 wrote:
> Bonjour,
> 
> J'ai quelques questions sur le système de gestion des paquets debian sur une 
> woody:
> 
>  1) J'aimerais télécharger les mises à jour de sécurité et leur dépendances 
> en une seule commande sans les installer.

mettre dans sources.list :

#security
deb http://security.debian.org/ woody/updates main contrib non-free

puis faire (man apt-get pour explication sur options utilisées):

apt-get dist-upgrade -d -q -y


-- 
 Francois Mescam Tel:+33 1 46 73 44 06 Fax:+33 1 46 73 41 50