Accès Libre le vendredi
http://www.linux-azur.org/index.php?page=activites Comme chaque troisième vendredi de chaque mois, Linux Azur organise le vendredi 19 juin 2009, de 18 à 21 heures, une Soirée Accès Libre ouverte à tout public, débutant ou expert. Association de type loi 1901, Linux-Azur a pour objectif la promotion de Linux et des Logiciels Libres sur la région Côte d'Azur. Elle remplit ses missions bénévolement au travers de soirées accès libre (install-parties) avec entrée libre et gratuite, d'ateliers réservés aux membres de l'association et accueille gratuitement les visiteurs lors de conférences sur le Logiciel Libre. Tous ceux qui veulent installer Linux sur leur ordinateur, régler un problème technique ou tout simplement rencontrer d'autres passionnés sont les bienvenus. Si vous venez pour faire configurer du matériel (en même temps qu'une installation ou pas), prévenez à l'avance, sinon avec du matériel un peu bizarre, on a souvent tendance à se retrouver un peu coincés, et quelques heures, ce n'est pas beaucoup. Une distribution GNU-Linux sera proposée à ceux qui souhaitent l'installer. Une connexion Internet est habituellement disponible sur place. Il est précisé que chacun est entièrement responsable du matériel qu'il apporte, comme des données qu'il contient. C'est sur la demande expresse des intéressés que les membres de Linux Azur apportent leur aide bénévolement. Cela n'entraine aucune responsabilité de leur part. Lieu : maison des associations d'Antibes, 288 chemin de Saint Claude 06600 Antibes Nous pouvons prévoir une miam-party dans un restaurant pas trop loin, dans la foulée :-) À+ -- Michel, secrétaire de Linux-Azur Diffusez cette liste aupres de vos relations :-) Linux Azur : http://linux-azur.org Vous etes responsable de vos propos. *** Pas de message SMS, HTML ni de PJ SVP ***
proteger un serveur web des tentatives de piratages
Bonjour à tous et merci par avance ! je m'occupe d'un serveur web (redhat as4 + apache 2.2.6 + php 5.2.5 ) + autre serveur mysql (4.1.8) c'est un serveur mutualisé la communauté à le droit de mettre ce qu'il veut comme site internet je veux dire par la, du html, du php-mysql fait à la main, des cms : joomla spip guppy . Apache est sécurisé autant qu'on a pu le faire et selon nos connaissances dans les cms ils peuvent rajouter des extensions (gallerie photos, agenda, ) Le problème c'est qu'il y a des failles de sécurité sur les extensions (aussi sur les cms) Plusieurs gallerie photos, qui possédent des scripts d'upload (normalement que pour des photos) ont des permissivités Et on se retrouve avec des pages de pishing ou sur les casinos de jeux ... Les webmasters ayant du mal à suivre l'évolution des mises à jours des cms + extensions ne sont pas forcément à jour ... et je peux les comprendre etant donné le travail que cela donne. Ce ne sont pas des pros J'aimerais avoir des conseils pour éviter ce type de problèmes ... même si je sais que le risque zero n'existe pas ! Merci de me donner vos solutions propres même si je vous donne les pistes sur lequelles on travaille et dont je ne sais pas si elles sont bonnes : -restreindre l'installation à un type de cms et quelques extensions (forcément on réduira le risque et nous pourrons réagir plus vite en cas de faille déclarée mais le service est moindre) -mettre sur le serveur un analyseur de trafic (ou quelque chose de ce genre) qui détecte les comportements inhumains, ceux qui font des accès très rapide à des ressources ... qui connaissent malgrès tout les robots qui a des mots interdits (sexe, viagra, casino ...) je connais rien du tout dans ce domaine mais je pense que ça existe ... est ce que vous avez des noms ? - passer par une entrepise privée spécialisée dans l'hébergement ... dans ce cas, plus de serveur web Si éventuellement il y a des spécialistes qui peuvent établir des factures ... pourquoi pas une proposition de conseil plus personnalisé Merci Fred Diffusez cette liste aupres de vos relations :-) Linux Azur : http://linux-azur.org Vous etes responsable de vos propos. *** Pas de message SMS, HTML ni de PJ SVP ***
Re: proteger un serveur web des tentatives de piratages
bonjour je ne suis pas administrateur de serveur mais je developpe parfois des extensions pour joomla et drupal bien sur la base des bases est de sauvegarder frequemment le serveur et separant les logs par compte utilisateur pour deceler la source d'une attaque si une personne installe une extension qui ne respecte pas les conditions de securite du cms, l'administrateur du serveur en lui meme ne peut rien faire par exemple, les pages perso de free sont verrouillees a donf pour restreindre plein de choses mais ca n'empeche pas des gogos de se faire pirater leur site bien sur il y a des parametres de php a configurer pour eviter certaines choses mais au detriment des possibilites d'hebergement je crois qu'un rappel frequent des regles elementaires de securite aux utilisateurs est une bonne chose sinon, une solution peut etre de proposer une installation automatique des cms a partir de fantastico ou autre systeme ce qui permettrait de mettre a jour les cms automatiquement (par contre si une extension est mal faite ca changera pas le probleme ) concernant les conseils de securite sur joomla, je connais ces liens : http://developer.joomla.org/security/articles-tutorials/260-joomla-administrators-security-checklist.html http://docs.joomla.org/Top_10_Stupidest_Administrator_Tricks et drupal : http://drupal.org/security/secure-configuration Le 16 juin 2009 10:26, fred0655 fred0...@gmail.com a écrit : Bonjour à tous et merci par avance ! je m'occupe d'un serveur web (redhat as4 + apache 2.2.6 + php 5.2.5 ) + autre serveur mysql (4.1.8) c'est un serveur mutualisé la communauté à le droit de mettre ce qu'il veut comme site internet je veux dire par la, du html, du php-mysql fait à la main, des cms : joomla spip guppy . Apache est sécurisé autant qu'on a pu le faire et selon nos connaissances dans les cms ils peuvent rajouter des extensions (gallerie photos, agenda, ) Le problème c'est qu'il y a des failles de sécurité sur les extensions (aussi sur les cms) Plusieurs gallerie photos, qui possédent des scripts d'upload (normalement que pour des photos) ont des permissivités Et on se retrouve avec des pages de pishing ou sur les casinos de jeux ... Les webmasters ayant du mal à suivre l'évolution des mises à jours des cms + extensions ne sont pas forcément à jour ... et je peux les comprendre etant donné le travail que cela donne. Ce ne sont pas des pros J'aimerais avoir des conseils pour éviter ce type de problèmes ... même si je sais que le risque zero n'existe pas ! Merci de me donner vos solutions propres même si je vous donne les pistes sur lequelles on travaille et dont je ne sais pas si elles sont bonnes : -restreindre l'installation à un type de cms et quelques extensions (forcément on réduira le risque et nous pourrons réagir plus vite en cas de faille déclarée mais le service est moindre) -mettre sur le serveur un analyseur de trafic (ou quelque chose de ce genre) qui détecte les comportements inhumains, ceux qui font des accès très rapide à des ressources ... qui connaissent malgrès tout les robots qui a des mots interdits (sexe, viagra, casino ...) je connais rien du tout dans ce domaine mais je pense que ça existe ... est ce que vous avez des noms ? - passer par une entrepise privée spécialisée dans l'hébergement ... dans ce cas, plus de serveur web Si éventuellement il y a des spécialistes qui peuvent établir des factures ... pourquoi pas une proposition de conseil plus personnalisé Merci Fred Diffusez cette liste aupres de vos relations :-) Linux Azur : http://linux-azur.org Vous etes responsable de vos propos. *** Pas de message SMS, HTML ni de PJ SVP ***
wifi issue : can't make dhcp work
hi, since I have some broadband modem/ligne issue, I wanted to connecr through wifi that my isp provide to me after some bug fixes due to my wifi card based on madwifi, I managed to create wireless network start script, one for setting the laptop into client and one to setup an AP for the pda I'm currently using to write this mail. the AP script work without problem. but the managed one don't work, iwlist ath0 scan does report me AP, including the one I want to connect to. But dhcp don't get an IP... I done approximatively this : installed my wifi module, setup in sta mode(managed for madwifi) modprobe wlan_ap_scan (or something like that) set the ESSID in sorcerer scripts no encryption tried specifying the AP mac@, without mire success but dhcpcd still run eendlessely ip addr rport the interface as in unknown state and gkrellm don't display anything how can I verify that I'm actually talking to the AP to get my IP? thanks, JLM -- KISS! (Keep It Simple, Stupid!) (garde le simple, imbécile!) mais qu'est-ce que tu m'as pondu comme usine à gaz? fait des choses simples et qui marchent, espèce d'imbécile! - Si vous pensez que vous êtes trop petit pour changer quoique ce soit, essayez donc de dormir avec un moustique dans votre chambre. Betty Reese http://www.grainesdechangement.com/citations.htm Diffusez cette liste aupres de vos relations :-) Linux Azur : http://linux-azur.org Vous etes responsable de vos propos. *** Pas de message SMS, HTML ni de PJ SVP ***
Re: proteger un serveur web des tentatives de piratages
fred0655 wrote: je m'occupe d'un serveur web (redhat as4 + apache 2.2.6 + php 5.2.5 ) + autre serveur mysql (4.1.8) Pour apache tu as 'mod_security'. Ca filtre pas-mal d'URL à la base d'exploits. Le hic : ça casse certaines pages et certains sites. Tu es alors obligé de mettre des exceptions site par site. Si tu peux faire ça (i.e. si tes utilisateurs sont prêts à endurer un peu de debug) alors je pense que c'est une solution à considérer. -- Vincent Stehlé Diffusez cette liste aupres de vos relations :-) Linux Azur : http://linux-azur.org Vous etes responsable de vos propos. *** Pas de message SMS, HTML ni de PJ SVP ***
Re: wifi issue : can't make dhcp work
jean-luc malet wrote: how can I verify that I'm actually talking to the AP to get my IP? Hello Jean-Luc, Je dirais, deux pistes : - Regarder sur l'AP directement si tu peux voir ses logs DHCP (page web en filaire ? port série ?) - Regarder sur le client ce que tu vois passer (logs client DHCP mis à fond et si nécessaire wireshark pour regarder les paquets). Tu cherches un échange request/offer/ack ou quelque chose comme ça. Bon courage, -- Vincent Stehlé Diffusez cette liste aupres de vos relations :-) Linux Azur : http://linux-azur.org Vous etes responsable de vos propos. *** Pas de message SMS, HTML ni de PJ SVP ***