cg a écrit 2268 commentaires

  • [^] # Re: Alors non

    Posté par . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 2.

    Pour mon cas, on est plutôt sur un parc géré de manière centralisée, avec Puppet qui gère le parc (on parle de 500 à 750 postes). Les installations se font de manière très automatisées. Il reste quelques manips manuelles, mais l'idée est de libérer le support informatique un maximum.

    C'est bien plus simple que sous Windows, ça fonctionne bien, les utilisateurs sont contents.

    Très chouette ! Est-ce que ce sont des personnes qui font un métier tech ou non ? C'est toujours intéressant d'avoir des retours de personnes qui ne sont pas spécialement férues d'ordis ou geek sur comment ça se passe pour elles.

  • [^] # Re: Alors non

    Posté par . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 2.

    Compare la probabilité d'être dans cette situation (qui est une erreur de configuration, que l'admin peut faire aussi si tu lui demandes de faire le changement à ta place), contre la probabilité de faire, au quotidien, une erreur parce que le caractère écrit sur la touche sur laquelle tu appuies n'est pas celui qui est "vu" par le système.

    Je peux par contre imaginer que ça peut poser un problème si ton mot de passe est stocké dans une Yubikey et "tapé" par l'émulateur clavier du dit périphérique, auquel cas, peut-être que certains caractères comme les q et les a seraient inversés ? Faut que je teste ça un de ces quatre, tiens.

    Par ailleurs, pour mon cas personnel, j'utilise des clavier qwerty en "us-intl alt-gr" ou "alt-weur", ça ne pose pas de problème de taper des accents.

  • [^] # Re: Zero Trust

    Posté par . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 4.

    L'un n'empêche pas l'autre, c'est complémentaire.

    On fait de la défense en profondeur, pas du périmétrique (ce que je comprend par "les années 90"). On sécurise tout ce qu'on peut à plein de niveaux (on fait aussi des conneries, hein, personne n'est parfait, mais c'est l'idée).

    Du moment qu'une personne peut faire un git clone ou ouvrir une documentation sur son poste, tu dois t'assurer que le poste est un minimum conforme.

    Sinon il y a l'option de donner des Minitels (bureau à distance). Perso je trouve ça plus pratique de de gérer des ordis portables. Mais là encore, il faut s'assurer de toutes façons que le terminal est conforme, c'est sans fin.

    Si tu as une idée précise en tête, ça m'intéresse.

  • [^] # Re: Alors non

    Posté par . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 2.

    Du coup c'est pas gênant qu'il y ait une différence entre dispo "système" et dispo "du bureau".

    Disons que c'est acceptable, mais ça reste perfectible.

    Est-ce que c'est gênant qu'il n'y ait pas de différence entre les deux dispositions ? Non, et ça semble même assez naturel sur des machines utilisées par une seule personne.
    En quoi est-ce choquant de dire que c'est étrange de ne pas pouvoir choisir la disposition de clavier de démarrage ?

    Par contre c'est au niveau des display manager que c'est important pour que le mot de passe de l'utilisateur soit le même qu'il le tape dans le DM ou dans le bureau/sudo.

    Oui, totalement, et avoir la même chose au moment du déchiffrement LUKS, c'est un petit confort qui permet d'ajouter des manchots sur les bureaux :).

  • [^] # Re: Alors non

    Posté par . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 4.

    À un endroit où j'ai travaillé, on utilisait USBGuard, qui permet de limiter les périphériques à certaines classes (par exemple HID : les claviers, souris, palettes graphiques, clés de sécurité type Yubikey).

    La protection physique d'un ordinateur portable, c'est assez compliqué :).

  • [^] # Re: Intéressant

    Posté par . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 5.

    Pour rester très général, les trucs qu'on fait :

    Pour ce qui est en script bash (la majorité), on utilise par défaut des options comme bash -p, et set +euf -o pipefail, qu'on désactive sur les parties qui ont besoin. Par exemple si on veut pouvoir faire un truc comme rm coincoin/*), on va faire :

    set +f
    rm "${dir}"/*
    set -f
    

    sans quoi l'étoile ne sera pas remplacée par une liste de fichiers.

    Ensuite, on limite et on valide tous les paramètres, soit avec une liste fixe (pour les claviers, c'est une liste limitative prédéfinie), soit avec des expressions régulières. Par exemple, pour le wrapper systemctl, on autorise seulement start, stop, restart comme commandes, et on autorise pas toutes la syntaxe. Systemd permet d'avoir des \ et des . dans les noms de services. Ben nous, on ne l'autorise pas, car ça complique énormément la validation. Ça implique de devoir réfléchir à ce qu'on veut permettre, et comment ça se valide (par exemple, apt-get a beaucoup de possibilités, avec des pièges comme apt install lolcat -puppet qui supprime puppet, il faut le détecter, c'est expliqué dans l'article comment on fait).

    Quand on peut, on a donc une liste autorisée, mais parfois ce n'est pas possible. On fait alors une liste de trucs interdits. Par exemple, avec systemctl, il y a des services qui sont "protégés" et ne peuvent pas être coupés. cron, puppet, l'antivirus... Ce genre de choses importantes.

    Comme les scripts tournent en root via sudo, quand on doit lancer une sous-commande, si possible on la lance avec nobody si ce sont des droits suffisants. Par exemple, pour résoudre les alias de services systemd, on lance systemctl show -P Names en noboby depuis le wrapper.

    Et puis on teste, on essaye de contourner les bridages qu'on met en place... Et des fois on trouve, c'est amusant :). Exemple simple : sur le wrapper de nmcli, on avait naïvement bloqué les paramètres -s et --show-secrets. Mais on pouvait le contourner avec --show-se par exemple, car nmcli sait deviner que c'est --show-secrets qu'on voulait dire.

    Les configs sudo ne vont pas dire :

    (ALL: ALL) le_wrapper
    (ALL: ALL) le_wrapper *
    

    mais plutôt quelque chose comme :

    (ALL: ALL) le_wrapper start *
    (ALL: ALL) le_wrapper stop *
    (ALL: ALL) le_wrapper restart *
    (ALL: ALL) le_wrapper --help

    pour filtrer un peu avant que l'exécution commence.

    Ah et bien sûr l'option NOPASSWORD de sudo est interdite ;).

    Enfin, on passe des outils comme shellcheck, qui donnent des conseils utiles, comme mettre en guillemets les paramètres qui peuvent contenir des étoiles (ça arrive qu'on oublie de le faire).

    Finalement, le truc sur lequel perso je vais le plus attention, c'est la validation des paramètres.

  • [^] # Re: Alors non

    Posté par . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 2.

    Ben en fait ça parait une super idée jusqu'au jour où ledit utilisateur à changé la conf globale et bloque l'accès à la machine et appel le support technique.

    C'est tout l'objet d'avoir ces outils : permettre d'une part de limiter les options, pour autonomiser sans trop de risque, et pour éviter de recourir au support technique pour des choses simples.

    C'est arrivé qu'une personne casse son système en supprimant python par exemple.

    Mais c'est aussi arrivé que le support technique fasse une faute de frappe subtile dans un fichier de conf, et casse partiellement le système.

    Donc pour les trucs récurrents, on offre un outil qui limite les paramètres, ce qui limite les erreurs humaines.

    Généralement la disposition est choisie à l'installation et correspond à la machine

    Vrai

    et n'a pas besoin d'être changée

    Faux :)

  • [^] # Re: Alors non

    Posté par . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 4.

    Oui, l'exemple de Grub n'est pas très bien choisi :). Celui de LUKS reste pertinent.
    Un autre exemple, c'est si tu dois te connecter depuis une console texte (parce que Xorg/Wayland sont cassés), pouvoir taper son login/mot de passe avec la disposition dont on a l'habitude apporte un confort. Tu pourras dire que ce n'est pas pour tout le monde non plus, mais ne pas avoir à se battre avec son clavier en cas de panique, surtout pour une personne peu habituée à la console ("les masses"), ça me semble pas trop déconnant :).

  • [^] # Re: Contrepèterie

    Posté par . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 2.

    Allez, je donne un indice : Pierre Desprogres.

  • [^] # Re: Alors non

    Posté par . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 6.

    Salut,
    oui, je sais bien la raison : un système Linux est multi-utilisateurs par défaut, il pouvoir en effet changer globalement peut amener au problème que tu cites.

    Mais là, on est sur des postes de travail individuels, et à ma connaissance, il n'existe pas de moyen de dire à la distrib (ici, Ubuntu) : c'est une machine qui est mono-utilisateurice, donc certains réglages personnels s'appliquent à tout le systeme, sans, dans le même temps, donner l'accès admin.

    C'est un petit détail, mais au moment du démarrage, on a besoin de taper une mot de passe pour déverrouiller le container LUKS qui contient les partitions, et c'est avant d'être dans la session personnelle, donc avant de savoir quelle disposition de clavier doit être utilisée. Pareil pour si tu dois taper le mot de passe de Grub. (perso je contourne ça en choisissant des phrases de passe qui se tapent pareil en azerty et qwerty, mais ce n'est pas toujours possible, par exemple si on doit mettre un chiffre).

    Ça semble un peu niche, mais la critique que j'adresse, c'est que des trucs qui semblent un peu simples, sur une machine Linux sur laquelle on est pas admin, ben c'est pas forcément prévu. Je ne dis pas qu'il y a une solution simple à ça, et c'est bien pour cela qu'on fait des outils dédiés...

    On a l'avantage de n'avoir quasiment que des personnes qui savent se servir d'un terminal, et que ça ne choque pas de devoir taper une commande. Mais je pense surtout qu'il y a moyen de faire mieux, plus intégré, pour le cas d'un système personnel. Si on regarde les systèmes comme les téléphones, on peut changer la langue de démarrage sans être "admin" de l'appareil pour autant.

  • # Pourquoi IPv6 est-il aussi compliqué ? (article en Anglais)

    Posté par . En réponse au lien Internet Protocol Version 8 (IPv8). Évalué à 2.

    Le court article Why is IPv6 so complicated? propose une rétrospective et une argumentation de pourquoi il était inévitable[1] que la transition d'IPv4 à IPv6 soit aussi longue.

    Il y a un chouette tableau au milieu :

    To state this in graphical form, here's a diagram, showing who can talk to who, assuming the simplistic model of IPng with 64 bit addresses:

     OLD DUAL NEW 
     ----------------------
     OLD | 32 | 32 | XX | 
     |------|------|------|
     DUAL | 32 | 64 | 64 |
     |------|------|------|
     NEW | XX | 64 | 64 |
     ----------------------
    
  • [^] # Re: Aussi à la fin du Monde Diplomatique

    Posté par . En réponse au lien L’internet post-étasunien. Évalué à 5.

    Il y a quelques années, Facebook, Instagram, et WhatsApp sont tombés en panne. Mais la source du problème était niveau réseau (lié à BGP je crois), ce qui avait aussi fait planter ses systèmes de contrôle d'accès... Les employés ne pouvaient pas entrer dans les locaux pour dépanner.

  • [^] # Re: Aussi à la fin du Monde Diplomatique

    Posté par . En réponse au lien L’internet post-étasunien. Évalué à 4.

    Bien vu !

    En tout cas, depuis leur site, qui est motorisé par des logiciels libres, j'avais pu m'abonner et je reçois les exemplaires papier chez moi :p.

  • [^] # Re: Aussi à la fin du Monde Diplomatique

    Posté par . En réponse au lien L’internet post-étasunien. Évalué à 3.

    « Cet article est réservé aux abonnés »

    En plus c'est faux : en kiosque tu peux l'acheter à l'unité.

  • # Aussi à la fin du Monde Diplomatique

    Posté par . En réponse au lien L’internet post-étasunien. Évalué à 3.

    En dernière page du Monde Diplomatique, il y a une petite nouvelle, dont on peut lire le début ici : Souveraineté numérique, le jour d’après.

  • [^] # Re: Détails

    Posté par . En réponse au journal [HS] Est ce que linusque est prête pour le desquetope (et si oui est que je peux passer la prendre) ?. Évalué à 6.

    Et les détails sous forme de code (sur Github, sic) : https://github.com/cloud-gouv/securix

    J'aime bien le choix de partir d'une distribution immuable/reproductible.

  • # à regarder en boucle

    Posté par . En réponse au journal [HS] Est ce que linusque est prête pour le desquetope (et si oui est que je peux passer la prendre) ?. Évalué à 7.

  • [^] # Re: La clavier donne déjà une indication

    Posté par . En réponse à la dépêche Discussions et débats sur l’affichage d’astérisques à la saisie du mot de passe par sudo-rs. Évalué à 4.

    Une attaque assez créative et récente, est celle qui consiste à enregistrer de l'audio par l'intermédiaire du capteur optique d'une souris. Ce n'est pas très fiable, mais combinée à d'autres techniques, faut voir.

  • # sxlock a une option sympa

    Posté par . En réponse à la dépêche Discussions et débats sur l’affichage d’astérisques à la saisie du mot de passe par sudo-rs. Évalué à 7.

    sxlock, un outil de verrouillage d'écran, a deux options rigolotes :

    -l: derange the password length indicator
    -p passchars: characters used to obfuscate the password

    La première affiche un nombre aléatoire d'étoiles chaque fois qu'on tape une touche.
    La seconde remplace les étoiles par d'autres caractères.

    Utilisée comme ceci :

    sxlock -l -p "m'enfin"

    si on a pour mot de passe plop, on verra sur l'écran s'afficher m'enfin, possiblement répété grâce à l'option -l qui va ajouter de la longueur dans l'affichage.

  • [^] # Re: krita

    Posté par . En réponse au message En équivalent de Canva. Évalué à 6.

    claques bitmap

    Des bifles pixelisées ?

  • [^] # Re: C'est pas une approche clean room

    Posté par . En réponse au lien L'IA est capable de cloner des logiciels open source en quelques minutes : les projets bénévoles peuvent ainsi être exploités commercialement. Évalué à 4.

    Bien que non libre, La partie JavaScript de Office 365 qui tourne dans un navigateur est disponible. On peut considérer que si un clone est fait à partir de ce code source, c'est OK donc ?

  • [^] # Re: Anglicismes

    Posté par . En réponse au journal [HS] Langue française : argumenter trop subtilement. Évalué à 2.

    Bougette, c'est tellement mignon !

    Je dois dire que j'ai un faible pour la place du Boulingrin à Rouen ^·^ .

  • [^] # Re: ... et c'est OK de cibler quelqu'un comme ça ?

    Posté par . En réponse au lien Systemd et la surveillance de masse. Évalué à 2.

    Et en effet, le bonhomme s'est fait pourrir la tête et même menacé de mort par des abrutis :
    https://itsfoss.com/dylan-taylor-systemd-controversy/
    https://dylanmtaylor.com/posts/2026-03-25-my-first-contribution-to-systemd

    On se souvient du développeur de Tenacity qui s'était fait agresser au couteau chez lui par des crétins de 4chan...

    Certes, comme disait le poète, La révolution n'est pas un dîner de gala, mais faut peut-être rebrancher les cerveaux de temps en temps ?

  • [^] # Re: AUR de là

    Posté par . En réponse au journal Un skill pour apprendre à l'IA à utiliser Manjaro. Évalué à 4.

    Pendant ce temps, dans un univers parallèle : https://daniel.haxx.se/blog/2026/03/26/dont-trust-verify/

  • [^] # Re: anglicismes

    Posté par . En réponse au journal Un skill pour apprendre à l'IA à utiliser Manjaro. Évalué à 3. Dernière modification le 28 mars 2026 à 21:52.

    Si on comprend des termes comme courriel, noyau, ou chiffrer1 , c'est surtout une question de fréquence d'utilisation.

    Donc plutôt que :

    Parfois l'anglais est juste... plus adapté

    je dirais :

    Parfois l'anglais est juste... plus courant, et plus on s'en sert, plus ça se confirme

    Mais c'est vrai qu'il y a des exceptions, il ne s'agit pas de parler comme à l'ANSSI ;), et rolling release, c'est un peu niche, en effet. Il y a immutable dans la même veine. Pourtant, je suis persuadé qu'en utilisant sa version française (bon d'accord, une de ses versions) pendant une semaine, ça fera ding instantanément la prochaine fois qu'on l'entend. Je vais essayer, tiens, même si je parles peu de ce genre de trucs au travail (je dis plus souvent cluster ou package, enfin paquet, enfin paquetage).

    La position des québécois est très politique

    La position des États-Unis aussi, non ?
    Sur ce genre de sujet de propagande douce, j'avais lu le bouquin Mainstream (sic) de Frédéric Martel, qui est une enquête sur comment le cinéma et la télé servent à propager des idéologies et des normes culturelles dans d'autres pays. Je crois que ça existe aussi sous forme de podcastWbalado-diffusion.

    Truc rigolo, dans mon message d'avant, j'ai écrit "marketing", comme quoi les anglicisme ont la peau dure :).


    1. hum hum mauvais exemple :)