Mis en place pour faire relai de radio klaxon de la ZAD de NDDL qui ne tenait apparement plus la charge, et pour un peu de crypto+annonymat. Ci-dessous, la config icecast, puis la config nginx.
L’ensemble de clé(ce n‘est pas du lexique OpenPGP, je sais) que j’avais devenais de plus en plus dérangé, j’avais perdu des sous-clés assez souvent et des fois certaines n’étaient pas accessible (accessible sur ma tour à 200 km de là où j’étais avec un laptop).
Cet ensemble de clé devrait être pas trop mal dans le “state of the art” de fin-2017.
Généré sur mon A20-OLinuXino-LIME2 “air-gapped” (Qui utilise Gentoo Hardened, mais sans le kernel GrSecurity car pas de support armv7)
J’ai une config GnuPG par mal endurcie (merci à pas mal de monde) voir mes dotfiles (même si c’est constament pas à jour)
Enregistré sur un stockage chiffré depuis sa création(2017-12-11) à 2018-01-11, où c’est maintenant enregistré sur ma Nitrokey Start
Sortie du Terminal avec quelques modifications pour être sûre que je ne fuite pas des informations.
Ceci est une sorte de réponse à « Bienveillant et safe ? Mon cul ! » d’aeris@imirhil.fr. Et sans doute une deuxième partie suite à « Bienveillance mon cul » d’OpenPony à PSES 2017.
Donc, ACAB dans le titre et chier sur la notion de communautée. Voilà, ça c’est fait, maintenant on peut parler de confédération, de personne en tant que personne et non en tant que truc dans un groupe. (Parceque c’est le genre de trucs qui m’emmerdent, d’autant plus que j’ai aussi le même genre de problème groupe-individu au Lycée Expérimental assez fréquement)
witches.town ne parle pas de bienveillance mais d’endroit accueillant sur Mastodon pour les personnes queers, féministes, anarchistes et compagnie ainsi qu'à leur sympathisant⋅e⋅s
L’utilisation ici du terme de diffamation est juste complètement n’importe quoi pour moi. (Sinon je serais assez sur que j’en trouverais pleins les médias)
Dans le thread en question (désolé la flemme de faire de l’archéologie) le CW n’était pas utilisé alors que le texte suffisait pour ne pas être "safe".
Le coup de mettre BDSM(qui je reconnais est très marginalisé…) mais consentement, désoler mais dans le thread à aucun moment y’a du consentement…
Je ne vois pas trop d’où sort le « inclusif » pour witches.town, c’est clair dès le début que cette instance ban des personnes n’étant pas bienvenues (et se pose le problème de qui/comment)
Sinon un truc que je vois pas mal dans l’article d’aeris@imirhil.fr, la personne trans’ dont aeris parle à aucun moment est autre chose que juste trans’. Voilà aussi pourquoi j’ai envoyé chier la notion de groupe (identitaire) dès l’intro. Surtout que je voudrais pas dire mais je ne pense pas connaître de personnes qui aiment bien qu’on les considèrent juste comme trans, geek alias service-après-vente, libriste alias terroriste. (remarquerez que j’ai pas mis d’alias pour trans, y’en à trop et contrairement à geek/libriste cet alias est relativement mortel).
Sinon pour ce qui est de ma non-neutralité de point de vue :
Je connais aeris à la base pour ce qui est de faire du SSL/TLS correct
J’ai participé au gros bordel sur les CW (et unfollow+mute aeris face à une non-écoute de sa part ou un point de vue fixé); cf. Politique de CW
Je suis arrivé·e vers la fin de la grosse shitstorm « aeris — Witches.town / Unixcorn » mais j’ai essayé de comprendre et argumenter un peu (de manière assez posé·e de souvenir)
Ah et pour les personnes qui se demandent, j’ai mute/block la plupart des personnes qui étaient dans le thread en question, non pas juste à cause du thread mais de contenu blessant et/ou p0rn répété en public et en ayant déjà grogné sur le sujet. Pour ce qui est de PSES : Je ne pense plus y aller, en tout cas pas sans avoir au moins une personne de confiance qui y serat et dont ça ne dérangera pas de potentiellement m’aider à être bien, vu que y’a apparement pas de safe-space (chose que j’ai découvert·e au p∞p du l∞p, sans y être présent·e physiquement).
Bon ensuite, sérieusement aeris. Chouiner à max en mode : Bouuh nan mais je suis safe regardez, vous être que de la merde, et à coté ne pas écouter l’avis des concernées 30 secondes… Franchement ça manque de non-binaritée là… euh pardon, de nuance et de quelque chose de complet. C’est un truc que je n’aime pas, et appparement ça fait partie de la Justice française, de prendre uniquement ce qui appuie nos propos et exprimer uniquement son point de vue et la personne trans’ dont tu parle n’a pas forcément envie d’être forcément out pour pouvoir répondre, surveille tes privilèges! (et à peu près tout le monde en à, par example mon père ne m’a pas balancé dehors en sachant que j’allais à la Marche des Fiertés, et c’est pas forcément mauvais, faut juste faire attention).
Pour ce qui est de l’histoire perso, j’en ai pas rien à foutre, mais là moi je/on parle de ce que tu fais, même si ce que tu est à une importance, mais pour moi c’est moindre. (en passant juger sur les fait et non sur l’identitée c’est quelque chose présent dans The Conscience of a Hacker surnommé pour moi à tort Hacker Manifesto, sans non plus que ça parte uniquement sur les faits, cf This is a court of fact dans Star Treak: The Next Generation, épisode 1)
Un libriste un balle, un LUG une rafalle. Faudrait savoir qu’un Groupe d’Utilisateur·rice·s Linux(LUG) n’est pas MOGAI-safe par défault, tout comme le reste du monde, en sachant que bon les milieux techniques/scientifique c’est souvent toxique (et remplis de mec, donc presque un espace, pas forcément safe, pour eux). Voir même bien souvent assez malveillant sur les personnes MOGAI. (Et GNU/FSF étant très post-actif sur le sujet de bienveillance envers les personnes MOGAI, et LKML très toxique, de souvenir une personne s’en est baré pour sexisme). Ça ne veut pas dire que tous les LUG sont des endroits se composant à 100 % de personnes toxiques, mais que par example, tout comme les flics (en tant que fonction) sont toxique, les LUGs en général peuvent être/sont souvent toxique. Sauf par example, Le Reset ou Le L∞p, hackerspaces qui justement ont la particularitée d’être safe sur ces sujets et donc essayent de changer ceci par rapport aux autres.
La bienveillance
C’est souvent ultra subjectif comme définition précise, ma définition vague étant « les entitiées n’ont pas eu de négatif/la somme (émotionelle) finale est positive » mais quand j’entend ce mot ou dérivés je pense d’abord que c’est une connerie à remettre en question
On ne peut pas se qualifier de bien… (les dieux et déesses grec par example étant tout aussi toxiques/des emmerdeurs·euses que nous et peut-être même pire, à vous de voir les autres histoires/Histoires.)
J’espère avoir été compréhensible là dessus, pour moi toute phrase type « Je suis bienveillant·e »/« Nous sommes bienveillant·e·s » ou équivalent doit sérieusement être remise en question tant que ce n’est pas quelque chose qui est explicitement exprimé par tou·te·s (les concerné·e·s).
Pour vous dire je ne pense pas être bienveillant·e, y compris avec d’autres personnes où on partage une partie d’identitée/une caractéristique sur le sujet de cette caractéristique. Ça ne veut pas dire que on doit être conscienment non-bienveillant·e, c’est bien d’être bienveillant·e (sans déconner !) et ça doit donc être un objectif.
Harcèlement Scolaire (auto-TW)
Si vous voulez un example de communautée/groupe/… qui est pour moi carrément malveillant c’est les établissements scolaires (note : mon safe-space c’était le CDI, en y réfléchissant espace peu masculin-cis-hétéro-valide…, même si ce qui est disponible est pas toujours safe, un safe-space étant utile quand ce qui est autour est toxique). Si vous voulez un example j’ai même pas besoin de raconter(surtout que j’ai un peu un syndrome de l’imposteur·euse), y’a loser et alors
Pourtant dans la loi, si je ne me trompe pas c’est juste totalement illégal et pourtant y’a environ rien de concret de fait, en tout cas en 2013 y’avais rien, 2014 une pauvre vidéo. Et on va pas me dire qu’un Ministère est pas capable par example de s’inspirer des interventions de l’association Le MAG Jeunes. Et pourtant j’ai entendu de nombreuses fois des fonctionnaires scolaires dire littéralement qu’illes sont bienveillants, que ça soit elleux-même en individu, en groupe ou pour tout l’établissement.
Je crois que je vais modifier cette citation de Bruce Schneier(Security isn’t a product, it’s a process) pour complèter cette partie, décidément la consomation ça apporte pas grand chose…
La bienveillance n’est pas un produit ou une identitée, c’est un processus
Donc pour que les choses soient plus claires et que je n’ai pas à me répéter trop souvent (ça fait genre un mois que y’a ça et que ça s’enflamme de temps en temps, pourquoi pas mais c’est chiant à la longue)
Mes avis sur les CWs sont assez fixé et depuis pas mal de temps (je les utilisais déjà sur twitter, IRC, …), c’est à vous de vous faire votre propre avis, je ne partage que mes avis, et on peut en débattre (pas se taper dessus sinon je pense que je bloque direct).
Je suis pour les CWs au maximum, c’est-à-dire qu’on relit son message (de toute façon ça évite au passage de faire des fautes et d’être mal compris·e) et on dit au préalable ce qui pourrait être perçu négativement par les personnes qui vont vous lire/écouter/…. Et non y’a pas besoin de boule de cristal pour ça, au pire tu ne penses pas/ne connais pas une oppression tu auras peut-être des réponses ou des messages dans ta timeline à propos justement de cette oppression.
Le CW n’est pas de la censure mais un avertissement, une censure c’est quand on ne peut pas poster quelque chose, au contraire un CW peut permettre de poster des choses potentiellement polémiques en avertissant les gens, ce qui fait des réactions négatives moins fortes voire pas de réactions. Mais oui, en gros ça veut dire que tu dois faire attention à ce que tu dis et surtout comment tu le dis, mais franchement ça on le voit plus ou moins partout. Si tu ne vois pas trop en quoi quand quelqu’un·e te dit : Nope là je ne veux pas t’écouter/te laisser dire ça, ce n’est pas une censure, juste la personne qui te montre la porte, merci XKCD pour le message. ☺
I can't remember where I heard this, but someone once said that defending a position by citing free speech is sort of the ultimate concession; you're saying that the most compelling thing you can say for your position is that it's not literally illegal to express.
Je ne me souvient plus quand j’ai entendu ça, mais une personne a dit une fois que défendre sa position en citant la liberté d’expression est en quelque sorte la dernière chose; c’est dire que le plus gros argument que vous pouvez dire est que ce n’est pas littéralement illégal à exprimer.
La plupart des formes prises pour… “débattre” ne me plaisent pas du tout, au début du mois d’avril y’a eu une grosse engueulade bien toxique sur ce sujet, franchement même avec les inits standards vs systemd y’avais pas autant de comportement toxique et avec tellement de non-écoute des personnes qui s’expriment sur des oppressions.
La plupart des formes prises pour… “militer” ne me plaisent pas vraiment, y’a eu l’idée de faire une petite liste à titre d’example, assez utile pour dire à quoi servent les CW, sauf que j’ai l’impression que des personnes sont parties en mode « vas-y on liste tout ce qu’on voit comme potentiel CW », sauf que je pense pas que des gens vont lire ça et se dire que les CW c’est utile, plus se dire que c’est chiant et donc sans doute quelque chose de franchement négatif derrière. Et en vrai ce qu’on a d’encore pire c’est les gens qui grognent dessus en adoptant une position complètement anti-CW.
Après avoir eu plusieurs problèmes avec gitlab.com (impossibilitée de git push sur mon propre dépot, par example). J’ai décidé de faire un truc simple, inspiré de git.linkmauve.fr. J’ai mis tout mes dépots git dans le /git
Démarrage avec juste nginx et ssh
Celui-là est trivial quand on connais le truc, suffit de mettre git update-server-info dans hooks/post-update ou hooks/post-receive du dépot git (qui doit être un --bare)
Ajout de git-daemon
Celui-là fût encore plus simple, j’ai juste eu à dire où sont les dépots git
Une meilleure interface
En cherchant des alternatives au GNU je suis tombé sur stagit, un générateur static pour git (je n’aime pas les CGI, surtout quand ça peut avoir un accès sur mon dépot git), pour l’utiliser j’ai rajouté ces lines au post-update-hook :
repo=$(pwd)
cd "$(pwd | sed s/.git$//)" && stagit -c "$repo.cache" "$repo"
cd /git && stagit-index *.git > /git/index.html
Garbage Collector
Ce n’est pas comme si mes dépots étaient gros, git est censé faire ça tout-seul mais apparement non, donc je fait un git gc à chaque fois, ce qui n’est pas très optimisé.
Code Final (déployement, stagit, …)
Le code peut être vu dans mon dépot /git/utils, dans le dossier git-hooks
Aussi, le blog est un lien symbolique vers /git/blog.work qui contient les fichiers bruts fait par ce hook
Donc, je ne vais pas manger mes mots, cet article est du grand n’importe quoi !
Rapidement :
Un petit VPS KimSufi(archive) ça bouffe ~48 €/an et tu peut faire tourner deux CozyCloud avec ~6 applis, pour une solution non-nerd y’a moyen de mettre YuNoHost ou équivalent dedans.
1024 Mo pour du ~6 trucs Node.JS je pense pas que c’est si énorme, lance 6 webapps dans ton navigateur et regarde ce que ça te bouffe en RAM
Nombre de fichiers ≠ poid (sources noyau linux : ~88Mo et 59 258 fichiers // noyau linux : ~ 5Mo)
L’auto-hébergement ça te met pas plus en danger que tes autres machines, les cibles de mirai c’est les frigo et caméras, pas les briques :P
Ensuite je pense pas qu’il y est plus besoin d’admin-sys pour CozyCloud que d’autres trucs, à part que *Cloud tu gère des données importantes et privées. Pour en avoir vite fait parler de ton post avec Duchesse, les logiciels framasoft tu prend à peu près n’importe quel machine ça fonctionne, les trucs google —même si ça serait libre/open-source— tu ne pourrais juste pas du tout. Et c’est sur que Framasoft je dois faire du RTFM régulier… bah en fait non alors que question utiliser des trucs web, surtout quand c’est un peu usine à gaz ça m’énerve juste direct. Ensuite je ne crois pas que Framasoft ai dit que Mx. ToutLeMonde pouvais héberger un truc, le seul truc proche c’est la brique internet(projet de FFDN, avec du YuNoHost) et crois mois c’est pas des grosses machines. (mon serveur actuel ayant la même config et j’ai pas mal de bazar dedans)
Uploadé 10 000 fichiers, laisse moi deviner, via FTP ? Cette chose qui date d’avant internet(oui, oui) et qui doit mourrir ?
Pour info, dans une association tu à un minimum de transparence sur ce que font les gens et ce qu’iels peuvent faire et tu à pas une charte pas possible à lire dans une langue et une juridiction étrangère. Et franchement si une personne te dit : « Moi je suis ton ami·e, ai confiance » j’attendrais un peu de voir en quoi je pourrais plus faire confiance. (genre savoir que le chiffrement est fait chez toi et que c’est juste pas possible de récupérer les données sans tes clés/mot-de-passe).
Apparement tu fais une fixette sur les fichiers, ça pourrais être dans un méga-fichier (pardon mais ça ferait sûrement la taille du méga) que ça changerais rien pour toi mais que ça serait absolument ingérable pour les contributeurices *Cloud. Ne regarde absolument jamais le nombre de fichier/ligne-de-code des logiciels que tu utilise tous les jours, nan parceque sinon va sur Plan9 ou FreeDOS.
L'intérêt pour les développeurs est de s'adresser à des entreprises, qui elles vont payer pour utiliser ces programmes, contrairement à l'utilisateur lambda, qui va l'utiliser sans payer ni faire le moindre don.
Ouaip, cool comme ça en fait, les personnes morales se disent que c’est les personnes physiques qui payent, et les personnes physiques se disent que c’est les personnes morales qui payent… mais oui bien sûr. Bon sinon je la paye comment ma license [insérer logiciel proprio] ??? (Ouais, un truc nouveau du capitalisme, tu paye l’outil qui servira plus ou moins juste pour ton emploi(propriétée intellectuelle toussa).)
Pour ce qui est des autres points pas terrible, comme la gratuitée de la vie privée (à un moment faut bien payer le stockage, y’a un coût matériel, les silos mettent ça sous le tapis en espionnant)
En gros : C’est stupide, c’est le pire « je n’ai rien à cacher », et les États dés-Unis veulent faire cette betise. Un mot de passe c’est fait pour être caché, même/surtout aux gouvernements.
Est-ce que je vous donne le trousseau de clés privé/publiques ? (Au moins 4096 bytes par compte)
Je ne peut pas, c’est mon doigt qui fait l’indentifiant et une séquence de ces doigts pour le mot de passe
J’ai de la double authentification/authentification avec deux facteurs(2FA)
J’utilise des messagers aériens pour recevoir mes tweets par paquet de 200
Ah, tu veut un mot, tient voilà les premiers mot de mes phrases de passe
Est-ce que je vous donne aussi les comptes où je suis connectée mais où je ne me souviens plus du mot de passe
Il n’y-a pas de mot de passe, mon ordinateur est mon serveur
Autres questions
Qu’est-ce qu’un réseau social, les communications entre-humains, ou un truc plus spécifique comme Twitter/Facebook et équivalent
Comment peut-on vérifier que l’on à donner tous les comptes qui nous appartiennent, où même un faux compte qui pourrais servir juste pour ça (genre tu donne ton robot _ebook)
Ce billet type geulante est pas contre l’HTML sinon je rédigerais ceci dans un autre format, ceci est contre l’HTML « généré » et plus particulièrement dans les courriels et encore plus quand celui-ci n’a pas de version texte.
J’ai donc fait une petite comparaison, l’HTML dans un courriel fait souvent environ la taille de la license GPL-3(35 147 charactères). Je vous invite donc à lire cette license en entier et à vous dire que c’est un texte COURT. (je ne recois pas de truc très sophistiqué, juste des gens qui on mal configuré·e leurs client de messagerie, imaginez les trucs avec du javascript et autres crasses)
Example d’un courriel HTML-seul :
Type de fichier
charactères
Commentaire
HTML
21 563
taille de la GPL-3
Texte (lynx --dump)
1 155
on vire 20 408 charactères
Texte (manuellement)
921
on vire 20 642 charactères
Pour la comparaison, la CC-BY-SA 4.0 juridique en texte brut fait 20 131 charactères. Mettez une partie de cette license ou un texte similaire en début et le reste en fin de vos message, je pense que des personnes voudront vous tabasser avec votre propre matériel informatique.
Ceci est particulièrement chiant dans le cadre du courriel. Je reçois souvent du HTML avec tous mes courriels (Alors qu’on pourrait transiter du chaton à la place), que les plus grosses crasses que je voit sont dans des courriels automatiques(DeviantArt, Paypal, Steam, niouzletteur, …) un gâchis encore plus énorme et dans des listes de discutions… (le courriel pris en example vennait d’une liste de hackerspace…)
À la limite je pourrait geuler sur les attachement de 2 Mo (10~20 secondes à charger sur un hotspot) mais ça encore c’est compréhensible et n’est pas une pure mauvaise volontée des logiciels et en partie ses utilisateurices (quoique).
Notes :
Je compte en charactères parceque cela évite de discriminer un éventuel encodage qui aurait pu être utilisé originellement (je transforme tout en Unicode), c’est globalement proche de l’octet (donc 20 642 charactères ~= 20 640 octets ou 20,6 Ko).
Je sais que la plupart des personnes utilisent (malheuresement) souvent du webmail (mais moins en entreprise).
Je prend souvent les licences comme truc chiant et long, mes fichiers texte brut ou HTML étant trop légers (environ 0,1 à 16 Ko)
Vut que je n’ai pas de vraie connection internet chez moi autre qu’un forfait à 50MB de 4G, j’utilise le réseau de orange… qui en plus de bloquer l’envoit des courriels par un client classique(mutt, thunderbird, …) (j’ai un tunnel SSH pour ceci et je pense mettre mutt sur mon serveur) fait aussi de la merde sur des nom-de-domaine inexistant·e, c’est à dire me rediriger(merci chromium, firefox a une option pour contrer ça) vers http://instantfwding.com/?dn=cet.abruti.de.nom.de.domaine.com&pid=7PO2UM87 Heuresement que j’ai uMatrix pour bloquer ces conneries. Sauf que ce n’est pas un comportement normal de mon réseau j’ai donc voulut voir ça de plus près.
haelwenn@NightmareMoon:~$ cat /etc/resolv.conf.head
nameserver 127.0.0.1
nameserver 80.67.169.12
nameserver 80.67.169.40
domain hacktivis.me
search hacktivis.me
haelwenn@NightmareMoon:~$ cat /etc/resolv.conf
# Generated by dhcpcd from wlp0s22f2u3.dhcp
nameserver 127.0.0.1
nameserver 80.67.169.12
nameserver 80.67.169.40
domain hacktivis.me
search hacktivis.me
domain orange-hotspot.com
nameserver 80.10.46.232
# /etc/resolv.conf.tail can replace this line
haelwenn@NightmareMoon:~$ dig nxdomain.tld
; <<>> DiG 9.10.3-P2 <<>> nxdomain.tld
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 27819
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;nxdomain.tld. IN A
;; AUTHORITY SECTION:
. 10800 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2016100900 1800 900 604800 86400
;; Query time: 47 msec
;; SERVER: 80.67.169.12#53(80.67.169.12)
;; WHEN: Sun Oct 09 16:34:01 CEST 2016
;; MSG SIZE rcvd: 116
haelwenn@NightmareMoon:~$ dig nxdomain.tld @80.10.46.232
; <<>> DiG 9.10.3-P2 <<>> nxdomain.tld @80.10.46.232
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26873
;; flags: qr aa ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;nxdomain.tld. IN A
;; ANSWER SECTION:
nxdomain.tld. 3600 IN A 10.10.10.10
;; Query time: 43 msec
;; SERVER: 80.10.46.232#53(80.10.46.232)
;; WHEN: Sun Oct 09 16:36:26 CEST 2016
;; MSG SIZE rcvd: 58
On commence déjà à avoir du DNS menteur, mais n’oubliont pas domain orange-hotspot.com (J’ai modifié ma config dhcpcd juste après avoir rédigé·e ce billet)
haelwenn@NightmareMoon:~$ dig nxdomain.tld.orange-hotspot.com
; <<>> DiG 9.10.3-P2 <<>> nxdomain.tld.orange-hotspot.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54935
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;nxdomain.tld.orange-hotspot.com. IN A
;; ANSWER SECTION:
nxdomain.tld.orange-hotspot.com. 3600 IN A 103.224.212.222
;; AUTHORITY SECTION:
orange-hotspot.com. 171919 IN NS ns16.above.com.
orange-hotspot.com. 171919 IN NS ns15.above.com.
;; ADDITIONAL SECTION:
ns15.above.com. 171919 IN A 103.224.182.5
ns15.above.com. 171919 IN A 103.224.212.5
ns16.above.com. 171919 IN A 103.224.212.6
ns16.above.com. 171919 IN A 103.224.182.6
;; Query time: 180 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Oct 09 16:39:12 CEST 2016
;; MSG SIZE rcvd: 184
Bon génial, on à deux addresses… je me suis dit que un nmap pourrait être sympa, aller hop zou !
haelwenn@NightmareMoon:~$ nmap -A 10.10.10.10
Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2016-10-09 16:42 CEST
Nmap scan report for 10.10.10.10
Host is up (0.044s latency).
Not shown: 999 filtered ports
PORT STATE SERVICE VERSION
80/tcp closed http
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.40 seconds
haelwenn@NightmareMoon:~$ nmap -A 103.224.212.222
Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2016-10-09 16:43 CEST
Nmap scan report for lb-212-222.above.com (103.224.212.222)
Host is up (0.20s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
25/tcp open smtp
|_smtp-commands: SMTP EHLO lb-212-222.above.com: failed to receive data: connection closed
|_smtp-ntlm-info: ERROR: Script execution failed (use -d to debug)
80/tcp open http Apache httpd (PHP/5.4.45-0+deb7u5)
| http-robots.txt: 5 disallowed entries
| /cpx.php /medios1.php /toolbar.php /check_image.php
|_/check_popunder.php
|_http-server-header: Apache
|_http-title: Did not follow redirect to http://www.qfind.net?_inv
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port25-TCP:V=7.25BETA1%I=7%D=10/9%Time=57FA57A5%P=x86_64-pc-linux-gnu%r
SF:(NULL,25,"220\x20mwinf5d62\x20ME\x20ESMTP\x20server\x20ready\r\n")%r(He
SF:llo,46,"220\x20mwinf5d62\x20ME\x20ESMTP\x20server\x20ready\r\n501\x20EH
SF:LO\x20requires\x20valid\x20address\r\n");
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 36.60 seconds
Et un HTTP… voyons voir si c’est celui qui ment.
haelwenn@NightmareMoon:~$ curl -v -H 'Host: nxdomain.tld' 103.224.212.222
* Rebuilt URL to: 103.224.212.222/
* Trying 103.224.212.222...
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0* Connected to 103.224.212.222 (103.224.212.222) port 80 (#0)
> GET / HTTP/1.1
> Host: nxdomain.tld
> User-Agent: curl/7.50.1
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Sun, 09 Oct 2016 14:45:05 GMT
< Server: Apache
< X-Powered-By: PHP/5.4.45-0+deb7u5
< Content-Length: 371
< Connection: close
< Content-Type: text/html; charset=UTF-8
<
{ [371 bytes data]
100 371 100 371 0 0 866 0 --:--:-- --:--:-- --:--:-- 868
* Closing connection 0
<html>
<head>
<title>nxdomain.tld</title>
</head>
<frameset rows="100%,*" frameborder="no" border="0" framespacing="0">
<frame src="http://instantfwding.com/?dn=nxdomain.tld&pid=7PO2UM885">
<noframes>
<body bgcolor="#ffffff" text="#000000">
<a href="http://instantfwding.com/?dn=nxdomain.tld&pid=7PO2UM885">Click here to enter</a>.
</body>
</noframes>
</frameset>
</html>
Trouvé !
Si vous avez encore des personnes qui ne vous croient pas sur une connection non-neutre, mettez-les sur un wifi orange semi-public y’aurat des trucs pas habituels :P
Ah et orange à l’air d’utiliser une bonne grosse masse de Debian(cf. le deb dans la version du Serveur apache menteur ainsi que pour PHP) donc ouais le libre ça marche pas avec orange™
Je ne sais même pas par où commencer mais bon je vais dire le bon coté, ça sera rapide, ;D
L’idée est de faire une vraie démocratie ou les influent·e·s ne décident pas entre elleux.
C’est une bonne idée malheureusement :
Vous n’êtes pas du tout apolitique(« affiliés à aucun parti ») car vous dites clairement que vous ne voterez pas pour les influent·e·s, c’est déjà de la politique. Ensuite, comme je l’ai dit sur GnuSocial(que je peut dire sans problème car ce n’est pas lucratif, commercial, …) vous utilisez des outils capitalistes(twitter, facebook, linkedin, google, OVH, GoDaddy, Online SAS, github), non-Libre et égalitaire(un moyen de le faire aurait été d’utiliser quelque chose comme wikipédia) et vous dites être « candidats à rien ». Pardon !? Dans ce cas vous ne voulez pas de gouvernement, donc sans doute l’anarchie, je ne suis pas contre mais c’est fortement politique car contre le totalitarisme naissant. Ah et mauvaise couleur politique, le bleu c’est de droite ou conservateur, le blanc c’est pacifiste ou monarchiste.
Vous n’êtes pas apolitique, vous êtes ambiguë.
Je n’aime pas(plus ?) dire ça mais je ne vais pas y aller par 4 chemins : votre site est dégueulasse. Beau certes, mais dégueulasse.
Vous ne respectez pas la vie privée(traçage), le code et vos commits(« atome de code ») sont obèses, c’est plein de Javascript(au moins on peut observer sans), vous utilisez un PDF pour faire de l’HTML brut.
Ensuite, utiliser un maximum de mots français serait pas mal, j’en ait assez de notre novlangue. Et si le mot ou l’expression n’existe pas en français ou n’est pas traduisible correctement, ne traduisez pas !
C’est peut-être du à l’anciennetée du billet(7 novembre 2011) mais sudo apt-get update met à jour la liste des paquets, et install, installe des pauets, pour mettre à jour c’est upgrade. Mettre pare-feu (open-office ;3) serait mieux que firewall.
Bon ensuite je ne sais pas si c’est à cause de ton moteur de blog, mais il n’y à pas de majuscules en début de commande. Et un fichier texte aurait été bien mieux qu’une image pour donner un script. Surtout que le paquet iptables-persistent existe pour cette fonctionalitée. Et dire au lecteur·trice d’utiliser un éditeur de texte plutôt que d’utiliser touch et nano. Ensuite je ne recommande pas l’utilisation d’un DMZ(machine·s où tout les ports sont ouvert dessus).
Règles IPtables
Vut qu’il n’y a aucune explication, pour faire du NAT c’est avec l’option masquerade(exemple : iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o wlan0 -j MASQUERADE -A pour Ajouter, 102.168.0.0/24 est une notation CIDR qui indique un block de 256 addresses IPs commencant à 192.168.0.0, -o pour indiquer l’interface de sortie, ici wlan0 la carte wifi) qui évite de s’emmerder a configurer l’IP de sortie/remplacement/publique/… utile quand il y a plusieurs sorties ou une addresse de sortie non-fixe (cf. Partage de connexion - ArchwikiFR).
Ensuite il manque la redirection des paquets pour une autre destination. echo 1 > /proc/sys/net/ipv4/ip_forward Ah et y’a pas que le web donc iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT permet de pouvoir établir une connexion. iptables -A INPUT -p icmp -j ACCEPT active les paquets icmp, ne pas activer car permet de passer par un chemin détourné au niveau du pare-feu. iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPTNe rendez pas CUPS accessible, tout le monde pourrait imprimer !
Ensuite fail2ban, n’est pas un pare-feu, c’est un anti-spam (bloque au bout d’un certain quota), utile contre les attaques type bruteforce. Il ne permet pas d’empecher les attaques lentes et les services non-sécurisé ou mal-configuré(id : admin, mpd : admin), par exemple le CUPS public. Je vous conseille de bien configurer avant vos services et éventuellement de l’utiliser ensuite(pour un réseau difficile à surveiller, avec beaucoup de personnes dedans et/ou un service merdique).
En gros pour faire un pare-feu (sous linux) c’est :
Au démarrage : Changez/ajoutez IPTABLES_FORWARD à 1
Faire une passerelle NAT(pour avoir un réseau local) : iptables -t nat -A POSTROUTING -s 192.168.0.0/22 -o wlan
0 -j MASQUERADE
Si vous voulez ouvrir des ports(serveur web, skype apparement ;/, jeu, …) : iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT et remplacez 80 par le port en question ou le service(la liste est dans /etc/services), et tcp par le protocole(tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh, … une liste est disponible dans /etc/protocols) ou all pour tout les protocoles(utile pour Minecraft® par exemple).
Ghostery est une extension connue pour son anti-traçage facile, malheuresement comme beaucoup de solutions de facilité, elle n’est pas libre, un peu idiot pour un extension qui revendique que la transparence + sécurité = contrôle. De son site qui utilise des formulaire au lieu d’utiliser une balise a, surement pour limiter le click droit. Voici donc les liens (bien que je ne recommande pas de l’utiliser vous verrez pourquoi plus tard) : Firefox, Chrome, Opera, Safari, Internet Explorer(Oui, un .exe), Android(Google Play,Amazon Apps), iOS, Firefox OS.
Et si j’inspectait ces paquets ? Vut que y’a presque toutes les plateformes je vais faire seulement Firefox.
Extension firefox
$ wget https://addons.mozilla.org/firefox/downloads/latest/ghostery
$ mv ghostery ghostery-5.4.3-an+sm+fx.xpi # Je le renomme pour le nom du fichier chez mozilla
$ unar ghostery-5.4.3-an+sm+fx.xpi # Décompression du paquet
$ cd ghostery-5.4.3-an+sm+fx/resources/ghostery/data # Allons voir les données
$ vim databases/click2play.json # Tient un gros truc de copyright
{"copyright":"This proprietary database is protected by copyright, and is owned exclusively by Ghostery and all rights to it are expressly reserved. If you are interested in using this database for any purpose outside of the Ghostery application, contact Ghostery at info@ghostery.com. Ghostery may grant permission to use our proprietary database as determined in our sole discretion. Unauthorized use of this proprietary database, or any portion of it, may result in legal proceedings against you, seeking monetary damages and an injunction against you, including the payment of legal fees and costs."[…]
Ça fait plaisir, je préfère encore ®M$(Richard Matthew Stallman, le fondateur de la Free Software Foundation et du GNU is Not Unix) et ses CC-*-ND qui empeche la modification de ses travaux. De toute façon ce fichier ne contient pas grand chose à par du code minable pour twitter/facebook/g+/pinterest/disqus/…. J’espère ne pas découvrir que Goshtery se base massivement dessus pour éviter le traçage des réseaux sociaux, car pour l’instant c’est principalement des éléments que le navigateur a déjà chargé que ghostery vous cache.
Tient y’a un README.md
Data Resources
==============
Packages may optionally contain a directory called data into which arbitrary files may be placed, such as images or text files.
The URL for these resources may be reached using the self module.
Okay, c’est très utile… je sais faire un ls -R
Bon au tour de js/tracker.js bon bah pas de surprise droite d’auteur, tient si on aime pas ceci, illes nous dise carrément de ne pas utiliser cette extension… “You may not disassemble or reverse engineer Ghostery for any purpose, other than for reviewing the code for personal review, and at all times are bound by the terms of this EULA.” HAHA FUCK YOU this is a personal web log ;) Uh fucking law. I lost the other "borderline" (un)?-legit part.
