Liens 27/05/2015
"""
3 - Délégation de privilèges sous Linux

Sur un système Linux, il est courant de déléguer certains privilèges à des catégories d'utilisateurs en fonction de leur besoin. Par exemple, il est courant de donner la possibilité à des administrateurs réseau de lancer la commande tcpdump en root afin d'effectuer des diagnostics. Cette délégation est souvent effectuée au moyen de la commande sudo. Ainsi, il est fréquent de voir la ligne suivante dans le fichier /etc/sudoers :

NETWORK_ADM ALL=(root) /usr/sbin/tcpdump

Cette approche constitue une faille de sécurité : en effet, le programme tcpdump permet de lancer des commandes arbitraires avec l'option -z (notamment utilisée pour compresser des captures réseau). Rien n'empêche une personne malintentionnée d'utiliser le programme /bin/sh pour obtenir les privilèges root à partir de la commande sudo tcpdump.

Une approche alternative est d'utiliser les capabilities, ou capacités Linux. Elles permettent de diviser les privilèges root en sous-parties plus restreintes. Ainsi, la commande tcpdump n'a besoin que de la capacité CAP_NET_RAW pour écouter sur le réseau. Il est donc possible d'affecter cette capacité au programme tcpdump, qui pourra alors être exécuté sans les privilèges root : la vulnérabilité dans la configuration sudo qui permettait d'élever ses privilèges a donc été corrigée. Il reste cependant un dernier problème à résoudre : affecter la capacité au programme permet à tous les utilisateurs de lancer tcpdump. Il faut alors restreindre l'utilisation de cette capacité au groupe des administrateurs réseau. Une première approche consiste à retirer les permissions d'exécution à tous les utilisateurs, et à les affecter aux administrateurs via un groupe Unix standard. Une seconde consiste à ne pas restreindre les droits sur l'exécutable tcpdump, mais plutôt à limiter les capacités héritables par les utilisateurs.

Le module PAM pam_cap permet de gérer finement les capacités que chaque utilisateur peut obtenir. Le module pam_cap.so doit être activé pour les différents types de connexions (SSH, login, etc.), par l'ajout de la ligne suivante en début des fichiers adéquats situés sous /etc/pam.d/ :

auth required pam_cap.so

Le fichier /etc/security/capability.conf doit être édité pour indiquer quelle est la capacité dont peut hériter une liste d'utilisateurs ( il n'est malheureusement pas possible de définir un groupe). Il faut ensuite interdire l'héritage des capabilities pour tous les autres utilisateurs avec la directive none *.

cap_net_raw user1 user2 [...]
none *

Le binaire tcpdump doit enfin être marqué comme s'exécutant avec la capacité cap_net_raw :

1. setcap cap_net_raw=ei /usr/sbin/tcpdump

Le fonctionnement des capacités liées aux fichiers est similaire à celui des programmes setuid. Le module pam_cap permet simplement de placer une limite haute aux capacités qu'un utilisateur peut obtenir.

Lors de la mise à jour du paquet tcpdump, il est fort probable que les capacités du binaire soient modifiées. La dernière opération indiquée ci-dessus sera alors à réitérer.
"""
(Permalink)

Liens en vrac de sebsauvage 27/05/2015
Je me souviens, à la caisse d'un supermarché, avoir été choqué de voir qu'ils avaient installé deux caméras à chaque caisse: une pointant vers le chariot du client, l'autre directement sur les mains de la caissière et la caisse.
J'ai demandé à la caissière si ce flicage la gênait. Elle m'a répondu qu'au contraire, c'était un avantage, ça évitait les problèmes, comme les clients qui prétendent avoir donné un billet à la place d'un autre.
Je narre ça comme ça, je n'ai pas de conclusion à en tirer.
(Permalink)

OpenNews > Liens en vrac de sebsauvage 27/05/2015
Pour ceux ça intéresse, <i>Surveiller et Punir</i> de Foucault est un ouvrage intéressant sur le contrôle par la surveillance, ou la possibilité de la surveillance. Les réfractaires à la philo pure et dure peuvent aussi lire <i>La Zone du dehors</i> d'Alain Damasio, un roman SF très inspirée par Foucault.
(Permalink)

Liens en vrac de sebsauvage 27/05/2015
Rigolo: un navigateur de code sous forme graphique. Le code est affiché comme une ville: Une classe = un building. Un package = un district.
Vous pouvez en voir quelques exemples là: http://www.inf.usi.ch/phd/wettel/codecity-wof.html
(Permalink)

yakmoijebrille 27/05/2015
Visualisation de l'architecture du code sous forme de ville en 3D
(Permalink)

ZeShaarli > Liens en vrac de sebsauvage 28/05/2015
Excellent ! Et les villes générées ont de la gueule !
(Permalink)

Katie, Shaarli and Kentaro 28/05/2015
Visualiser le code source de vos applications sous la forme de villes, cela permet d'observer la structure du code rapidement sous une forme graphique sympathique et parlante qui plus est. Plus utile que ce qu'il n'y parait.
(Permalink)

Liens en vrac de sebsauvage 27/05/2015
Alors ça, j'ignorais totalement qu'il y avait autant de "No man's land" en Picardie.  °o°
Des zones entières (villages, champs) complètement interdites au public à cause de la présence de munitions, gaz et polluants venant de la guerre.
(Permalink)

yakmoijebrille 27/05/2015
y a pas qu'a tchernobyl qu'il y a des zones rouges.
(Permalink)

le hollandais volant 27/05/2015
:o

Ils disent qu'il leur faudra 700 ans pour nettoyer décemment la zone, au rythme où ça se fait aujourd'hui...

Via http://sebsauvage.net/links/?U_qH0A
— (permalink)

Le bazar du petit panda roux. 31/05/2015
Impressionnant de réaliser un peu plus à quel point tout est définitivement souillé....

Via:
(Permalink)

les liens du Colibri 27/05/2015
voilà.
(Permalink)

ZeShaarli 27/05/2015
C'est tellement évident... :) Et faut dire que les supermarchés se gavent tellement sur les produits bio que ce n'est vraiment pas étonnant.
(Permalink)

Liens en vrac de sebsauvage 27/05/2015
Oh...  :-(
Mandriva (anciennement Mandrake) était une des premières distributions Linux à être orientée grand public, bien avant Ubuntu. Et c'était fait par une société française (cocorico !). Dommage qu'ils ferment.
(Permalink)

Les liens de Kevin Merigot 27/05/2015
Ah merde. Il n'y aura plus de nouvelle version de Mandriva.

J'avais installé une Mandrake (ancien nom de Mandriva) à une époque, c'était bien foutu et bien orienté grand public. Mais c'est Ubuntu (à peu près à la même époque que le changement de nom en Mandriva, si je me rappelle bien) qui a raflé la mise et séduit les cœurs.

Mandriva, basée sur des packages RPM, n'a jamais vraiment su remonter la pente malgré, comme le dit l'article, une lueur d'espoir en 2013.

Dommage.

Ce que l'histoire ne dit pas, c'est ce que deviendra Mageia, OS communautaire française basé sur Mandriva... (https://www.mageia.org/fr/)
(Permalink)

Liens 27/05/2015
"""Je connais de plus en plus de monde qui a ce genre de lunettes, donc ça doit se trouver un peu partout et ça ne doit pas être totalement hors de prix non plus."""
> Tous les opticiens en proposent depuis au moins 30 ans. Question prix, ça augmente lourdement le prix du verre (150 à 200% du prix initial), sachant qu'un verre à correction moyenne coûte aux alentours de 100 euros.

"""D’autant plus qu’il est possible qu’une partie de cette « option » soit remboursée par la sécu…"""
> La sécu rembourse des clopinettes sur les verres. Qui plus est, l'option est un élément de confort, que la sécu ne prend donc pas en charge. Par contre, les mutuelles ont un forfait optique qui prend en charge un montant donné, quels que soient les traitements des verres (photochromique, anti-reflets, aquaphobe, lipophobe, amincissement, ...)
(Permalink)

Une cascade de liens 27/05/2015
(Permalink)

Les Liens de Memiks 27/05/2015
Les google apps pour Android 5.1
(Permalink)

Les Liens de Memiks 27/05/2015
Le topic du module Xposed pour la version 5.1 d'Android (notamment pour toutes les ROM CM12 dernière version).

Le topic avec les modules qui fonctionne/ou pas:
http://forum.xda-developers.com/xposed/modules/discussion-xposed-modules-5-1-lolipop-t3075257

Et si vous avez le message "mémoire faible" ou "espace de stockage bientôt plein":
Chroma users experiencing the "low storage space" error, make a backup, navigate to build.prop, delete the lines "dalvik.vm.dex2oat-filter=everything" and
"dalvik.vm.image-dex2oat-filter=everything"
Save and reboot.
Reboot to recovery, flash xposed zip, wipe cache and dalvik and should now install fine.

Working for me on latest chroma on the N4.

*Be aware the lines to be deleted are intended to optimise ART, you may be sacrificing a little speed by removing them*


Voila.
(Permalink)

Nekoblog.org :: Marque-pages 27/05/2015
En espérant que le recul ne soit pas pour mieux sauter. (cf http://links.nekoblog.org/?2SdFBw)
(via https://twitter.com/AdrienneCharmet/status/603307471357239296)

EDIT : « C’est une bonne chose que cet amendement soit retiré, mais cela n’enlève rien à la volonté du ministre, son entourage déclarant « le ministre s’est rendu compte que ça n’avait pas été suffisamment concerté. »
Comprenez par là que ce n’est pas le contenu de l’amendement qui dérange et que la volonté du ministre du travail reste sans doute identique. Il faudra donc être vigilent car cette proposition, expulsée par la grande porte, reviendra en douce par la fenêtre. » (http://pixellibre.net/2015/05/aller-fliquer-chomeurs/)

Voilà, c'est à peu près ce que je pensais en parlant de reculer pour mieux sauter.

EDIT² : Ah pis ya ça aussi : http://www.leparisien.fr/economie/cmu-complementaire-les-comptes-bancaires-controles-13-05-2015-4767331.php (via http://seenthis.net/messages/370307).
Difficile de penser que les politiques vont lâcher le morceau pour les chômeurs.
(Permalink)

alexis j : : web 27/05/2015
« While one side draws on historical evidence, international law and United Nations documentation, the other complains that all this makes them feel "threatened" and "uncomfortable." »
(Permalink)

BiblioManchot 27/05/2015

Les bonnes pratiques pour rendre un portail de médiathèque accessible aux handicapés.

(Permalink)

alexis j : : web 27/05/2015
(Permalink)

Doo's bookmarks 30/05/2015
privacy.trackingprotection.enabled True !
(Permalink)

BiblioManchot 27/05/2015

Le Centre culturel communautaire des Cordeliers à Lons-le-Saunier a pris le parti de proposer à ses usagers le prêt de tablettes thématiques.

Une manière originale de prêter du contenu numérique : le prêt thématique.

Origine => www.scoop.it
(Permalink)

Rocking links 28/05/2015
Avant de m'extasier, je commence direct par me demander : qui fait la techno derrière ? C'est une idée de qui ça ? Des bibliothéquaires qui ont acheté des tablettes / les ont configurées / ont créé et configuré une suite logicielle etc... Où bien est-ce que c'est une solution très attrayante toute jolie subventionnée par les éditeurs ?
J'en arrive à être un chouilla parano de nos jour, je sais bien... mais vous voyez le tableau ?
(Permalink)

alexis j : : web 26/05/2015
(Permalink)

Nekoblog.org :: Marque-pages 26/05/2015
(Permalink)

stuper 26/05/2015
Virer cette merde d'Onedrive (windows 8.1 version non pro) :

Avec REGEDIT

1. Ouvrir Exécuter (Windows + R) et taper « regedit » .

2. Dérouler HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows.

3. Faire un clic droit sur le dossier Windows, Nouveau, Clé. L’appeler « SkyDrive » .

4. Entrer dans ce nouveau dossier et sur la partie droite de l’écran, faire un clic droit, Nouveau, Valeur DWORD 32 bits. L’appeler « DisableFileSync » .

5. Double cliquer sur ce DisableFileSync et mettre « 1 » à Données de la valeur avant de valider par OK.
(Permalink)

Liens en vrac de Clem 26/05/2015
Ahah je ne connaissais pas ! C'est excellent ce truc !

Pour ceux qui n'auraient pas compris en retrouvant ce que peut bien être le monoxyde de dihydrogène à partir de son nom, toutes les infos (sérieuses) se trouvent ici : http://fr.wikipedia.org/wiki/Canular_du_monoxyde_de_dihydrog%C3%A8ne .
(Permalink)

stuper 26/05/2015
bien vu, en plein dans le FUD je dirais
via http://vermot.net/links/?3xuUcA
(Permalink)