Reprise du message précédent :

En parlant debloat, y a quoi de fiable et sans tracking pub en fournisseur de mail ?
Marre des spams

NetCourrier / ProtonMail

Apple

bonjour,
 

 
firefox sur les fixes. Fennec sur les téléphones/tablettes et je reluque SmartCookieWeb-Preview pour le futur

Harkonnen modo, c'est vous faire à tous un cadeau

en parlant de cadeau  

J'étais en train de me faire la réflexion suivante ...
 
A t on déjà vu Harko et Jovalise dans la même pièce ?

bah oui, ce sont des multis.  
Faut pas leur parler

2 IA qui parlent ensembles, ça fini par donner un code chiffré non?

sinon j'ai découvert ceci avec un copain aujourd'hui  
 
https://www.malekal.com/installer-u [...] indows-10/
 
lui : "hey, salut memaster , j'ai enfin réussi à installer linux"  
moi : "ah ouais?" (je regarde)
moi : "ah ouais"  
moi : "et t'as trouvé ça où?"
lui : "dans le windows store voyons, au moins c'est safe"
moi : " "

pour dépanner la fenêtre ?

WSL c'est très utile (et surtout sa nouvelle version, WSL2 qui est carrément un linux natif alors que WSL premier du nom était juste une émulation). Je m'en sers au boulot, rien que pour utiliser Docker sous Windows ce truc est une bénédiction.  
 
WSLg est en train d'arriver, ce qui permettra carrément d'utiliser des applis graphiques (pour l'instant WSL n'est limité qu'à la ligne de commande, bien qu'il soit possible de forwarder un serveur X en bidouillant, mais c'est pas top)

preum'zzz  

deusse

C'est beau le secure boot.
Pas moyen de booter sur un kernel 5.12 car signature introuvable.
Pas moyen de booter en usb car pas authentifié
Et booté en 5.11, aucun périph wifi détecté.
 
Je désactive secure boot, je peux booter en 5.12 et wifi détecté et connecté  

Bah faut signer je sais pas quoi

 
Va falloir apprendre à signer ses kernouilles, ou à utiliser un shim !

ah, j'ai compris pour la clef ventoy:

https://www.ventoy.net/en/doc_secure.html
Mise à jour à faire donc.

à quoi sert cette protection si :
- on peut la désactiver dans le bios  
- on peut signer son kernel.  
de plus, je ne comprends pas pourquoi on ne signe pas plutot le grub puisque si on se fait un grub/lilo perso ,
on peut théoriquement booter n'importe quoi ou booter direct sur un réseau eth.

Parce que c'est pas fait pour éviter un taint local/physique à la machine, mais c'est fait pour éviter un taint distant/trucs qui joueraient avec le context0 genre une modif du kernel/boot load non demandée.
Pour ce faire, il ne faut pas stocker la PK qui te sert à signer tes kernels pour ta propre machine sur la dite machine (sinon aucuns intérêt).
 
En gros : tu génère un couple MOK/PK (machine owner key/Private key), tu stock la MOK dans la base secure boot, tu signe avec la private key (comparaison MOK/ signature avec PK), et tu sort la PK de la machine après avoir signé. L'environnement microsoft pour la signature n'est présent qu'en tant qu'autorité toujours valide.
 
Et pour protéger le boot, il faut rendre la modif de nvram impossible sans passer la PK (les utilisateurs ne sont pas encore prêt à gérer ce genre de complications par défaut, mais la mécanique existe), et là, ta question devient stupide (et ça devrait être fait par les admins en environnement "pro" )
 
Mes machines par exemple ne peuvent booter que si j'ai ma clé de boot sur un certain port USB qui contient la PK, et l'UEFI n'est pas accessible sans et on  peut pas modifier ni shimer : le changement de contexte est impossible à partir d'un shim, il faut une signature PK obligatoirement (même windows ne peut booter avec juste la platform key)
 
Seule la mécanique secure boot est activée par défaut (pour avoir le logo windows 10 ready sur les boites de carte mère), le lock ne l'est pas (trop chiant/faut savoir se que tu fais).

C'est velu tout ca en effet pour un péon.

Donc pas de clef usb, pas de boot, et je présume que le disque est encrypté avec une autre clef (aussi sur le même support que la clef de boot ?), Donc sortir le disque pour le mettre ailleurs nécessitera aussi la clef pour le décrypter ou c'est pas possible (car lié à la config d'origine? ) ?

Je me pose trop de questions un dimanche  

preum'zzz  

@mystx : tes machines physiques servent à verrouiller un coffre fort?  (ou equivalent )
je comprends le besoin de monter en security level, mais il y a pas plus simple qu'un secure boot?

honnêtement, secure boot est très bon si il est pas vérolé par une faille du CPU lui même, puisqu'il empêche qu'un kernel non signé s'exécute.
 
Pour répondre à Thana : TPM (encryptage lié à la machine).
 
J'avais à l'époque locké mes configs plus part POC et recherches sur les deux technologies plus que par besoin, et puis c'est devenu un automatisme.

Secure boot tout seul si tu peux modif les choses une fois démarré, c'est en effet bof. Côté Linux, il faut regarder du côté du "kernel lockdown".

Dans XCP-ng, on va devoir l'implémenter dans le dom0, il suffit pas de signer la chaîne de boot.

Bref, ça fait un sacré taff

Pliz' kindly secure my kerenl

de mon temps  (enfin pas temps que ça ).
pour des users un peu "bidouilleurs", on débranchait les liaisons CM et usb de façade (je parle pour les bureaux)
puis, débrancher la lecture du cdrom.
on verrouille/soude la porte de l'uc et passphrase longue sur le bios. et bien sur une priorité de boot sur le hdd. une FDO et basta.
 
ça suffit à décourager les p'tits malins dans 99pourcent des cas.
 
alors qu'une chaine humaine peut être achetée ou bernée easy.
elle vaut combien ta clef pok? 4ans de salaire cash?
 
iul faut sacrément connaitre la topologie en cours pour passer de l'extérieur te booter ta machine avec une keypass à distance.
Et en probable, ça vient de l'intérieur : va dans un milieu indus avec des brevets déposés et une dynamique de compet., les ingés eux meme sont tentés...

Preums +1  

deusse

 
J'ai beau relire, je vois pas le rapport.

bonjour,

bon, sinon bon weekend de merde ...
Ma belle soeur a été hospitalisée dimanche en urgence ... Elle était passée samedi aux urgences parce qu'elle avait des douleurs abdo et qu'elle se sentait très faible, ils ont fini par la renvoyer chez elle sous morphine.
Elle y retourne le lendemain, là ils ont l’air de prendre le truc plus au sérieux, ils font des prises de sangs et des analyses, transfert en urgence au CHU de Bordeaux, colique nephretique et choc sceptique … elle est hospitalisée en soins intensifs pour une durée indéterminée pour le moment (son PV a été engagé hier pendant quelques heures)  

   
Bon courage à elle et ses proches.

Et il vient jusqu’ici; gonflé.

Nous on s'défonce en recompilant la kernaille !

Un de nos fidèles et courageux modo devant l'adversité feront fuir le vilain, je vous le garantie moi !
 

Suck my dick, bitch  

Quel tueur ce Zz, si j'étai célibataire, je tenterai ma chance !

Yo les moules chinon