Reprise du message précédent :
ça rappelle un peu la faille ssh de 2008 https://linuxfr.org/news/decouverte [...] ssl-de-deb

dans les deux cas il s'agit d'une démarche de debian qui influence les paquets openssh qui eux n'ont pas la vulnérabilité à la base

ici, si j'ai bien compris, c'est la démarche de debian de faire dépendre sshd de xz via son intégration a systemd (et la backdoor de xz vise exclusivement sshd)

il faudrait que "les volontés de bien faire de debian" arête d'inclure openssh

edit : j'ai vu le journal sur linuxfr après le lien mais il est très bon à lire en priorité https://linuxfr.org/users/ytterbium [...] -compromis

ça rappelle aussi le xkcd sur les dépendances https://xkcd.com/2347/

cet article est intéressant aussi https://lcamtuf.substack.com/p/tech [...] z-backdoor

globalement tout semble indiquer une démarche extrêmement bien travaillée et gravissime et vraiment évitée sur un coup de chance incroyable ...

edit : la réponse officielle de l'auteur de xz : https://tukaani.org/xz-backdoor/

https://hfr-rehost.aurait.eu/600x/h [...] nerc1.jpeg

J'ai pas encore vu d'analyse commentée précise des décompilés des symboles détournés d'openssh mais c'est croustillant cette affaire

J'ai essayé de lire le pavé hier (lien posté sur blabla@osa), c'est chevelu la commande qui fait 3km    
Bon comment on fait pour virer xz de debian ?  ou systemd

Sinon petite découverte sympathique hier, je cherchais un moyen de calmer le ventilateur bruyant de mon sony vaio SVE1713C5E, et je suis tombé sur https://github.com/nbfc-linux/nbfc-linux, et joie après un git clone et installation par

Puis la commande pour associer la config JSON "proche":

La liste complète des portables supportés: https://github.com/nbfc-linux/nbfc-linux/tree/main/xml
 
Mes oreilles apprécient  

C'est censé faire quoi ?

(et si j'en crois la liste des Zenbook, ça ne concerne qu'Intel )

Suffit de patcher si tu es en sid/unstable.

Après faut aussi avoir un ssh exposé sur le net pour être compromis je pense.

Ca contôle la vitesse du ventilo.  
pwmconfig ou sensors-detect ne trouvaient pas d'info pour ce portable, nbfc le permet.

 
Ok    
J'aimerais simplement connaître la vitesse du fan, que ne reconnait pas lm-sensors, mais mes deux Zenbook n'y sont pas.

j'ai une question un peu naïve, mais je tente quand même.
 
J'ai besoin d'uploader un fichier d'un serveur A vers un serveur B. Les deux sous debian.
Le process doit être automatisé
Actuellement je peux ssh B, mais la clé du user est chiffrée par un mot de passe. Je n'ai pas trop envie de bidouiller pour filer le mot de passe au user du serveur A.
J'aimerai créer un système pour que cet upload se fasse, idéalement avec ce compte d'utilisateur, mais avec une autre clé, sans mot de passe, et qu'avec cette clé tout ce qu'on puisse faire c'est uploader dans un dossier spécifique et rien d'autre (pas de parcours de l'arborescence...)
C'est faisable ?
 
J'ai tenté une autre approche qui me plaisait bien, c'est de faire une page php (le serveur B est un serveur web) appelée en curl depuis le serveur A, avec le fichier en paramètre. Ca marche bien, mais c'est lent et pas top avec de gros fichiers (mes fichiers font jusqu'à 5 ou 10 Go.
 
Des idées ?

User spécifique sur serveur B avec aucun droits.
Une nouvelle clé ssh sans passphrase sur A, et sa partie publique dans le authorized_keys de cet user sur B
 
Sinon FTP

OK, si je fais ça c'est bien mais je me retrouve par exemple avec mes fichiers dans /home/userspécifique et j'ai besoin qu'ils soient dans /home/userinitial/www/undossier avec des droits en lecture par www-data (je veux les rendre accessibles en téléchargement par une page web.

Tu peux faire la solution proposée, et mettre un lsync sur le serveur B entre le dossier spécifique du user et là où les fichiers doivent être mis en place.
 
Lsync, c'est comme rsync en gros mais c'est un service qui tourne et qui sync quand une modif du filesystem est détectée (donc pas besoin de cron etc.)

Masto thread sur la faille XZ :
 
https://piaille.fr/@rusty/112190942173039817

OK merci, je vais tenter ça

Quelqu’un a déjà fait de l’intégration samba dans un active directory ? je galère depuis 2 jours... Il ne semble pas manquer grand chose.

Ce qui est en place :
-la machine est jointe au domaine et remonte bien dans l'AD
-j'arrive à lister les utilisateurs et les groupes
-si je sniff le trafic réseau, j'ai bien des échanges de tickets

C'est sur cette dernière partie que ça coince, la première séquence (ASREQ/REP TGS REQ/REP) fonctionne. Mais bizarrement, quelques secondes après il renvoie un AS-REQ et ça fini en preauth failed en boucle.

Et évidemment, le login sur un partage réseau ne fonctionne pas (STATUS_LOGON_FAILURE)

Il semblerait que le lien avec les utilisateurs de l'AD ne se fasse pas, car j'ai utilisateur inexistant avec la commande id. J'ai pourtant bien ajouté winbind dans nsswitch.conf pour passwd/group/shadow (après je ne sais pas si c'est indispensable, y'a pas deux tutos qui disent la même chose...)

Merci

Salut,

Me suis pas mal fait chier avec ça   je t'envoie mes conf demain

Ah super, merci beaucoup    
 
Je vais continuer à creuser de mon côté, sait-on jamais.

 
je t'ai lancé ça en MP

Bon... encore merci pour la conf, mais j'arrive à rien.

J'ai toujours mes erreurs kerberos... Je vais essayer avec une debian fraiche histoire de pas mélanger ma conf en place qui pourrait interférer et voir si ça fonctionne.

Faut croire que mon install a un peu trop de vécu ou des conflits de conf. Avec une install fraiche de debian 11 et ce tuto ça a fonctionné en 10 min

J'ai juste ajusté pour l'accès en écriture avec l'ajout du groupe domain user en suivant ce tuto-ci : https://www.kalinin.dev/posts/debian-smb-file-shares/

Je vais donc essayer de reprendre sur cette base qui fonctionne ma conf actuelle  

J'ai probablement eu le même problème que toi
en plus j'avais essayé de passer par SSSD du coup j'ai probablement 50 fichiers de conf en trop et du merdier un peu partout

Pourquoi t'as pris debian 11 et pas 12 ?

J'ai voulu tester avec la même version que le tuto histoire d'être sûr.

j'avais eu la meme blague avec samba/winbind
sous debian 11 ca avait fini par marcher
sous debian 12, j'ai jamais réussi

Ah... je vais essayer alors car ça serait con de rester bloqué sur la 11.
 
Mon serveur actuel est toujours sur la 10...
 
EDIT : Bon ben ça devait fonctionner depuis le début...  ce que j'avais oublié ? De virer toute la conf samba dans [global]  Je m'étais contenté de rajouter les paramètres et évidemment certains devaient entrer en conflit, j'ai copié la conf de la 11 et pouf ça a fonctionné du premier coup ! Enfin pas tout à fait car j'avais l'erreur NT_STATUS_INVALID_TOKEN.
 
Après recherche, j'ai ajouté la ligne domain uid = 0 et hop affichage de tous mes partages. Petit changement de groupe sur les dossiers et c'était tout bon    
 
Plus d'erreur kerberos, tout roule. Maintenant faut que je vois comment gérer le failover car j'ai 2 DC.

Ces conf sont un peu un enfer en fait et à chaque fois que t'as les mots magiques "samba, AD et kerberos" dans un post sur n'importe quel forum, tout le monde disparaît

Le pire c'est que ça ne soit pas plus facilement intégré dans les distrib, pour un protocole qui a 30 ans passé et pleinement documenté.

Moi aussi j'ai du mal à comprendre cette complexité de mise en oeuvre. C'est comme si sur windows tu devais bidouiller la BdR dans tous les sens pour que ça marche.

Le problème c'est que ça a aussi pas mal changé entre les distrib. Certains disent de ne surtout pas mettre winbind alors que d'autres disent que c'est indispensable, pareil pour la conf lsap/nscd/nslcd, sur les redhat like, sssd semble être super facile à mettre en place mais pas sous debian, bref, c'est un merdier sans nom  

samba: serveur membre ou controleur de domaine
sssd: client du domaine
Pour les tutos les seuls qui vaillent la peine sont ici: https://wiki.samba.org/index.php/User_Documentation

 
Dites moi avec l'installeur de debian y a moyen de faire du lvm encrypt avec la taille de partition qu'on veut?
 
J'ai bien vu le mode manuel, mais si je peux faire du LVM, impossible de faire du lvm encrypt.
Par contre semble possible de faire de l'ext4 encrypté mais ce n'est pas la même chose.

normalement cest possible, oui. faut le faire en plusieurs étapes
1/ définir le volume luks
2/ créer le lvm
3/ créer les lv que tu veux
 
Une fois cela fait, on choisit le lv pour root, boot etc..
graphiquement c'est un peu le bordel, par contre

Ah c'est l'étape 1 que j'ai du rater mais je croyais que çq se faisais directement au moment de créer le lvm. ( chez opensuse c'est bien à ce moment là que c'est fait )

Je viens de config une machine avec auth ssh via SSSD, c'est quoi la méthode la plus propre pour limiter les login de certaines personnes/groupes à des plage horaires genre 8h-17h ?
 
Vous feriez ça dans le fichier /etc/security/time.conf ?

Bon si ça intéresse du monde cette histoire de plage horaire
 
rajouter  
 

 
dans /etc/pam.d/sshd juste avant la ligne

 
ensuite il faut éditer /etc/security/time.conf avec un truc du genre
 

 
qui limite les gens sauf root en ssh les jours de semaine entre 07h30 et 17h30
 

Et s'ils sont déjà connecté, ça les coupe etc?
Genre ça prévient attention ça va couper dans X minutes puis ça coupe à 17h30? ou c'est juste la reconnexion/connexion qui est impossible?

Ok; j'ai trouvé comment faire même si pas forcément ultra intuitif, merci.  

C'est pour éviter que tes salariés bossent trop?
 
(Nan, j'imagine que c'est pour réduire la surface d'attaque en ssh?)

c'est ça; chaque couche est en 2 etapes. faut la créer,puis valider, et passer à la couche au dessus.
Il y a peu, j'ai installé une debian 12 en partitionnage manuel, avec du raid/mdad, puis du luks, puis du LVM
A la fin, l'affichage ne ressemblait plus à rien

Tien petite question d'ailleurs, je viens de refaire l'installation en pétitionnant comme je veux et ça ras ça marche au poil.
Par contre j'ai été surpris (et ce n'est pas une erreur vu que j'ai eu le cas sur les 2 installations) de voir qu'une fois installé il n'activait pas les dépôts en ligne si on a fait une installation à partir de l'iso DVD.  
(alors que lors de l'installation je l'ai bien connecté au wifi et qu'il a téléchargé en ligne les majs).
 
Très surprenant comme choix.
Rien d'insurmontable (je vais les remettre) mais c'est dommage de ne pas laisser le choix d'activer ou pas les dépôts comme c'est fait "ailleurs".

Je viens de tester pour mon pc portable asus sur lequel je teste debian.
Le modèle est bien supporté, sauf qu'à l'exécution il lui manque 2 modules dans le kernel :
"Module ec-sys not found in  directory /libl/modules/...."
"Module acpi_ec not found in  directory /libl/modules/...."

Tu n'as pas eu ce genre de problème?

EDIT: ça marche quand même même si ce n'est pas parfait.
Le ventilo s'enclenche bien plus tard.

Nop, si t'es déjà connecté ça garde ta session ouverte. Par contre, reconnex impossible.

Yep, limitation de la surface d'attaque même si c'est connex par clé uniquement et uniquement dans le range d'adresses ip du taf. #parano

Non pas eu de soucis.
Sur un autre portable par contre, nbfc semble bien actif, mais le ventilo ne se comporte pas différemment avant/après installation de nbfc. Donc c'est la roulette, quand ca marche c'est bien.