Fake user-agent pour w3m

$ cat /home/gac/.w3m/config
user_agent Mozilla/5.0 (X11; U; Linux i686; en-US;) Gecko/2007 Firefox/2.0.0.3 (Debian)

$ w3m -config ~/.w3m/config http://url

Info: firefox pour se connecter sur des ports non-http

http://www.redbrick.dcu.ie/~d_fens/articles/Firefox:_This_Address_is_Restricted

about:config
add new string
network.security.ports.banned.override
value 0-65535

Documents d'aide a l'administration des MacOS X, Windows et Solaris

La NSA fournit des documents de configuration pour MacOS X, Windows et Solaris

http://securite.reseaux-telecoms.net/actualites/lire-quand-les-barbouzes-se-lancent-dans-la-formation-15827.html
http://www.nsa.gov/snac/downloads_os.cfm?MenuID=scg10.3.1.1

Convertir un certificat ssl .pem en .p7b (PKCS#7)

MS-Outlook 2003 n'accèpte que les certificats vérifiés par des certificats "root".
Il faut donc, soit payer pour que son certificat soit reconnu, soit demander a la partie client d'ajout le certificat public du service.

Après longue recherche j'ai trouvé comment convertir un .pem en .p7b (importable dans MS-Outlook 2003, via la gestion des certificats de Windows)

openssl crl2pkcs7 -certfile file.pem -nocrl -outform PEM -out file .p7b

[Firehol-support] UNROUTABLE_IPS / RESERVED_IPS outdated

Subject: [Firehol-support] UNROUTABLE_IPS / RESERVED_IPS outdated
From: James Byers <jbyers@jbyers.com>
Date: Fri, 25 Aug 2006 17:18:05 -0700
To: firehol-support@lists.sourceforge.net

I wanted to give everyone a head's up about UNROUTABLE_IPS, specifically
RESERVED_IPS. The IANA reserved network list that firehol 1.226 uses is
quite out of date, so if you follow the example config in the docs and
restrict traffic from UNROUTABLE_IPS, you'll be blocking a wide swath of
legitimate Internet users.

By my reading of the IANA assignment doc
(http://www.iana.org/assignments/ipv4-address-space), the following IP
ranges should be removed from the exclusion list:

041/8
073/8
074/7
076/8
089/8
090/7
121/8
122/8
123/8
124/8
125/8
126/8
189/8
190/8

This was filed a while back by someone else as a bug, but I figured it
was serious enough to send to the list as well. At least for us, this
resulted in some pretty unpleasant troubleshooting.

http://sourceforge.net/tracker/index.php?func=detail&aid=1475053&group_id=58425&atid=487692

Otherwise, firehol's great. :)

James

_______________________________________________
Firehol-support mailing list
Firehol-support@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/firehol-support

Pour ceux qui cherche ziyi_key_2007.asc

Ne cherchez plus...

http://ftp-master.debian.org/archive-key-4.0.asc

-----BEGIN PGP PUBLIC KEY BLOCK-----
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==
=CGAD
-----END PGP PUBLIC KEY BLOCK-----

Mon ami sed

Voici une faq à propos de sed

http://www.ptug.org/sed/sedfaq.htm

Abusez-en !

A quoi servent les robots

Une petite BD sympatique...
http://www.savoir-sans-frontieres.com/JPP/telechargeables/Francais/A%20QUOI%20REVENT%20LES%20ROBOTS.pdf

Rsync over webproxy : config squid et rsync

Pour que le rsync passe par le proxy. Il faut,

Pour l'admin :
- autoriser le rsync via le proxy (editer /etc/squid/squid.conf)
acl RSYNC_ports port 873
acl Safe_ports port 873
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports !RSYNC_ports
acl lan src 192.168.0.0/255.255.255.0
http_access allow lan

Pour l'utilisateur :
- positionner la variable d'env RSYNC_PROXY=proxyhost:proxyport
- utiliser
rsync [options] rsync://server/target [...]
a la place de
rsync [options] server/target [...]

Exemple:

export RSYNC_PROXY=proxy.strasbourg.4js.com:3128
rsync -n -avz rsync://ftp.rfc-editor.org/rfc-ed-all rfc

Listes des préfixes téléphonique internationaux

Voici une liste des préfixes téléphoniques:
http://en.wikipedia.org/wiki/List_of_country_calling_codes

Prefixe telephonique (suite)

http://en.wikipedia.org/wiki/Telephone_numbering_in_Asia
http://en.wikipedia.org/wiki/List_of_country_calling_codes

Téléphonie sur IP (VoIP) : L'avenir avec SIP

http://www.figer.com/Publications/Sip.htm

http://www.techno-science.net/index.php?onglet=glossaire&definition=1463

SIP pour MacOS X : http://www.voip-info.org/wiki/index.php?page=MacOS+X

Logiciel pour voir la clef utilisé lors de l'install de windows XP

http://www.download3k.com/System-Utilities/Benchmark-Utilities/Download-RockXP.html

Choisir les ports ouverts pour le NFS sur RHEL

Afin de permettre de firewallé correctement...

editer: /etc/sysconfig/nfs

RQUOTAD_PORT=... ;# TCP/UDP
MOUNTD_PORT=... ;# TCP/UDP
LOCKD_TCPPORT=... ;# TCP
LOCKD_UDPPORT=... ;# UDP
STATD_PORT=... ;# TCP/UDP
#STATD_OUTGOING_PORT=? ;# (output only)

Erreur de traduction ou humour de l'auteur du virus ?

J'ai lu cet article et il y avait quelques choses qui me travaillait.
Lisez-le rapidement...

Source: http://www.branchez-vous.com/actu/06-11/10-335701.html

L'auteur parle de "virus qui se présentait [...] comme des bagues en or".
Est-ce la, la réalitée ? Je ne connai pas ce jeu et je ne sais pas s'il est question de personnages qui échange des objets dont des bagues en or.
Ce dont je suis certain est qu'en anglais il existe un mot qui a la même sonorité : backdoor (bague d'or).
Certains virus utilisent des backdoors (dont la traduction francaise serait plutot "portes dérobées") et pour le grand publique "backdoor = virus".

Je ne sais donc pas c'est une erreur de traduction de la part du rédacteur
Ou s'il s'agit d'un touche d'humour de la part de l'auteur du virus ?

Le mystère reste entier ;-)

<contenu au 2006.11.22 >

Virus: Second Life ferme temporairement

La communauté virtuelle Second Life a fermé temporairement ses portes dimanche dernier après avoir été attaquée par un ver informatique.

Le virus se présentait dans la communauté virtuelle comme des bagues en or. Si un utilisateur du monde virtuel touchait à l'une de ces bagues, elle se dédoublait alors. En
peu de temps, la multiplication de ces bagues a ralenti considérablement les serveurs de Linden Lab, la compagnie derrière le monde virtuel.

«Une attaque informatique ralentit actuellement notre serveur, ce qui cause à son tour un ralentissement des activités dans notre monde virtuel, pouvait-on lire dimanche
dans le blogue de Linden Lab. Nous avons isolé le [logiciel malveillant] et nous nettoyons actuellement le serveur», était-il écrit.

Selon plusieurs sources sur Internet, le monde virtuel n'aurait toutefois été fermé que pendant environ 21 minutes.

À la mi-septembre, Second Life a aussi été victime d'un vol de données confidentielles concernant 650.000 de ses membres. Les informations volées à ce moment par les
pirates pouvaient comprendre leur vrai nom, leur adresse postale ainsi que leur numéro de carte de crédit, avait indiqué la compagnie.

Avec son million et demi d'utilisateurs inscrits, Second Life commence à attirer les pirates informatiques et le monde virtuel pourrait de plus en plus être la cible
d'attaques informatiques d'ici les prochains mois, estime certains experts.

<contenu>

Vulnérabilités critiques dans AVG Free Edition (14/11/2006)

http://www.secuser.com/communiques/2006/061114_avg.htm

Logiciels vulnérables :
- Grisoft AVG 7.1.406 et versions inférieures

HP: Info garantie

http://h20000.www2.hp.com/bizsupport/TechSupport/WarrantyLookup.jsp

Les différents logo Vista

L'article :
http://www.informationweek.com/news/showArticle.jhtml?articleID=193500969

Les logos:
http://i.cmpnet.com/techweb/reviews/vista/vvid_logos1.jpg

(DRAFT) Voir et masquer les versions d'apache, php, sendmail, postfix, exim, sshd, bind9, vsftpd, wu-ftpd...

VOIR les versions:

## APACHE/PHP ##
w3m -dump_head $SERVER

cat <<EOF | nc $SERVER 80
GET / HTTP/1.0

EOF[+enter]

(lynx ???)
(telnet ???)

## SSH ##
ssh-keyscan -v $SERVER

## MAIL ##
echo QUIT | nc $SERVER 25
echo QUIT | telnet $SERVER 25
(echo QUIT | telnet-ssl $SERVER 25 (pour le tls ??))

## DNS (bind 8 et 9) ##

dig version.bind chaos txt @$SERVER

cat <<EOF | nslookup - $SERVER
set class=chaos
set q=txt
version.bind
exit
EOF

CACHER les versions:

## APACHE 2 ##

file: /etc/apache2/apache2.conf
ServerTokens Prod

file: /etc/apache2/sites-enabled/000-default
<VirtualHost *>
[...]
ServerSignature Off
[...]
</VirtualHost>

## PHP ##

file: /etc/php4/apache/php.ini
expose_php = Off

## POSTFIX ##
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)

## SSH ##
# Recompilation necessaire (non recommandée, la version est utile au client)
file: /usr/src/crypto/openssh/version.h.

## BIND9 ##

# (à verifier) named.conf
version "SECURED";

## FTP ##

# vsFTPd
# forcer la valeur de
ftpd_banner "FTP server ready."
# dans vsftpd.conf

# Wu-FTPd
# ajouter 2 lignes:
greeting brief
stat brief
# dans ftpaccess

Benchmark crypto

Suite a l'article de publication des implémentations sous licence libre de l'algorithme de chiffrement Camellia:
https://linuxfr.org/2006/10/19/21497.html

J'ai trouvé ce benchmark d'algorythmes avec leur différentes implémentations:
http://search.cpan.org/src/GUIDO/Crypt-Twofish_PP-0.17/benchmark/benchmark_by_ebytes.html

(DRAFT) Firefox plugins

Essentiel:
. Adblock Plus - Virer la pub ou n'importe quel element !

Securité:
. NoScript - Interdit par défaut les javascript et permet une activation fine
. User Agent Switch - Permet de se faire passer pour d'autre navigateur

CSS:
. Stylish - Permet de remplacé les css des sites par ses css perso
. EditCSS - Récupérer les css d'un site

Fun:
. Fasterfox - permet d'afficher le temps de chargement de la page
. Quick Preference Buttom - ...

Pour garder Internet Explorer 6 : Toolkit to Disable Automatic Delivery of Internet Explorer 7

http://www.microsoft.com/downloads/details.aspx?FamilyId=4516A6F7-5D44-482B-9DBD-869B4A90159C&displaylang=en

Changer l'adresse de l'émetteur avec postfix

- Ajouter dans le fichier /etc/postfix/main.cf :
sender_canonical_maps = hash:/etc/postfix/canonical

- Editer le fichier /etc/postfix/canonical :
user user@domain.com
user@sub.domain.com user@domain.com

- Faire un:
postmap /etc/postfix/canonical

- Puis relancer postfix:
/etc/init.d/postfix reload

http://news.softpedia.com/news/Stop-Viruses-For-Free-37956.shtml

Garantie et infos DELL

Informations de la garantie/maintenance :
http://support.euro.dell.com/support/topics/topic.aspx/emea/shared/support/my_systems_info/fr/details?~tab=1

Liste du matériel et composants d'origine :
http://support.euro.dell.com/support/topics/topic.aspx/emea/shared/support/my_systems_info/fr/details?~tab=2

(url: octobre 2006)

Infos sur les machines IBM (date d'achat, fin de garantie)

Infos Necessaire:
- Type/Modèle
- Numéro de série

http://www.pc.ibm.com/support?page=pewselect

DELL rappel un certain nombre de batteries DELL fabriquées entre 2004 et 2006

Merci de suivre au plus vite ( vous pouvez détacher la batterie de votre
portable si l'alimentation externe est branchée ) les instructions
données sur ce site :

https://www.dellbatteryprogram.com/Default.aspx?LN=fr-FR

Carte réseau gigabit sous linux

Une carte reseau 3com pas chère qui est reconnue sous linux:
La 3C940, reconnue avec le chipset "Yukon Chipset / SysKonnect SK-98xx"
modprobe sk98lin

(info un peu ancienne mais toujours bonne à prendre)

Recommendation pour la config des systemes RAID

La capacitée maximale d'un disque varie selon le constructeur.

Lorsque l'on met en place des grappe RAID avec plusieurs gros disques (160 Go, 250 Go, 300 Go, 500 Go, ...)
Il est prudent de ne pas utiliser la totalité du disque mais d'enlever quelques Go, pour être certain que s'il y a un problème on puisse le remplacer par un disque d'un
autre constructeur (ou simplement d'une autre série) et ceci même si sa taille est inférieure.

Exemple: pour les disques de 300 Go, utilisez le max moins 2 à 5 Go.

Note: Je n'ai pas fait d'étude particulière sur les variations de taille entre les constructeurs.

check cvs access v1.1

#!/bin/sh

ls -d /path/to/cvs/*/REPOSITORY/CVSROOT |while read dir
do
echo "### CVS: $dir"
if [ ! -f $dir/passwd ]; then
echo "# Pas de fichier passwd, droits system"
ls -ld /prod /prod/devel
ls -ld $(dirname $(dirname $dir))
ls -ld $(dirname $dir)
ls -ld $dir
echo "### END"
echo
echo
continue
fi
awk -F: '{print $1}' $dir/passwd |grep -v '^$' |sort > /tmp/ro
if [ ! -f $dir/writers ]; then
echo "# Pas de fichier writers, tous les users ont access rw:"
cat /tmp/ro
else
awk -F: '{print $1}' $dir/writers |grep -v '^$' |sort > /tmp/rw
echo "# User rw (fichier writers):"
cat /tmp/rw
echo ""
echo "# Personne ayant les droits de lecture (car compte encore present):"
echo "# Legende: - = read only"
echo "# Legende: + = a nettoyer: pas de compte mais encore present dans readers/writers"
diff -u /tmp/ro /tmp/rw|grep -- '^[+-]\+' | grep -v '^[-+]\{3\} /tmp/r[ow]'
fi
if [ ! -f "$dir/readers" ]; then
echo "# Pas de fichier readers."
else
echo "# Fichier readers:"
cat $dir/readers 2>&1
fi
echo "### END"
echo
echo
done

steghide : Steganographie numerique, test de camouflage

A l'aide de l'outil steghide,
j'étais curieuse d'établir le ratio de quantitée de données à cacher dans des données de bruit.

Image orig 217ko, donnée à cacher 13ko, résultat total 218ko.

Ratio: 60% (= 13 / 218)
Donnee de bruit nécessaire = 15.5 x donnee a cacher

Le test a été fait à l'aide d'une image jpeg trouvé sur Internet (qui contient assez de détails).
Les données a cacher ont été générée a partir d'une source pseudo-aléatoire (/dev/urandom) pour éviter tout effet de bord d'algorythme de compression.

PGP/GPG key id de plus de 8 caracteres (16 caracteres)

Pour les details voir la man.

gpg --list-keys
gpg --list-keys --keyid-format short

pub 2048R/BE8A0FAB 2006-07-24 [expires: 2007-10-01]
uid US-CERT Publications Key <us-cert@us-cert.gov>

gpg --list-keys --keyid-format long

pub 2048R/EC4E1771BE8A0FAB 2006-07-24 [expires: 2007-10-01]
uid US-CERT Publications Key <us-cert@us-cert.gov>

Fun: Compter des lignes facon geek

Tu souhaite compter le nombre de ligne d'un morceau de texte?

das un terminal, tape:
cat <<EOF|wc -l [+entrer]

puis colle le texte

[+entrer]
EOF [+entrer]

RSH/RLOGIN protocol de merde!

Si vous essayez cette commande:
rsh -l user server 'command ...'
et que vous obtenez ce message :
poll: protocol failure in circuit setup
c'est un problème de firewall!

# Voici des infos pour ouvrir les ports necessaire au fonctionnement de cet infame protocol rsh

# Le rlogin, similaire au telnet necessite que le port tcp/513:

server_rlogin_ports="tcp/513"
client_rlogin_ports="default"

# Le rsh par contre execute une serie d'échange sensé vérifier l'authentification
# les port tcp 514, 1022 et 1023 ...

server_rsh_ports="tcp/514"
client_rsh_ports="any"

server_rshreply_ports="tcp/1022 tcp/1023"
client_rshreply_ports="514 1022 1023"

# L'échange resemble à ca:
#client 1022 -> 1022
#client 1023 -> 514
#server 1022 <- 1022
#server 1023 <- 514
#server 514 <- 1023

PunBB: désactiver le mode Maintenance manuellement

Le moteur de forum PunBB a un mode maintenance, qui bloque tout sauf l'accès administrateur.
Mais il ne faut surtout pas se délogger, sinon on ne peut plus se relogger.
Si comme moi vous avez tout de même essayé pour voir ce que ca fait,
voici un facon de débloquer le forum manuellement.

# Se connecter a la base de donnée (mysql)
mysql -u mon_user -p
# (puis entrer le mot de passe)

use nom_de_la_base;

# Affiche le mode maintenance :
mysql> select * from forum_config where conf_name='o_maintenance';

# Virer le mode maintenance :
mysql> update forum_config set conf_value='0' where conf_name='o_maintenance';

# PunBB a un mecanisme de cache:
rm cache/cache_*

"BootVis", ou comment accélérer le démarrage de Windows XP

http://www.microsoft.com/France/windows/xp/pro/utilisez/info/info.asp?mar=/France/windows/xp/pro/utilisez/info/20020709-Bootvis.html

http://www.microsoft.com/hwdev/platform/performance/fastboot/BootVis.asp

Test rapide de bande passante

Voici comment facilement générer un trafique maximal a l'aide d'ssh:

- Test d'upload, débit montant (trafique de server1 vers server2)

user1@server1$ cat /dev/urandom | ssh user@server2 'cat - >/dev/null'

- Test d'download, débit descandant (trafique de server2 vers server1)

user1@server1$ ssh user2@server2 'cat /dev/urandom' >/dev/null
ou
user1@server1$ ssh user2@server2 'cat /dev/urandom' | cat - >/dev/null

On pourra remplacer /dev/urandom par /dev/zero mais avec attention à ce que la compression ssh ne soit pas activée ;D

Compiler et utiliser un module perl

Il y a le bien connu shell interactif:
perl -MCPAN -e 'shell'

Mais vous pouvez aussi:
- télécharger les sources et décompresser les.
- executé les commandes:
perl Makefile.PL PREFIX=~/myperl
make
make test
make install



Puis dans le script perl:
#!/usr/bin/perl -w
use strict;
use lib "$ENV{'HOME'}/myperl/lib/perl/5.8.7";
use Le::Module;

Interdire totalement la modification des aliases actifs

L'idée de départ est que dans la plus part des utilisations on ne modifit pas ses aliases.
Voici une facon (certes un peu laide) de verrouiller et d'empecher toute modification des aliases actifs:

alias unalias='echo denied'
alias buildin='echo denied'
alias command='echo denied'
alias enable='echo denied'
alias alias='echo denied'

Remarque:
Une fois ces commandes executées il n'y a, à ma connaissance, aucun moyen de revenir en arrière (excepter relancer un autre bash).

On pourrait vouloir ajouter ces commandes dans son .bashrc mais attention au effet de bord:
Il y a peut-etre des scripts qui ont besoin d'utiliser les commandes que l'on a verrouillé...

IA inside !

Excellent ;-D

http://rocbo.lautre.net/h_dumazet/IA.html

Restreindre l'accès ssh (via le fichier authorized_keys)

man 8 sshd décrit le format complet (authorized_keys, known_h...)

Pour restreindre à la commande cvs uniquement :
command="cvs server" ssh-rsa AAAAB3NzaC1yc2EA...........

Pour restreindre à un domain uniquement :
from="*.domain.fr" ssh-rsa AAAAB3NzaC1yc2EA...........

rsync et tar, utiles pour les restaurations de sauvegarde ou duplication de données

en local de volume a volume:

(cd /mnt/source ; tar -l -cf - .) | (cd /mnt/dest && tar --numeric-owner -xvf -)

cd /mnt/source ; rsync -a -H --numeric-ids --delete-after --progress . /mnt/dest

Mot de passe BIOS

http://www.uktsupport.co.uk/reference/biosp.htm

Récupérer un packet avec apt

Récupérer un packet debian, pour l'installer ailleur...

1) aptitude download packagename
2) apt-get -d --reinstall install packagename
Note: Le --reinstall sert a le telechargé meme sil est déjà installé.

Il sera ensuite dans le repertoire de cache d'apt, habituellement:
/var/cache/apt/

Sinon regardé dans la config d'apt,
Ou executé les 3 lignes suivantes:
eval `apt-config shell cachedir Dir::Cache`
eval `apt-config shell archivesdir Dir::Cache::archives`
cd "$cachedir/$archivesdir"

Jouer avec aptitude

Une découverte stupéfiante!

Il vous arrivera sans doute de faire des mises à jour et que tout soit cassé...
... ensuite vient alors la phase de prise de tete pour tout refaire fonctionner.

Heureusement les développeurs d'aptitude ont pensez a vous, lorsque tout refonctionnera vous auriez droit a une petit partie de démineur !


Tape [?] pour obtenir de l'aide.

Envoi de donnees chiffrées à plusieurs personnes

Les 3 grands types d'algo de crypto que je connaisse:
- algo de hashage
- algo a clef symétrique
- algo a clef asymétrique


But:
- diffuser des données a plusieurs personnes de facon sécurisé que seul ces personnes pourront lire

Solution classique:
- utilise des clefs asymétrique

Contrainte:
- Economiser la bande passante

Problématique:
- Il faut chiffrer les données pour chaque destinataire
- Si les données sont d'une très grande taille, la somme des données a émettre sera énorme.


Solutions envisagées:

Version 1:
- chiffrer les données avec un algo symétrique a l'aide d'une (longue) passphrase
- pour chaque destinataire chiffrer avec un algo asymétrique la passphrase utilisée
Résultat: chacun peux déchiffrer la passphrase puis déchiffrer les données

Version 2:
- générer un paire de clef asymétrique pour cette transaction
- chiffrer les données avec la clef publique
- pour chaque destinataire chiffrer la clef privée.
Résultat: chacun peux déchiffrer la clef privé puis déchiffrer les données

Une variante de la version 2:
- tout pareil mais en protégeant la clef privé par une passphrase qui sera transmisse par un autre moyen.
Comble: cet autre moyen peut être la version 1 ou 2 ;-)

Le choix de la version 1 ou 2 dépendra de la robustesse de la solution face aux attaques et au niveau de sécurité voulu.
Note: la création de clef asymétrique est un élément lourd en calcul/temps (due à l'addiction à l'entropie)

rsync crypto

A noter qu'il existe rsyncrypto...

http://sourceforge.net/projects/rsyncrypto

Les sauvegardes ultimes distantes en milieu hostile

Version 1.

Je fais mes sauvegardes via rsync over ssh sur un serveur de confiance.

Version 2.

Un espace de stockage distant dit de confiance a un cout.
Souvent il faut payer pour avoir un serveur dédié.
Par contre les espace de stockages sans garantie de fiabilité
et surtout sans garantie de confiance, sont bien plus facile a trouver.

On peut détourner des comptes emails gratuit offrant un espace de quelque Go (exemple: gmail.com)
Ou des ftp gratuit (exemple: free.fr)

Mais sauvegarder des données sensible la dessus serait suicidaire.
Il faut donc les chiffrer.
Notre copain gpg est la!

Je fais donc mes sauvegardes de fichiers crypté avec gpg et transféré via rsync over ssh (ou autre).

Version 3.

Dans la branche de solution de transfert, partons du principe que l'on a toujours la possibilité d'utiliser rsync over ssh.
Le problème de la version 2, est que l'on sauvegarde des version chiffré des données.
Il est fortement probable que même si les données ne changent pas, leur version chiffrées changent.
Donc on se retrouve a sauvegarder quasiment tout, a chaque fois.
On perd donc en temps/bande passante.
Le problème est donc de déterminer les éléments a sauvegarder de ceux inchangés.
Solution, il suffit de constituer un catalogue des sommes de controle (md5sum par exemple) de chaque éléments.
a coté de chaque fichier .encrypted on aura un .md5sum (de son original non chiffré).

Il suffit donc de comparer les sommes de control.

Version 4.
(a reflechir)

Le problème de la version 3 apparait lors de la manipulation des gros fichiers.
Imaginons le cas d'un gros fichier de log. Une ligne est ajouté dans ce gros
fichier de logs, sa somme de controle change, il faut donc sauvegardé ce fichier.
La version 3 transferait tout le fichier, grosse perte de temps/bande passante.
Il serait difficile de transferer les diffs (encore plus dur pour reconstruire le fichier apres une multitude de modification...)
Je ne choisi pas cette voix (car j'ai déjà les version suivante en tete).
Note: il faudra étudier la faisabilité des diff ;-)

Je choisi de faire des segments, découper les gros fichier en plusieurs morceau et appliquer exactement la meme chose qu'en version 3.
On peux aussi envisager de faire varier la taille des segments et/ou de rajouter des données aléatoires de padding pour tromper sur la quantité de données utiles qu'il
contient.

Version 5.

Je ne souhaite pas que quelqu'un ayant accès a mes sauvegardes puisse comprendre quel partie a de la valeur.
Si sur l'espace de sauvegarde les segments chiffrés sont rangé dans une arborescence identique a celui du serveur d'origine.
Une personne malvaillante pourra facilement identifier ou sont placé mes clefs, ou certificats et tenter alors de cracker uniquement ces segments précis.

Il faut donc cacher l'arborescence des éléments sauvegardés.
L'idee est simple, chaque segment est nommé par un numero unique (meme principe que les inodes sur un FS), et le catalogue identifit leur chemin.

Version 6.
(a reflechir)

Le problème du catalogue.
Si le catalogue reste sur la machine d'origine, si l'on perd le disk et ses données, sans catalogue impossible de restaurer correctement l'archive.
Il faudrait penser a ce que dans chaque segment, soit indiqué sa ou ses position dans le filesystem.
mais on risque de tomber dans les cas ou on est face a un ensemble de segment plus ou moins recent et de ne plus savoir lequel il faut restaurer.
Note: le probleme n'a pas encore ete assez creusé.

Version 7.

Pour les fan de parano ultime...
On peux envisager de camoufler tous ces segments chiffré dans des images ou dans d'autres éléments.
mais cela implique de bien maitriser les ratio de données camouflable/données totale.
Autant c'est facile a faire pour des petites données autant je doute que ca le soit pour de grande quantitée.

A suivre ;-D

Apache2: Redirection http et renommage à la volée

Sur apache2, sans la section virtualhost:
Redirection http:
Solution 1:

       RewriteEngine On
     RewriteRule ^(/.*)$ http://www.monsite.com$1 [R]

Solution 2:

       RedirectMatch (.*)$ http://www.monsite.com$1

Solution 3:

       Redirect / http://www.monsite.com/

Renommage a la volée:

Pour un site sur port 80:

       RewriteEngine On
     RewriteCond %{HTTP_HOST}   !^www\.monsite\.com [NC]
     RewriteCond %{HTTP_HOST}   !^$
     RewriteRule ^/(.*)         http://www.monsite.com/$1 [L,R=301]

Pour un site sur un autre port que le 80:

       RewriteEngine On
     RewriteCond %{HTTP_HOST}   !^www\.monsite\.com [NC]
     RewriteCond %{HTTP_HOST}   !^$
     RewriteCond %{SERVER_PORT} !^80$
     RewriteRule ^/(.*)         https://www.monsite.com:%{SERVER_PORT}/$1 [L,R]

Sources d'aide:
http://httpd.apache.org/docs/1.3/misc/rewriteguide.html
http://www.html.com/forums/apache-web-server/12655-canonical-hostnames-apache2-htaccess.html

Codification de nombres camouflés

Je suis tombé sur ceci:
http://www.bashfr.org/?2234

Puis la question m'est venue:
Comment gerer une quantité importante de média sans que quelqu'un d'exterieur puisse facilement identifier ce qui est noté dessus.
Je ne parle pas du contenu reel.

Il y a une facon simple, c'est de les numéroter.
Mais le problème est que si la personne tombe sur un media numero 182, ou 1430, ca indiquera tout de suite la proportion de media gérée.

J'ai imaginer une facon de camoufler un etiquetage...

Utilisons les voyelles comme des digits.

A : 0
E : 1
I : 2
O : 3
U : 4
Y : 5
000 = AAA
001 = AAE
002 = AAI
003 = AAO
005 = AAY
010 = AEA
011 = AEE

Le moyen de le camoufler est simple, construire des mots incompréhensible contenant le code.

000 = AAA => Carada
001 = AAE => Jafaje
002 = AAI => Wafadi
003 = AAO => Talati
005 = AAY => Halapo
010 = AEA => Lasacy
011 = AEE => Lameve

Evidement A-Y forme une base 6, l'idéal serait d'avoir une base 10
Il nous faut donc trouver 4 autres symboles.
par exemple:

"a" : 0
"e" : 1
"i" : 2
"o" : 3
"u" : 4
"y" : 5
"." : 6
"/" : 7
":" : 8
"-" : 9

182 = e:i => Gef:ni
3769 = o/.- => Ton/D.b-

ou bien jouer sur les majuscules/minuscules:

a : 0
e : 1
i : 2
o : 3
u : 4
y : 5
A : 6
E : 7
U : 8
Y : 9

182 = eUi => CerUmi
1430 = euoa => TeduKoka
3769 = oEAY => LomEPAFYg

Il y a encore énormement de variante possible, comme celle de décaler l'ordre de la liste des symboles en fonction du rang.

exemple

43210
^^^^^
||||`---- dans la liste +0
|||`----- dans la liste +1
||`------ dans la liste +2
|`------- dans la liste +3
`-------- dans la liste +4

Liste +0:  Liste +1:  Liste +2:
a : 0          1          2
e : 1          2          3
i : 2          3          4
o : 3          4          5
u : 4          5          6
y : 5          6          7
A : 6          7          8
E : 7          8          9
U : 8          9          0
Y : 9          0          1