Krypte - 2025-07-12

  1. tycho actu intéressante au sujet du pillage des adresses IP (ressource immatérielle) en Afrique : https://next.ink/191559/la-guerre-des-ipv4-en-afrique-menace-la-gestion-mondiale-dinternet/
  2. tycho sur le même sujet (et sans paywall) : https://www.bortzmeyer.org/menaces-de-cloud-innovation.html
  3. vv221 Pillage des IPv4 précisément, qui sont des ressources qui prennent de plus en plus de valeur. Là où les IPv6, ça ne vaut pas grand chose (sur le plan commercial).
  4. vv221 Mais c’est "amusant" de voir qu’on trouve toujours de nouvelles manières de piller l’Afrique.
  5. tycho ouais
  6. tycho perso j'aimerai vraiment qu'on migre vraiment sur IPv6
  7. tycho j'en ai raz le bol des IPv4
  8. tycho et j'aime pas des masses toutes les docs des logiciels divers et variés qui ne prennent en compte que l'IPv4…
  9. vv221 Ici j’ai surtout hâte de pouvoir me débarasser de nftables en même temps que d’IPv4.
  10. Link Mauve J’avais essayé de compiler un kernel sans support de l’IPv4 pour tester, mais l’IPv6 dépend de l’IPv4 dans la config…
  11. Link Mauve C’est vraiment pas pratique.
  12. vv221 Après conserver la prise en charge de l’IPv4, ça ne me dérange pas. Pour les LAN.
  13. Link Mauve Tout sur mon LAN se passe en IPv6, donc pour cette utilisation je n’en ai pas besoin.
  14. vv221 Mais tant qu’à faire, réservons tout 0.0.0.0/0 (pas sûr que ce soit une notation CIDR valide) à l’utilisation locale.
  15. vv221 Pour moi les IPv4 restent plus facile à retenir et taper à la main, d’où l’intérêt en LAN.
  16. Link Mauve J’utilise DNS pour ne pas avoir à retenir des adresses IP.
  17. vv221 Je ne possède pas mon routeur, ça complique ce genre de chose.
  18. Link Mauve Pourquoi ?
  19. Link Mauve J’utilise la box de mon FAI ici.
  20. vv221 Bah oui, moi aussi.
  21. vv221 Donc je suis limité à une espèce de Web UI complètement pétée.
  22. Link Mauve Tu te sers de ça pour quoi ?
  23. vv221 En plus ça ne va fonctionner que pour les machines des visiteurs n’utilisant pas de VPN, ni de DNS spécifiques.
  24. vv221 Pour définir des entrées DNS, il faudrait bien que je passe par cette UI Web.
  25. Link Mauve Ah non, les domaines de mes machines sont publiques, en *.linkmauve.fr, et donc accessibles partout tant que tu as de l’IPv6.
  26. Link Mauve J’utilise mon propre serveur DNS, pas sur la box mais sur l’un de mes serveurs.
  27. vv221 Ah OK, je comprends mieux.
  28. vv221 Ici je continue à déléguer la zone DNS, mais il faudrait que j’arrête de faire ça.
  29. Link Mauve C’est franchement pas la partie la plus compliquée à auto-héberger.
  30. vv221 L’interface fournie par Infomaniak est moisie, donc je passe par le mode "avancé", autrement dit l’édition directe du fichier de zone. Alors autant faire ça localement avec vim.
  31. Link Mauve Yep.
  32. vv221 Faut juste que je trouve un moment avec rien d’autre de plus intéressant/important/urgent à faire.
  33. Link Mauve Y a que le DNSSEC et la réplication sur des NS secondaires qui sont un peu compliqués, mais une fois setup ça roule sur des roulettes.
  34. vv221 Ce qui peut prendre quelques mois, voire années ;)
  35. tycho oareil chez bookmyname, mode avancé pour éditer le fichier de zone ^^
  36. tycho pareil chez bookmyname, mode avancé pour éditer le fichier de zone ^^
  37. vv221 Pas de NS secondaire pour moi si j’auto-héberge.
  38. Link Mauve Oh ?
  39. vv221 (je n’ai pas de machine secondaire pour ça)
  40. Link Mauve J’utilise celui d’une amie.
  41. vv221 Pour rappel je n’ai même pas de serveur dédié en premier lieu ;)
  42. tycho c'est pas bien grave de pas avoir de NS secondaire
  43. Link Mauve Je crois que la plupart des registres obligent à en avoir au moins un.
  44. tycho au pire s'il y a une panne, c'est généralement pas des infras critiques les trucs perso, j'ai déjà eu des downtime de quelques jours (pour d'autres raisons) et m'en susi remis sans le moindre soucis
  45. vv221 Et DNSSEC, ça sent la grosse flemme aussi.
  46. Link Mauve C’est très pratique pour éviter le spoofing.
  47. vv221 Bah là, s’il y a panne du DNS auto-hébergée… c’est qu’il y a aussi panne de tous les services derrière.
  48. Link Mauve Ça permet aussi de setup DANE, et donc de diminuer la reliance aux CA.
  49. vv221 Link Mauve, c’est aussi la promesse de SPF / DKIM / DMARC. En pratique j’ai observé une grosse complexification pour les admins amateurs, et zéro amélioration de la sécurité.
  50. Link Mauve SPF rien à voir, les deux autres je ne connais pas assez pour comparer.
  51. Link Mauve SPF ça décrit juste dans le DNS quelles adresses IP sont autorisées à envoyer du mail.
  52. vv221 DKIM c’est de la signature servant en théorie à prouver l’origine.
  53. Link Mauve Mais pareil sans DNSSEC tu ne peux pas réellement y faire confiance.
  54. Zatalyz juste pour dire, si vous avez envie de nous aider à mettre en place ipv6 sur les serveurs de Khaganat et Numenaute, on serait content, hein...
  55. Zatalyz et on pourrait aussi gérer du DNS redondé sur nos serveurs, si vous voulez :P
  56. Zatalyz par contre on ne vire pas nftables, j'ai enfin compris comment l'utiliser ^^
  57. Zatalyz (à peu prêt)
  58. Zatalyz vv221 tu lui reproche quoi d'ailleurs ?
  59. vv221 Je lui reproche d’exister ;P
  60. vv221 Sans IPv4, je n’en aurais pas besoin du tout, donc plus besoin de me prendre la tête avec sa configuration.
  61. vv221 (le but ce n’est pas de le remplacer, mais de simplement le virer)
  62. vv221 Là je suis dans ce genre de situation que je déteste : j’ai une configuration qui fonctionne (modulo quelques problèmes que je dois régler manuellement de temps en temps), mais que je suis infoutu de comprendre.
  63. Zatalyz heu, tu n'utilise pas de parefeu ?
  64. vv221 Non.
  65. vv221 L’intérêt ne me semble pas évident.
  66. Zatalyz remarque c'est pas comme s'il était paramétré aux petits oignons sur nos serveurs... mais ça vient ^^"
  67. Zatalyz après pour tes machines derrière la box, c'est sûr que cette dernière filtre déjà le principal
  68. vv221 Ah, sur le coup la box ne protège rien ici : le VPN donne des IPs publiques.
  69. vv221 Donc aussi bien l’hôte que les conteneurs sont joignables de partout, par tout le monde.
  70. vv221 (ce qui est le but, pour un serveur ;P)
  71. Zatalyz hum, ça veut dire que tu as une bonne confiance sur tous les paquets installés sur tes machines. Après c'est vrai que sur ipv6 les attaques sont vraiment quasi inexistantes
  72. vv221 Si je n’avais pas confiance, je ne les utiliserais pas ;)
  73. vv221 À savoir que tout est accessible aussi via IPv4 chez moi.
  74. vv221 (sinon je me couperais de trop de monde)
  75. Zatalyz moi j'ai pas les compétences pour tout vérifier, donc : j'ai pas confiance, je rajoute des filtres :P
  76. vv221 C’est justement à cause du besoin de partager une seule IPv4 entre tous les services que je dois utiliser nftables. Qui sert donc uniquement à faire du NAT.
  77. kujiu Je vous interrompt pour lâcher une petite bombe par ici et je repars : https://bitwarden.com/blog/bitwarden-mcp-server/
  78. vv221 kujiu, ceux qui faisaient confiance à Bitwarden ne reçoivent que ce qu’ils méritent depuis le début ;)
  79. Zatalyz ta bombe vient de me confirmer ma résistance à adopter Bitwarden, Kujiu :D
  80. vv221 Perso je ne fais confiance qu’à pass (alias "password manager"), et ce uniquement parce que je saurais à peu près le re-coder from scratch si le besoin se faisait sentir.
  81. kujiu Je suis sur vaultwarden, mais bon c'est le client bitwarden officiel :/
  82. vv221 Ici j’ai éliminé directement tout ce qui passe par un stockage distant des mots de passe.
  83. kujiu Ben pour le coup, c'est hébergé chez moi avec vaultwarden.
  84. Zatalyz le partage de mot de passe est le service qui nous manque, par contre. Mais depuis qu'on a vu que teampass était foireux, j'ai pas réussi à lui trouver un remplaçant en qui j'avais confiance :s
  85. Zatalyz idéalement on ne devrait pas à avoir à partager des mots de passe dans une orga mais bon, dans les faits comme y'a plein de services où on ne peux pas avoir des comptes "individuels mais reliés à la même orga"...
  86. Zatalyz et pour revenir vite fait à nftables (après je vais pioncer), disons qu'après mon ddos j'en suis venue à comprendre son intérêt. Y'a une part de pas de bol, mais aussi en voyant les tentatives d'accès aux divers services dans les logs, je préfère limiter les trucs "à tester"... Mais oui, ok ok, si on maitrise bien la couche applicative, le pare-feu peut être secondaire.
  87. Zatalyz je suis quand même plutôt du genre à prendre trop de précaution qu'à me reposer sur un seul mécanisme, donc je vais continuer à essayer de tout paramétrer de façon sécu :P
  88. vv221 Pour les DDoS (je m’en prends aussi) je passe par des solutions par protocole, vu que de mon expérience c’est un protocle à la fois qui se fait attaquer.
  89. vv221 cf. la mise en place d’un piège à bots, pour les attaques passant par le Web.
  90. vv221 Ou le tarpit sur le port 22, pour les attaques sur SSH.
  91. vv221 Mais bon, la vraie raison, c’est que les pare-feu je trouve ça ennuyeux. Et je ne fais de l’administration système que de manière amusante.
  92. vv221 Pour de l’admin sys chiante, il faudrait me payer ;)
  93. vv221 (et chez ./play.it, personne ne semble motivé à me verser un salaire)
  94. kujiu Tu utilises quoi comme tarpit SSH ?
  95. vv221 endlessh
  96. vv221 https://nullprogram.com/blog/2019/03/22/
  97. vv221 Tu peux le tester sur le port 22 de hal9000.vv221.fr
  98. vv221 Par exemple : ssh -vvv -p22 root@hal9000.vv221.fr
  99. kujiu Merci
  100. kujiu Sympa !
  101. vv221 Ah, j’ai peut-être trouvé exactement ce qu’il me faut pour remplacer rsyslog : https://github.com/hvisage/metalog
  102. vv221 Problème : il n’est pas empaqueté chez Debian.
  103. vv221 Solution : je vais l’empaqueter chez Debian.
  104. vv221 Dernier commit il y a deux ans, c’est le genre de logiciel que j’aime ;)
  105. vv221 Hop, c’est officiel, plus possible de faire demi-tour : https://bugs.debian.org/1109152
  106. vv221 Donc au final, merci rsyslog, cette décision pourrie me permet d’augmenter encore un peu plus ma maîtrise de mon système \o/
  107. kujiu :)