Note (Français/French) : cet article est une aide mémoire sur l’utilisation de nftables nft
, toutefois par habitude je l’ai rédigé en anglais, je m’en suis rendu compte un peu tard, juste avant publication pour quelque chose qui allait être en privé.
Note: this article is just a reminder how to use some nftables instructions.
Use option --handle/-a for displaying handles, which are required for deleting or for insertion for examples.
Create chain, named banned
for example, but don’t use hook and priority:
nft create chain inet filter banned
Before it can be inserted, look for the handle to insert before, for example in the main chain INPUT
from the table filter
from the inet
(IPv4 + IPv6) family:
nft --handle list chain inet filter INPUT
Note: it is possible to look through the whole table with this command nft --handle list table inet filter
, but then all its chains are also displayed.
Add a jump
statement to this newly created chain with the handle previously acquired from above command (replace "${HANDLE}"):
Notes:
list
actions;nft
, use single quotes or escape characters.nft insert rule inet filter INPUT handle "${HANDLE}" jump banned comment '"lookup on the banned list"'
Now there is a jump statement to this newly chain, however the later is empty after creation.
Here how to add an IP address, either IPv4 or IPv6, or even a range, in this list, with a drop
action:
Note: so see a number of packets, the counter
statement is added
nft add rule inet filter banned ip saddr "${IP_ADDR_OR_RANGE}" counter drop
Same than previously, here how to display banned IP addresses, with their dedicated counters:
nft --handle list chain inet filter banned
It is also possible to allow an IP address, just replace the drop
action by accept
; however, because computation is done once a rule is matching, it is almost always better to insert a rule, nft insert rule […]
instead of nft add rule […]
, so it appears at the top of the target chain:
nft insert rule inet filter banned ip saddr "${IP_TO_ALLOW}" counter accept
Gros coup de colère au sujet des NFT et des cryptomonnaies, Daniel GLAZMAN indique clairement sont mécontentement en particulier depuis que des membres du gouvernement s’y intéressent.
« L'enjeu, ce n'est pas de moins bien se déplacer. Au contraire, c'est de mieux s'adapter à nos besoins, et à la fin d'avoir une meilleure mobilité pour tous. » Pierre Leflaive à franceinfo
Ça fait un moment que je suis intéressé par avoir un "dashboard" avec un écran e-ink.
J’ai lu l'article, perso je ne suis pas fan de la techno en frontend, j’espère trouver une solution plus à mon goût, mais au moins ça fonctionne.
Liste humoristique (en anglais) des clichés assez bêtes (marrant) vus et revus dans des œuvres de sciences fictions.
Liste des fonctions utilisées dans les « scripts » proxy, scripts souvent utilisés dans les entreprises pour gérer les connexions.
Quelques détails sur PCIe, dont leurs fonctionnalités nommées GPUDirect, une solution de DMA – Direct Memory Access – ce qui permet de décharger le CPU des transferts de grandes quantités de données.
Je garde le lien pour m’aider dans des projets de ma longue liste de développement.
(Grmph, ce titre m'insupporte)
Voici le chapô :
Une équipe de scientifiques est parvenue à développer une technique permettant de transformer l'hydrogène sous forme poudreuse et de lui rendre sa forme gazeuse, le tout sans produit chimique. Une innovation prometteuse qui pourrait révolutionner le stockage de l'hydrogène et d'autres gaz.
Je ne sais pas ce que ça vaut, quel est son rendement (vu qu’il faut de utiliser un broyeur pour stocker puis encore de l’énergie pour chauffer pour restaurer le produit), et si c’est réellement sûr, mais ça donne envie de voir s’améliorer et disponible à grande échelle.
Un projet DIY (Do It Yourself) pour construire un sous-marin en Légo piloté par Raspberry Pi Zero 2 W, le tout dans un tube en acrylique.
Combien de fois y ai-je pensé ? Une bonne solution serait ainsi de ne pas dépendre d’une seule source.
Ainsi, ne dépendez pas d’une solution externe qui demande ainsi de multiples formes d’authentifications ; utilisez par exemple KeePassXC qui est un gestionnaire hors-ligne, chiffré « simplement » avec une phrase de passe.
Et ensuite, sauvegardez bien votre base de mot de passe régulièrement tout en vous aidant de la stratégie de sauvegarde « 3-2-1 »
https://www.nextinpact.com/article/30278/109000-quest-ce-que-strategie-sauvegarde-3-2-1
Si vous avez un serveur distant, auquel vous pouvez facilement vous connecter par mot de passe uniquement (en cas de nécessité), vous aurez de nouveau accès à vos identifiants.
Une clef USB ou un disque dur externe chez quelqu’un d’autre de votre famille est très facile à mettre en place, mais plus difficile à gérer pour garder à jour votre base KeePass.
Pouvoir râler sur un outil, sans rien y piger, sans vouloir apprendre, et blâmer les autres qui l’ont mis en place, juste parce que™
Et donc, taper sur les plus jeunes, sans contrepartie.
Et le tout, en niant ce qui s’est réellement passé, en plus d’admettre de plus gros problèmes, sans être inquiété par les conséquences, juste parce que™
Un exemple :
Un vendredi en journée mon collègue me remonte un « problème » qu’il a dans sa pipeline, lancée à partir d’un commit créé par une autre personne plus ou moins du même age (hors de notre équipe), pour corriger un bug d’intégration, ou je-ne-sais-quoi.
Je regarde, je vois que c’est un linter qui a mis le job comme non valide ; un linter, c’est un outil d’analyse statique de code, mais ça peut aussi ne s’occuper que du formatage du code. Ce qui est le cas ici.
Je lui réponds et explique par messagerie instantanée, mais pas de réponse.
Le jeudi suivant il revient avec le même problème, le même commit, mais dans une autre pipeline, et là visiblement un peu plus énervé (car oui, quand on n’utilise pas son cerveau, on s’énerve très vite, au lieu de l’utiliser)
je (re)commence à lui expliquer par écrit, il ne pige toujours pas (ou semble-t-il "ne veut pas"), on passe en vocal, et là lui me sort « il faut désactiver ce linter ou le passer en “allow to fail” » (je simplifie).
Je lui dis non, encore, tout en expliquant ce qu’il se passera si on le fait : si on met juste en warning (allow fail) et qu’on intègre ce commit dans la branche principale (“master”), tout le monde aura ce warning, et les rares qui regarderont et verront, agacés, que ce n’est pas leur bug ne regarderont plus ensuite, et d’autres bugs s’ajouteront. En bref, c’est comme s’il n’y avait plus de linters.
Quelques jours plus tard j’aborde le sujet avec l’équipe, car il avait écrit depuis un courriel à juste deux personnes, au lieu de toute l’équipe, pour faire ce qu’il souhaite. On décide de monter une réunion pour en parler avec lui un matin, moi je voulais faire de la pédagogie, pour aussi aider la personne à l’origine du commit.
Bref, rebelote, on lui explique, encore une fois il refuse, car il nous sort son histoire de "on ne doit pas être bloqué par « deux espaces » si on doit intégrer un vendredi à 21h"
Déjà on lui dit que s’il doit intégrer un vendredi à 21h, c’est qu’il y a un grave souci. Et en plus ce n’était même pas le cas.
Au final, j’ai dû faire presque ce qu’il voulait : on a découpé le job en deux, qui prend donc deux runners à 20 minutes chacun au lieu de une fois 20 minutes (le téléchargement des outils prend >95 % de ce temps, les linters c’est moins d’une minute à s’exécuter). Et lui il pourra donc lancer des pipelines en bloquant (manuellement) ce job, et ainsi potentiellement intégrer du code non valide, qu’il ne corrigera pas bien sûr vu qu’il aura désactiver le test (et tout simplement qu’il ne voudra pas).
Résultat, j’aimerais être un vieux con de 50 ans
Juste par vengeance.
Juste parce que™
Oh punaise, on m’a partagé cette vidéo, ouah je n’avais jamais entendu avant parler de cette pratique, le "mukbang" ("se filmer en train de se goinfrer" en traduction littérale, à partir du coréen), et le sujet de cette vidéo est véritable pathologique.
C’est assez hallucinant (je pense que les effets sonores en fond lorsque l'auteur parle y jouent pour quelque chose), ça me fait froid dans le dos :/ Vraiment, ça m'a mis très mal à l’aise.
Encore une fois, l’argent, l’attention facile et l’abus de personnes en souffrance sont à l’origine de ce désastre de société.
Mais le plus important dans cette vidéo, ce ne sont pas le sujet (la personne qui passe de SJW vegan à obèse pro chair) ou la pratique abjecte, mais bien le problème de société exacerbé par ces plateformes de diffusions ; dans ce cas précis, l’origine se trouve dans la solitude (ce qui a créé cette pratique en Corée du Sud), dont la solution facile mais erronée est d’utiliser l’exhibition, la fausse récompense du nombre de vues, "que l’on fasse pour de bonnes ou de mauvaises choses".
Un article vraiment très intéressant qui met en lumière la misère sociale que créent les jeux de paris en ligne.
En jouant sur l’égo, sous une forme d’addictions, cela mènent à la misère sociale, puis à un enfermement, ce qui conduit à toute sorte de larcins, délits, ou même de crimes.
Quelques citations :
« Développement de comportements addictifs […], encouragés par des publicités ciblées et des partenariats bien choisis. »
« Et sans surprise, 70 % des joueurs ont moins de 34 ans et le foot représente 64 % des mises. »
« Armelle Achour, directrice de l’association SOS Joueurs et psychologue, qualifie de « catastrophe » ce qui est en train de se passer. « Ça cible vraiment les jeunes de quartiers, ça reprend tous leurs codes, c’est impressionnant. » »
Voilà un véritable sujet de société. Un sujet qui mérite un véritable support de l’État. Or malheureusement, l’État touche un véritable pactole sur les jeux d’argents.
Pour moi interdire complètement les jeux d’argent ferait plus de mal, car ce serait le développement de jeux clandestins, hors de tout contrôle. Je pense que cibler les publicités, les réduire le plus possible, est une solution porteuse.
Mais encore une fois, pour aller au cœur du problème, la solution la plus efficace reste encore et toujours l’éducation et l’instruction, de façon égalitaire, pour promouvoir une égalité équitable des chances. Une approche réellement humaniste, hors de tout sectarisme et conflit.
Et même si je ne les cite pas avant, je considère les réseaux sociaux comme amplificateurs de ces maux.
Vraiment, un article très intéressant. Merci à son auteure.
Via Sebsauvage https://sebsauvage.net/links/?ivD4dg
« Astuce :
Les numéros débutant par :
sont prévus pour les fictions audiovisuelles et ne peuvent pas être attribués, affichés comme numéros appelants ou appelés. »
Je n’ai pas (encore une fois) tout lu de l’article, les articles du site developpez.com sont trop longs, mais cet article est super intéressant comme alternative pour le stockage de l’énergie.
Même si c’était moins performant, ce serait tout de même une super nouvelle, car comme le montre le graphe et en parle l’article, l’aluminium est bien plus abondant que le lithium ! Respectivement 8% face à 0,0065% de la composition de la couche terrestre, d’après le graphe, et donc moins de dépendance à la Chine.
Alors si en plus ça 1) charge plus vite, 2) stocke plus, 3) et n’a pas (peu) de perte en refroidissement, alors là c’est une véritable aubaine.
À suivre avec attention.
« Je vous divulgue tout de suite les conclusions : il n'y a pas d'utilisation significative des cryptomonnaies par les organisations terroristes, mais ça pourrait changer dans le futur. »
Spoil-ception!! BRRAAAAMMM
(En anglais)
Faits reconnus en 2013, la CIA et le MI6 (respectivement les renseignements américains et britanniques) ont monté un coup d’état en 1953 pour restaurer au pouvoir le Shah – titre persan porté par les rois d’Iran. Après un règne de 25 ans critiqué pour sa corruption, le peuple d’Iran proteste et renverse le pouvoir, instaurant ainsi une république islamique en 1979.
Voilà un peu à quoi ressemblait le peuple d’Iran avant la république islamique : à une société dite "à occidentale" https://imgur.com/gallery/PQXwGc9
Pourquoi les USA y étaient impliqués ? Pour le pétrole.
WhatElse?™
Source : https://fr.wikipedia.org/wiki/R%C3%A9volution_iranienne
Quelques rappels sur le fonctionnement des redirections de ports avec SSH à l’aide d’images.
En français, avec quelques explications et l’introduction de la « redirection de port locale et « dynamique » au niveau applicatif » (-D [bind_address:]port
, voir ssh(1)
), ou plus simplement un « proxy SOCKS » : https://blog.hugopoi.net/2021/01/01/ssh-port-forwarding-par-lexemple/
J’en profite pour rajouter quelques infos, je vous conseille de jeter un œil sur l’option GatewayPorts
dans sshd_config(5)
, car par défaut (version 8.4 actuellement) cette option est sur no
, et donc force les redirections en locale uniquement (ce qui est plutôt une bonne chose).
Ainsi, pour laisser le choix aux clients ssh, il suffit de renseigner la valeur clientspecified
dans votre configuration (mais attention aux conséquences).
Pour résumé en très simple, le fait que Google et d’autres services d’envois de courriels ne publient pas la clef privée pour DKIM (Domain Keys Identified Mail) après chaque changement permet ainsi de continuer de vérifier l’authenticité des courriels bien des années après leurs envois.
Pour rappel, le but d’origine de DKIM est de permettre de vérifier l’authenticité de la source du courriel lors de sa réception, une solution contre le spam.
Sauf que si un courriel peut être authentifié bien des années après, les utilisateurs peuvent être victimes « d’extorsion et de chantage » lorsque leurs courriels auront été volés par n’importe quel moyen.
De plus, il se peut qu’au bout de plusieurs années, même si la clef DKIM a été changée de nombreuses fois, que des personnes malveillantes arrivent à recréer la clef privée utilisée légitiment à un moment donnée. Et ainsi, ils pourront forger de nouveaux courriels postdatés, qui ainsi seront authentiques aux yeux des personnes qui souhaitent vérifier.
Donner ainsi la clef privée permettra de pouvoir nier l’authenticité d’un courriel, ne laissant le rôle de vérification de DKIM qu’au moment de la transmission.
Pour ceux qui souhaitent continuer de garantir l’authenticité de leurs courriels, ils peuvent utiliser des outils dédiés pour, comme GnuPG, de leur plein gré, et non de façon implicite choisie uniquement par leurs hébergeurs ou le service envoyeur.
Du coup, j’ai aussi du boulot à faire de mon côté …
Un article de Thomas VASSEUR, développeur français chez Motion Twin, boîte française aussi, où il explique pourquoi et comment générer des modèles 3G dans un jeu vidéo en 2D dit "Pixel Art".
Ainsi, je comprends mieux pourquoi ce rendu pixel art, alors que je me dis (peut-être) j’aurais préféré une version non pixel art, comme pour pour le jeu Hollow Knight.
Un article de sensibilisation aux arnaques (“scam”) par courriel, en se servant de chantage concernant un (improbable) accès à votre compte et ordinateur et ainsi à vos données personnelles, contenant des "vidéos compromettantes".
Comme l’article l’explique correctement, ces arnaques ne sont pas ciblées, et ainsi ne peuvent pas être véridiques car n'étant pas ciblé ils n’ont donc aucune des données qu’ils prétendent avoir sur vous.
Et comme pour chaque chantage, il ne faut absolument pas payer ; sans plagier entièrement l’article, ils expliquent que rien n’empêchent ces maîtres chanteurs de revenir, car il n’y aura aucun moyen de vérifier qu’ils ne garderont pas une copie de vos données et qu’ils supprimeront leurs virus (qui je rappelle n'existent pas), et ainsi augmenter leurs enchères.
En conclusion, ayez une solution antivirus à jour (même les gratuites bien connues sont efficaces), ainsi qu’un système à jour principalement sur les mises à jour de sécurité.
Et concernant les chantages, il existe des aides pour bien vous informer (c’est dans l’article aussi).
Merci aux auteurs de cet article pour avoir créer une liste de ces arnaques et la maintenir à jour tout en étant très pédagogique sur le recul à prendre face à de tels courriels (et ils sont nombreux).
EDIT : je copie depuis cet articles des liens vers des pages de journaux français, parlant d'un français présumé coupable arrêté une fois son retour en avion en France :
Déjà lu, mais lien gardé pour lectures des différents articles conseillés pour approfondir la recherche :
Et comme l'indique l'auteur : « Tout cela n'était que des solutions techniques car cet article se focalise sur l'aspect technique des choses. Mais, évidemment, le problème de fond est politique et c'est dans des changements politiques profonds qu'il faut chercher les vraies solutions. Il n'est pas normal qu'il faille être expert en crypto pour avoir une vie privée ! »
Article très détaillé et très bien expliqué sur la mise en place d'un service DoT et DoH (respectivement DNS over TLS et DNS over HTTPS) et sur son fonctionnement, avec en prime des outils pour vérifications, analyse, suivi de l'état du système.
Merci encore à Bortzmeyer.
La philosophie de “l’open source” ne touche ainsi pas que le monde de l’informatique, et c’est une très bonne chose.
Mais par contre, comme indique l’article à travers l'inquiétude des écuries sur « un système où le curseur vers la standardisation serait poussé trop loin », forcer ou simplement précipiter les choses n’est pas une bonne approche.
Je crains que l’origine de la demande, qui est ici la « standardisation des pièces de F1 », ne se transforme en « standardisation de facto » ; ainsi, l'écurie la plus imposante ou la plus rapide proposera ou forcera ses modèles de pièces, basés sur ses besoins ou sur son travail déjà présent, plutôt que de voir des modèles plus performantes ou plus économes mais qui demanderont un travail d'adaptation à ces premières (sans oublier la chaîne de fabrication et de montage, avec formation des techniciens, etc).
Et ainsi, la standardisation serait ici un frein à l’innovation.
« L’enfer est pavé de bonnes intentions. »
Même avec un client officiel, des vulnérabilités demeurent suite à l’abandon du support pour ce jeu, permettant ainsi à des personnes malveillantes d’exploiter des failles qui ne seront jamais réparées, même si le client est toujours distribué par l’éditeur.
La suppression des noms de domaines malveillants n’est qu’une répit de quelques instants, tout au mieux.
Suite à ce précédent billet sur developpez.com (français) : https://links.thican.net/?T7dY7A
En anglais : “Asymmetric numeral systems (ANS)” https://en.wikipedia.org/wiki/Asymmetric_numeral_systems
In case it might help someone, when developping with VCS.
To get this feature working quickly (including colors), you can do the following (assuming, you loaded vcs_info properly - see above):
zstyle ':vcs_info:' actionformats \
'%F{5}(%f%s%F{5})%F{3}-%F{5}[%F{2}%b%F{3}|%F{1}%a%F{5}]%f '
zstyle ':vcs_info:' formats \
'%F{5}(%f%s%F{5})%F{3}-%F{5}[%F{2}%b%F{5}]%f '
zstyle ':vcs_info:(sv[nk]|bzr):*' branchformat '%b%F{1}:%F{3}%r'
precmd () { vcs_info }
PS1='%F{5}[%F{2}%n%F{5}] %F{3}%3~ ${vcs_info_msg0}%f%# '
Obviously, the last two lines are there for demonstration. You need to call vcs_info from your precmd function. Once that is done you need a single quoted '${vcs_info_msg0}' in your prompt.
Suite à ce précédent billet sur developpez.com (français) : https://links.thican.net/?T7dY7A
Petite piqure de rappel.
En clair : ce qu’on appelle "le cloud", ce sont juste des machines qui appartiennent à d’autres ; et si c’est gratuit, alors vous êtes le produit.
Source directe des CGU (Conditions Générales d’Utilisation) en français : https://policies.google.com/terms?hl=fr
Article intéressant et pédagogue sur le fonctionnement des saisons, le tout basé sur des explications liées à l’astronomie.
Échange de mains à la frontière coréenne.
Plus d’infos sur cet album chez Imgur : “When Kim met Moon: All the key moments from a historic day!” https://imgur.com/gallery/uFGKT3u
Original source after seeing the recent post on Imgur (https://links.thican.net/?Kbh_NQ)
La collection O'RLY pour des projets réussis.
EDIT : Source https://links.thican.net/?dH5miQ
Avec GCC 7.3 :
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline
Porject Trble (english) https://source.android.com/devices/architecture/treble
Rien à cacher ? C’est ce qui arrive quand le délit est la simple consultation d’un site Web, ce qui se détermine par une simple requête HTTP, ou ce qui arrive lorsque la présomption d’innocence disparaît.
De nombreuses personnes avaient pourtant prévenu contre ce problème, et le fait que Facebook soit un réseau social fermé entretient et amplifie ce genre de problèmes.
Un récapitulatif suite à toute la conversation dans cette ML (Mailing List).
@TODO
En anglais : “Asymmetric numeral systems (ANS)” https://en.wikipedia.org/wiki/Asymmetric_numeral_systems (avec deux m)
EDIT 2018-06-14 : https://links.thican.net/?iaBCxQ
EDIT 2018-09-01 : https://links.thican.net/?YPD2kg
Ça prête à rire, mais j’ai un gros malaise, derrière cette pensée et ce mouvement.
Dans cette dystopie, le travail n’asservit plus l’humain, mais l’humain asservit le travail, pour le bien être exacerbé d’une toute petite minorité. Nous n’y construisons pas un avenir où l’humain est considéré en tant qu’individu (sans entrer dans le nombrilisme), nous nous dirigeons ainsi vers un avenir où le « succès », dans sa définition irréaliste, est projeté sous forme d’exhibition, pour créer une société d’envieux.
Lien vers une copie de l’article, sans compte ni authentification : https://files.nekoblog.org/uploads/html/divers/linkedin-2017.11-fils-12-ans-devenu-entrepreneur-marie-soudre-richard.html
En vulgarisé (enfin le plus que je peux tout en restant cohérent), il y a deux failles liées, nommées “Metldown” et “Spectre”.
La première, nommée “Metldown”, permet de contourner la protection des données offerte par l’isolation de la zone mémoire de chacun des processus, en s’appuyant sur une faiblesse découverte au niveau physique du processeur lui-même.
Pour l’instant, on considère que cette faille touche mes processeurs dits « modernes », principalement de marque Intel, depuis près de 10 ans.
Quant à la seconde, “Spectre”, elle est assez proche de Meltdown, mais serait plus dévastatrice.
Concernant un peu de contexte, les détails de ces failles sont sous embargo (jusqu’à aujourd’hui, 4 janvier 2018, ou jusqu’au 9).
Ainsi, il est important de mettre à jour pour corriger en partie ces failles, mais vu que cela touche la partie physique du système, il risque d’être nécessaire de changer de matériel … (petit conseil personnel, regardez ailleurs que chez Intel)
Autres sources, un peu partout :
http://pythonsweetness.tumblr.com/post/169166980422/the-mysterious-case-of-the-linux-page-table
Autre domaine pour Spectre, site web identique : https://spectreattack.com/
https://googleprojectzero.blogspot.fr/2018/01/reading-privileged-memory-with-side.html
Le patch sous Linux, avec l’option X86_BUG_CPU_INSECURE dans la configuration du noyau : https://github.com/torvalds/linux/commit/a89f040fa34ec9cd682aed98b8f04e3c47d998bd#diff-678874d00bf0df04f6f427f16f1dea36R902
En français https://www.nextinpact.com/news/105909-failles-securite-et-kpti-intel-publie-courte-reponse-fin-embargo-9-janvier.htm
En français https://www.numerama.com/tech/318251-faille-critique-sur-les-processeurs-intel-quelles-seront-les-consequences.html
En français https://www.numerama.com/tech/318576-meltdown-et-spectre-7-questions-pour-comprendre-les-failles-critiques-sur-les-processeurs.html
’Murica! Fock Yeah!
Sauvegarde : https://i.imgur.com/xy0V2iD.png (source https://imgur.com/gallery/XqLcT)