Skip to main content
Seb's blog
logo PassionGNU/Linux

Chalu, pardon.

Je me suis comporter comme une merde alors publiquement, je fais mes excuses.

Coucou Chalu;

Je te demande de bien vouloir m’excuser, je pense que j’ai déraillé, mais comme je ne déraille pas en temps normal, c’est qu’il y avait un contexte que je pense t’as deviné puisque tu en as parlé:

seb95 a semblé mélanger son différent avec R. Brown et les questions que l’on peut légitimement se poser sur ce thème dans ce fil de discussion pour en apprendre davantage.

Oui j’ai pris tes interrogations comme des moqueries, une contradiction ou des provocations comme eux l’ont fait, tu verras je te donne aussi le fil de conversations. Vous êtes dans une belle merde si ce gars prend le pouvoir et impose sa trouvaille actuelle. Mais j’y reviendrais.

Saches que le début de la sécurité est un pare-feu, c’est pas magique, ça va pas faire de miracles mais c’est un peu ton gilet par balles et internet (le réseau) c’est un peu la mafia, tu sais que tu vas prendre une balle, la question c’est quand? Donc un pare-feu c’est le minimum pour tout OS, j’aime cette représentation, désolé je vais être cru, c’est comme un préservatif, c’est pas super, ça sera moins confortable, c’est pas 100% la solution magique qui va protéger mais c’est plus utile de l’avoir quand on en a besoin que de ne pas l’avoir quand tu en as besoin. Ceci étant dit, sur une distribution standard, openSUSE Leap, Tumbleweed, Debian (quand tu installes un Gui comme firewalld), … tu seras protégé, on pourra toujours venir te faire un bordel via une faille comme le cas récent de XZ, mais sans ça ça sera vraiment dur de passer à travers, j’ai pu éviter des milliers de tentatives rien qu’avec le pare-feu susefirewall (ça remonte) et suse-fail2ban. L’inconvénient c’est que du coup tu devras configurer les ports dont tu as besoin si tu joues en réseau (surtout si tu fais serveur de jeux), si tu as des serveurs maison (Http, Mail, Ftp…), si tu fais du P2P car sinon tu ne seras pas accessible! Je peux te donner mon serveur FTp si je ferme mon port tu ne pourras plus me connecter ni même me voir. Oui, je viens de te parler de me voir, saches que la sécurité dans le réseau c’est d’être invisible, un pare feu fermé mais visible et tout à fait dangereux aussi, il faut qu’il ne réponde pas aux tentatives, qu’il ne retourne pas de réponse, ce qui te rend invisible pour les autres.

Bon de ton coté, tu es sur tumbleweed, et pour le moment tu es sécurisé car tu es avec un pare-feu (s’appelant firewalld c’est un service), j’avais plutôt tendance à aimer celui de SUSE avant du nom de susefirewall. Je dis que tu es normalement car tu peux lors de l’installation couper le pare-feu. Bref, je dis pour le moment car si ce monsieur fait passer AEON devant tumbleweed et que la communauté supprime cette dernière, vous serez mal, je dis vous car des propos tenus par lui qui n’est pas un amateur, me fait si peur, que j’arrête là, j’en ai trop entendu, pour rester sur un truc qui préconise la non possibilité d’installer un pare-feu tout ça pour le rendre plus facile d’accès. Du reste il ne faut pas choisir HOME sur ton pare-feu car il va moins sécurisé la chose, faut le laisser en public qui est comme si tu allais au mcdo du coin sur leur borne wi-fi.

J’ai pourtant utilisé les formes interrogatives pour montrer que je n’y connaissais rien, il n’y avait pas d’affirmations, il aurait fallu des phrases plus longues sans doute. seb95 a semblé mélanger son différent avec R. Brown et les questions que l’on peut légitimement se poser sur ce thème dans ce fil de discussion pour en apprendre davantage.

Oui j’ai cru que c’était des affirmations, bref, je ne vais pas revenir dessus, je sortais d’un quiproquo foutage de gueule, et en expliquant sur Alionet, je te voyais reposer des questions qui avaient l’air d’affirmations, bref, je suis con.

Sous silverblue, il y a selinux et firewalld, du reste sur aeon il y a apparmor, mais pas du tout de pare-feu, à la place on te dit de faire un VPN, bref, on te dit pas de pare-feu car difficile de comprendre et de l’autre on te dit de faire un VPN… L’autre possibilité est de laisser la possibilité d’installer un firewall que ce soit celui de la SUSE qui est celui de Fedora par redhat, ou sinon UFW qui est celui d’ubuntu avec son interface GUFW, sauf qu’ils ne veulent pas le faire et que si tu le fais via RPM (je sais plus ce que c’est exactement) et que tu as un soucis tu auras un Wontfix. Je ne peux pas te confirmer que les ports au delà de 1024 sont ouvert sur la silverblue, le guignole qui dit ça, a un haut niveau, du même acabit que Mr Brown, donc il sait mentir, peut être que les ports sont ouvert et alors ça se ferme, mais sûrement que tu es invisible or la Aeon sans pare-feu est totalement visible pour qu’on aille taper à la porte. Imagine c’est un peu comme une maison, tu as deux maisons, une fermé de partout (mais pas à clef, il suffit d’aller ouvrir la porte) l’autre grande ouvert avec portes et fenêtres d’ouverte, et bien une distribution avec pare-feu et port ouvert c’est la première, c’est pas fermé a clef mais c’est pas grand ouvert, sans pare-feu c’est la seconde, on voit que c’est ouvert suffit de rentrer. De toute façon ouvert ou ne pas avoir de pare-feu est aussi stupide, mais dans un cas tu peux fermer les ports de l’autre tu ne pourras même pas installer un truc pour le faire…

L’autre soucis, il part du principe que c’est conteneurs donc sécu, ce qui est faux on l’a bien vu avec des trojans dans certains snap, il part surtout du principe que c’est dans un milieu pro, et ça change tout, dans un milieu pro tu es derrière un super routeur et un bon par-feu, chose que tu n’as pas chez toi, dans un milieu pro tu as l’informaticien, tu n’en as pas chez toi. Je sais plus si je leur ai dis, faudrait relire l’échange sur matrix, mais avant XP pack 2 ou 3 on n’avait pas de pare-feu (il fallait en installer un nous même), crois tu vraiment que Microsoft s’amuse à rajouter des trucs gratos si il pouvait le vendre, non, c’était que ça devenait obligatoire pour sécurisé un tantinet leur OS qui se faisait attaqué de toute part. La seule raison que tu as de ne pas avoir de pare-feu consciemment, c’est de un être en milieu pro donc de profiter du pare-feu/routeur de la boite, de deux de ne pas avoir de réseau! Pas d’autre raison.

Tu as raison pour Debian, arch ect, il n’y a pas de pare-feu utilisable par tout le monde, mais il y a bien un pare-feu de base (iptable et avant ntable à moins que ce soit l’inverse), c’est à toi ensuite d’installer un “pare-feu” un entre deux qui va communiquer avec eux dans un langage plus compréhensible, ce que fait UFW, Firewalld, et avec ça pour encore faciliter la chose on peut ajouter des gui (interface graphique) comme Gufw et firewall-gui.

De plus la personne ment encore, en disant ceci:

“Alors, contre quoi exactement le pare-feu de Fedora vous protège-t-il ? La raison pour laquelle cela fonctionne avec podman/toolbox sur Silverblue est qu’il ne fait rien, c’est ainsi qu’ils le contournent. Bien sûr, il bloque tous les ports inférieurs à 1024, mais si vous n’exécutez aucun service sur la machine, encore une fois, de quoi vous protège-t-il ?”

Je n’ai pas vérifié, mais podman/toolbox marche chez moi alors que j’ai un pare-feu full fermé… Donc encore dire on fait ça pour ne pas que vous soyez emmerdé par la suite est un mensonge.

Et puis la c’est le pompon:

“Je commence à en avoir vraiment marre. Nous ne sommes pas Fedora, nous ne sommes pas Silverblue. Ce n’est pas parce que Fedora fait quelque chose que nous devons le faire ou devrions le faire. Ce n’est pas parce qu’un « expert en sécurité » sur le Web dit que quelque chose est indispensable que cela est vrai.”

Ils arrêtent pas de suivre fedora et redhat, ils courent toujours derrière, et ça depuis 2005… Ils sont rarement devant, RPM c’est redhat, pulseaudio, wayland, gnome, et j’en passe c’est encore redhat, regarde sur la page de gnome tu verras redhat… Là, ils font diffèrent mais c’est pour faire plus mauvais, c’est pas une vrai immuable, c’est encore des rollback comme sur tumbleweed… Ça sera toujours plus galère pour revenir à l’original que sous silverblue, en plus sous opensuse aeon tu vas jouer avec distrobox, qui apporte une petite lenteur en plus, faut lancer la ditro en box puis lancer l’application, c’est ce que j’utilise aussi sur ma nixos. Le seul point positif dans cette histoire c’est que eux ont choisi distrobox et non tolbox qui est moins simple d’utilisation.

Et là il se grille de suite, il connaît mieux la sécurité d’un OS qu’un expert en sécurité, ouha, chapeau! Qu’il reste donc à sa place, il est dev pas expert en sécu, je vais pas dire à Mbappé comment jouer au foot, je ne vais pas dire à un champion de formule 1 comment conduire sa monoplace.

“Un pare-feu peut-il faire partie d’une stratégie globale de sécurité ? Absolument. Est-ce obligatoire à tout moment ? Absolument pas.”

Guignol, tu vois je vais être insultant avec ces idiots, c’est pour ça qu’il faut que je me casse car développer avec des mecs comme ça c’est pas possible, un pare-feu est le minimum syndicale en terme de sécurité. Mais forcément, ils n’ont pas le même environnement que toi. Et c’est à eux que tu vas confier la sécurité de tes photos, car quelqu’un qui rentre sur ton pc peut tout te faire même de faire un PC zombie qui ira distribuer des photos de pédophiles, et un matin on va remonter à ta machine et les flics seront chez toi… Je vais loin mais pas plus qu’eux en vrai.

Voila, j’espère que tu pourras me lire, si tu veux donner lecture directement sur le post où je me suis fâché, tu as mon accord.

Bonne continuation.

La suite est le contenue de la conversation sur Matrix:

Sebastien Chavaux Richard Brown: hello, I am curious about Aeon, user of Tumbleweed, I followed a conversation(https://forums.opensuse.org/t/micro-os-suse-aeon-compared-to-fedora-silverblue/167663/46) on the firewall which is not present on Aeon, I was surprised or even shocked to read what some contributors gave as an excuse, basically a firewall is useless. Is this a policy that will be changed in the meantime or not? Micro OS/SUSE Aeon compared to Fedora Silverblue - openSUSE Forums I haven’t used Aeon or Silverblue as my daily driver yet. I just experimented with it in GNOME Boxes. I know Aeon is still a release candidate and not released as a stable version yet, but I see some interesting differen… Richard Brown the last person who brought this up annoyed me so much I ended up putting them on every block list, ignore list, and mail route to /dev/null I could think of… and I can already practically taste your entitled indignation with this opening message…nice to meet you, but do I really have to engage in conversation with you?

hello a changé son image de profil hello

Sebastien Chavaux

Richard Brown: hello, I am curious about Aeon, user of Tumbleweed, I followed a conversation(https://forums.opensuse.org/t/micro-os-suse-aeon-compared-to-fedora-silverblue/167663/46) on the firewall which is not present on Aeon, I was surprised or even shocked to read what some contributors gave as an excuse, basically a firewall is useless. Is this a policy that will be changed in the meantime or not?

i searched it. they say “it is not defense in depth. it is security theatre”. because their argument is: “no services running”

i am not expert here. but that is their argument if you are curious Sebastien Chavaux sorry I have to go through a trad, I would just like to know if it will easily be possible to put a firewall, and where I can find information on why not have a firewall? hello

Sebastien Chavaux
sorry I have to go through a trad, I would just like to know if it will easily be possible to put a firewall, and where I can find information on why not have a firewall?

look here: https://forums.opensuse.org/t/no-firewall-in-aeon-microos/168791/6 No firewall in Aeon/MicroOS - openSUSE Forums By all means, just use transactional-update (i.e. zypper for read-only installations) to install firewalld. Don’t let a default system configuration stop you. That’s anecdotal. You’ll find such posts for about any software. I have been using containers alongside firewalld for years without breakages. While it makes sense for MicroOS non-desktop to not include firewalld, this concept doesn’t transfer cleanly to a desktop system (Aeon) where it should be expected apps will be opening ports fr… Sebastien Chavaux basically, openSUSE user, but I’m tired of tinkering, I just want it to work and do the rest (update,…) behind my back like magic. So Aeon interests me, plus I’ve never had to complain about openSUSE’s choices. thanks Hello Richard Brown you’re tired of tinkering…but you want to tinker, and add a firewall which, by design, will require you to go in and tinker any time you want to enable any service at all

So…whereas any other Aeon user for example can just go to GNOME Settings > Remote Access > SSH and enable SSH…you won’t be able to do that…you’ll need to ALSO go to your firewall, navigate to whatever zone you’ve configured…and unlock SSH

Same again for Remote Desktop

Or anything else…everything you’ll want to do, you’ll need to do twice…for no actual benefit @telegram_626133529:opensuse.org good luck, but if you have any issues related to your customisations of Aeon I will be closing those bugs as WONTFIX Sebastien Chavaux thank you Richard, and I understand, but it’s not easy to put aside everything I learned during my 30 years and 17 years on openSUSE, one question, how to protect myself from the outside? after that I won’t bother you anymore Attila Pinter Adathor

Sebastien Chavaux
after that I won't bother you anymore

cough… NAT? 🤔 @telegram_626133529:opensuse.org a firewall protects you only if you’re running stuff that you don’t want the outside to access

What could you possibly be running on your Aeon laptop that needs such protection? Attila Pinter Adathor

Sebastien Chavaux
after that I won't bother you anymore

define the listen address for containers to 127.0.0.1? Sebastien Chavaux it’s a good question, but with everything that’s happening in IT, I don’t want to see my latest sex tape published ;-p more seriously, I’m talking nonsense, but SSH, why not implement bad things remotely? we are taught that we need firewalls, and now we are told “why put them in, it’s useless”. Attila Pinter Adathor

Sebastien Chavaux
more seriously, I'm talking nonsense, but SSH, why not implement bad things remotely?

if your ssh on your desktop* is accessible remotely then your entire network is questionable ^-^ Sebastien Chavaux

En réponse à

Sebastien Chavaux

Attila Pinter Adathor
define the listen address for containers to 127.0.0.1?

I still have to tinker with it, I’m told that Aeon will just allow me to work, and no longer tinker Attila Pinter Adathor

En réponse à

Attila Pinter Adathor

Sebastien Chavaux
I still have to tinker with it, I'm told that Aeon will just allow me to work, and no longer tinker

starting a container is hardly tinkering… building one is a different story BrightTux (Will not DM first)

happymab
https://t.me/openSUSE_Aeon/47562

isnt Ptyxis terminal doing this already? unless, the goal was to add the same feature into gnome-terminal Sebastien Chavaux How am I going to be sure that my machine is safe, that people can’t go through my machine when I’m at the hotel? happymab

En réponse à

happymab

BrightTux (Will not DM first)
isnt Ptyxis terminal doing this already? unless, the goal was to add the same feature into gnome-terminal

That’s how I understand that feature. Ptyxis won’t be installed on Aeon by default. There was a discussion about it earlier. Timo

Sebastien Chavaux
How am I going to be sure that my machine is safe, that people can't go through my machine when I'm at the hotel?

don’t run weird services happymab

En réponse à

BrightTux (Will not DM first)

happymab
That's how I understand that feature. Ptyxis won't be installed on Aeon by default. There was a discussion about it earlier.

I didn’t start to work on that feature yet, because I got no feedback about the actual requirements or ideas. Sebastien Chavaux so what you are telling me is that by default, there will be nothing, no services running which could cause the absence of a firewall? Timo well, what do you want to firewall? Sebastien Chavaux something that prevents any intrusion, as I have always been informed and as SUSE has always done Microsoft didn’t have one before XP pack 2 Timo intrusion how? Sebastien Chavaux data theft? I don’t know how or why, but there you go. It’s not because I’m not a secret agent that my data doesn’t count. Timo how would a firewall help? what services do you have open? only seem to have avahi listening, and cupsd - which I could probably turn off (pre RC2, things might be different) Jarkko Torvinen cups only listens 127.0.0.1/::1 Timo also, again pre-RC2, iptables seems installed, so if you could use that, but I don’t reallly see why a firewall would help you with ‘data theft’ on a hotel network

Jarkko Torvinen
cups only listens 127.0.0.1/::1

ah thanks Jarkko Torvinen most likely scenario is some bug in web browser or user running some random script from the internet… fw does not help there leorize there’s also gnome rdp if you turn it on Timo

Jarkko Torvinen
most likely scenario is some bug in web browser or user running some random script from the internet.. fw does not help there

exactly that Jarkko Torvinen and if you had firewall and turned gnome remote desktop on, then you would need to open firewall for it. again, not protecting anything leorize games from steam that support LAN might also run with a few ports open. The stance that firewall is somehow useless and you should just trust your network is kinda weird Attila Pinter Adathor https://en.wikipedia.org/wiki/Network_address_translation Network address translation - Wikipedia Jump to content From Wikipedia, the free encyclopedia Technique for making connections between IP address spaces leorize how is NAT gonna save you if you’re in untrusted network, like university or public wifi? Timo how is a firewall? leorize potentially vulnerable services will be blocked on public network Attila Pinter Adathor

leorize
how is NAT gonna save you if you're in untrusted network, like university or public wifi?

why would you use an untrusted network? 🤔 leorize this is something that firewalld that suse provides already is capable of handling even come with a gui that’s easy to use with ample docs Attila Pinter Adathor Then don’t use Aeon? There are plenty of distros out there that might cater for your needs. leorize I just find it weird that a distro catered for desktop and laptop users somehow decided that you will never connect to untrusted networks of any capacity when you inevitably will if you go around with a laptop or maybe I’m the weird one here Attila Pinter Adathor If you must use an untrusted network instead of using your phone to tether at least use a VPN… Sebastien Chavaux Well, what you’re telling me is that you should definitely not use Aeon if you want a bit of security. leorize and installing a VPN requires modifying your system and will lower your community support level? Sebastien Chavaux I thought we wanted something without fiddling, now I’m being told about tinkering to install a VPN ;-p Attila Pinter Adathor

Sebastien Chavaux
Well, what you're telling me is that you should definitely not use Aeon if you want a bit of security.

eh, firewall is not exactly makes things a lot more secure. You still going to open ports… Makes ingress/egress traffic more visible if you set it up right, but now you got something to manage yourself.

Sebastien Chavaux
I thought we wanted something without fiddling, now I'm being told about tinkering to install a VPN ;-p

wireguard is part of the kernel and very well supported in Gnome so not sure how is that tinkering in the system 🤔 Timo people seem to think a firewall is a magic device or something hmm, think my openvpn also worked ootb but I’m not 100% sure, was a while when I installed it Attila Pinter Adathor image.jpeg Timo yeah, that Attila Pinter Adathor If this is what we consider tinkering in Linux nowadays… Sebastien Chavaux the firewall has entered the cottages, the VPN, no, it’s simpler to configure ports, than to find a good VPN, to configure it etc. especially since I never bring in ports, I don’t need it, I let nothing slip through. Attila Pinter Adathor So to sum it up: You think that firewall is some magic security tool to keep you safe, connecting to untrusted networks is fine for you because the firewall will/would protect you, VPN is too much work. anselm image.jpeg BTW, this cannot work because of Aeon’s boot configuration but is this a bug or more of an enhancement request to make these updates work?

leorize a quitté le salon Sebastien Chavaux no, I think you are right, we have to set up a VPN, why openSUSE in its classic version (tumbleweed) continues to put a firewall, I don’t know, but why Fedora in all its versions puts one by default, I don’t know, they’re the idiots. I’d put a kway in using Aeon, maybe crossing my fingers… Dario Faggioli

leorize
and installing a VPN requires modifying your system and will lower your community support level?

Nope

leorize
and installing a VPN requires modifying your system and will lower your community support level?

Configuring and using VPNs via NetworkManager (the GUI) works out of the box and really well IME

Commencer la discussion: Venez écrire un commentaire dans le forum.