bash -c 'for f in .HEIC; do g=${f%.}; heif-convert -q 100 "$f" "$g.jpg"; done'
— Permalink
L'idée générale est assez vraie, la sécurité des distributions Linux est assez limitée par rapport à ce qu'elle pourrait être, mais en même temps cet article de blog mélange un peu tout, allant même jusqu'à dire que Windows est plus sécurisé que Linux à cause de Rust (qui n'est utilisé par aucun des deux à grande échelle aujourd'hui, et le sera probablement par les deux à terme), ou encore en citant eBPF comme exemple, alors que cette fonctionnalité n'est pas active par défaut pour les utilisateurs non-root…
— Permalink
sudo apt install qemu-utils
sudo apt install qemu-system-x86
qemu-img create -f qcow2 myVirtualDisk.qcow2 20G
qemu-system-x86_64 -enable-kvm -m 4G -smp 2 -hda myVirtualDisk.qcow2 -boot d -cdrom linuxmint-21.2-mate-64bit.iso -netdev user,id=net0,net=192.168.0.0/24,dhcpstart=192.168.0.9 -device virtio-net-pci,netdev=net0 -vga cirrus -device AC97 -cpu host
Note: petite différence par rapport à l'article:
-vga cirrus
pour avoir le GPU le plus basique-cpu host
pour avoir le même CPU dans la VM que sur la machine hôteOnce the VM is installed, drop the -boot d -cdrom linuxmint-21.2-mate-64bit.iso
parameter from the command.
Pour utiliser SPICE
sudo apt install virt-viewers
And we need to make sure that the ~/.config/mimeapps.list file (on the host machine) contains the following:
[Added Associations]
[...]
x-scheme-handler/spice+unix=remote-viewer.desktop
And then run the VM with:
qemu-system-x86_64 -enable-kvm -m 4G -smp 2 -hda myVirtualDisk.qcow2 -netdev user,id=net0,net=192.168.0.0/24,dhcpstart=192.168.0.9 -device virtio-net-pci,netdev=net0 -vga cirrus -device AC97 -device virtio-serial-pci -spice port=5930,disable-ticketing=on -device virtserialport,chardev=spicechannel0,name=com.redhat.spice.0 -chardev spicevmc,id=spicechannel0,name=vdagent -display spice-app -cpu host
Pour partager un répertoire entre l'hôte et la VM
sur la machine hôte:
mkdir VM_share
qemu-system-x86_64 -enable-kvm -m 4G -smp 2 -hda myVirtualDisk.qcow2 -netdev user,id=net0,net=192.168.0.0/24,dhcpstart=192.168.0.9 -device virtio-net-pci,netdev=net0 -vga cirrus -device AC97 -device virtio-serial-pci -spice port=5930,disable-ticketing=on -device virtserialport,chardev=spicechannel0,name=com.redhat.spice.0 -chardev spicevmc,id=spicechannel0,name=vdagent -display spice-app -cpu host -virtfs local,path=./VM_share,mount_tag=host0,security_model=mapped,id=host0
Sur la VM:
sudo mkdir /mnt/9p
sudo mount -t 9p -o trans=virtio,version=9p2000.L host0 /mnt/9p
Finally, to make the mounting automatic on every guest reboot, we need to add the 9p modules to initramfs
and a line to /etc/fstab
. So, let’s add the following three lines to /etc/initramfs-tools/modules
:
9p
9pnet
9pnet_virtio
Then, let’s add the following line in /etc/fstab
:
host0 /mnt/9p 9p trans=virtio,version=9p2000.L 0 0
]]>
voir aussi: https://wiki.archlinux.org/title/Advanced_traffic_control
— Permalink
Les commentaires sur HN sont super intéressants aussi.
— Permalink
Putain, d'abord Reddit et maintenant Red-hat, la conjoncture économqiue difficile aux États-Unis poussent les capitalistes à faire tout et n'importe quoi pour essayer de dégager des profits, quitte à chier ouvertement sur leurs utilisateurs.
— Permalink
Ubuntu Image-Hardening.
# show the swap file in your system.
swapon --show
# turn the swap off. You should also make sure that you have enough free RAM available to take the data from swap file.
sudo swapoff /swapfile
# change the size of the swap file.
sudo fallocate -l 20G /swapfile
# mark this file as swap file:
sudo mkswap /swapfile
# enable the swap file
sudo swapon /swapfile
# see the result
swapon --show
Pour le rendre permanent, il faut ensuite l'ajouter au fichier /etc/fstab
:
https://www.numetopia.fr/passer-de-partition-swap-a-fichier-swap/#activation_du_fichier_swap_de_facon_permanente
— Permalink
J'aime bien le message qui s'affiche à la fin de l'installation de pnpm:
]]>Appended new lines to
/home/stymaar/.bashrc
Next configuration changes were made:
export PNPM_HOME="/home/stymaar/.local/share/pnpm" case ":$PATH:" in *":$PNPM_HOME:"*) ;; *) export PATH="$PNPM_HOME:$PATH" ;; esac
To start using pnpm, run:
source /home/stymaar/.bashrc
Qui aurait cru que le jeu sous Linux deviendrait réalité sous la forme d'une console de jeu portable ? xD
— Permalink
$ sudo apt install libimage-exiftool-perl
$ exiftool document.pdf
]]>
Aïe :/
— Permalink
Au-delà du passage sur Rust, la suite, sur le management de la communauté des développeurs du noyau est intéressante aussi.
— Permalink
Pour se déplacer dans un répertoire de manière temporaire sur une ligne, il faut utiliser les parenthèses :
stymaar@Ragnaros:~/Document/ $ (cd ~ && ls)
stymaar@Ragnaros:~/Document/ $
Ça fait un cd
dans mon home avant de faire ls
mais la position du shell courant ne change pas.
— Permalink
"Hi, I'm Matthew Wilcox, co-author of the NVMe spec and the troublemaker who said 'you need to do an NVMe driver and then I'll believe that Rust is ready for use in the kernel.' You have succeeded far beyond my expectations, both of you, all of you, thank you so much, you've done a fantastic job. I was not expecting to see these performance numbers, they are amazing."
Le mec qui a bossé là dessus peut être content de lui :D
— Permalink
Il passe complètement à côté CAP_NET_BIND_SERVICE
qui permet de donner à un processus le droit d'ouvrir des ports privilégiés sans avoir besoin de lui donner des droits roots.
Et clairement ça c'est une très mauvaise idée :
And for the three folks in Finland who administer multi-user Linux instances and rely on privileged ports for their mainframe-era security properties, they can always run sysctl and set their port limit to 1024 as it was before.
Parce que la sécurité il faut qu'elle soit activée par défaut, et pas espérer qu'un sysadmin pense à l'activer, surtout vu qu'il s'agit de changer un mode de fonctionnement qui a 50 ans …
Ceci étant dit, ça c'est bon à savoir :
]]>On modern Linux systems, you can configure privileged ports using sysctl:
sudo sysctl -w net.ipv4.ip_unprivileged_port_start=80
However, that setting does not survive a reboot.
You can also configure the setting in a persistent way using a configuration file. e.g., by creating a file called
/etc/sysctl.d/99-reduce-unprivileged-port-start-to-80.conf
with the following content:
net.ipv4.ip_unprivileged_port_start=80
To remove all privileged ports, you can set that value to 0. For our needs, 80 will do as it means our web server can bind to ports 80 and 443 without requiring superuser privileges.
Quelqu'un a publié une réponse mais ça ne fait que confirmer le problème en fait :
I have 18 runtimes, totalling 8.7 GB of storage (deduplicated)
[…]
going all-in on Flatpak means that the base, immutable Endless OS install is just 4.2 GB
Déjà j'ai du mal à comprendre ce qu'il y a dans ces 4,2Go, parce que c'est pratiquement aussi gros qu'une Debian fraichement installée, incluant Firefox et LibreOffice, mais en plus ça fait 12,9Go de disque utilisé juste pour des bibliothèques partagées sans avoir aucun logiciel installé, le truc est plus gros que ma Linux Mint qui vient avec tout un paquet de logiciels !
]]>C'est super ce truc: c'est un analyzer d'utilisation de disque (présent dans les paquets de Linux Mint) mais qui est à la fois beaucoup plus rapide que celui de MATE fourni par défaut avec Mint (genre 30 secondes au lieu de 3 ou 4h pour 700Go, la différence est juste hallucinante), mais en plus fait de l'indexation ce qui permet d'éviter d'avoir à refaire toute l'analyse d'une fois sur l'autre quand on sait que rien n'a changé.
— Permalink
À ce stade, on peut imaginer que personne chez Microsoft n'a jamais fait autant pour que les gens restent sous Windows, que ne le font les gens qui maintienent la glibc …
— Permalink
Pour référence, ce que veulent dire les chiffres dans les noms de trucs sous linux (et autres UNIX).
Par exemple: open(2)
c'est le syscall open
, open(3)
c'est la fonction open
de la libc
.
]]>Sections
Man pages are grouped into sections. To see the full list of Linux man pages for a section, pick one of:Section 1
user commands (introduction)
Section 2
system calls (introduction)
Section 3
library functions (introduction)
Section 4
special files (introduction)
Section 5
file formats (introduction)
Section 6
games (introduction)
Section 7
conventions and miscellany (introduction)
Section 8
administration and privileged commands (introduction)
— Permalink
C'est marrant j'ai lu les slides de présentation de pledge dont il parle juste avant, et j'ai tiqué sur exactement la même slide qui parle de seccomp.
Via: https://firmwaresecurity.com/2015/11/12/kees-on-linux-seccomp-and-openbsd-pledge/
— Permalink
Quelle UX de merde …
— Permalink
C'est intéressant, même si ce que je retiens personnellement c'est que ce n'est pas seccomp
qui fout la merde, c'est d'avoir une libc linkée dynamiquement, ce qui fait que le développeur ne peut pas savoir à l'avance quel syscalls seront utilisés.
De ce point de vue là je trouve que la position GNU/Linux est un peu bâtarde: soit on fait façon Windows, MacOS, OpenBSD à avoir une libc fournie par l'OS et obligatoire, en interdisant les syscalls custom soit chaque programme vient avec son propre lot de syscalls en utilisant une libc compilée statiquement, mais le modèle hybride c'est le merdier.
— Permalink