Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 30-04-2015 09:33:59

Laërte
Membre
Distrib. : Debian Testing
Noyau : Linux 3.16.0-4-amd64
(G)UI : Kwin
Inscription : 01-09-2013

Root, Privoxy et APT

Bonjour,

je ne saurais dire à partir de quand, mais depuis un certain temps maintenant, je ne peux plus télécharger de paquets en utilisant le compte root.
Si j'essaie ne serait-ce qu'un malheureux aptitude upgrade (ou apt-get, c'est pareil en l'occurence), j'ai droit à un beau message d'erreur :

Impossible d'initialiser la connexion à 8118: 80 (0.0.31.182). - connect (22: Argument invalide)



Ce qui me fait penser que Privoxy est impliqué dans l'affaire, c'est que celui-ci surveille le port 8118, sur lequel j'ai redirigé toutes mes connexions utilisateurs.
D'ailleurs, si je passe par sudo, la mise à jour ou l'installation de paquets se déroule sans problème.

Dans mon .zshrc (en tant qu'utilisateur normal):

# The following lines were added by compinstall

zstyle ':completion:*' completer _complete _ignored _correct _approximate
zstyle ':completion:*' group-name ''
zstyle ':completion:*' list-colors ''
zstyle ':completion:*' matcher-list 'm:{[:lower:][:upper:]}={[:upper:][:lower:]}' 'm:{[:lower:]}={[:upper:]}' 'l:|=* r:|=*' ''
zstyle :compinstall filename '/home/hoel/.zshrc'

autoload -Uz compinit
compinit
# End of lines added by compinstall
# Lines configured by zsh-newuser-install
HISTFILE=~/.histfile
HISTSIZE=1000
SAVEHIST=1000
setopt autocd
unsetopt extendedglob
# End of lines configured by zsh-newuser-install
#!/usr/bin/env zsh
#   _________  _   _ ____   ____
#  |__  / ___|| | | |  _ \ / ___|
#    / /\___ \| |_| | |_) | |    
# _ / /_ ___) |  _  |  _ <| |___
#(_)____|____/|_| |_|_| \_\\____|
#
 
# Complétion
autoload -U compinit
compinit
zstyle ':completion:*:descriptions' format '%U%B%d%b%u'
zstyle ':completion:*:warnings' format '%BSorry, no matches for: %d%b'
zstyle ':completion:*:sudo:*' command-path /usr/local/sbin /usr/local/bin \
                             /usr/sbin /usr/bin /sbin /bin /usr/X11R6/bin
# Crée un cache des complétion possibles
# très utile pour les complétion qui demandent beaucoup de temps
# comme la recherche d'un paquet aptitude install moz<tab>
zstyle ':completion:*' use-cache on
zstyle ':completion:*' cache-path ~/.zsh_cache
# des couleurs pour la complétion
# faites un kill -9 <tab><tab> pour voir :)
zmodload zsh/complist
setopt extendedglob
zstyle ':completion:*:*:kill:*:processes' list-colors "=(#b) #([0-9]#)*=36=31"
 
# Correction des commandes
setopt correctall
 
# Un petit prompt sympa
autoload -U promptinit
promptinit
prompt suse
 
# Les alias marchent comme sous bash
alias ls='ls --color=auto'
alias ll='ls --color=auto -lh'
alias lll='ls --color=auto -lh | less'
# marre de se faire corriger par zsh ;)
alias xs='cd'
alias sl='ls'
# mplayer en plein framme buffer ;)
alias mplayerfb='mplayer -vo fbdev -vf scale=1024:768'
# Un grep avec des couleurs :
export GREP_COLOR=31
alias grep='grep --color=auto'
alias xte='nohup xterm &' # xte lancera un xterm qui ne se fermera pas si on ferme le terminal
# Pareil pour les variables d'environement :
export http_proxy="127.0.0.1:8118"
export HTTP_PROXY=$http_proxy
export NO_PROXY=http://127.0.0.1/,localhost,0.0.0.0
# un VRAI éditeur de texte ;)
export EDITOR=/usr/bin/vim
alias getip='curl -x "" ifconfig.me'
alias down="cclive --output-dir ~/Vidéos/ --proxy 127.0.0.1:8118"
alias e-penser="cclive --output-dir ~/'Vidéos/Émissions, interviews et autres/e-penser/' --proxy 127.0.0.1:8118"
alias dtg="cclive --output-dir ~/'Vidéos/Émissions, interviews et autres/#DTG/' --proxy 127.0.0.1:8118"
zstyle ':completion:*:processes' command 'ps -ax'
zstyle ':completion:*:processes-names' command 'ps -aeo comm='
zstyle ':completion:*:*:kill:*:processes' list-colors '=(#b) #([0-9]#)*=0=01;31'
zstyle ':completion:*:*:kill:*' menu yes select
zstyle ':completion:*:*:killall:*:processes-names' list-colors '=(#b) #([0-9]#)*=0=01;31'
zstyle ':completion:*:*:killall:*' menu yes select
export PATH=$HOME/.cabal/bin:$HOME/Documents/apps/bin:$HOME/Documents/apps/cmus/bin:$PATH
alias update_adb2priv="sudo adblock2privoxy -t my_ab2b.task"
 



Dans mon .bashrc (en tant que root) :

# ~/.bashrc: executed by bash(1) for non-login shells.

# Note: PS1 and umask are already set in /etc/profile. You should not
# need this unless you want different defaults for root.
# PS1='${debian_chroot:+($debian_chroot)}\h:\w\$ '
# umask 022

# You may uncomment the following lines if you want `ls' to be colorized:
# export LS_OPTIONS='--color=auto'
# eval "`dircolors`"
# alias ls='ls $LS_OPTIONS'
# alias ll='ls $LS_OPTIONS -l'
# alias l='ls $LS_OPTIONS -lA'
#
# Some more alias to avoid making mistakes:
# alias rm='rm -i'
# alias cp='cp -i'
# alias mv='mv -i'
alias bd=". bd -s"
export http_proxy="127.0.0.1:8118"
export HTTP_PROXY=$http_proxy
export NO_PROXY=http://127.0.0.1/,localhost,0.0.0.0



Voilà, voilà.

Je ne vous donne pas les fichiers de config de privoxy (ça fait beaucoup) sauf si vous pensez qu'ils sont nécessaire. Pour ma part je ne le pense pas : avec sudo ça marche.

Merci !

Hors ligne

#2 30-04-2015 13:41:03

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Root, Privoxy et APT

Je ne t'apporte pas de solution mais te donne mon avis sur l'utilisation de privoxy avec apt, je ne croit pas à la fiabilité du chiffrement ssl, de ce fait si tu utilise le réseau tor pour (si tu utilise tor) pour tes mises à jours système, sache bien quand même qu'il suffit que ton noeud de sortie tor soit vulnérable et que tu devienne la cible d'un petit lame ou autre du genre alors ton système pourra être corrompus et ainsi il pourront insérer un cheval de troie avec un privilège root, donc en utilisant privoxy avec tor (si tu utilise ce dernier car je sais que tor peut-être utiliser avec privoxy) alors un hacker généralement black sur ce type d'attaque pourra s'offir un zeroDay avec la plus grande facilité. Je te dit ça parceque je connais la machination qu'ils mettent en place pour s'attaquer à des grosses entreprises dont un certain salarié non formé en sécurité informatique avait utilisé privoxy avec ces privilèges sudoers (un salarié administrateur) pour naviguer sur la toile, sans même ce rendre compte qu'il avait également touché apt par ces manipulations.

Tout ce que j'ai dit est juste le béaba de la sécurité informatique.

Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#3 30-04-2015 14:08:27

Laërte
Membre
Distrib. : Debian Testing
Noyau : Linux 3.16.0-4-amd64
(G)UI : Kwin
Inscription : 01-09-2013

Re : Root, Privoxy et APT

Pas de risque de ce côté, je me sers plus de Privoxy comme d'un adblock-like. Comme tout mon trafic web passe par lui, il bloque les pubs au passage.
L'idée c'est ensuite de prendre le temps de le configurer pour m'offrir un cache web sur les trucs souvent utilisés (Google Font par exemple).

Je ne passe pas par TOR, et je croyais que les paquets étaient signés et vérifiés par apt avant installation ?

Hors ligne

#4 30-04-2015 14:26:50

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Root, Privoxy et APT

Laërte a écrit :

Je ne passe pas par TOR, et je croyais que les paquets étaient signés et vérifiés par apt avant installation ?



Les paquets sont bien vérifiés et signés mais utiliser un serveur compromis (un noeud de sortie tor ou autres) font qu'il peu y avoir comme dans le cas expliqué au dessus, un MITM résultant un zeroDay, je pense donc que Debian est à la base plus orienté universel et donc propose beaucoup de fonctionnalité aux utilisateurs tout en leurs laissant le choix de ce documenter avant par le biais des wiki (à condition qu'ils soient bien fait), en clair on peu utiliser correctement sont système mais être face à un réseau qui n'est pas sécurisé, cela n'engage donc pas Debian mais l'administrateur (l'utilisateur d'origine aussi)

Laërte a écrit :

L'idée c'est ensuite de prendre le temps de le configurer pour m'offrir un cache web sur les trucs souvent utilisés. ..



Pour faire du cache web il faut utiliser squid3, après reste à le mettre en écoute sur le bon port ...

Dernière modification par kawer (30-04-2015 14:34:15)


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#5 30-04-2015 15:44:15

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Root, Privoxy et APT

Je ne connais pas trop la configuration avancé de privoxy mais :

Semble faire en sorte que tu accepte l'écoute sur 127.0.0.1 par

export http_proxy="127.0.0.1:8118"
export HTTP_PROXY=$http_proxy



et ensuite que tu le refuse avec

export NO_PROXY=http://127.0.0.1/,localhost,0.0.0.0



Après si j'ai raison (quelqu'un finira par venir le confirmer) alors tu doit torifier tes applications une par une, ce qui causera de toute façon moins de problème coté sécurité. On te dira peut-être qu'il y a une problème dans ta configuration mais si c'est le cas j'éspère que privoxy cesse de fonctionner en cas de mauvaise configuration (si il a été bien développé) ... tongue


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

Pied de page des forums