Bonjour à tous,
Pour ceux qui n'ont pas suivi l'affaire WikiLeaks, une situation assez dangereuse est en train de se développer sur Internet.
Petit récap :
WikiLeaks existe depuis 4 ans, et a pour mission de relayer anonymement des "fuites" de documents officiels. C'est eux qui ont éventé le traité ACTA, par exemple, ainsi que des documents relatant les coulisses des guerres en Afghanistan, Iraq et ailleurs.
Récemment, WikiLeaks a obtenu d'une source anonyme des messages diplomatiques échangés entre le secrétariat d'état américain et et ses ambassades. Et a commencé à les diffuser, avec le concours de cinq quotidiens nationaux reconnus, qui analysent et filtrent les informations pour garantir que leur diffusion ne mettra pas de vies humaines en danger.
Les gouvernements du monde entier ont très mal pris ce déballage de leurs petits secrets, et luttent activement, usant de touts les formes de pression à leur disposition, contre le site coupable de ce crime de lèse majesté.
Le domaine WikiLeaks.org a été paralysé par l'hébergeur du DNS. Le site, précédemment hébergé chez Amazon, a été shooté par l'hébergeur sous un prétexte fallacieux. Paypal a gelé le compte de donation à l'attention de WikiLeaks, le considérant comme lié a des activités criminelles.
Le site est désormais hébergé (au moins pour partie) chez OVH, qui n'a pas baissé son froc, et qui a lancé un recours au tribunal de Lille pour trancher sur la légalité du site en droit français.
Pendant ce temps, notre ministre de la reconduite à la frontière, Eric Besson, cherche tous les moyens possibles de faire interdire le site en France.
Face à ces tentatives de censure, l'Internet se rebiffe et use d'un moyen simple pour préserver notre liberté d'expression : faire des miroirs.
Le principe est simple : si vous avez un serveur HTTP, une petite demi heure à y passer et envie de contribuer à la préservation de vos libertés, VOUS pouvez devenir un miroir de WikiLeaks.
Le formulaire de déclaration de miroir se trouve là : http://46.59.1.2/mass-mirror.html
Le principe est le suivant : - créez un utilisateur sur votre serveur - Donnez lui le droit de se connecter en SSH avec la clef indiquée sur la page sus-citée - Faites pointer un vhost vers le home de cet utilisateur, acceptant les servername "*wikileaks*" - Sécurisez un peu le tout (pas besoin d'un shell, juste un rsync, chrootez le éventuellement, chmod 600 ou 640 en fonction du HTTPd, etc...)
Quelques précision techniques :
- Fonctionnement du miroring :
Les contributeurs de WikiLeaks ont mis au point un système automatisé pour propager les miroirs et les mises à jour. Un robot se connectera aux serveurs miroirs déclarés pour aller déposer les mises à jour, il n'y a pas de manipulation de contenu à faire.
- Les risques encourus
* Sur le plan légal
Il n'y a rien, en droit français, qui puisse faire interdire l'hébergement du site dans notre pays. Néanmoins, on peut supposer que la détermination de nos gouvernants pourrait aboutir à l'édiction d'un décret illégal. Dans ce cas, une ordonnance pourrait vous être adressé afin de faire fermer le miroir. Mais c'est peu probable et vous en seriez averti par l'adresse mail de contact laissé à WikiLeaks avant que la moindre procédure puisse t être déclenchée.
* Sur le plan technique
Des DDoS (Distributed Denial of Service), ou attaques par débordement, sont encore en cours contre Wikileaks. Vous pourriez voir arriver un grand nombre de requêtes sur votre miroir, qui risquerait de le faire planter sous la charge.
Plus il y a de miroirs, moins ça a de chance d'arriver. Mais si vous décidez de le faire malgré le risque, prenez garde à ce que la machine hébergeant le miroir puisse être indisponible sans mettre en danger d'autres services. On évitera, par exemple, de faire ça sur un serveur d'un employeur ;)
Le risque est faible, mais il existe.
- De la confiance en Wikileaks (un shell account, c'est pas rien quand même)
Là dessus, libre à vous. Les mise à jour du site peuvent être faites par FTP, si vous êtes plus en confiance dans ce protocole que dans un SSH identifié par clef publique. Dans ce cas, pensez bien à chrooter le FTPd dans le home de l'utilisateur, si ce n'est déjà fait, et à interdire l'exécution de code (CGI) dans la configuration du HTTPd.
Le FTP est moins efficace que le rsync over SSH, donc consommera plus de ressources pour les robots de mise à jour. Du coup, les mises à jour pourraient être moins fréquentes.
Voilà, si vous avez d'autres questions, n'hésitez pas !
Merci d'avance !
Bonjour,
Très bonne initiative !
Une fois votre miroir en place, n'hésitez pas à le référencer sur http://wikimirrors.piratskapartija.com/
Jérôme Le Gal
-----Message d'origine----- De : frsag-bounces@frsag.org [mailto:frsag-bounces@frsag.org] De la part de Jérôme Nicolle Envoyé : dimanche 5 décembre 2010 13:18 À : French SysAdmin Group Objet : [FRsAG] WikiLeaks - Mass Mirroring Project - On a besoin de vous !
Bonjour à tous,
Pour ceux qui n'ont pas suivi l'affaire WikiLeaks, une situation assez dangereuse est en train de se développer sur Internet.
Petit récap :
WikiLeaks existe depuis 4 ans, et a pour mission de relayer anonymement des "fuites" de documents officiels. C'est eux qui ont éventé le traité ACTA, par exemple, ainsi que des documents relatant les coulisses des guerres en Afghanistan, Iraq et ailleurs.
Récemment, WikiLeaks a obtenu d'une source anonyme des messages diplomatiques échangés entre le secrétariat d'état américain et et ses ambassades. Et a commencé à les diffuser, avec le concours de cinq quotidiens nationaux reconnus, qui analysent et filtrent les informations pour garantir que leur diffusion ne mettra pas de vies humaines en danger.
Les gouvernements du monde entier ont très mal pris ce déballage de leurs petits secrets, et luttent activement, usant de touts les formes de pression à leur disposition, contre le site coupable de ce crime de lèse majesté.
Le domaine WikiLeaks.org a été paralysé par l'hébergeur du DNS. Le site, précédemment hébergé chez Amazon, a été shooté par l'hébergeur sous un prétexte fallacieux. Paypal a gelé le compte de donation à l'attention de WikiLeaks, le considérant comme lié a des activités criminelles.
Le site est désormais hébergé (au moins pour partie) chez OVH, qui n'a pas baissé son froc, et qui a lancé un recours au tribunal de Lille pour trancher sur la légalité du site en droit français.
Pendant ce temps, notre ministre de la reconduite à la frontière, Eric Besson, cherche tous les moyens possibles de faire interdire le site en France.
Face à ces tentatives de censure, l'Internet se rebiffe et use d'un moyen simple pour préserver notre liberté d'expression : faire des miroirs.
Le principe est simple : si vous avez un serveur HTTP, une petite demi heure à y passer et envie de contribuer à la préservation de vos libertés, VOUS pouvez devenir un miroir de WikiLeaks.
Le formulaire de déclaration de miroir se trouve là : http://46.59.1.2/mass-mirror.html
Le principe est le suivant : - créez un utilisateur sur votre serveur - Donnez lui le droit de se connecter en SSH avec la clef indiquée sur la page sus-citée - Faites pointer un vhost vers le home de cet utilisateur, acceptant les servername "*wikileaks*" - Sécurisez un peu le tout (pas besoin d'un shell, juste un rsync, chrootez le éventuellement, chmod 600 ou 640 en fonction du HTTPd, etc...)
Quelques précision techniques :
- Fonctionnement du miroring :
Les contributeurs de WikiLeaks ont mis au point un système automatisé pour propager les miroirs et les mises à jour. Un robot se connectera aux serveurs miroirs déclarés pour aller déposer les mises à jour, il n'y a pas de manipulation de contenu à faire.
- Les risques encourus
* Sur le plan légal
Il n'y a rien, en droit français, qui puisse faire interdire l'hébergement du site dans notre pays. Néanmoins, on peut supposer que la détermination de nos gouvernants pourrait aboutir à l'édiction d'un décret illégal. Dans ce cas, une ordonnance pourrait vous être adressé afin de faire fermer le miroir. Mais c'est peu probable et vous en seriez averti par l'adresse mail de contact laissé à WikiLeaks avant que la moindre procédure puisse t être déclenchée.
* Sur le plan technique
Des DDoS (Distributed Denial of Service), ou attaques par débordement, sont encore en cours contre Wikileaks. Vous pourriez voir arriver un grand nombre de requêtes sur votre miroir, qui risquerait de le faire planter sous la charge.
Plus il y a de miroirs, moins ça a de chance d'arriver. Mais si vous décidez de le faire malgré le risque, prenez garde à ce que la machine hébergeant le miroir puisse être indisponible sans mettre en danger d'autres services. On évitera, par exemple, de faire ça sur un serveur d'un employeur ;)
Le risque est faible, mais il existe.
- De la confiance en Wikileaks (un shell account, c'est pas rien quand même)
Là dessus, libre à vous. Les mise à jour du site peuvent être faites par FTP, si vous êtes plus en confiance dans ce protocole que dans un SSH identifié par clef publique. Dans ce cas, pensez bien à chrooter le FTPd dans le home de l'utilisateur, si ce n'est déjà fait, et à interdire l'exécution de code (CGI) dans la configuration du HTTPd.
Le FTP est moins efficace que le rsync over SSH, donc consommera plus de ressources pour les robots de mise à jour. Du coup, les mises à jour pourraient être moins fréquentes.
Voilà, si vous avez d'autres questions, n'hésitez pas !
Merci d'avance !
-- Jérôme Nicolle 06 19 31 27 14
Petite précision technique :
- La clef de Wikileaks doit être placée dans le fichier ~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la votre, par exemple)
- Le miroir se compose uniquement de fichiers statiques (html, png, css) et occupe un peu moins de 2Go pour le site complet.
- Une fois la clef ou le compte FTP enregistré sur wikileaks, le robot déposera un fichier test. Le site complet n'arrivera que d'ici quelques heures (12 au plus)
- Si votre serveur est joignable en IPv4 et IPv6, enregistrez de préférence l'entrée en v6 ou un hostname disposant d'un A et d'un AAAA. Cette adresse ne sert que pour l'envoi des fichiers, pas pour le référencement des miroirs.
Il est préférable, pour l'instant que vous mettiez en place un hostname dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez l'inspiration)
L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est celle renseignée un peu plus bas dans le formulaire, pas nécessairement l'hostname auquel les fichiers sont envoyés. La correspondance entre les deux sera testée par l'envoi du premier fichier avant le miroir complet.
On me dit dans l'oreillette que les servername www.wikileaks.* ne seront pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en tenir à un vhost sur un domaine à vous.
Bonsoir,
pour ceux qui se démandent comment facilement faire un chroot openssh avec rsync, j'ai écrit en vitesse un petit tuto: http://www.justasysadmin.net/fr/practical/chroot-ssh-rsync/
Commentaires bienvenus, c'est perfectible et je le sais
Gaëtan
Le 05/12/2010 14:25, Jérôme Nicolle a écrit :
Petite précision technique :
- La clef de Wikileaks doit être placée dans le fichier
~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la votre, par exemple)
- Le miroir se compose uniquement de fichiers statiques (html, png, css)
et occupe un peu moins de 2Go pour le site complet.
- Une fois la clef ou le compte FTP enregistré sur wikileaks, le robot
déposera un fichier test. Le site complet n'arrivera que d'ici quelques heures (12 au plus)
- Si votre serveur est joignable en IPv4 et IPv6, enregistrez de
préférence l'entrée en v6 ou un hostname disposant d'un A et d'un AAAA. Cette adresse ne sert que pour l'envoi des fichiers, pas pour le référencement des miroirs.
Il est préférable, pour l'instant que vous mettiez en place un hostname dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez l'inspiration)
L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est celle renseignée un peu plus bas dans le formulaire, pas nécessairement l'hostname auquel les fichiers sont envoyés. La correspondance entre les deux sera testée par l'envoi du premier fichier avant le miroir complet.
On me dit dans l'oreillette que les servername www.wikileaks.* ne seront pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en tenir à un vhost sur un domaine à vous.
Liste de diffusion du FRsAG http://www.frsag.org/
J'ai moi-même plublié un tutoriel pour sécuriser le bouzin : http://geekfault.org/2010/12/05/devenez-miroir-de-wikileaks-sans-risque/
C'est plus ou moins la même chose que ton tuto, j'ai juste un dummyshell en plus pour s'assurer que seul Rsync pouvait être exécuté.
Tito
2010/12/5 Gaetan Duchaussois gaetan.duchaussois@laposte.net
Bonsoir,
pour ceux qui se démandent comment facilement faire un chroot openssh avec rsync, j'ai écrit en vitesse un petit tuto: http://www.justasysadmin.net/fr/practical/chroot-ssh-rsync/
Commentaires bienvenus, c'est perfectible et je le sais
Gaëtan
Le 05/12/2010 14:25, Jérôme Nicolle a écrit :
Petite précision technique :
- La clef de Wikileaks doit être placée dans le fichier
~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la votre, par exemple)
- Le miroir se compose uniquement de fichiers statiques (html, png, css)
et occupe un peu moins de 2Go pour le site complet.
- Une fois la clef ou le compte FTP enregistré sur wikileaks, le robot
déposera un fichier test. Le site complet n'arrivera que d'ici quelques heures (12 au plus)
- Si votre serveur est joignable en IPv4 et IPv6, enregistrez de
préférence l'entrée en v6 ou un hostname disposant d'un A et d'un AAAA. Cette adresse ne sert que pour l'envoi des fichiers, pas pour le référencement des miroirs.
Il est préférable, pour l'instant que vous mettiez en place un hostname dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez l'inspiration)
L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est celle renseignée un peu plus bas dans le formulaire, pas nécessairement l'hostname auquel les fichiers sont envoyés. La correspondance entre les deux sera testée par l'envoi du premier fichier avant le miroir complet.
On me dit dans l'oreillette que les servername www.wikileaks.* ne seront pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en tenir à un vhost sur un domaine à vous.
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Bonsoir,
premier message sur cette mailing list! salut donc, linux since 1.2.x, etc blabla:)
un petit ajout, par rapport au dummy shell, cette ligne devrait bypasser ton dummyshell ;) ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih) man sshd_config indique forcecommand,
salutations,
Le Sun, Dec 05, 2010 at 10:33:39PM +0100, Christophe De Wolf:
J'ai moi-même plublié un tutoriel pour sécuriser le bouzin : http://geekfault.org/2010/12/05/devenez-miroir-de-wikileaks-sans-risque/
C'est plus ou moins la même chose que ton tuto, j'ai juste un dummyshell en plus pour s'assurer que seul Rsync pouvait être exécuté.
Tito
2010/12/5 Gaetan Duchaussois gaetan.duchaussois@laposte.net
Bonsoir,
pour ceux qui se démandent comment facilement faire un chroot openssh avec rsync, j'ai écrit en vitesse un petit tuto: http://www.justasysadmin.net/fr/practical/chroot-ssh-rsync/
Commentaires bienvenus, c'est perfectible et je le sais
Gaëtan
Le 05/12/2010 14:25, Jérôme Nicolle a écrit :
Petite précision technique :
- La clef de Wikileaks doit être placée dans le fichier
~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la votre, par exemple)
- Le miroir se compose uniquement de fichiers statiques (html, png, css)
et occupe un peu moins de 2Go pour le site complet.
- Une fois la clef ou le compte FTP enregistré sur wikileaks, le robot
déposera un fichier test. Le site complet n'arrivera que d'ici quelques heures (12 au plus)
- Si votre serveur est joignable en IPv4 et IPv6, enregistrez de
préférence l'entrée en v6 ou un hostname disposant d'un A et d'un AAAA. Cette adresse ne sert que pour l'envoi des fichiers, pas pour le référencement des miroirs.
Il est préférable, pour l'instant que vous mettiez en place un hostname dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez l'inspiration)
L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est celle renseignée un peu plus bas dans le formulaire, pas nécessairement l'hostname auquel les fichiers sont envoyés. La correspondance entre les deux sera testée par l'envoi du premier fichier avant le miroir complet.
On me dit dans l'oreillette que les servername www.wikileaks.* ne seront pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en tenir à un vhost sur un domaine à vous.
Sinon vous pouvez utiliser le shell : scponly ca fera très bien l'affaire :-)
On 12/06/2010 12:03 AM, eldre8 wrote:
Bonsoir,
premier message sur cette mailing list! salut donc, linux since 1.2.x, etc blabla:)
un petit ajout, par rapport au dummy shell, cette ligne devrait bypasser ton dummyshell ;) ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih) man sshd_config indique forcecommand,
salutations,
Le Sun, Dec 05, 2010 at 10:33:39PM +0100, Christophe De Wolf:
J'ai moi-même plublié un tutoriel pour sécuriser le bouzin : http://geekfault.org/2010/12/05/devenez-miroir-de-wikileaks-sans-risque/
C'est plus ou moins la même chose que ton tuto, j'ai juste un dummyshell en plus pour s'assurer que seul Rsync pouvait être exécuté.
Tito
2010/12/5 Gaetan Duchaussois gaetan.duchaussois@laposte.net
Bonsoir,
pour ceux qui se démandent comment facilement faire un chroot openssh avec rsync, j'ai écrit en vitesse un petit tuto: http://www.justasysadmin.net/fr/practical/chroot-ssh-rsync/
Commentaires bienvenus, c'est perfectible et je le sais
Gaëtan
Le 05/12/2010 14:25, Jérôme Nicolle a écrit :
Petite précision technique :
- La clef de Wikileaks doit être placée dans le fichier
~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la votre, par exemple)
- Le miroir se compose uniquement de fichiers statiques (html, png, css)
et occupe un peu moins de 2Go pour le site complet.
- Une fois la clef ou le compte FTP enregistré sur wikileaks, le robot
déposera un fichier test. Le site complet n'arrivera que d'ici quelques heures (12 au plus)
- Si votre serveur est joignable en IPv4 et IPv6, enregistrez de
préférence l'entrée en v6 ou un hostname disposant d'un A et d'un AAAA. Cette adresse ne sert que pour l'envoi des fichiers, pas pour le référencement des miroirs.
Il est préférable, pour l'instant que vous mettiez en place un hostname dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez l'inspiration)
L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est celle renseignée un peu plus bas dans le formulaire, pas nécessairement l'hostname auquel les fichiers sont envoyés. La correspondance entre les deux sera testée par l'envoi du premier fichier avant le miroir complet.
On me dit dans l'oreillette que les servername www.wikileaks.* ne seront pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en tenir à un vhost sur un domaine à vous.
Non, c'était ma première idée aussi mais ils utilisent Rsync.
Rsync c'est pas juste du SFTP, il faut pouvoir lancer "rsync --server" en SSH.
Tito
2010/12/6 Antoine MILLET antoine.millet@grimly.org
Sinon vous pouvez utiliser le shell : scponly ca fera très bien l'affaire :-)
On 12/06/2010 12:03 AM, eldre8 wrote:
Bonsoir,
premier message sur cette mailing list! salut donc, linux since 1.2.x,
etc blabla:)
un petit ajout, par rapport au dummy shell, cette ligne devrait bypasser
ton dummyshell ;)
ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih) man sshd_config indique forcecommand,
salutations,
Le Sun, Dec 05, 2010 at 10:33:39PM +0100, Christophe De Wolf:
J'ai moi-même plublié un tutoriel pour sécuriser le bouzin :
http://geekfault.org/2010/12/05/devenez-miroir-de-wikileaks-sans-risque/
C'est plus ou moins la même chose que ton tuto, j'ai juste un dummyshell
en
plus pour s'assurer que seul Rsync pouvait être exécuté.
Tito
2010/12/5 Gaetan Duchaussois gaetan.duchaussois@laposte.net
Bonsoir,
pour ceux qui se démandent comment facilement faire un chroot openssh
avec
rsync, j'ai écrit en vitesse un petit tuto: http://www.justasysadmin.net/fr/practical/chroot-ssh-rsync/
Commentaires bienvenus, c'est perfectible et je le sais
Gaëtan
Le 05/12/2010 14:25, Jérôme Nicolle a écrit :
Petite précision technique :
- La clef de Wikileaks doit être placée dans le fichier
~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la votre, par exemple)
- Le miroir se compose uniquement de fichiers statiques (html, png,
css)
et occupe un peu moins de 2Go pour le site complet.
- Une fois la clef ou le compte FTP enregistré sur wikileaks, le robot
déposera un fichier test. Le site complet n'arrivera que d'ici quelques heures (12 au plus)
- Si votre serveur est joignable en IPv4 et IPv6, enregistrez de
préférence l'entrée en v6 ou un hostname disposant d'un A et d'un AAAA. Cette adresse ne sert que pour l'envoi des fichiers, pas pour le référencement des miroirs.
Il est préférable, pour l'instant que vous mettiez en place un hostname dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez l'inspiration)
L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est celle renseignée un peu plus bas dans le formulaire, pas nécessairement l'hostname auquel les fichiers sont envoyés. La correspondance entre
les
deux sera testée par l'envoi du premier fichier avant le miroir
complet.
On me dit dans l'oreillette que les servername www.wikileaks.* ne
seront
pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en tenir à un vhost sur un domaine à vous.
-- Antoine MILLET http://scrier.grimly.org/
Liste de diffusion du FRsAG http://www.frsag.org/
"rssh" dans ce cas, en activant uniquement "allowrsync".
Le 06/12/2010 00:39, Christophe De Wolf a écrit :
Non, c'était ma première idée aussi mais ils utilisent Rsync.
Rsync c'est pas juste du SFTP, il faut pouvoir lancer "rsync --server" en SSH.
Tito
2010/12/6 Antoine MILLET <antoine.millet@grimly.org mailto:antoine.millet@grimly.org>
Sinon vous pouvez utiliser le shell : scponly ca fera très bien l'affaire :-) On 12/06/2010 12:03 AM, eldre8 wrote: > Bonsoir, > > premier message sur cette mailing list! salut donc, linux since 1.2.x, etc blabla:) > > un petit ajout, par rapport au dummy shell, cette ligne devrait bypasser ton dummyshell ;) > ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih) > man sshd_config indique forcecommand, > > salutations, > > Le Sun, Dec 05, 2010 at 10:33:39PM +0100, Christophe De Wolf: >> J'ai moi-même plublié un tutoriel pour sécuriser le bouzin : >> http://geekfault.org/2010/12/05/devenez-miroir-de-wikileaks-sans-risque/ >> >> C'est plus ou moins la même chose que ton tuto, j'ai juste un dummyshell en >> plus pour s'assurer que seul Rsync pouvait être exécuté. >> >> Tito >> >> 2010/12/5 Gaetan Duchaussois <gaetan.duchaussois@laposte.net <mailto:gaetan.duchaussois@laposte.net>> >> >>> Bonsoir, >>> >>> pour ceux qui se démandent comment facilement faire un chroot openssh avec >>> rsync, j'ai écrit en vitesse un petit tuto: >>> http://www.justasysadmin.net/fr/practical/chroot-ssh-rsync/ >>> >>> Commentaires bienvenus, c'est perfectible et je le sais >>> >>> Gaëtan >>> >>> Le 05/12/2010 14:25, Jérôme Nicolle a écrit : >>> >>> Petite précision technique : >>> >>> - La clef de Wikileaks doit être placée dans le fichier >>> ~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la >>> votre, par exemple) >>> >>> - Le miroir se compose uniquement de fichiers statiques (html, png, css) >>> et occupe un peu moins de 2Go pour le site complet. >>> >>> - Une fois la clef ou le compte FTP enregistré sur wikileaks, le robot >>> déposera un fichier test. Le site complet n'arrivera que d'ici quelques >>> heures (12 au plus) >>> >>> - Si votre serveur est joignable en IPv4 et IPv6, enregistrez de >>> préférence l'entrée en v6 ou un hostname disposant d'un A et d'un AAAA. >>> Cette adresse ne sert que pour l'envoi des fichiers, pas pour le >>> référencement des miroirs. >>> >>> Il est préférable, pour l'instant que vous mettiez en place un hostname >>> dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que >>> wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez >>> l'inspiration) >>> >>> L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est celle >>> renseignée un peu plus bas dans le formulaire, pas nécessairement >>> l'hostname auquel les fichiers sont envoyés. La correspondance entre les >>> deux sera testée par l'envoi du premier fichier avant le miroir complet. >>> >>> On me dit dans l'oreillette que les servername www.wikileaks.* ne seront >>> pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en >>> tenir à un vhost sur un domaine à vous. >>> -- Antoine MILLET http://scrier.grimly.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Désolé, mais j'ai pas bien, compris finalement avec le shell rssh, rsync utilisant ssh fonctionne-t-il ou vaut il mieux passer par chroot ?
Par avance merci.
______________
Renaud Hager
----- Message d'origine ---- De : Olivier Bonvalet frsag.list@daevel.fr À : frsag@frsag.org Envoyé le : Lun 6 décembre 2010, 0h 41min 47s Objet : Re: [FRsAG] WikiLeaks - Mass Mirroring Project - On a besoin de vous !
"rssh" dans ce cas, en activant uniquement "allowrsync".
Le 06/12/2010 00:39, Christophe De Wolf a écrit :
Non, c'était ma première idée aussi mais ils utilisent Rsync.
Rsync c'est pas juste du SFTP, il faut pouvoir lancer "rsync --server" en SSH.
Tito
2010/12/6 Antoine MILLET <antoine.millet@grimly.org mailto:antoine.millet@grimly.org>
Sinon vous pouvez utiliser le shell : scponly ca fera très bien l'affaire :-) On 12/06/2010 12:03 AM, eldre8 wrote: > Bonsoir, > > premier message sur cette mailing list! salut donc, linux since 1.2.x,etc blabla:) > > un petit ajout, par rapport au dummy shell, cette ligne devrait bypasser ton dummyshell ;) > ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih) > man sshd_config indique forcecommand, > > salutations, > > Le Sun, Dec 05, 2010 at 10:33:39PM +0100, Christophe De Wolf: >> J'ai moi-même plublié un tutoriel pour sécuriser le bouzin : >> http://geekfault.org/2010/12/05/devenez-miroir-de-wikileaks-sans-risque/ >> >> C'est plus ou moins la même chose que ton tuto, j'ai juste un dummyshell en >> plus pour s'assurer que seul Rsync pouvait être exécuté. >> >> Tito >> >> 2010/12/5 Gaetan Duchaussois <gaetan.duchaussois@laposte.net mailto:gaetan.duchaussois@laposte.net> >> >>> Bonsoir, >>> >>> pour ceux qui se démandent comment facilement faire un chroot openssh avec >>> rsync, j'ai écrit en vitesse un petit tuto: >>> http://www.justasysadmin.net/fr/practical/chroot-ssh-rsync/ >>> >>> Commentaires bienvenus, c'est perfectible et je le sais >>> >>> Gaëtan >>> >>> Le 05/12/2010 14:25, Jérôme Nicolle a écrit : >>> >>> Petite précision technique : >>> >>> - La clef de Wikileaks doit être placée dans le fichier >>> ~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la >>> votre, par exemple) >>> >>> - Le miroir se compose uniquement de fichiers statiques (html, png, css) >>> et occupe un peu moins de 2Go pour le site complet. >>> >>> - Une fois la clef ou le compte FTP enregistré sur wikileaks, le
robot
>>> déposera un fichier test. Le site complet n'arrivera que d'iciquelques >>> heures (12 au plus) >>> >>> - Si votre serveur est joignable en IPv4 et IPv6, enregistrez de >>> préférence l'entrée en v6 ou un hostname disposant d'un A et d'un AAAA. >>> Cette adresse ne sert que pour l'envoi des fichiers, pas pour le >>> référencement des miroirs. >>> >>> Il est préférable, pour l'instant que vous mettiez en place un hostname >>> dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que >>> wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez >>> l'inspiration) >>> >>> L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est
celle
>>> renseignée un peu plus bas dans le formulaire, pas nécessairement >>> l'hostname auquel les fichiers sont envoyés. La correspondance entreles >>> deux sera testée par l'envoi du premier fichier avant le miroir complet. >>> >>> On me dit dans l'oreillette que les servername www.wikileaks.* ne seront >>> pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en >>> tenir à un vhost sur un domaine à vous. >>>
-- Antoine MILLET_______________________________________________ Liste de diffusion du FRsAG
Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
J'ai essayé ta commande, ça n'a pas marché puisque mon dummy shell empêche d'exécuter /bin/bash ;-)
Tito
2010/12/6 eldre8 eldre-m@afturgurluk.org
Bonsoir,
premier message sur cette mailing list! salut donc, linux since 1.2.x, etc blabla:)
un petit ajout, par rapport au dummy shell, cette ligne devrait bypasser ton dummyshell ;) ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih) man sshd_config indique forcecommand,
salutations,
Le Sun, Dec 05, 2010 at 10:33:39PM +0100, Christophe De Wolf:
J'ai moi-même plublié un tutoriel pour sécuriser le bouzin : http://geekfault.org/2010/12/05/devenez-miroir-de-wikileaks-sans-risque/
C'est plus ou moins la même chose que ton tuto, j'ai juste un dummyshell
en
plus pour s'assurer que seul Rsync pouvait être exécuté.
Tito
2010/12/5 Gaetan Duchaussois gaetan.duchaussois@laposte.net
Bonsoir,
pour ceux qui se démandent comment facilement faire un chroot openssh
avec
rsync, j'ai écrit en vitesse un petit tuto: http://www.justasysadmin.net/fr/practical/chroot-ssh-rsync/
Commentaires bienvenus, c'est perfectible et je le sais
Gaëtan
Le 05/12/2010 14:25, Jérôme Nicolle a écrit :
Petite précision technique :
- La clef de Wikileaks doit être placée dans le fichier
~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la votre, par exemple)
- Le miroir se compose uniquement de fichiers statiques (html, png,
css)
et occupe un peu moins de 2Go pour le site complet.
- Une fois la clef ou le compte FTP enregistré sur wikileaks, le robot
déposera un fichier test. Le site complet n'arrivera que d'ici quelques heures (12 au plus)
- Si votre serveur est joignable en IPv4 et IPv6, enregistrez de
préférence l'entrée en v6 ou un hostname disposant d'un A et d'un AAAA. Cette adresse ne sert que pour l'envoi des fichiers, pas pour le référencement des miroirs.
Il est préférable, pour l'instant que vous mettiez en place un hostname dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez l'inspiration)
L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est celle renseignée un peu plus bas dans le formulaire, pas nécessairement l'hostname auquel les fichiers sont envoyés. La correspondance entre
les
deux sera testée par l'envoi du premier fichier avant le miroir
complet.
On me dit dans l'oreillette que les servername www.wikileaks.* ne
seront
pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en tenir à un vhost sur un domaine à vous.
-- rtfm is da power _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Pour l'etherpad de Mozilla cella ressemble plus a une initiative "geekiste" française.
Sinon comme IP il y a également http://whois.domaintools.com/213.251.145.96 (OVH) qui tiendra le temps de l'action en référé.
Merci pour les tutos. J'ai plus d'excuse pour ne pas le faire maintenant. :D
ah bon c'est une bonne nouvelle, et je viens de faire un test, et oui marche pas :)
Le Mon, Dec 06, 2010 at 12:43:43AM +0100, Christophe De Wolf:
J'ai essayé ta commande, ça n'a pas marché puisque mon dummy shell empêche d'exécuter /bin/bash ;-)
Tito
2010/12/6 eldre8 eldre-m@afturgurluk.org
Bonsoir,
premier message sur cette mailing list! salut donc, linux since 1.2.x, etc blabla:)
un petit ajout, par rapport au dummy shell, cette ligne devrait bypasser ton dummyshell ;) ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih) man sshd_config indique forcecommand,
salutations,
Le Sun, Dec 05, 2010 at 10:33:39PM +0100, Christophe De Wolf:
J'ai moi-même plublié un tutoriel pour sécuriser le bouzin : http://geekfault.org/2010/12/05/devenez-miroir-de-wikileaks-sans-risque/
C'est plus ou moins la même chose que ton tuto, j'ai juste un dummyshell
en
plus pour s'assurer que seul Rsync pouvait être exécuté.
Tito
2010/12/5 Gaetan Duchaussois gaetan.duchaussois@laposte.net
Bonsoir,
pour ceux qui se démandent comment facilement faire un chroot openssh
avec
rsync, j'ai écrit en vitesse un petit tuto: http://www.justasysadmin.net/fr/practical/chroot-ssh-rsync/
Commentaires bienvenus, c'est perfectible et je le sais
Gaëtan
Le 05/12/2010 14:25, Jérôme Nicolle a écrit :
Petite précision technique :
- La clef de Wikileaks doit être placée dans le fichier
~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la votre, par exemple)
- Le miroir se compose uniquement de fichiers statiques (html, png,
css)
et occupe un peu moins de 2Go pour le site complet.
- Une fois la clef ou le compte FTP enregistré sur wikileaks, le robot
déposera un fichier test. Le site complet n'arrivera que d'ici quelques heures (12 au plus)
- Si votre serveur est joignable en IPv4 et IPv6, enregistrez de
préférence l'entrée en v6 ou un hostname disposant d'un A et d'un AAAA. Cette adresse ne sert que pour l'envoi des fichiers, pas pour le référencement des miroirs.
Il est préférable, pour l'instant que vous mettiez en place un hostname dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez l'inspiration)
L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est celle renseignée un peu plus bas dans le formulaire, pas nécessairement l'hostname auquel les fichiers sont envoyés. La correspondance entre
les
deux sera testée par l'envoi du premier fichier avant le miroir
complet.
On me dit dans l'oreillette que les servername www.wikileaks.* ne
seront
pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en tenir à un vhost sur un domaine à vous.
-- rtfm is da power _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Salut,
On Mon, Dec 06, 2010 at 12:03:07AM +0100, eldre8 wrote:
un petit ajout, par rapport au dummy shell, cette ligne devrait bypasser ton dummyshell ;)
ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih) man sshd_config indique forcecommand,
Bon point pour ForceCommand !
Il est aussi possible de forcer la commande depuis le fichier "authorized_keys":
command="/usr/bin/rsync --server" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAtmX4Jx8NGcCEiwEIQAcHKS1s+N9GLzca9Ffu4ItBEB/6jVTEoamnxnYt0WHQ0I+jpN3g/k2lF3MTncUjwrLorWSxPLI6giGTheT4vhLZQOVZV4O+GS0CETMKVsrclPLhHouW891QU84eHACuTh+KUvuhs3pV0EHYHnAVCIs8JuU03ZTNIIuuYFVf7P3BCIa8pnncUcy722ZB7qlWCjjjpBxLGr1/EyOTsZD76Kl8BBoiZDwXCgFzvKYe2NqhqRBb8bo0CP6QyyROxcgBLYtvBJurhMNQ7qTZJBF5DjeDQrCvCZsEwlffV5BFoQY5ISnZgkKC00Ww65y6+EwCZ9WvSw== wwwsync@wikileaks.org
Pour information, s'il y avait plus d'une commande à autoriser (ou bien une liste d'argument qui peut changer), il faut nécessairement passer par un wrapper et implémenter les validations dont on a besoin. Voici un exemple qui n'autorise que "rsync --server" (pas testé cela dit) :
% #!/bin/sh % % # Update to fit your setup. This one should suit almost anyone though. % PATH=/bin:/usr/bin:/usr/local/bin:/usr/pkg/bin % % RSYNC=$(which rsync) || exit 1 % % set -f % set -- $SSH_ORIGINAL_COMMAND % set +f % % [ "x$1" = "x$RSYNC" ] || exit 1 % [ "x$2" = "x--server" ] || exit 1 % % exec "$@"
Bonjour,
attention à ce type d'encapsulation où il y a une magnifique faille :-(
ssh user@serveur '`/bin/rm -rf /`'
va fonctionner parfaitement et conduire à une catastrophe. Enfin, catastrophe, c'est une question de user et de point de vue ;-) Le wrapper doit obligatoirement vérifier les chaînes sans qu'elles soient évaluées, c'est difficile à réaliser avec du shell.
Patrice
frsag-bounces@frsag.org a écrit sur 06/12/2010 09:23:11 :
Salut,
On Mon, Dec 06, 2010 at 12:03:07AM +0100, eldre8 wrote:
un petit ajout, par rapport au dummy shell, cette ligne devrait bypasser ton dummyshell ;)
ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih) man sshd_config indique forcecommand,
Bon point pour ForceCommand !
Il est aussi possible de forcer la commande depuis le fichier "authorized_keys":
command="/usr/bin/rsync --server" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAtmX4Jx8NGcCEiwEIQAcHKS1s
+N9GLzca9Ffu4ItBEB/6jVTEoamnxnYt0WHQ0I +jpN3g/k2lF3MTncUjwrLorWSxPLI6giGTheT4vhLZQOVZV4O +GS0CETMKVsrclPLhHouW891QU84eHACuTh +KUvuhs3pV0EHYHnAVCIs8JuU03ZTNIIuuYFVf7P3BCIa8pnncUcy722ZB7qlWCjjjpBxLGr1/EyOTsZD76Kl8BBoiZDwXCgFzvKYe2NqhqRBb8bo0CP6QyyROxcgBLYtvBJurhMNQ7qTZJBF5DjeDQrCvCZsEwlffV5BFoQY5ISnZgkKC00Ww65y6 +EwCZ9WvSw==
wwwsync@wikileaks.org
Pour information, s'il y avait plus d'une commande à autoriser (ou bien une liste d'argument qui peut changer), il faut nécessairement passer par un wrapper et implémenter les validations dont on a besoin. Voici un exemple qui n'autorise que "rsync --server" (pas testé cela dit) :
% #!/bin/sh % % # Update to fit your setup. This one should suit almost anyone though. % PATH=/bin:/usr/bin:/usr/local/bin:/usr/pkg/bin % % RSYNC=$(which rsync) || exit 1 % % set -f % set -- $SSH_ORIGINAL_COMMAND % set +f % % [ "x$1" = "x$RSYNC" ] || exit 1 % [ "x$2" = "x--server" ] || exit 1 % % exec "$@"
-- Jeremie Le Hen
Humans are born free and equal. But some are more equal than others. Coluche _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Accédez aux meilleurs tarifs Air France, gérez vos réservations et enregistrez-vous en ligne sur http://www.airfrance.com Find best Air France fares, manage your reservations and check in online at http://www.airfrance.com Les données et renseignements contenus dans ce message peuvent être de nature confidentielle et soumis au secret professionnel et sont destinés à l'usage exclusif du destinataire dont les coordonnées figurent ci-dessus. Si vous recevez cette communication par erreur, nous vous demandons de ne pas la copier, l'utiliser ou la divulguer. Nous vous prions de notifier cette erreur à l'expéditeur et d'effacer immédiatement cette communication de votre système. Société Air France - Société anonyme au capital de 1 901 231 625 euros - RCS Bobigny (France) 420 495 178 - 45, rue de Paris, 95 747 Roissy CDG CEDEX The data and information contained in this message may be confidential and subject to professionnal secrecy and is intended for the exclusive use of the recipient at the address shown above. If you receive this message by mistake, we ask you not to copy, use or disclose it. Please notify this error to the sender immediately and delete this message from your system. Société Air France - Limited company with capital of 1,901,231,625 euros - Bobigny register of companies (France) 420 495 178 - 45, rue de Paris, 95 747 Roissy CDG CEDEX Pensez à l'environnement avant d'imprimer ce message. Think of the environment before printing this mail.
Bonjour,
En réponse à l'initiative citoyenne de ton précédent post, voici la page officielle qui appelle à l'aide pour mettre en place de multiples miroirs pour wikileaks : http://46.59.1.2/mass-mirror.html
Romain
Le 05/12/2010 13:17, Jérôme Nicolle a écrit :
Bonjour à tous,
Pour ceux qui n'ont pas suivi l'affaire WikiLeaks, une situation assez dangereuse est en train de se développer sur Internet.
Petit récap :
WikiLeaks existe depuis 4 ans, et a pour mission de relayer anonymement des "fuites" de documents officiels. C'est eux qui ont éventé le traité ACTA, par exemple, ainsi que des documents relatant les coulisses des guerres en Afghanistan, Iraq et ailleurs.
Récemment, WikiLeaks a obtenu d'une source anonyme des messages diplomatiques échangés entre le secrétariat d'état américain et et ses ambassades. Et a commencé à les diffuser, avec le concours de cinq quotidiens nationaux reconnus, qui analysent et filtrent les informations pour garantir que leur diffusion ne mettra pas de vies humaines en danger.
Les gouvernements du monde entier ont très mal pris ce déballage de leurs petits secrets, et luttent activement, usant de touts les formes de pression à leur disposition, contre le site coupable de ce crime de lèse majesté.
Le domaine WikiLeaks.org a été paralysé par l'hébergeur du DNS. Le site, précédemment hébergé chez Amazon, a été shooté par l'hébergeur sous un prétexte fallacieux. Paypal a gelé le compte de donation à l'attention de WikiLeaks, le considérant comme lié a des activités criminelles.
Le site est désormais hébergé (au moins pour partie) chez OVH, qui n'a pas baissé son froc, et qui a lancé un recours au tribunal de Lille pour trancher sur la légalité du site en droit français.
Pendant ce temps, notre ministre de la reconduite à la frontière, Eric Besson, cherche tous les moyens possibles de faire interdire le site en France.
Face à ces tentatives de censure, l'Internet se rebiffe et use d'un moyen simple pour préserver notre liberté d'expression : faire des miroirs.
Le principe est simple : si vous avez un serveur HTTP, une petite demi heure à y passer et envie de contribuer à la préservation de vos libertés, VOUS pouvez devenir un miroir de WikiLeaks.
Le formulaire de déclaration de miroir se trouve là : http://46.59.1.2/mass-mirror.html
Le principe est le suivant :
- créez un utilisateur sur votre serveur
- Donnez lui le droit de se connecter en SSH avec la clef indiquée sur
la page sus-citée
- Faites pointer un vhost vers le home de cet utilisateur, acceptant les
servername "*wikileaks*"
- Sécurisez un peu le tout (pas besoin d'un shell, juste un rsync,
chrootez le éventuellement, chmod 600 ou 640 en fonction du HTTPd, etc...)
Quelques précision techniques :
- Fonctionnement du miroring :
Les contributeurs de WikiLeaks ont mis au point un système automatisé pour propager les miroirs et les mises à jour. Un robot se connectera aux serveurs miroirs déclarés pour aller déposer les mises à jour, il n'y a pas de manipulation de contenu à faire.
- Les risques encourus
- Sur le plan légal
Il n'y a rien, en droit français, qui puisse faire interdire l'hébergement du site dans notre pays. Néanmoins, on peut supposer que la détermination de nos gouvernants pourrait aboutir à l'édiction d'un décret illégal. Dans ce cas, une ordonnance pourrait vous être adressé afin de faire fermer le miroir. Mais c'est peu probable et vous en seriez averti par l'adresse mail de contact laissé à WikiLeaks avant que la moindre procédure puisse t être déclenchée.
- Sur le plan technique
Des DDoS (Distributed Denial of Service), ou attaques par débordement, sont encore en cours contre Wikileaks. Vous pourriez voir arriver un grand nombre de requêtes sur votre miroir, qui risquerait de le faire planter sous la charge.
Plus il y a de miroirs, moins ça a de chance d'arriver. Mais si vous décidez de le faire malgré le risque, prenez garde à ce que la machine hébergeant le miroir puisse être indisponible sans mettre en danger d'autres services. On évitera, par exemple, de faire ça sur un serveur d'un employeur ;)
Le risque est faible, mais il existe.
- De la confiance en Wikileaks (un shell account, c'est pas rien quand même)
Là dessus, libre à vous. Les mise à jour du site peuvent être faites par FTP, si vous êtes plus en confiance dans ce protocole que dans un SSH identifié par clef publique. Dans ce cas, pensez bien à chrooter le FTPd dans le home de l'utilisateur, si ce n'est déjà fait, et à interdire l'exécution de code (CGI) dans la configuration du HTTPd.
Le FTP est moins efficace que le rsync over SSH, donc consommera plus de ressources pour les robots de mise à jour. Du coup, les mises à jour pourraient être moins fréquentes.
Voilà, si vous avez d'autres questions, n'hésitez pas !
Merci d'avance !
Liste de diffusion du FRsAG http://www.frsag.org/
Le 05/12/10 14:37, Romain Berthaud a écrit :
Bonjour,
En réponse à l'initiative citoyenne de ton précédent post, voici la page officielle qui appelle à l'aide pour mettre en place de multiples miroirs pour wikileaks : http://46.59.1.2/mass-mirror.html
Romain
Oui, elle est en plein milieu du mail.
Autre adresse utile : la liste des miroirs synchro et validés :
Elle sera mise à jour régulièrement.
Il existe également cette initiative :
Bonjour,
Concernant l'initiative de mozilla, j'ai confiance rien qu'avec le hostname. Cepedant l'url http://46.59.1.2/mass-mirror.html, bien qu'appartenant à la Banhof qui héberge wikileaks ... comment etre sur que ce soit bien les gens de Wikileaks qui soient derriere ? En gros, d'ou sort cette Ip et comment avoir confiance en ceux qui l'héberge ?
Merci :)
Technux
2010/12/5 Lucas lucas.spam@gmail.com
Il existe également cette initiative :
http://etherpad.mozilla.org:9000/wikileaks
Liste de diffusion du FRsAG http://www.frsag.org/
On 05/12/2010 19:16, Tech Nux wrote:
Bonjour,
Concernant l'initiative de mozilla, j'ai confiance rien qu'avec le hostname.
J'ai un leger doute sur le fait que cette initiative soit celle de mozilla qui ne fait que mettre à disposition son etherpad, en libre accès depuis le début.
Toi tu nas pas lu son mail en entier :-)
De : frsag-bounces@frsag.org [mailto:frsag-bounces@frsag.org] De la part de Romain Berthaud Envoyé : dimanche 5 décembre 2010 14:37 À : French SysAdmin Group Objet : Re: [FRsAG] WikiLeaks - Mass Mirroring Project - On a besoin de vous !
Bonjour,
En réponse à l'initiative citoyenne de ton précédent post, voici la page officielle qui appelle à l'aide pour mettre en place de multiples miroirs pour wikileaks : http://46.59.1.2/mass-mirror.html
Romain
Le 05/12/2010 13:17, Jérôme Nicolle a écrit :
Bonjour à tous,
Pour ceux qui n'ont pas suivi l'affaire WikiLeaks, une situation assez dangereuse est en train de se développer sur Internet.
Petit récap :
WikiLeaks existe depuis 4 ans, et a pour mission de relayer anonymement des "fuites" de documents officiels. C'est eux qui ont éventé le traité ACTA, par exemple, ainsi que des documents relatant les coulisses des guerres en Afghanistan, Iraq et ailleurs.
Récemment, WikiLeaks a obtenu d'une source anonyme des messages diplomatiques échangés entre le secrétariat d'état américain et et ses ambassades. Et a commencé à les diffuser, avec le concours de cinq quotidiens nationaux reconnus, qui analysent et filtrent les informations pour garantir que leur diffusion ne mettra pas de vies humaines en danger.
Les gouvernements du monde entier ont très mal pris ce déballage de leurs petits secrets, et luttent activement, usant de touts les formes de pression à leur disposition, contre le site coupable de ce crime de lèse majesté.
Le domaine WikiLeaks.org a été paralysé par l'hébergeur du DNS. Le site, précédemment hébergé chez Amazon, a été shooté par l'hébergeur sous un prétexte fallacieux. Paypal a gelé le compte de donation à l'attention de WikiLeaks, le considérant comme lié a des activités criminelles.
Le site est désormais hébergé (au moins pour partie) chez OVH, qui n'a pas baissé son froc, et qui a lancé un recours au tribunal de Lille pour trancher sur la légalité du site en droit français.
Pendant ce temps, notre ministre de la reconduite à la frontière, Eric Besson, cherche tous les moyens possibles de faire interdire le site en France.
Face à ces tentatives de censure, l'Internet se rebiffe et use d'un moyen simple pour préserver notre liberté d'expression : faire des miroirs.
Le principe est simple : si vous avez un serveur HTTP, une petite demi heure à y passer et envie de contribuer à la préservation de vos libertés, VOUS pouvez devenir un miroir de WikiLeaks.
Le formulaire de déclaration de miroir se trouve là : http://46.59.1.2/mass-mirror.html
Le principe est le suivant : - créez un utilisateur sur votre serveur - Donnez lui le droit de se connecter en SSH avec la clef indiquée sur la page sus-citée - Faites pointer un vhost vers le home de cet utilisateur, acceptant les servername "*wikileaks*" - Sécurisez un peu le tout (pas besoin d'un shell, juste un rsync, chrootez le éventuellement, chmod 600 ou 640 en fonction du HTTPd, etc...)
Quelques précision techniques :
- Fonctionnement du miroring :
Les contributeurs de WikiLeaks ont mis au point un système automatisé pour propager les miroirs et les mises à jour. Un robot se connectera aux serveurs miroirs déclarés pour aller déposer les mises à jour, il n'y a pas de manipulation de contenu à faire.
- Les risques encourus
* Sur le plan légal
Il n'y a rien, en droit français, qui puisse faire interdire l'hébergement du site dans notre pays. Néanmoins, on peut supposer que la détermination de nos gouvernants pourrait aboutir à l'édiction d'un décret illégal. Dans ce cas, une ordonnance pourrait vous être adressé afin de faire fermer le miroir. Mais c'est peu probable et vous en seriez averti par l'adresse mail de contact laissé à WikiLeaks avant que la moindre procédure puisse t être déclenchée.
* Sur le plan technique
Des DDoS (Distributed Denial of Service), ou attaques par débordement, sont encore en cours contre Wikileaks. Vous pourriez voir arriver un grand nombre de requêtes sur votre miroir, qui risquerait de le faire planter sous la charge.
Plus il y a de miroirs, moins ça a de chance d'arriver. Mais si vous décidez de le faire malgré le risque, prenez garde à ce que la machine hébergeant le miroir puisse être indisponible sans mettre en danger d'autres services. On évitera, par exemple, de faire ça sur un serveur d'un employeur ;)
Le risque est faible, mais il existe.
- De la confiance en Wikileaks (un shell account, c'est pas rien quand même)
Là dessus, libre à vous. Les mise à jour du site peuvent être faites par FTP, si vous êtes plus en confiance dans ce protocole que dans un SSH identifié par clef publique. Dans ce cas, pensez bien à chrooter le FTPd dans le home de l'utilisateur, si ce n'est déjà fait, et à interdire l'exécution de code (CGI) dans la configuration du HTTPd.
Le FTP est moins efficace que le rsync over SSH, donc consommera plus de ressources pour les robots de mise à jour. Du coup, les mises à jour pourraient être moins fréquentes.
Voilà, si vous avez d'autres questions, n'hésitez pas !
Merci d'avance !
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
On Sun, 05 Dec 2010 13:17:34 +0100, Jérôme Nicolle jerome@ceriz.fr wrote:
Bonjour à tous,
Pour ceux qui n'ont pas suivi l'affaire WikiLeaks, une situation assez dangereuse est en train de se développer sur Internet.
Petit récap :
WikiLeaks existe depuis 4 ans, et a pour mission de relayer anonymement des "fuites" de documents officiels. C'est eux qui ont éventé le traité ACTA, par exemple, ainsi que des documents relatant les coulisses des guerres en Afghanistan, Iraq et ailleurs.
Récemment, WikiLeaks a obtenu d'une source anonyme des messages diplomatiques échangés entre le secrétariat d'état américain et et ses ambassades. Et a commencé à les diffuser, avec le concours de cinq quotidiens nationaux reconnus, qui analysent et filtrent les informations pour garantir que leur diffusion ne mettra pas de vies humaines en danger.
Les gouvernements du monde entier ont très mal pris ce déballage de leurs petits secrets, et luttent activement, usant de touts les formes de pression à leur disposition, contre le site coupable de ce crime de lèse majesté.
Le domaine WikiLeaks.org a été paralysé par l'hébergeur du DNS. Le site, précédemment hébergé chez Amazon, a été shooté par l'hébergeur sous un prétexte fallacieux. Paypal a gelé le compte de donation à l'attention de WikiLeaks, le considérant comme lié a des activités criminelles.
Le site est désormais hébergé (au moins pour partie) chez OVH, qui n'a pas baissé son froc, et qui a lancé un recours au tribunal de Lille pour trancher sur la légalité du site en droit français.
Pendant ce temps, notre ministre de la reconduite à la frontière, Eric Besson, cherche tous les moyens possibles de faire interdire le site en France.
Face à ces tentatives de censure, l'Internet se rebiffe et use d'un moyen simple pour préserver notre liberté d'expression : faire des miroirs.
Le principe est simple : si vous avez un serveur HTTP, une petite demi heure à y passer et envie de contribuer à la préservation de vos libertés, VOUS pouvez devenir un miroir de WikiLeaks.
Le formulaire de déclaration de miroir se trouve là : http://46.59.1.2/mass-mirror.html
Le principe est le suivant :
- créez un utilisateur sur votre serveur
- Donnez lui le droit de se connecter en SSH avec la clef indiquée
sur la page sus-citée
- Faites pointer un vhost vers le home de cet utilisateur, acceptant
les servername "*wikileaks*"
- Sécurisez un peu le tout (pas besoin d'un shell, juste un rsync,
chrootez le éventuellement, chmod 600 ou 640 en fonction du HTTPd, etc...)
Quelques précision techniques :
- Fonctionnement du miroring :
Les contributeurs de WikiLeaks ont mis au point un système automatisé pour propager les miroirs et les mises à jour. Un robot se connectera aux serveurs miroirs déclarés pour aller déposer les mises à jour, il n'y a pas de manipulation de contenu à faire.
- Les risques encourus
- Sur le plan légal
Il n'y a rien, en droit français, qui puisse faire interdire l'hébergement du site dans notre pays. Néanmoins, on peut supposer que la détermination de nos gouvernants pourrait aboutir à l'édiction d'un décret illégal. Dans ce cas, une ordonnance pourrait vous être adressé afin de faire fermer le miroir. Mais c'est peu probable et vous en seriez averti par l'adresse mail de contact laissé à WikiLeaks avant que la moindre procédure puisse t être déclenchée.
- Sur le plan technique
Des DDoS (Distributed Denial of Service), ou attaques par débordement, sont encore en cours contre Wikileaks. Vous pourriez voir arriver un grand nombre de requêtes sur votre miroir, qui risquerait de le faire planter sous la charge.
Plus il y a de miroirs, moins ça a de chance d'arriver. Mais si vous décidez de le faire malgré le risque, prenez garde à ce que la machine hébergeant le miroir puisse être indisponible sans mettre en danger d'autres services. On évitera, par exemple, de faire ça sur un serveur d'un employeur ;)
Le risque est faible, mais il existe.
- De la confiance en Wikileaks (un shell account, c'est pas rien
quand même)
Là dessus, libre à vous. Les mise à jour du site peuvent être faites par FTP, si vous êtes plus en confiance dans ce protocole que dans un SSH identifié par clef publique. Dans ce cas, pensez bien à chrooter le FTPd dans le home de l'utilisateur, si ce n'est déjà fait, et à interdire l'exécution de code (CGI) dans la configuration du HTTPd.
Le FTP est moins efficace que le rsync over SSH, donc consommera plus de ressources pour les robots de mise à jour. Du coup, les mises à jour pourraient être moins fréquentes.
Voilà, si vous avez d'autres questions, n'hésitez pas !
Merci d'avance !
Et voilà, +1 \o/
Le Wed, Dec 08, 2010 at 09:19:55AM +0100, Julien Gormotte [julien@gormotte.info] a écrit: [...]
Et voilà, +1 \o/
Et fallait vraiment citer 140 lignes intégralement pour ajouter un « +1 » à la fin ?!
On Wed, 8 Dec 2010 10:15:30 +0100, Dominique Rousseau d.rousseau@nnx.com wrote:
Le Wed, Dec 08, 2010 at 09:19:55AM +0100, Julien Gormotte [julien@gormotte.info] a écrit: [...]
Et voilà, +1 \o/
Et fallait vraiment citer 140 lignes intégralement pour ajouter un « +1 » à la fin ?!
En effet, c'était pas franchement vital. Pardon aux routeurs, toussa.
-
Antoine MILLET -
Christophe De Wolf -
Dominique Rousseau -
eldre8 -
Gaetan Duchaussois -
Jeremie Le Hen -
Julien Gormotte -
Jérôme Le Gal -
Jérôme Nicolle -
Lucas -
Mathieu Goessens -
Olivier Bonvalet -
Patrice Guerlais -
Renaud Hager -
Romain Berthaud -
Tech Nux