Nix ♥ la francophonie - Public Room Timeline

	Nix ♥ la francophonie	211 Members
	Salon francographe de NixOS	71 Servers

Load older messages

Sender	Message	Time
25 Mar 2024
Bruno Adele	C'est à dire ? je ne comprends pas bien ce que tu veux dire	20:02:27
Minijackson	à ma connaissance, Colmena est un outil pour déployer des configuration NixOS, peu importe la configuration	20:03:26
Minijackson	du coup tu peux utiliser des projets NixOS qui ajoutent des options / configurations à la configuration, comme home-manager, nixos-hardware, musnix, simple-nixos-mailserver, etc.	20:04:11
Bruno Adele	Tu veux dire, ce que l'on peut faire avec `nixos-rebuild` colmena le fait ? et ensuite on fait un `home-manager xxx` si l'on désire pour la configuration desktop ?	20:05:19
Minijackson	Tu veux dire, ce que l'on peut faire avec nixos-rebuild colmena le fait ? yes	20:05:46
Minijackson	mais il y a moyen d'intégrer home-manager à NixOS, de telle sorte que `nixos-rebuild` applique aussi la config home-manager	20:06:14
Minijackson	pas de commande à faire en plus	20:06:21
Minijackson	https://nix-community.github.io/home-manager/index.xhtml#sec-install-nixos-module	20:06:37
Bruno Adele	In reply to @Minijackson:matrix.org mais il y a moyen d'intégrer home-manager à NixOS, de telle sorte que `nixos-rebuild` applique aussi la config home-manager Ah je ne connaissais pas cette possbilité	20:07:15
30 Mar 2024
Bruno Adele	https://linuxfr.org/users/ytterbium/journaux/xz-liblzma-compromis	08:38:02
Bruno Adele	Pour information, sur unstable, on est impacté on à la 5.6.1	08:38:32
Minijackson	Il y a eu pas mal de discussion sur les canaux de sécurité de NixOS. Normalement on est pas sujet à la backdoor rapportée, de plusieurs manière	08:42:04
Minijackson	Le revert de la version 5.6.0 et 5.6.1 est en cours, dans staging-next si je ne me trompe pas	08:42:50
raitobezarius	NixOS n'est pas affecté en raison des conditions d'activation	08:50:58
Bruno Adele	En effet, on peut s'en assurer avec la commande suivante `ldd $(which sshd) \| grep lzma`	13:16:50
	gal_bolle joined the room.	17:38:13
raitobezarius	In reply to @badele:matrix.org En effet, on peut s'en assurer avec la commande suivante `ldd $(which sshd) \| grep lzma` faut jamais lancer `ldd` sur un binaire arbitraire pour info	19:45:21
31 Mar 2024
Minijackson	`readelf -d $(which sshd)` du coup ?	01:19:52
bew	In reply to @raitobezarius:matrix.org faut jamais lancer `ldd` sur un binaire arbitraire pour info Sérieux ? Ça peut exécuter des trucs ?	07:20:43
Minijackson	Si je me souviens bien, la manière dont `ldd` fonctionne, c'est en exécutant le binaire passé en argument, avec une variable magique qui dit au code pre-main d'afficher ses dépendances	07:44:41
Minijackson	`$LD_DEBUG` je crois ?	07:45:35
Minijackson	Ah pardon, c'est pas vraiment le code pre-main, mais c'est le code de l'interpréteur elf (`ld.so`)	07:46:49
Bruno Adele	In reply to @raitobezarius:matrix.org faut jamais lancer `ldd` sur un binaire arbitraire pour info Ah ? , j'en apprend une ! Je pensais que `ldd` regardait les entêtes	07:54:12
Bruno Adele	In reply to @Minijackson:matrix.org `readelf -d $(which sshd)` du coup ? Je vais de ce pas, faire un alias de `ldd` vers `readelf`	07:57:34
bew	https://jmmv.dev/2023/07/ldd-untrusted-binaries.html bon article sur le sujet	08:02:31
Bruno Adele	C'est la que l'on voit la force de `NixOS` grâce aux historiques des générations, ils nous suffit de rebooter à une génération précédente (sans avoir besoins que le fix arrive sur la branche unstable ou stable). Néamoins je m'intéroge sur la facon d'ont fonctionnne NixOS et ses dérivations. Imaginons que pour cette faille, il n'y aurait pas le filtrage par `argv0`, et vu que sous NixOS, il semblerait que chaque paquet gère ses dépendances independament, malgré que l'on s'assure que systemd ne soit pas infecté (analyse de la version), on ne serait pas à l'abris que d'autre dérivations(paquet) et la version incriminé ?. il faudrait donc parcourir tous les pkgs pour analyser les paquets ayants une dépendance à xz ou lzma ?	08:03:42
Bruno Adele	* C'est la que l'on voit la force de `NixOS` grâce aux historiques des générations, ils nous suffit de rebooter à une génération précédente (sans avoir besoins que le fix arrive sur la branche unstable ou stable). Néamoins je m'intéroge sur la facon dont fonctionnne NixOS et ses dérivations. Imaginons que pour cette faille, il n'y aurait pas le filtrage par `argv0`, et vu que sous NixOS, il semblerait que chaque paquet gère ses dépendances independament, malgré que l'on s'assure que systemd ne soit pas infecté (analyse de la version), on ne serait pas à l'abris que d'autre dérivations(paquet) et la version incriminé ?. il faudrait donc parcourir tous les pkgs pour analyser les paquets ayants une dépendance à xz ou lzma ?	08:10:41
Minijackson	Idéalement, on changerai la version de xz dans nixpkgs, et tout se mettrait à jour. Sauf que le problème, c'est que certains paquets `vendor` leurs dépendances, et rendent difficile le fait d'analyser quels paquets dépendent de xz. Un autre problème est que le "bas actor" a été actif dans le projet depuis au moins 2 ans, et c'est pas trop possible de revert à une version de xz d'il y a plus de 2 ans.	08:20:37
raitobezarius	In reply to @Minijackson:matrix.org Idéalement, on changerai la version de xz dans nixpkgs, et tout se mettrait à jour. Sauf que le problème, c'est que certains paquets `vendor` leurs dépendances, et rendent difficile le fait d'analyser quels paquets dépendent de xz. Un autre problème est que le "bas actor" a été actif dans le projet depuis au moins 2 ans, et c'est pas trop possible de revert à une version de xz d'il y a plus de 2 ans. Aucun paquet ne vendor la version vulnérable a priori FYI	18:50:49
tgerbet	(Aucun paquet qu'on a dans le cache)	19:08:42

Show newer messages

Back to Room ListRoom Version: 6