Vue lecture

↗️

macOS Tahoe - FileVault enfin déverrouillable à distance

✇Korben
Par :Korben

Bon, on va pouvoir l’avouer maintenant, tous ceux qui se la racontent parce qu’ils peuvent prendre le contrôle à distance de leur joli Mac, on la même galère depuis que FileVault existe… En effet, après une coupure de courant ou une mise à jour du système, votre super serveur Mac redevient une boite à chaussure jusqu’à ce que quelqu’un déplace son gros cul d’admin sys pour taper le mot de passe sur un clavier tout ça.

Et là, on a Jeff Geerling qui nous annonce l’air de rien qu’Apple vient enfin de “légaliser” la bidouille qu’on utilisait tous en douce à savoir déverrouiller FileVault à distance via SSH dans macOS Tahoe.

Ce qui était donc avant une astuce d’admin système un peu à la one again (script d’autologin / désactiver le chiffrement…etc) devient maintenant une fonctionnalité officielle. Sous macOS 26 Tahoe, si vous activez la “Session à distance” dans les réglages de partage, vous pouvez maintenant vous connecter en SSH avant même que l’utilisateur se soit authentifié. Un admin tape son mot de passe à distance et hop, le Mac démarre complètement. La documentation officielle explique même que le SSH se déconnecte brièvement pendant le montage du volume, puis revient. C’est la classe !

Par contre, petit détail qui tue, c’est censé fonctionner en WiFi mais Jeff Geerling qui a testé l’astuce n’a réussi à se connecter qu’en Ethernet. Il pense qu’en Wifi, ça ne passe pas parce que les clés réseau sont dans le Keychain, qui est lui-même chiffré sur le volume verrouillé. C’est le serpent qui se mord la queue (oui, vous le savez d’expérience, ça fait mal de se mordre la queue)… Du coup, tous ceux qui ont des Mac mini planqués derrière leur télé en mode serveur Plex, vont devoir tirer un petit câble RJ mais bon, vrai bonhomme fait vrai réseau en Ethernet, le Wifi c’est pour les faibles, ouga-ouga !

Cette nouvelle fonction arrive pile poil au moment où Apple change aussi la façon dont FileVault stocke les Recovery Keys. Selon TidBITS , fini le stockage basique dans iCloud, maintenant c’est dans l’iCloud Keychain avec chiffrement de bout en bout.

Quoiqu’il en soit, cette fonction très pratique pour les admins autorise quand même potentiellement de nouvelles attaques pre-auth sur les Mac, car avant, un Mac avec FileVault activé était une forteresse imprenable au démarrage. Mais maintenant, si vous avez activé le SSH distant, il y a une nouvelle surface d’attaque avec laquelle s’amuser. Alors oui, faut toujours le mot de passe admin mais bon, c’est moins sympa qu’une vraie sécurité physique…

En tout cas, tous les vieux de la vieille qui gèrent des fermes de Mac mini pour du CI/CD ou du rendu sont aux anges ! Plus besoin de supplier le stagiaire d’aller dans la salle serveur après chaque reboot, par contre, les puristes de la sécurité font un peu la grimace car cette connexion SSH, c’est du password-only pour l’instant. Apple a encore fait les choses à moitié, comme d’hab.

Source

  •  
  • ↗️
↗️

AWStats 8.0 est sorti

✇LinuxFr.org : les dépêches
Par :Laurent Destailleur · Benoît Sibaud · palm123 · Arkem

Après une longue absence sur LinuxFr.org, il est temps pour moi de vous annoncer la sortie de la dernière version 8.0 d’AWStats Log Analyzer.
AWStats est un outil de reporting de statistiques sur la fréquentation d'un site web qui s'appuie sur les logs du serveur (donc sans traqueur intégré sur le site, sans cookie, sans service Tiers, etc…)

Le projet a été initié en 2000 et a connu son apogée en 2008 (avec 20 à 30% de part de marché, qui a décliné depuis au profit des outils d'analyses statistiques basés sur la pose de tags JavasScript. Il reste encore utilisé à ce jour par beaucoup d'administrateurs système.

Le package de la v8 peut être téléchargé sur le site du projet AWStats : https://awstats.org

Les changements de cette version sont les suivants:

  • Amélioration du CSS
  • Mise à jour de robots.pm
  • Corrections du bug n° 248
  • Mise à jour de la traduction en chinois traditionnel et migration vers UTF-8
  • Arbre de tri : Vérification de l'existence de la clé. Ne tient pas compte de sa valeur.
  • Autorisation des journaux de traitement en JSON
  • Correction de la configuration par défaut de NotPageList
  • Ajout d'un rapport sur le temps de requête
  • Correction d'un lien incorrect dans la documentation
  • Suppression des agents utilisateurs natifs des navigateurs Android et iOS/OSX de robots.pm
  • Identification incorrecte de GPTBot en raison d'une erreur dans robots.pm
  • Encodage incorrect pour la traduction en ukrainien

Voir le portail officiel sur https://www.awstats.org

ATTENTION: Comme je l'avais annoncé dans le podcast projets-libres sur Matomo et AWstats, ceci est la dernière version que je publierais. La maintenance du projet AWStats s'arrêtant avec cette version 8.0.
Je vais pouvoir me consacrer entièrement à mes 2 autres projets: https://dolibarr.org et https://sellyoursaas.org.
Je ne doute pas que la communauté saura réaliser les forks, bienvenus, au projet si nécessaire.

Si vous désirez basculer sur un projet avec une maintenance plus active, je vous invite à basculer sur Matomo ou d'autres outils également libres…

Commentaires : voir le flux Atom ouvrir dans le navigateur

  •  
  • ↗️