GuiGui's Show

ocrmypdf -l fra. Dispo dans les dépôts logiciels de base de Debian GNU/Linux.

Ajout d'un calque texte par-dessus une image (ex. : un courrier numérisé).

La reconnaissance optique des caractères (OCR in english) me semble être de meilleure qualité qu'en utilisant uniquement tesseract (dont j'ai déjà causé ici), car ocrmypdf s'adapte (rotation des pages, résolution, etc.).

OSI had two major components: an abstract model of networking, called the Basic Reference Model or seven-layer model, and a set of specific protocols.

+ https://en.wikipedia.org/wiki/OSI_model#Comparison_to_other_networking_suites

Bortz a écrit :

‒ Attention, OSI inclut de vrais protocoles comme CLNP et FTAM […]
‒ Donc tu faisais du FTAM sur ACSE sur TP4 sur CLNP ?
‒ Entre un Vax/VMS et un Vax/Ultrix, oui.

Je pensais que le modèle OSI était un modèle théorique, abstrait, à la limite du pipeau dans lequel on fait entrer les "protocoles" réels au forceps (genre MIME ou XML dans la couche présentation ou les sockets dans la couche session…). Je savais qu'il y avait des protocoles qui couvraient plusieurs couches, comme X.25 (1 à 3), mais pas qu'il y avait quasiment toute la chaîne. :O

Fakir vous emmène au théâtre ! Parce que c’est une pièce, qui s’est jouée au tribunal correctionnel de Paris pour le procès de Bernard Squarcini, accusé avec d’autres d’avoir espionné Fakir et Ruffin.

Procès auquel échappent Arnault et LVMH suite à une convention judiciaire à 10 M€.

Je retiens :

• La grande inquiétude et stress de LVMH et d'Arnault face aux actions insignifiantes de Fakir et du Comité d'intervention en AG. Je n'y croyais pas, mais ça ressort des écoutes téléphoniques et des témoignages. De même, Complément d'enquête, qui a témoigné au procès, a subi des pressions en 2014 simplement pour publier que Vuitton fait fabriquer en Roumanie des chaussures estampillées Made in France (alors qu'elles n'y sont qu'assemblées), qu'Arnault a payé des impôts en Belgique, et autres informations qui m'apparaissent sans intérêt… Les actionnaires et les clients s'en fichent complet de tout ça. Ces médias n'ont eu aucune incidence sur LVMH, ses pratiques, ou le cours de son action en bourse.

• La disproportion de la réaction aux actions précitées (excessivité reconnue par Squarcini). Tant dans les mots que dans les actes.

  • À la barre en tant que témoin, Arnault parle d'idéologie socialo-marxiste et trotskiste qui n'aime pas qu'un grand groupe réussisse… Squarcini parle d'ultra gauche… Une petite main de Squarcini décrit Ruffin comme un révolutionnaire se revendiquant de Robespierre et de Babeuf, Fakir prône le recours à la violence, la lutte des classes, la guerre du prolétariat, le chaos. Quand, devant le tribunal, il s'agit d'objectiver les prétendues actions violentes projetées par Fakir, le même parle de sifflets en AG, de banderoles, de prises de parole… L'autre petite main se déclare habilité à soupçonner un entartage d'Arnault (alors que Fakir n'a jamais fait ça). Un ancien dirlo de la DGSI, un ex-flic antiterro, et un consultant en intelligence économique ne savent donc pas évaluer une menace… S'en souvenir lors de projets de lois sécuritaires.
    
    
  • Face à si peu, on mobilise l'ancien patron de la DGSI, la Coordination nationale du renseignement, des cabinets de consultant en renseignement / intelligence économique, dont un d'un ancien flic antiterro et brigade financière, toute une hiérarchie d'intermédiaires vers des taupes, 2,2 M€ (qui iront aux intermédiaires, la taupe finale n'empochant que 700 €), Arnault demande un bouton panique, on cherche l'adresse du domicile de Ruffin parce que "olalala s'il vient habiter à Paris, la menace se rapprocherait, il faudrait surveiller plus", etc. On parle de trois ans de surveillance (2013-2016). On retrouve la promiscuité entre public et privé, le public au service du privé.
    
    
  • Pour Complément d'enquête, il s'est agit de filer les journalistes en Roumanie et de les accuser de rémunérer les ouvrières interrogées, de filer une camionnette France TV à Bordeaux afin de l'associer, à tort, à une tentative d'extorsion de LVMH, de menaces enregistrées d'Arnault lui-même au journaliste lors d'un entretien (« attention à vous, on sait ce que vous faites à Bordeaux »), et d'un projet de Squarcini de monter un dossier harcèlement sexuel/moral contre le rédacteur en chef…
    
    
  • Dans les deux cas (Fakir et Complément d'enquête), comme en atteste les écoutes téléphoniques et les témoignages, tout cela a été supervisé de près par Arnault, le même qui a déclaré au tribunal qu'il a 75 dossiers en moyenne sur son bureau donc autre chose à faire.
• La violence et le sordide. Les petites frappes de Squarcini qui s'insultent (« je vais t'exploser ta gueule de petite merde », « petit con »), se mettent la pression entre eux, et utilisent des personnes vulnérables comme taupe (complètement paumée, camée, battue par son keum, et sans le sou, en niquant avec en sus).
  
  
• Après, il faut relativiser aussi : on parle de taupes très bas de gamme… Sous la panique, l'une se dénoncera immédiatement lors de l'AG LVMH, quand un agent de sécu le prendra pour un vrai Fakirien… L'autre, j'ai déjà récité son portrait au point précédent. Tout ça pour ne même pas obtenir une copie de Merci patron ni quoi que ce soit de substantiel.

Le jugement est tombé début mars 2025 : « des peines allant de six mois à quatre ans d'emprisonnement, partiellement assorties de sursis, et de 15 000 à 200 000 euros d’amende contre sept prévenus ». Il y a aussi des interdictions d'exercer des activités de renseignement / surveillance / intelligence économique. Squarcini ferait appel.

Intéressant : le délit retenu est le 226-18 du Code pénal sur la collecte frauduleuse, déloyale ou illicite de données à caractère personnel.

Il reste le procès au civil intenté par Ruffin contre Arnault. Le numéro 115 (décembre 2024 - février 2025) de Fakir expose qu'il est renvoyé en 2025. Marianne relate qu'une audience été prévue le 11 mars 2025. Pas de nouvelles depuis.

Dans un arrêt inédit du 9 octobre 2024, la Cour de cassation confirme que le fait pour un salarié de n’avoir pu être joint en dehors des horaires de travail sur son téléphone portable personnel est dépourvu de caractère fautif, donc ne permet pas de justifier une sanction disciplinaire (Cass. soc., 9 oct. 2024, n° 23-19.063). Cette affaire concernait un chauffeur routier poids lourd, sanctionné par trois avertissements pour n’avoir pas répondu aux appels et messages de son employeur lors de ses jours de repos [le dimanche, pour lui communiquer son planning de la semaine]. La cour d’appel avait initialement validé ces sanctions en invoquant une pratique professionnelle établie dans l’entreprise et conforme aux usages du secteur du transport routier. Cependant, la Cour de cassation a annulé cette décision, estimant que l’absence de réponse hors du temps de travail ne constitue pas une faute justifiant une sanction disciplinaire. […]
[…]
[…] La décision de la Cour n’est pas surprenante juridiquement et s’inscrit dans une continuité jurisprudentielle. Une décision similaire avait été rendue le 17 février 2004 concernant un ambulancier (Cass. soc., 17 févr. 2004, n° 01-45.889). La Cour avait alors cassé l’arrêt d’appel validant un licenciement disciplinaire pour faute grave dans un contexte comparable. […]

j'adore le « conforme aux usages dans le secteur routier ». Il suffirait alors que les principaux acteurs d'un secteur s'entendent pour définir une pratique commune et ainsi faire obstacle à la loi. C'est ridicule. Et il faut aller en Cassation pour dégommer ça…

Les fonctionnaires ont droit à l'alloc chômdu, y compris en cas de révocation. Homogénéisation avec le privé. Soit l'administration versera l'indemnité (auto-assurance), soit délégation à France Travail.

Dans le privé, même un licenciement pour faute grave ou lourde ouvre le versement à l'alloc chômdu.

Contrairement à la prévoyance « frais de santé », plus souvent appelé mutuelle, la prévoyance complémentaire pour les risques Incapacité/Invalidité/Décès n’est pas obligatoire au sens du Code du travail.

Elle peut parfois être prévue par une convention ou un accord de branche. Toutefois, pour les cadres, la loi prévoit une adhésion obligatoire à un organisme de prévoyance complémentaire pour le risque décès.

Une prévoyance complémentaire complète, pour une durée fixée par le contrat, le salaire en cas d'arrêt maladie, octroie une rente en cas d'invalidité, ou un capital aux proches en cas de décès.

Vous avez entre les mains le dossier de presse de présentation du fruit d’une année de travail militant pour recenser les activités sous-traitées par France Travail aux entreprises privées qui font du chômage un business : les vautours de l’emploi !
[…]
Il s’agit tout simplement de la privatisation de plusieurs missions du service public de l’emploi que ce soit l’accompagnement, l’insertion ou la numérisation des documents au profit des vautours de l’emploi !
[…]
Cette privatisation est financée par les cotisations sociales. Le gouvernement détourne donc les allocations chômage pour engraisser des entreprises privées.

+ https://www.assemblee-nationale.fr/dyn/16/rapports/cion-cedu/l16b2423_rapport-information (avril 2024)

En 2024-2025, ce sujet a bien moussé dans les médias et dans l'opinion (déclaration de la ministre de l'éduc' nat', Bétharram, etc.). J'attendais que ça retombe un peu pour regarder le factuel.

• En 2021, environ 17 % des élèves du premier et du second degré étaient scolarisés dans des établissements d'enseignement privé sous contrat avec l'État. Stable depuis les années 60. Environ 0,7 % des élèves étaient scolarisés dans l'enseignement privé hors contrat. L'instruction en famille représentait environ 0,4 % des gosses soumis à l'obligation d'instruction (source). (Division par 2 en 2024-2025 suite à l'instauration de l'autorisation préalable.) Ce qui nous fait environ 82 % des lardons dans le public.
  
  
• En 2021, l'enseignement privé catho sous contrat représentait environ 96 % des élèves scolarisés dans le privé sous contrat.
  
  
• En 2021-2022, les établissements privés sous contrat étaient financés à environ 75-78 % par la puissance publique. Pas une spécificité française. À 55 % environ par l'État pour le 1^er degré, à environ 68 % pour le second degré, pour un total d'environ 8,5 milliards d'euros en 2022. Le reste, c'était les collectivités territoriales, dont les régions, pour un total d'environ 2 milliards d'euros en 2022. En comparaison, les établissements publics étaient financés par l'État à environ 59 % (1^er degré) et environ 74 % (second degré).
  
  
• En 2021, environ 12 % des élèves du privé sous contrat étaient boursiers contre environ 29 % dans le public. En mai 2023, le ministre de l'éduc nat' Ndiaye a invité les établissements privés à doubler leur effectif de boursier sous 5 ans.
  
  
• Les établissements privés sous contrat accueillent de moins en moins les élèves des milieux défavorisés (= ouvriers et inactifs). En 2000, 25 % de leurs élèves étaient des gosses de défavorisés, 16 % en 2021 (contre 40 % => 37 % dans le public). En 2000, 41,5 % de leurs élèves étaient des favorisés ou très favorisés (= professions intermédiaires, cadres, chefs d'entreprise, professeurs), 55,4 % en 2021 (stable à 32 % dans le public). Pas de chiffres pour la classe moyenne (= employés, agriculteurs, artisans, commerçants… qui représente pourtant le tiers restant.
  
  
• Spécificité française : quasiment aucune contrepartie contraignante en matière de mixité sociale ne pèse sur les établissements privés.
  
  
• Je pensais que, dans le public, les gosses de défavorisés sont parqués dans les établissements d'éducation prioritaire, ce qui relativise la mixité. Je me trompais. En 2021, les gosses de défavorisés représentaient 37,2 % des élèves du public (en général) contre 34,5 % des élèves du public hors éducation prioritaire. Écart de trois points constant depuis 2000.
  
  
• En réaction à la ministre Oudéa-Castéra qui avait déclaré avoir choisi l'école privée pour ses rejetons à cause du « paquet d'heures qui n'étaient pas sérieusement remplacées », le Canard enchaîné du 17/01/2024 a répliqué par la formation continue des enseignants programmée par le ministère sur les heures de cours, sans remplacement. Or, la Cour des comptes évoque 3 h/an de formation en moyenne dans le public. Donc ce n'est pas ça. De plus, l'ensemble des fonctionnaires a été absent 12 jours en moyenne en 2023 contre 10 jours pour l'ensemble du privé. Forte disparité, stable depuis au moins 10 ans, entre FPE (9 jours) d'une part et FPT et FPH (14-15 jours) d'autre part. La disparité public/privé est expliquée par le fait que la fonction publique emploie davantage de seniors et de femmes que le privé. Source, page 166. En 2021, sur un panel de 40 établissements, la Cour des comptes imputait 2/3 des absences devant les élèves au fonctionnement du système (formation, jury d'examen, réus pédagogiques, voyages scolaires dans le secondaire, établissement fermé durant Bac ou Brevet, et la compensation des enseignements difficiles genre REP+), cf. pages 12 et 49.

Un prof d'anglais d'un IUT nous avait fait travailler sur ce topo de Jobs.

J'ignore pour quoi je ne l'ai pas partagé ici plus tôt… D'autant que je l'ai revisionné de temps à autre depuis. (Je n'ai aucun problème avec Jobs, j'ai toujours ouvertement affirmé que j'admire le commercial, le styliste, son attachement à l'expérience utilisateur, mais que je déteste l'enfermement des utilisateurs / personnes qu'il a contribué à impulser ‒ ça n'allait pas de soi à l'époque dans le milieu de la tech ‒ et à façonner, ainsi que le sous-développement de ses qualités humaines ‒ pour rester poli.)

Il s'agit donc d'une causerie de Steve Jobs lors de la remise des diplômes à l'université de Stanford en juin 2005.

Elle est axée autour de trois thématiques.

1) Connecting the dots. Je suis d'accord avec le principe sous-jacent, mais en désaccord avec l'aspect mystique (les tripes, le karma, la destinée, la vie relierait automagiquement les points). Je préfère penser qu'il faut élargir ses expériences et compétences tout en restant fidèle à ses valeurs, et les combiner entre elles d'une nouvelle manière (c'est la définition de l'intelligence). La fidélité à des valeurs choisies permet de garder le cap, de ne pas se disperser. Sous cette condition, tout apprentissage peut être utile même s'il semble inutile au premier abord, comme la calligraphie pour Jobs. Un peu comme Hermione Granger dans Harry Potter qui, parce qu'elle a étudié un maximum de sujets, est en capacité d'influer sensiblement sur les événements, notamment dans le tome 7. On peut donc relier les points en amont, préparer son itinéraire. Relier les points en aval, c'est souvent sélectionner les seuls faits qui vont dans le sens de ce que l'on cherche à asséner. Exemple : dans une biographie, une vie devient un destin hors du commun par un choix soigneux des faits qui font du sujet une grande personne. Je ne partage pas l'idée selon laquelle les ordis n'auraient peut-être pas eu de jolies polices de caractères sans Jobs : de toujours, plusieurs personnes travaillent simultanément sur les mêmes inventions (exemples, pénultième point).

2) Love and loss. Persévérer dans ce qu'on aime faire, réessayer, ne pas se résigner. L'accomplissement découle du boulot bien fait et à fond, qui n'est possible que si l'on aime ce que l'on fait. J'en suis convaincu. À juste titre, Jobs nuance en invoquant l'intuition et le cœur : ne faire que ce que l'on aime. Je nuance en rappelant que Jobs a dû faire des détours et qu'il a connu des traversées du désert (ex. : période NeXT ou partager le dortoir d'amis et ne pas manger à sa faim durant son étude de la calligraphie). Ce n'est qu'après coup qu'il peut parader sur le thème « c'est fou ce que ça m'a été utile », mais, à l'instant T, il ne devait pas aimer sa situation. Bref, il ne suffit pas d'insister, il faut s'adapter.

3) Death. Je n'ai jamais accroché au slogan « Vivre chaque jour comme si c'était le dernier ». Simplement parce que si j'avais la certitude de ma mort imminente, je ne lancerais pas de projets, puisque je ne les verrais pas aboutir, et je ferais des choses exceptionnelles (mettre mes affaires en ordre) et/ou déraisonnables (sexe de folie, vengeance, etc.). Jobs pose un critère : s'il n'aimait pas ce qu'il faisait durant trop de jours consécutifs, il savait qu'il fallait changer des choses dans sa vie. Après combien de jours ? Au final, qu'a-t-il changé de significatif (après tout, il a passé sa vie chez Apple) ? Je suis d'accord que la mort permet le changement (c'est un classique), que nous n'avons rien à perdre, que nous avons déjà tout perdu, que la vie est courte, qu'il faut vivre sa vie en suivant son intuition, son courage et son cœur et en étant imperméable aux dogmes et opinions d'autrui. La phrase finale, tirée du Whole Earth Catalog, m'a toujours marqué : « Stay hungry, stay foolish ». On pourrait discuter la signification : insatiable d'écraser autrui ou insatiable de connaissances et/ou d'augmenter sa capacité d'influer sur sa vie (c'est aussi ça le pouvoir, être en capacité de faire) ? Au regard de l'orientation du Catalog, je ne pense pas me tromper en retenant la deuxième. Phrase rigolote : « même ceux qui veulent aller au paradis ne veulent pas mourir ». :D

Le dimanche 17 août 2025, mon blog a fait l'objet d'un incident informatique.

Tellement c'était naïf et dénué de finalité, j'hésite à parler d'attaque informatique, de DDoS, et autres termes galvaudés.

Ce fut l'occasion de réviser les commandes du pare-feu de Linux ainsi que fail2ban.

Caractéristiques de l'incident

2025-08-17T08:09:15 <IP_CENSURÉE> - - "GET http://www.guiguishow.info/page-sitemap.xml HTTP/1.1" 200 921 "-" "python-requests/2.32.3"

• Entre 7 h 04 (UTC+2) et 20 h 50 (idem), soit une durée d'environ 14 h. À nouveau quelques requêtes le 19/08/2025 entre 9 h 43 et 10 h 17 (UTC+2) ;
  
  
• Environ 179 000 requêtes web. Soit environ 3 requêtes/seconde pendant 14 h. Évidemment, il y a une forte disparité. Environ 90 000 requêtes la première heure, avant mon intervention, soit 25 requêtes/seconde en moyenne. 1 680, soit 0,46 r/s, la dernière heure ;
  
  
• Requêtes web portant sur trois ressources (= pages) : page-sitemap.xml, post-sitemap.xml, et sitemap-misc.xml. Ressources discriminantes ;
  
  
• Toujours le même entête HTTP User-Agent discriminant ;
  
  
• Adresse de la ressource au format absolu (http://…), pas relatif (/page-sitemap.xml). C'est autorisé par les normes techniques, mais c'est très souvent les robots qui l'utilise ;
  
  
• Uniquement en HTTP, pas HTTPS ;
  
  
• Supra, j'ai qualifié ce procédé de « naïf et dénué de finalité » à cause de ces discriminations faciles à opérer ;
  
  
• Environ 168 000 adresses IP uniques. Environ 147 000 IPv4. Environ 21 000 IPv6. Attention : les blocages que j'ai mis en œuvre ont pu réduire ce chiffre ;
  
  
• IP réparties dans environ 22 000 réseaux de taille /20 (paquet de 4096 IPv4) ou /56 (2⁷² IPv6). Mes blocages ont eu une incidence sur ce chiffre durant 3 heures a minima ;
  
  
• IP réparties dans au moins plus de la moitié de l'espace d'adressage IPv4 : environ 116 réseaux /8 alors qu'il y a en 256 possibles (0.0.0.0/8, 1.0.0.0/8, …, 254.0.0.0/8, 255.0.0.0/8) et que nombre d'entre eux ne sont pas utilisés sur Internet (224-255/8, 0/8, 127/8, 10/8, etc.) et/ou sont alloués à de grandes multinationales. Ce calcul provient d'une unique mesure durant 30 minutes le matin ;
  
  
• En IPv6, la répartition est moins bonne. Essentiellement deux /32 d'un opérateur vietnamien. Le reste venait d'une centaine de /32 (Pérou, République dominicaine, etc.) ;
  
  
• Cette répartition m'a étonné au regard de l'objectif (demander en boucle uniquement le plan de mon site…), étant donné que l'usurpation d'IP est compliquée en IPv4 puisqu'il faut accomplir la poignée de main TCP avant d'effectuer une requête web. Une telle répartition dans tout IPv4 pour faire si peu…

Actions

Ce site web est hébergé sur une machine virtuelle (VPS) louée à OVH. L'anti-DDoS de ce dernier ne s'est pas activé. Je sais qu'on peut le déclencher soi-même, mais moins un prestataire, quel qu'il soit, se mêle de mes affaires selon des critères obscurs, mieux je me porte.

Dans le feu de l'action, il est recommandé d'utiliser uniquement ce que l'on connaît. C'est une des raisons pour lesquelles je n'ai pas utilisé le fameux Anubis que tout le monde s'arrache (les autres raisons : disproportionné par rapport à l'incident ; pas envie d'avoir un logiciel de plus à administrer).

Phase 1 : soulager le serveur

J'ai commencé à intervenir un peu moins d'une heure après le début de l'incident.

Mon shaarli était un poil plus lent que d'habitude mais sans plus. La charge du système était d'environ 10. Pour une machine dotée d'un seul processeur virtuel. Le système était donc surchargé.

Les ressources web demandées, page-sitemap.xml, post-sitemap.xml, et sitemap-misc.xml, sont générées à la volée à chaque requête. Donc PHP et MariaDB sont mis en branle.

Il faut agir sur ce fait, soit en transformant ces ressources en pages web statiques (c'est-à-dire les wget puis les mettre dans le DocumentRoot), soit en en interdisant l'accès.

Vu l'absence de criticité, j'ai choisi la deuxième option. Dans la configuration d'Apache httpd (je n'utilise pas les htaccess) :

<FilesMatch "(page-sitemap|post-sitemap|sitemap-misc).xml">
    Require all denied
</FilesMatch>

La charge système tombe en dessous de 1.

Le code HTTP 403, qui signifie accès refusé, n'arrête pas le robot.

Je constaterai plus tard que, de toute façon, le robot s'en fiche d'avoir une réponse, y compris la 2^e étape de la poignée de main TCP (SYN+ACK), il continue.

J'aurais pu m'arrêter ici : mon service fonctionnait et mon serveur n'était pas débordé. Mais les journaux se remplissaient.

Phase 2 : des carences dans nftables

La première idée qui m'est venue, c'est d'utiliser le module string du pare-feu Linux pour dégager toutes les requêtes HTTP pour les ressources et l'user-agent impliqués. Je l'ai déjà utilisé par le passé.

Mais nftables, la nouvelle interface de commande de Netfilter (et plus), ne prend pas en charge le module string. Ni u32 d'ailleurs (même si ça n'aurait pas convenu ici à cause des entêtes de taille variable). Hors de question que j'écrive un programme eBPF.

Phase 3 : fail2ban en détresse

J'ai un fail2ban (f2b) configuré pour bannir des IPs qui accèdent à certains fichiers (wp-config.php, par exemple) ou qui tentent des injections SQL. J'ai dupliqué l'action nftables pour bannir par /24 en IPv4 et en /64 par IPv6, c'est-à-dire par réseau contenant une IP qui a tenté un truc malveillant.

J'ai ajouté un filtre sur les URL et le User-Agent. J'ai réutilisé mon action nftables modifiée. J'ai créé une jail pour bannir 12 h.

f2b a galéré. Dans son journal, essentiellement des lignes « Found », très peu de « Ban », comme s'il ne tenait pas la cadence. Le nombre de requêtes par seconde ne diminuait pas vraiment. Même après 15-30 minutes.

Rétrospectivement, j'ai commis plusieurs erreurs.

D'une part, puisqu'il était nouveau dans sa configuration, fail2ban a lu l'ensemble du journal Apache httpd. Il contenait plus d'une heure de requêtes (environ 100 k). J'aurais dû stopper httpd, créer un journal vierge, etc.

D'autre part, j'ai rechargé et redémarré f2b à plusieurs reprises (au lieu de tester mon nouveau filtre avec fail2ban-regex, pour tenter de lui faire lire le journal depuis l'instant T, etc.). Forcément, f2b perd du temps à ré-appliquer les bannissements depuis sa base de données. Il ne faut pas faire ça en plein incident, il faut utiliser le client (fail2ban-client).

À ma décharge, fail2ban-client a refusé certaines instructions parfaitement valides, comme unban --all ou changer la durée de bannissement afin de purger les anciennes IPs (celles de la première heure de l'incident). J'ai fini par stopper f2b et supprimer sa base de données (/var/lib/fail2ban/fail2ban.sqlite3).

Phase 4 : fail2ban plus agressif

Puisque fail2ban ne semblait pas tenir la cadence, je l'ai configuré pour bannir par /8 en IPv4 ou /32 en IPv6.

Évidemment, en moins de 15 minutes, ce fut très efficace.

Évidemment, les dommages collatéraux sont très nombreux puisque pour une adresse IPv4 coupable, j'en bannis 16,7 millions d'autres… C'est les chiffres que j'ai exposés supra : j'ai banni plus de la moitié de l'espace d'adressage IPv4.

Je suis donc passé à /16 en IPv4 et /48 en IPv6. f2b tenait toujours la cadence.

Phase 5 : limitation de trafic et fail2ban

Je voulais limiter le nombre de requêtes par seconde. Je savais le faire avec iptables, mais pas avec nftables.

iptables fournit les programmes iptables-translate et ip6tables-translate :

$ iptables-translate -A INPUT -p tcp --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name RL-HTTP-v4 --hashlimit-srcmask 8 -j DROP
nft 'add rule ip filter INPUT tcp dport 80 tcp flags syn / fin,syn,rst,ack meter RL-HTTP-v4 { ip saddr and 255.0.0.0 limit rate over 1/second burst 2 packets } counter drop'

$ ip6tables-translate -A INPUT -p tcp --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name RL-HTTP-v6 --hashlimit-srcmask 32 -j DROP
nft 'add rule ip6 filter INPUT tcp dport 80 tcp flags syn / fin,syn,rst,ack meter RL-HTTP-v6 { ip6 saddr and ffff:ffff:0000:0000:0000:0000:0000:0000 limit rate over 1/second burst 2 packets } counter drop'

Je limite uniquement les paquets TCP SYN (initialisation d'une connexion). 1 nouvelle connexion par seconde par /8 (IPv4) ou /32 (IPv6), pic à 2/s. (J'aurais pu utiliser ct state new, nouvelle syntaxe de -m state --state NEW, mais l'analyse des drapeaux me semble moins coûteuse en temps CPU que le suivi des connexions.)

J'utilise une seule table de type inet. Je me demandais si chaque meter allait travailler sur son type d'IP (v4 ou v6) malgré tout. Dans le doute, j'avais ajouté le critère ip version 4 dans la première règle et ip6 version 6 dans la seconde. J'ai testé à froid : oui, meter se débrouille tout seul, pas besoin de filtrer le type d'IP en amont.

Je configure f2b pour bannir par /20 (IPv4) ou /56 (IPv6). L'idée c'est de bannir l'environnement immédiat d'un réseau contenant une IP qui me prend pour cible, car, ces quinze dernières années, les opérateurs ont souvent obtenu des réseaux d'une taille entre entre /16 et /22 au fil de la pénurie d'IPv4. Bannir l'environnement d'un réseau sans bannir tout un opérateur, en somme.

Malgré tout ça, mon Apache httpd journalise encore 8 requêtes/seconde en moyenne. Pollution inutile de mes journaux.

Phase 6 : blocage par pays

Plus pour tester que par nécessité, j'ai décidé de bloquer toutes les IPs qui ne sont pas attribuées à un opérateur français et qui causent au port 80 (HTTP) de ma machine.

Tout est dans le wiki officiel de nftables.

Seule adaptation : meta mark != $FR counter drop (note la négation, qui ne se fait pas avec not, dont la traduction n'est que !).

Cette technique est redoutablement efficace : aucune requête web ne passe, rien.

Je n'aurais pas mis en œuvre cette technique si j'étais un site web international et/ou marchand, mais, dans mon cas, l'inaccessibilité de mon site web n'a aucune conséquence.

Ironie tout de même : la première IP française qui s'est présentée, ce fût pour chercher une faille de sécurité sur mon blog…

J'ai laissé ainsi pendant 3 h et j'ai fait autre chose de ma vie.

Phase 7 : blocage par pays, limitation de trafic, et fail2ban

Si IP française, elle passe. Sinon, limitation de trafic (1 requête/s, pic à 10/s par /8 ou /32). Dans les deux cas, fail2ban veille (bannissement par /20 ou /56).

Apache httpd continue de recevoir 2 requêtes/seconde en moyenne.

Les heures avançant, j'ai été plus coulant sur la limitation de trafic : 10 connexions/minute, pic à 30, etc.

Phase 8 : préparer le retour

Je n'ai pas cru à la fin de l'incident, je m'attendais à ce que ça recommence le lendemain.

Cela aurait été intelligent car avec une durée de bannissement de 12 h, f2b allait gracier toutes les IPs avant l'aube.

J'ai donc exporté la configuration de nftables, y compris les ensembles d'IP avec nft list ruleset > sauvegarde.nft. Ainsi, dans l'urgence, je pourrais re-bannir toutes les IPs qui ont participé. On charge ce fichier avec nft -f.

Phase 9 : nettoyage

Ce genre d'incident fait grossir les journaux (d'Apache httpd, de fail2ban, etc.).

Avant que tout cela finisse dans mes sauvegardes et les fasse grossir inutilement, j'ai fait le ménage.

J'ai viré l'incident des journaux access.log et error.log d'Apache httpd et de fail2ban.log.

J'ai forcé SQLite à supprimer sur disque les données supprimées dans la base de données interne de f2b (VACUUM).

Commandes utiles

nft -t list ruleset : « -t » permet de ne pas afficher le contenu des ensembles (set) et des tableaux associatifs (map).

nft -f <fichier> : charger un jeu de règles. Se souvenir que, désormais, il peut y avoir plusieurs tables et chaînes d'un même type (filter, nat, etc.). Toutes ont une priorité qui indique leur ordre dans le traitement des paquets. Un verdict « drop » est définitif, les paquets rejetés ne passeront pas dans une éventuelle chaîne de même type moins prioritaire. Un verdict « accept » n'est définitif que lorsqu'il se trouve dans la dernière chaîne, sinon les paquets passeront dans les chaînes de même type moins prioritaires. Source.

Compter les éléments d'un ensemble nommé : je n'ai pas trouvé. Il faut bricoler : nft list set <type_table> <nom_table> <nom_ensemble> | tail -n +5 | head -n -2 | wc -l. En IPv4, il y a deux IP / réseaux par ligne. Une en IPv6. Sinon, en passant par JSON : nft -j list set <type_table> <nom_table> <nom_ensemble> | jq ".nftables[1].set.elem | length"…

nft monitor : écouter les événements (ajout/suppression d'une table, d'une règle, d'un élément dans un ensemble, etc. et tracer les paquets qui tapent une règle (lui ajouter « meta nftrace set 1 » et utiliser nft monitor trace).