Sondage Dix ans après, quel mécanisme de contrôle d'accès utilisez-vous pour votre système d'exploitation ?

Posté par  . Licence CC By‑SA.
5
25
fév.
2023

En cherchant ici du contenu, des avis et des retours d’expériences sur les différentes propositions logiciels (LSM) qui essayent d’augmenter le niveau de sécurité de nos systèmes Linux, j’ai beaucoup trouvé de ressources de la décennie dernière.

Je vous propose donc d’actualiser ce sondage en partageant vos pratiques en la matière, ce que soit sur vos ordinateurs personnels, professionnels ou vos serveurs.

  • Plutôt AppArmor, SELinux, ou GrSecurity ?
  • Les autres propositions semblaient vraiment anecdotiques sur le dernier sondage et c’est uniquement ce dernier qui me les a fait découvrir, certains ici les utilisent ?
  • Est-ce que vos ordinateurs fixes/mobiles/serveurs sont concernés ?
  • SElinux :
    167
    (15.5 %)
  • AppArmor :
    156
    (14.5 %)
  • grsecurity :
    6
    (0.6 %)
  • capabilities :
    18
    (1.7 %)
  • le cloud ! :
    24
    (2.2 %)
  • autre (en commentaire) :
    14
    (1.3 %)
  • eh ben en fait alors je... rien peut-être ? :
    691
    (64.2 %)

Total : 1076 votes

Journal Nouvelle version de HomeBox

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
17
24
déc.
2022

Nouvelle version de Homebox, pour Noël.

Il y aura sans doute quelques petits bugs d'installation, j'attends donc vos retours, et votre participation. Notamment la doc.

Installation et caractéristiques du système

  • Génération d'un installateur Debian personnalisé avec chiffrement complet du disque et installation entièrement automatique.
  • Déverrouillage du système au démarrage en entrant la phrase de passe via SSH ou avec un Yubikey.
  • Installation des paquets uniquement à partir de Debian stable (Bullseye).
  • Génération automatique de certificats letsencrypt en utilisant le (…)

Forum Linux.debian/ubuntu Aide : Temps de boot anormalement long

Posté par  . Licence CC By‑SA.
2
17
nov.
2022

Bonjour à tous,

J'essaie d'aider quelqu'un pour résoudre un temps de boot anormalement long.

Je vous décris les étapes pour savoir ou intervenir.

-démarrage du PC portable
-menu grub -> Ubuntu LTS 16.04
-affichage de l'image chargement d'Ubuntu (les 3 petits points) -> tourne pendant 2 minutes au lieu de 3 secondes
-affichage de l'écran de login

Lignes ou l'on identifie le temps de 2 minutes :

Nov 13 18:05:00 jojo-HP-EliteBook-8440p rsyslogd: [origin software="rsyslogd" swVersion="8.16.0" x-pid="1177" x-info="http://www.rsyslog.com"] exiting on signal
(…)

Forum Linux.général trouver les services systemes systemd

Posté par  . Licence CC By‑SA.
Étiquettes :
0
25
oct.
2022

Bonjour,
Je cherche à durcir la sécurité grace au guide de l'anssi (https://www.ssi.gouv.fr/uploads/2018/01/guide_preconisations-pare-feux-zone-exposee-internet_anssi_pa_044_v1.pdf)

Parmis les mesures, il y a la configuration du umask pour l'utilisateur et pour les services systemes (en définissant une directive UMask dans le fichier .service).

J'ai listé mes services systemes avec systemctl --type=service et j'obtiens:

  UNIT                                                  LOAD   ACTIVE SUB     DESCRIPTION                                                                  
  accounts-daemon.service                               loaded active running Accounts Service                                                             
  acpid.service                                         loaded active running ACPI event daemon                                                            
  alsa-restore.service                                  loaded active exited  Save/Restore Sound Card State                                                
  apparmor.service                                      loaded active
(…)

Journal Utiliser Podman en mode rootless pour exécuter en service des containers rootless

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
40
29
avr.
2022

Hello,

J'ai eu l'occasion de remonter mon serveur et tous ses services suite à un bug sur le système de fichier.

Je pouvais juste remonter les sauvegardes de ma Debian 11 Bullseye, mais j'avais prévu une nouvelle machine et je voulais en profiter pour refaire à la main les installations des services.

J'emploie Debian et j'utilise donc d'habitude les paquets Debian.

Mais, bien sûr, j'ai certains services, comme Firefox Sync et Grafana, qui ne sont pas disponible dans les répertoires (…)

Journal utiliser ubuntu sans snap

Posté par  . Licence CC By‑SA.
13
1
avr.
2022

bonjour, étant assez nouveau sous ubuntu (usage pro uniquement et pas trop de choix, le seul à être supporté par l'it ) , je ne sais comment réparer une install snap cassé (ou plutôt son interaction avec apparmor tunable/globals) .

sachant que la résolution n'est pas évidente, j'ai préféré ne rien chercher à comprendre, plutôt à contourner l'utilisation de snap sous ubuntu (installation de firefox ESR, et de chrome depuis le site web de chromium) .

Et franchement, ubuntu tuera (…)

Journal Durcir nginx et PHP avec systemd

Posté par  (site web personnel) . Licence CC By‑SA.
55
3
fév.
2022

Dans une installation Linux-nginx-PHP classique, on a:

  • systemd qui doit orchestrer les services et s'exécute en root (inévitable)
  • nginx qui reçoit les les requêtes web et les répartit, notamment vers php-fpm. Il fonctionne avec un processus maître qui fonctionne en root pour se mettre en écoute sur le port 443 et des workers, non privilégiés, qui traitent les requêtes
  • php-fpm qui tourne sous root, reçoit les requêtes vers des scripts PHP de la part de nginx et les répartit vers (…)

Forum Linux.debian/ubuntu Ubuntu long to start

Posté par  . Licence CC By‑SA.
0
7
fév.
2021

Bonjour à tous,
Mon Ubuntu est long a démarrer, et ce depuis que je l'ai installé.
Rapport dmesg:

[    0.276979] TCP: Hash tables configured (established 65536 bind 65536)
[    0.277009] UDP hash table entries: 4096 (order: 5, 131072 bytes, linear)
[    0.277031] UDP-Lite hash table entries: 4096 (order: 5, 131072 bytes, linear)
[    0.277070] NET: Registered protocol family 1
[    0.277075] NET: Registered protocol family 44
[    0.277085] pci 0000:00:02.0: Video device with shadowed ROM at [mem 0x000c0000-0x000dffff]
[    0.277352]
(…)

Journal Faciliter la configuration d'un ordinateur portable (ou fixe) sous Debian GNU/Linux 10 (Suite)

Posté par  . Licence CC By‑SA.
12
24
mai
2020

Bonjour à tous,

Dans un journal précédent j'évoquais un projet nommé my-deb-laptop-bash développé en bash et permettant de faciliter la configuration d'un ordinateur portable (ou fixe) sous Debian GNU/Linux 10 Buster.

Aujourd'hui, je viens vous parler d'un nouveau projet similaire nommé my-deb-laptop-ansible, et développé avec ansible.

En résumé, il s'agit de :
- faire une installation classique d'une Debian 10 Buster
- installer des pré-requis (ansible, openssh, clé ssh, git, etc.)
- télécharger le code du projet avec (…)

Forum Linux.debian/ubuntu Plantage en boucle

Posté par  . Licence CC By‑SA.
0
10
avr.
2020

Bonjour à tous, ayant du temps j'ai voulu me lancer dans une manip qui sans que je comprenne pourquoi à complétement planter mon raspberry pi 0. Pourtant, j'ai uniquement voulu installer certbot et generer un certificat en local…
Mais mantenant le systeme ne parviens pas à booter correctement, on dirait que les erreurs commence avec

[FAILED] Failed to start Journal Service.
See 'systemctl status systemd-journald.service' for details.
[ TIME ] Timed out waiting for device ▒▒v/disk/by-partuuid/e724c016-01.
[DEPEND
(…)

Journal Auto-Hébergement avec HomeBox

Posté par  (site web personnel) . Licence CC By‑SA.
28
23
déc.
2019

Nouvelle version de HomeBox, pour Noël.

Après plusieurs mois de travail, de quelques développeurs, notamment Frédéric et moi même, une nouvelle version de la solution d'auto-hébergement a été publiée. Pour l'instant, pas de numéro de version, mais plutôt un branche "master" sur github.

https://github.com/progmaticltd/homebox

Je rappelle que c'est pour l'instant une version qui se déploie avec Ansible, elle ne s'adresse actuellement pas aux néophytes qui voudraient faire de l'autohébergement en quelques clics, mais plutôt aux personnes soucieuses de sécurité.

Installation

(…)

Forum Linux.général Comment interdire par défaut, l'accès aux réseaux pour toutes les applications ?

Posté par  . Licence CC By‑SA.
3
4
oct.
2019

Bonjour,
Tout est dans le titre.
J'aimerais que toutes applications se voient—par défaut—interdites d'accès à toutes les interfaces réseaux.
Un fichier de configuration permettrait de remédier à cela :

ALL_INTERFACES=eno1 enp3s0

# Ping peut accéder aux 2 interfaces
Ping                /bin/ping                                 $ALL_INTERFACES

# Eclipse peux accéder qu'à une seule interace
Eclipse             /opt/eclipse/java-2019-03/eclipse/eclipse enp3s0

# Python3 (lancé par Eclipse) : idem
Eclipse/Python3     /usr/bin/python3                          IDEM

# Tous les processus lancés depuis Eclipse/Python3 : full access
Eclipse/Python3/ALL ALL                                       $ALL_INTERFACES

Alors j'ai vu (…)

Revue de presse — été 2019

27
11
août
2019
Presse

C’est l’été, les serveurs ont chaud, mais on a un peu de temps pour faire un tour chez notre marchand de journaux préféré pour se trouver de la lecture saine et utile. Voici donc le retour temporaire de la revue de presse des magazines papier que vous pouvez trouver chez votre marchand de journaux favori. C’est un petit tour subjectif de la presse papier, celle que vous pouvez encore trouver, en 2019, chez votre marchand de journaux pour ce mois‐ci.

Les nouveautés de ce mois‐ci :

  • GNU/Linux Magazine France no 228 et l’ordinateur quantique ;
  • Linux Pratique no 114 pour créer un hotspot Wi‐Fi sécurisé ;
  • MISC magazine no 104 masque vos attaques ;
  • Hackable Magazine no 30 s’assure que les nuages radioactifs restent à la frontière ;
  • GNU/Linux Magazine hors‐série no 103 vous apprend à développer des extensions à vos apps préférées ;
  • Planète Linux no 110 découvre la M. A. O. ;
  • de retour depuis quelques mois, le Virus Informatique no 40.

Certains diront que l’on est très centré sur un éditeur. Pourtant, nous avons essayé les autres revues disponibles qui abordent aussi le Libre et GNU/Linux. Nous aimons moins, définitivement :

  • la cohorte des Linux Identity avec ses habituels déclinaisons kits, packs et starters qui ont pour avantage de pouvoir récupérer des distributions en masse sur d’innombrables CDDVD‐ROM contenant de l’Ubuntu en pagaille, Xubuntu, Ubuntu GNOME, Ubuntu Mentholée, Ubuntu Origins (aka Debian) et Tails ; bref, on ne les achète pas pour les articles — sinon, la clef USB, vous connaissez ?
  • Linux Inside no 46, seulement si l’on aime les articles passés au traducteur automatique et les erreurs de traduction ; c’est bien dommage, car les sujets sont régulièrement intéressants et détaillés : Linux sur Chromebook, la maison connectée avec du Libre, les moteurs de jeux, etc. ; mais un rendez‐vous chez votre ophtalmologiste s’impose car cela pique les yeux ;
  • idem pour Linux Référence no 2 et son hors‐série no 1 du même éditeur que Linux Inside, même souci ; pourtant ces magazines sont beaux, bien présentés, mais aussi très chers comparés à la concurrence (14 à 15 €).

N. D. L. A. : La revue de presse est ouverte pour parler de vos magazines. Elle est en gestation dans l’espace de rédaction et est publiée quand elle est assez dense et pas trop en retard.

Debian 10 Buster : une distribution qui a du chien

100
11
juil.
2019
Debian

Debian GNU/Linux est une distribution communautaire entièrement construite avec des logiciels libres. Sa version 10, nom de code Buster (en référence au chien d’Andy dans Toy Story 2), a été publiée le 6 juillet 2019.

Debian 10

Buster est disponible officiellement sur dix architectures différentes : AMD64, ARM64, ARMel, ARMhf, i386, MIPS, MIPS64el, MIPSel, PowerPC64el et s390x (les mêmes que pour Stretch, la précédente version).

Cette nouvelle version de Debian GNU/Linux contient plus de 51 000 paquets, dont 15 000 nouveaux. Par ailleurs, 6 000 paquets ont été supprimés depuis Stretch.

Parmi les nouveautés, la sécurité est à l’honneur avec la prise en charge de SecureBoot pour les architectures les plus répandues, l’activation d’AppArmor sur les nouvelles installations, le choix de Wayland comme serveur d’affichage par défaut pour GNOME, ou encore les avancées concernant le chantier des compilations reproductibles.