OpenSSH : configuration des algorithmes de cryptographie

Posté par  (site web personnel) . Édité par Davy Defaud, Nils Ratusznik et Pierre Jarillon. Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
51
18
juin
2017
Administration système

Le logiciel OpenSSH permet d’avoir un shell sécurisé sur un serveur distant ou du transfert de fichiers de ou vers un serveur. Divers algorithmes de cryptographie sont utilisés pour le chiffrement, la génération ou l’échange de clefs. Et ces algorithmes peuvent s’affaiblir, être remplacés par de meilleurs algorithmes, connaître des portes dérobées, nécessiter des clefs plus grandes, etc. Ils sont implémentés (au sens ajouter ou enlever) par les développeurs d’OpenSSH (et de bibliothèques de cryptographie sous‐jacentes), ils sont empaquetés par une distribution (qui peut changer certains réglages à la production du paquet ou bien faire certains choix sur la configuration par défaut), et ils sont mis à jour par les équipes sécurité (d’OpenSSH et de la distribution).

Bannière openssh

Jetons un œil sur les paquets openssh-server de la distribution Debian (actuellement les versions sont 6.0p1-4+deb7u4 en Wheezy (l’ancienne ancienne version stable), 6.7p1-5+deb8u3 en Jessie (l’ancienne version stable) et 7.4p1-10 en Stretch (la version stable actuelle depuis le 17 juin 2017) : nous verrons quels sont les algorithmes pris en charge, quels sont ceux par défaut et quel niveau de sûreté leur accorder (suivant les tests des sites Rebex et CryptCheck, et les outils SSHScan et CryptCheck que nous allons utiliser).

Forum Linux.debian/ubuntu Configuration de mails : forward vers plusieurs boîtes et anti-spam

Posté par  . Licence CC By‑SA.
Étiquettes :
1
28
jan.
2017

Bonjour,
Je suis un lecteur régulier du forum, mais voici mon premier post…

J'ai un serveur de mails sur lequel je voudrais :
- conserver une copie locale du mail
- forwarder les mails vers une adresse externe
- marquer / filtrer les spams

J'ai configuré le serveur avec les logiciels classiques (typiquement en suivant
https://help.ubuntu.com/lts/serverguide/mail-filtering.html ) : postfix / clamav / spamassassin / …

Postfix a un fichier /etc/postfix/virtual qui permet de conserver le mail en local et de (…)

Forum Linux.général Gestion des vieux fichiers de config utilisateurs

Posté par  . Licence CC By‑SA.
Étiquettes :
5
28
déc.
2016

Bonjour à tous!

Comme peut-être pas mal d'entre vous, j'ai un ordi de bureau sous Linux pour mes besoins personnels.
Je n'ai jamais réinstallé depuis X années. À une époque, je disais encore "j'ai installé il y a quelques années", mais là ça commence faire comme 7 ou 8ans.

Régulièrement, je zieute ce que j'ai dans mes dossiers de config utilisateur: .kde, .local, .config.
Et à chaque fois je trouve des choses qui sont là depuis une éternité, avec quasiment (…)

Forum Linux.debian/ubuntu Postfix

Posté par  . Licence CC By‑SA.
Étiquettes :
0
28
oct.
2016

Bonjour,

J'ai paramétré postfix pour qu'il puisse m'envoyer des mails. Je ne veux pas de serveur de mails pour des clients, juste besoin que le linux envoit par mails les alertes du nagios.
J'aimerais que postfix puisse envoyer les mails sur le port 587 avec authentification, j'ai vu un tas de blogs mais sans réponse à ma question.
Où mettre les paramètes d'identification, où oréciser le port 587 ?
Si quelqu'un a une solution, je suis preneur.

Merci

Forum Linux.général Redirection, proxypass et bind9

Posté par  . Licence CC By‑SA.
Étiquettes :
0
20
avr.
2016

Bonjour chers amis francophones et francophiles,
Mon problème est probablement dû à ma grande ignorance en administration réseau, je vais présenter mon problème, ce que je crois naïvement être la solution, et j'espère pouvoir trouver la vraie solution (42, sûrement)
J'ai un serveur à disposition dans mon laboratoire. Ce serveur a une adresse ipv4 fixe publique et un nom de domaine du genre experience.labo.institution.it (qu'on simplifiera par xp.lab.ist.it).
Seuls les ports 22 et 443 (donc ssh et https) sont ouverts.

(…)

Forum Linux.débutant Configuration proxy transparent Squid3 DEBIAN 8

Posté par  . Licence CC By‑SA.
Étiquettes :
0
19
avr.
2016

Tout d'abord je tiens à préciser que mes connaissances de Linux sont très limitées et en dehors de apt-get update et install, je suis vite dépassé. En outre j'avoue que je ne connais rien en matière de réseau.

J'ai réussi à installer tant bien que mal squid3. Je suis sous Debian Jessie 8.4 (3.16.0-4-amd64) et ma version de squid est la 3.4.8. Squid fonctionne puisqu'il bloque la liste de domaines que j'ai créé en suivant plusieurs tutos (je me suis (…)

Journal Programmer Beop

Posté par  .
Étiquettes :
21
4
mar.
2016

La disposition de clavier AZERTY est largement utilisée en France, mais elle n’est pas idéale, de nombreuse critiques ont étés apportés au clavier, la disposition des touches parait aléatoire et n’est pas pensée pour la langue française, des lettres très fréquemment frappées sont situées à des positions difficiles, de plus de nombreuses
spécificités de la langue française sont oubliées 3 : majuscules accentués, guillemets typographiques (« et »), caractères œ, æ, Œ, Æ, etc.

La raison est que le clavier AZERTY est (…)

Forum Linux.général Configuration saisie EdenMath (calculette - GnuStep)

Posté par  . Licence CC By‑SA.
Étiquettes :
0
6
déc.
2015

Bonjour,

J'utilise (depuis peu) la calculette EdenMath (GnuStep) sous debian8 et Xfce4 (sous debian7 j'utilisais avec bonheur Gnome qui est devenu insupportable pour ma vieille machine et pour moi-même :(

Cette calculette (pour le moment) ne saisit les données qu'à la souris par son propre pavé numérique.

Je voudrais pouvoir utiliser également celui de mon clavier,
mais je n'ai trouvé ni documentation, ni fichier de config pour modifier cela.

Comme c'est la première fois que j'utilise une application GnuStep (…)

Forum Linux.général postfix et les bounces

Posté par  . Licence CC By‑SA.
Étiquettes :
0
16
nov.
2015

Bonjour,

comme beaucoup de personne, j'ai un postfix pour recevoir et envoyer mes emails.
le probleme c'est que parfois j'ai des bounces car la destination est inconnu, ou injoignable.

j'ai vu 2 reglages selon que j'active ou non le soft_bounce, mais je voudrais etre plus precis.

ex :

  • le destinataire est inconnu, alors c'est un hard_bounce car ca ne sert à rien de presenter l'email toutes les 10 minutes il ne sera jamais livré

  • le MX du destinataire ne repond (…)

La 3e version majeure de Rudder, un grand pas en avant

Posté par  . Édité par Benoît Sibaud, bubar🦥 et Xavier Teyssier. Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
23
8
sept.
2015
Communauté

Rudder est un outil qui permet d’automatiser le déploiement des configurations sur votre SI et de gérer les changements sur le socle technique. Il vérifie que les exigences de qualité et de sécurité sont bien appliquées et en remonte des rapports de conformité. Accessible à l’ensemble des équipes, experts ou non, il permet à tous de bénéficier de l'automatisation et de la gestion de configuration.

Logo

L'équipe de Rudder est fière de vous présenter sa troisième version majeure après de longs mois de développement. Cette version présente de nombreuses améliorations et nouvelles fonctionnalités, dont une qui s’avère révolutionnaire parmi les outils d’automatisation : un dashboard focalisé sur la conformité !

Les fonctionnalités ajoutées au logiciel sont listées en deuxième partie.

Journal HiDPI comment gérez vous ?

Posté par  . Licence CC By‑SA.
Étiquettes :
10
7
juin
2015

Bien que mon précédent journal ait attirer les foudres (légèrement, vous ne m'avez pas fait plongé dans les abîmes !), je continue dans mes questions (et le partage de mes découvertes) des technologies modernes.

Cela faisait des année que j'avais un écran LCD 17 pouces entrée de gamme(depuis 2003 !), et une tour (2006) la carte intégrée NVIDIA ne me permettait plus que d'utiliser cet écran en 1024x768. Et me voici aujourd'hui avec un écran Benq 4K Bl3201pt. Mon idée était (…)

Journal Lire de fichiers de configuration depuis un script shell

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
25
5
juin
2015

La petite technique shell du vendredi. Pour lire un fichier de configuration du style INI depuis un script shell, on peut utiliser le petit script sed suivant

1 {
  x
  s/^/default/
  x
}

/^#/n

/^\[/ {
  s/\[\(.*\)\]/\1/
  x
  b
}

/=/ {
  s/^[[:space:]]*//
  s/[[:space:]]*=[[:space:]]*/|/
  G
  s/\(.*\)\n\(.*\)/\2|\1/
  p
}

Il transforme 

    # last modified 1 April 2001 by John Doe
    [owner]
    name=John Doe
    organization=Acme Widgets Inc.

    [database]
    # use IP address in case network name resolution is not working
    server=192.0.2.62
    port=143
(…)

Forum Linux.général lancer un shell "vierge" dans un nouveau terminal

Posté par  . Licence CC By‑SA.
Étiquettes :
1
4
mai
2015

Bonjour.

Je cherche à lancer une nouvelle instance d'un émulateur de terminal, rxvt en l'occurrence, sans qu'il n'hérite de l'ensemble des variables définies par le terminal parent.
Le but, en fait, c'est de pouvoir lancer des shell dont la configuration serait spécifique à un projet (nombre de process pour compiler, emplacement des lib, définir le HOME en tant que dossier racine pour pouvoir y retourner d'un vulgaire cd, etc). Couplé avec un script pour générer un template qui correspond (…)

Journal Gérer ses fichiers de config avec git

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
19
16
avr.
2015

Je continue sur ma lancée des trucs qui enlarge my productivity. Aujourd'hui, voyons comment gérer efficacement ses fichiers de config directement avec git.

Comment gérez-vous les fichiers de configs répartis sur vos différentes machines ? Les synchronisez-vous de temps en temps à coup de scp, rsync ou unison ? Peut-être utilisez-vous un outil évolué comme vcsh ? Mais savez-vous que si ce dernier est une surcouche à git dédiée à la gestion des fichiers de configuration, git seul peut faire l'affaire ?

Bien (…)