Forum Linux.debian/ubuntu Périphériques USB pour utilisateur, liste blanche par "types" ?

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
3
6
mar.
2022

Bonjour,

Nous préparons un système basé sur Debian Stable Gnome qui devra équiper une centaine d’ordinateurs portables dans des salles de cours "déconnectées" (pas d’internet).

Pour le profile élève, l’USB ne doit pas pouvoir être utilisé pour support des masse (« clé USB ») mais bien pour la souris. Ça, c’est le départ de la réflexion…

Mais ensuite, en y réfléchissant, il faudra pouvoir brancher plusieurs modèles de souris. Si la souris d’origine devait tomber en pane par exemple… Et (…)

Journal Déchiffrement de disque racine avec carte à puce GPG sous Debian

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
31
9
fév.
2022

Une installation standard de Debian permet de déchiffrer son disque / au démarrage à l'aide d'une carte à puce GPG (type yubikey, nitrokey, librem key ou autre). Ce journal vise à mettre en avant cette option méconnue.

Configuration

En partant d'une installation Debian standard avec chiffrement (le disque / est alors placé sous /dev/sda5, le déverrouillage se fait initialement par mot de passe), il faut modifier le fichier /etc/crypttab :

sda5_crypt UUID=... /etc/cryptsetup-initramfs/root_key.asc luks,discard,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg-sc

Il faut ensuite (…)

Journal Durcir nginx et PHP avec systemd

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
55
3
fév.
2022

Dans une installation Linux-nginx-PHP classique, on a:

  • systemd qui doit orchestrer les services et s'exécute en root (inévitable)
  • nginx qui reçoit les les requêtes web et les répartit, notamment vers php-fpm. Il fonctionne avec un processus maître qui fonctionne en root pour se mettre en écoute sur le port 443 et des workers, non privilégiés, qui traitent les requêtes
  • php-fpm qui tourne sous root, reçoit les requêtes vers des scripts PHP de la part de nginx et les répartit vers (…)

Journal Nouvelle version de OpnSense, basée sur FreeBSD 13

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
17
31
jan.
2022

La dernière version de OpnSense 22.1 — « Observant Owl » — viens de sortir, avec son lot habituel d'améliorations, notamment basée sur FreeBSD13.

Nouvautés

Divers

  • Lisibilité des fonctions “Tunables” améliorée
  • Configuration de l'interface LAGG (c.f. Bonding) à partir du menu de la console.
  • Authentification / création automatique d'un utilisateur LDAP à la connexion
  • Journalisation - passage au format rfc5424 et suppression de la journalisation circulaire

Interfaces

  • Les adresses IP virtuelles (VIPs) supportent maintenant l'option "no bind" pour les exclure (…)

Forum Linux.débutant Sécuriser un serveur basé sur des conteneurs sous LXC avec fail2ban : Meilleures pratiques?

Posté par  . Licence CC By‑SA.
Étiquettes :
5
5
jan.
2022

Bonjour,

Le contexte:

Je suis en train de mettre en place un nouveau serveur en remplacement de mon vaillant Rapsberry 1 (version B quand même ;) ).
Le but est d’auto-héberger tout un tas de services / fonctionnalités et de se passer au maximum des géants du net.

Sur mon RPI tout était directement mis en place sur la raspbian.
Sur ce nouveau serveur je mets en place un serveur debian avec LXC et des conteneurs ("unprivileged") qui compartimenteront les (…)

Forum Linux.debian/ubuntu mettre à jour Log4j sur Debian Buster

Posté par  . Licence CC By‑SA.
Étiquettes :
6
20
déc.
2021

Bonjour,

Juste un post qui aurait pu m'aider à ne pas perdre des heures sur mon serveur Debian pour mettre à jour Apache.

Debian a confirmé la mise a jour de Log4j sur les dépots sécurity de Debian Buster mais lorsque je faisais un apt update && upgrade je n'avais rien, si toi aussi tu es dans la même situation que moi voici la manip que j'ai effectué:

Depuis le terminal, taper "sudo su" puis indiquer votre mot de passe (…)