-=[ silmaril ]=- a écrit 1456 commentaires

  • # Pas de solutions toute prête

    Posté par  (site Web personnel) . En réponse au message Empêcher dd sur une partition donnée. Évalué à 3 (+1/-0).

    Hello,

    Il n'existe aucune solution magique à ta demande, quand tu utilise /dev/sdb tu accéde au disque en mode block, il n'existe absolument aucune methode magique pour en bloquer l'accès, mis à part ne pas utiliser le compte root / sudo

    Même chiffrer (et non crypter) le disque ne solutionnera pas ton problème.

    Quelques options:
    * ne pas travailler en root (utiliser udev pour fournir un accès à ton compte utilisateur sur les périphériques de type clef usb
    * créer un script/utiliser un outil dédié pour formater les clef que tu pourra restreindre / ajouter des checks pour éviter de wiper ton disque
    * créer un alias pour dd pour rajouter ces checks

  • [^] # Re: Méfiance

    Posté par  (site Web personnel) . En réponse au message chasser les mauvais octets. Évalué à 3 (+1/-0).

    Ancien ou pas des clusters/secteurs défectueux sur un disque c'est pas bon, et non ça ne fait pas parti du rodage …

    Et si le disque est neuf avec des secteurs défectueux je l'inviterai à en demander un remplacement rapide.

    Oui il y a un système de remplacement de secteurs dans certains disques (en général c'est plus les SSD d'ailleurs) mais s'il les vois re-apparaitre régulièrement c'est soit que le disque n'inclus pas cela, soit que le pool de remplacement est plein

  • [^] # Re: 21 jours, 12 commentaires.

    Posté par  (site Web personnel) . En réponse à la dépêche Annonce de Perl 7. Évalué à 2. Dernière modification le 19/08/20 à 10:33.

    Cela peut se comprendre, si Raku est capable d'interpréter du Perl, l'inverse tient de de l'impossible.

    Je ne sais pas si cela peut se comprendre mais je ne vois pas le problème dans cette affirmation, si effectivement raku est capable d'interpréter du perl 5 alors tout est bien non, on respecte la backword-compat. Je ne connais pas des masses de choses qui sont forward-compatible sur une version majeure N+1.

    Même perl 5.10 va avoir du mal a interpréter du code utilisant les fonctionnalités réçentes.

  • [^] # Re: fait

    Posté par  (site Web personnel) . En réponse au message 'Durcir' un serveur Debian. Évalué à 2.

    La vrai question est plutot: qu'as-tu comme message d'erreur au boot post coupure de courant ?

    Prochaine coupure vérifie le contenu de /boot/efi avant de reinstaller grub.

    Si c'est le bios qui perd la séquence de démarrage il peut être intéressant de regarder ce que dit efibootmgr et de faire juste le grub-install
    voir même de copier /boot/efi/EFI/debian/grubx64.efi dans /boot/efi/EFI/BOOT/BOOTX64.EFI, c'est le boot-code utilisé par défaut en l'absence de paramètrage spécifique dans le BIOS / efibootmgr.

  • # Huu

    Posté par  (site Web personnel) . En réponse au message NFS symétrique. Évalué à 2.

    TL;DR: Non ce n'est pas possible / souhaitable

    Réponse longue:
    Un serveur NFS publie un dossier physique local (et uniquement ça), exemple srv1 va publier /home/agora, srv2 va aussi publier /home/agora
    Si tu monte srv1:/home/agoro sur srv2 dans le dossier /home/agora c'est le dossier NFS qui sera le dernier monté sur le repertoire et ton système ne vera plus les fichiers du /home/agoro "local", et inversement sur srv2
    Tu va te retrouver avec des dossiers différents sur chaque machine, avec le coût (latence, performance) du fs NFS et le comble c'est que les data de srv2 seront sur srv1 et inversement, (sauf si le demon qui accède à /home/agora est démarré avant les montages NFS auquels cas le truc sera encore plus rigolo car tu vera les fichiers de srv2 sur srv1 pendant que le programme qui tourne sur srv1 modifiera potentiellement d'autre fichiers).

    Dans ton cas les options que je vois sont:
    1 Définir une et une seule machine comme repository de stockage, et utiliser NFS pour exporter ce repository ailleurs (simple mais implique d'avoir toujours le serveur NFS d'actif / l'allumer en premier)
    2 Utiliser un FS clusterisé type Ceph/GFS/GlusterFS (potentiel de prise de tête ++)
    3 mettre en place une synchronisation two-way a base de rsync par exemple + cron pour replication régulière (nécessite d'avoir une certains marge de manoeuvre sur la disponibilité des fichiers)

  • [^] # Re: Code dans les posts…

    Posté par  (site Web personnel) . En réponse au message probleme d'ecriture dans un fichier. Évalué à 5.

    ça et le fait de fournir un exemple complet étudiable parce que la il ne presente qu'une des fonctions de son outil, et pas celle qui enregistre le tableau dans un fichier donc on va avoir du mal à trouver pourquoi l'enregistrement déconne …

  • [^] # Re: Merci

    Posté par  (site Web personnel) . En réponse au message Chmod 700 /usr/sbin. Évalué à 2.

    ah bein ça … je répondais juste a la demande initiale d'empecher un utilisateur lambda d'executer le reboot, je n'aime pas contester la pertinence des demandes des gens (ou en tout cas pas up-front ).

    Effectivement pour le ctrl-alt-suppr/bouton power c'est init qui va le déclencher donc il faut aussi configurer ça, ça doit être documenté quelque part.

    pour le reste…

  • [^] # Re: Merci

    Posté par  (site Web personnel) . En réponse au message Chmod 700 /usr/sbin. Évalué à 3.

    Exemple, je veut interdire un utilisateur non sudoers/root de pouvoir utiliser /usr/sbin/reboot

    Bein c'est déjà le cas, reboot/poweroff sont des actions privilégiés, pour les utiliser il faut être root ou respecter certaines règles.

    Dans un système réçent ces commandes vont être des liens vers systemctl, difficile à en bloquer l'execution via chmod sans limiter les fonctionnalités de systemd pour les utilisateurs, par contre les décisions d'autorisations pour reboot/shutdown (ainsi que d'autres actions normalement privilégiées telles que le montage/demontage de disques) vont passer par le filtre "policy-kit".

    Selon ta version de policy-kit la configuration va varier mais il est possible de configurer l'outil pour que les utilisateurs locaux n'aient plus l'autorisation de reboot, exemple:

    /etc/polkit-1/rules.d/20-disallow-shutdown.rules:

    polkit.addRule(function(action, subject) {
        if ((action.id == "org.freedesktop.consolekit.system.stop" ||
             action.id == "org.freedesktop.consolekit.system.restart") &&
            subject.isInGroup("users")) {
                return subject.active ? polkit.Result.AUTH_ADMIN : polkit.Result.NO;
        }
    });

    Ou pour policykit <= 0.105:

    /etc/polkit-1/localauthority/50-local.d/20-disallow-shutdown.pkla:

    [Disallow shutdown]
    Identity=unix-group:users
    Action=org.freedesktop.consolekit.system.stop;org.freedesktop.consolekit.system.restart
    ResultAny=no
    ResultInactive=no
    ResultActive=auth_admin
    

    https://superuser.com/questions/354678/what-is-the-correct-way-to-prevent-non-root-users-from-issuing-shutdowns-or-rebo

  • # auditd

    Posté par  (site Web personnel) . En réponse au message Logs des permissions des dossiers. Évalué à 5.

    Normalement tu peut faire ça via auditd

    Point de départ:
    https://access.redhat.com/solutions/10107

  • [^] # Re: Besoin de te documenter sur LDAP

    Posté par  (site Web personnel) . En réponse au message Configuration serveur LDAP. Évalué à 2.

    oh la la …

    Maintenant que j'ai modifié mon /etc/hostname, j'ai supprimé la ligne MON.IP MON_DOMAIN.FR

    Déjà je ne vois pas trop le rapport avec la choucroute (la creation de ton annuaire ldap)
    Ensuite editer le /etc/hosts … mauvaise idée a priori

    Du coup, je dois faire une entrée avec le ldif suivant ?

    Tu ne "dois" rien, c'est à toi de décider tout d'abord quelle sera ta structure ldap, et surtout une fois que tu l'as décidé il faut arreter de la changer toutes les 5 minutes …

    En revanche, j'ai bien pu ajouter l'entrée "dc=freewind, dc=fr"

    Heu .. non

    root@homeserv:~/ldap/freewind.fr# ldapadd -x -H ldap://localhost -D 'cn=admin,dc=nodomain' -f base.ldif
    adding new entry "dc=freewind, dc=fr"
    ldap_add: Server is unwilling to perform (53)
    additional info: no global superior knowledge

    => unwilling == pas d'accord
    => "no global superior knowledge" = pas de branche à laquelle raccrocher la nouvelle entrée, ce qui n'est pas surprenant vu qu'a priori tu as re-créer un annuaire avec une racine "dc=nodomain" et que tu vaut rajouter l'entrée "dc=freewind" sur l'element "dc=fr"

    Donc je répète ce que j'ai dit plus haut: si tu veut/doit mettre en place un annuaire LDAP oublie tout les tuto que tu as lu et documente toi sur les annuaires LDAP et sur l'administration d'OpenLDAP avant de taper n'importe quoi sans comprendre.

    Un annuaire est basé une structure logique et administrative qu'il faut avoir définie AVANT de l'utiliser, ce n'est pas une simple base de donnée SQL

  • [^] # Re: Besoin de te documenter sur LDAP

    Posté par  (site Web personnel) . En réponse au message Configuration serveur LDAP. Évalué à 2.

    bein tu créé l'entrée comme n'importe quelle entrée ldap, via un ldapadd avec le ldif qui va bien, dans le cas présent

    dn: dc=tondomaine,dc=fr
    objectClass: dcObject
    objectClass: organization
    dc: tondomaine
    o: monorga

  • # Besoin de te documenter sur LDAP

    Posté par  (site Web personnel) . En réponse au message Configuration serveur LDAP. Évalué à 3.

    Salut,

    Il y a quelque chose que tu ne semble pas comprendre, un annuaire LDAP est un arbre, au sens mathématique du terme.

    Tu as semble t'il créer ton arbre avec la racine "dc=fr", tu ne peut donc pas rajouter un element dans "dc=com" -> "dc=example" car "dc=com" n'existe pas dans ta configuration.

    Quand à "dpkg-reconfigure slapd" il ne rajoutera jamais tout seul "dc=example,dc=com" car ta base ldap est déjà initialisée.

    Tu peut rajouter un "dc=tondomaine,dc=fr" puis ensuite un "ou=People,dc=tondomaine,dc=fr" dans ta base même si on essaye plutot d'avoir directement "dc=tondomaine,dc=fr" en racine

  • # PEBKA

    Posté par  (site Web personnel) . En réponse au message Idées pour provoquer un bug / diagnostic.. Évalué à 3.

    Il m'est déjà arrivé d'avoir des cas de "PC défectueux" qui sont en fait des cas d'usages incorrect par l'utilisateur. Mais pas forcement des usages conscient.

    ça peut être tout simplement des mains qui se placent aux mauvais endroit, ou un potentiel static de l'utilisateur qui est trop important.

  • [^] # Re: Mariadb

    Posté par  (site Web personnel) . En réponse au message sécuriser un serveur web auto hébergé. Évalué à 2.

    fonctionnalité != performances

    source: experience professionnelle

    Nous avons une douzaine de serveurs SQL qui tournaient sous mysql 5.5, l'upgrade debian/stretch à imposé la migration sur mariadb 10.0, résultat les requêtes de recherches de notre application on nécessité l'ajout d'un /tmp de 100Go (sur des machines dont la racine fait 10Go, + volume séparé pour le /var/lib/mysql) car le parser analyse mal les requêtes et génère des fichiers temporaires énormes (et donc des temps de requêtes supérieurs a 3 minutes).

    Accessoirement les saturations de /tmp entrainement des blocages d'écritures des relay-logs, avec corruption, alors même que le relay-logs n'est pas sur la même partition.

    Pour l'instant mes tests montrent que seul un passage à mariadb 10.4 permet de retrouver un parseur digne de mysql 5.5 mais il est tout juste sorti et je n'ai pas encore suffisamenet analysé les impacts

  • [^] # Re: linuxfr.gouv.fr

    Posté par  (site Web personnel) . En réponse au journal Le sujet dont tout le monde a envie de parler, mais qu'on n’ose pas.. Évalué à 3.

    Mais justement, désolé de forcer mais je maintiens, ma préférence est clair : AUCUN DES DEUX. Il y a une vraie différence entre "je m'en fous" et "je ne veux ni l'un ni l'autre".

    Heu… Non il n'y en a pas et notamment car il n'est pas envisageable dans notre constitution de ne pas avoir de gouvernement (après on peut vouloir changer ça aussi mais bon…)

    Et je veux que si la majorité ne préfère aucun des deux, il puisse y avoir de nouvelles élections avec de nouveaux candidats.

    Lesquels ? Des inconnus sortis d'où ? Comme tu le dis il y a des affiliations politiques, des partis qui ont élus leurs candidats, s'ils ne te conviennent pas tu peut au choix t'inscrire dans un de ces partis et monter les échelons ou participer au vote pour que le candidat te représente mieux ou monter ton parti politique.
    Mais l'idée que la prise en compte des bulletins blancs amène 1/des reports d'élections et 2/l'apparition spontanée de nouveaux candidats qui plairaient à tout le monde est carrément invraisemblable…

    (la question ne se pose plus dans le cas d'un scrutin à jugement majoritaire au passage…)
    Clairement ce scrutin marche tellement bien dans la structure debian que tout le monde suit le dpl sans se plaindre… Oh wait…

    Après oui ça serait probablement un peu mieux que le scrutin actuel… En théorie.. Je n'imagine pas le bordel de la saisie des résultats d'un scrutin majoritaire avec 50 millions d'électeurs et une douzaine de choix dans plusieurs milliers de centre de dépouillement. Avec en plus la complexité/difficulté du vote pour les électeurs les moins aisés mentalement.

  • [^] # Re: Mariadb

    Posté par  (site Web personnel) . En réponse au message sécuriser un serveur web auto hébergé. Évalué à 2.

    Franchement c'était plus pour l'info, je doute que tu le sente passer t'embete pas à remettre un mysql.

  • # Mariadb

    Posté par  (site Web personnel) . En réponse au message sécuriser un serveur web auto hébergé. Évalué à 2.

    j'ai choisi mariadb pour les performances

    Wrong choice, try again?
    D'expérience mysql est toujours devant Maria en terme de perf à releases équivalentes, et Maria a de grosses 'régression' de parsing/perfs qui commencent tout juste à s'améliorer en 10.4 (ie on retrouve les perfs de mysql 5.5)

  • [^] # Re: ip table

    Posté par  (site Web personnel) . En réponse au message sécuriser un serveur web auto hébergé. Évalué à 2.

    Shore wall n'étant qu'un frontend à iptable

  • [^] # Re: Accuse-t-on les mauvaises personnes des dérives du RGPD?

    Posté par  (site Web personnel) . En réponse au journal J'accepte. Évalué à 0.

    … il suffit donc de dire que le cookie de tracking est nécessaire au bon fonctionnement du site et zou pas besoin de demander le consentement ?

    Non justement, du coup il y a un magnifique "il est précisé que cet « intérêt légitime » peut ne pas prévaloir sur les intérêts, les libertés et droits fondamentaux de la personne (par exemple un enfant)." …. comment je sais que l'adresse IP est celle d'un enfant ?

  • [^] # Re: Accuse-t-on les mauvaises personnes des dérives du RGPD?

    Posté par  (site Web personnel) . En réponse au journal J'accepte. Évalué à -1.

    Rien à voir, c'est toi qui défini "traiter des données personnelles" comme étant "pister les utilisateurs".

    Avoir des journaux d'accès et d'erreur sur ton serveur web rentre dans le cadre "traitement automatisé de données" et en plus ça contient des "données personnelles" (adresse IP)…

  • [^] # Re: Accuse-t-on les mauvaises personnes des dérives du RGPD?

    Posté par  (site Web personnel) . En réponse au journal J'accepte. Évalué à -5.

    Une des plus grosses failles du RGPD est …

    Pour moi la plus grosse faille du RGPD est que techniquement ce n'est pas possible de faire un truc full-rgpd-compliant:

    • tu refuse le traitement automatisé de tes données personnelles: ok, comment je stocke ton refus sans traiter automatiquement tes données ?
    • tu te connecte à un serveur web: comment je te demande l'accord de traiter ta première donnée 'personnelle' (ton adresse IP) avant même de pouvoir te répondre, de loguer ta requete, …
  • [^] # Re: conf

    Posté par  (site Web personnel) . En réponse au message Accès ssh défaillant suite à migration Debian 9 > 10 (résolu). Évalué à 4. Dernière modification le 08/11/19 à 15:46.

    Mais j'avais déjà passé la journée à chercher des solutions via Google, et rien marchait… Je commençais à fatiguer.

    parce qu'en général les gens cherchent des solutions "finales" sur google en se basant sur un problème générique, au lieu de lire tout simplement ce que le système renvoi ^

    Je suppose que vous avez déjà rencontré ce type d'erreur ?

    Celle la non pas particulièrement, mais les appli qui ne demarrent pas en général oui ^

    Combien d'années de métier ?
    Heu, 15 de métier, 20 de linux et 30 d'informatique en général XD


    Pour être plus précis dans ton premier "dump" il y avait:

    Job for ssh.service failed because the control process exited with error code.
    See "systemctl status ssh.service" and "journalctl -xe" for details.

    systemctl status ssh.service

    ssh.service - OpenBSD Secure Shell server
    Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
    Active: failed (Result: exit-code) since Thu 2019-11-07 15:24:53 CET; 18s ago
    Docs: man:sshd(8)
    man:sshd_config(5)
    Process: 31292 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=255/EXCEPTION)

    Deux écoles ici, soit à la systemd, lancer: "systemctl status ssh.service" puis "journalctl -xe" si le premier n'aide pas assez.

    Soit directement lancer à la main "/usr/sbin/sshd -t", qui est la commande utilisé par systemd pour vérifier que le service peut démarrer (dans le cas du service ssh) et qui ici à renvoyé une erreur (status=255/EXCEPTION), vous aurais sorti directement le message

  • [^] # Re: conf

    Posté par  (site Web personnel) . En réponse au message Accès ssh défaillant suite à migration Debian 9 > 10 (résolu). Évalué à 7.

    Process: 30350 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=255/EXCEPTION)

    => ta configuration n'est pas compatible

    Nov 07 15:24:53 vps129566 sshd[31292]: /etc/ssh/sshd_config line 29: Bad SSH2 cipher spec '3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr'.

    => supprime la ligne 29 de /etc/ssh/sshd_config et ça devrait être bon

    sed -i.bak -e '29d' /etc/ssh/sshd_config
  • # qu'es-ton supposé comprendre ?

    Posté par  (site Web personnel) . En réponse au message Question. Évalué à 2.

    Sooooo, on est sensé comprendre quoi du dump ? qu'est que tu veut exactement ?

    Un truc du genre:
    ping1=2
    ping2=3
    ping3=2
    ping4=4
    ..

    ? (si oui ça va être inutilisable, charge plutot ton fichier dans un tableau par exemple)

    declare -a pings
    
    while read pv; do
      pings+=($pv)
    done < /path/to/pings
    
    # do something:
    echo ${pings[1]}
  • # imapsync

    Posté par  (site Web personnel) . En réponse au message Backup de mails avec Thunderbird (ou autres ...). Évalué à 3.

    imapsync sur un Maildir local ?