-=[ silmaril ]=- a écrit 1463 commentaires

ah bein ça … je répondais juste a la demande initiale d'empecher un utilisateur lambda d'executer le reboot, je n'aime pas contester la pertinence des demandes des gens (ou en tout cas pas up-front ^).

Effectivement pour le ctrl-alt-suppr/bouton power c'est init qui va le déclencher donc il faut aussi configurer ça, ça doit être documenté quelque part.

pour le reste…

Exemple, je veut interdire un utilisateur non sudoers/root de pouvoir utiliser /usr/sbin/reboot

Bein c'est déjà le cas, reboot/poweroff sont des actions privilégiés, pour les utiliser il faut être root ou respecter certaines règles.

Dans un système réçent ces commandes vont être des liens vers systemctl, difficile à en bloquer l'execution via chmod sans limiter les fonctionnalités de systemd pour les utilisateurs, par contre les décisions d'autorisations pour reboot/shutdown (ainsi que d'autres actions normalement privilégiées telles que le montage/demontage de disques) vont passer par le filtre "policy-kit".

Selon ta version de policy-kit la configuration va varier mais il est possible de configurer l'outil pour que les utilisateurs locaux n'aient plus l'autorisation de reboot, exemple:

/etc/polkit-1/rules.d/20-disallow-shutdown.rules:

polkit.addRule(function(action, subject) {
    if ((action.id == "org.freedesktop.consolekit.system.stop" ||
         action.id == "org.freedesktop.consolekit.system.restart") &&
        subject.isInGroup("users")) {
            return subject.active ? polkit.Result.AUTH_ADMIN : polkit.Result.NO;
    }
});

Ou pour policykit <= 0.105:

/etc/polkit-1/localauthority/50-local.d/20-disallow-shutdown.pkla:

[Disallow shutdown]
Identity=unix-group:users
Action=org.freedesktop.consolekit.system.stop;org.freedesktop.consolekit.system.restart
ResultAny=no
ResultInactive=no
ResultActive=auth_admin

https://superuser.com/questions/354678/what-is-the-correct-way-to-prevent-non-root-users-from-issuing-shutdowns-or-rebo

Normalement tu peut faire ça via auditd

Point de départ:
https://access.redhat.com/solutions/10107

oh la la …

Maintenant que j'ai modifié mon /etc/hostname, j'ai supprimé la ligne MON.IP MON_DOMAIN.FR

Déjà je ne vois pas trop le rapport avec la choucroute (la creation de ton annuaire ldap)
Ensuite editer le /etc/hosts … mauvaise idée a priori

Du coup, je dois faire une entrée avec le ldif suivant ?

Tu ne "dois" rien, c'est à toi de décider tout d'abord quelle sera ta structure ldap, et surtout une fois que tu l'as décidé il faut arreter de la changer toutes les 5 minutes …

En revanche, j'ai bien pu ajouter l'entrée "dc=freewind, dc=fr"

Heu .. non

root@homeserv:~/ldap/freewind.fr# ldapadd -x -H ldap://localhost -D 'cn=admin,dc=nodomain' -f base.ldif
adding new entry "dc=freewind, dc=fr"
ldap_add: Server is unwilling to perform (53)
additional info: no global superior knowledge

=> unwilling == pas d'accord
=> "no global superior knowledge" = pas de branche à laquelle raccrocher la nouvelle entrée, ce qui n'est pas surprenant vu qu'a priori tu as re-créer un annuaire avec une racine "dc=nodomain" et que tu vaut rajouter l'entrée "dc=freewind" sur l'element "dc=fr"

Donc je répète ce que j'ai dit plus haut: si tu veut/doit mettre en place un annuaire LDAP oublie tout les tuto que tu as lu et documente toi sur les annuaires LDAP et sur l'administration d'OpenLDAP avant de taper n'importe quoi sans comprendre.

Un annuaire est basé une structure logique et administrative qu'il faut avoir définie AVANT de l'utiliser, ce n'est pas une simple base de donnée SQL

bein tu créé l'entrée comme n'importe quelle entrée ldap, via un ldapadd avec le ldif qui va bien, dans le cas présent

dn: dc=tondomaine,dc=fr
objectClass: dcObject
objectClass: organization
dc: tondomaine
o: monorga

Salut,

Il y a quelque chose que tu ne semble pas comprendre, un annuaire LDAP est un arbre, au sens mathématique du terme.

Tu as semble t'il créer ton arbre avec la racine "dc=fr", tu ne peut donc pas rajouter un element dans "dc=com" -> "dc=example" car "dc=com" n'existe pas dans ta configuration.

Quand à "dpkg-reconfigure slapd" il ne rajoutera jamais tout seul "dc=example,dc=com" car ta base ldap est déjà initialisée.

Tu peut rajouter un "dc=tondomaine,dc=fr" puis ensuite un "ou=People,dc=tondomaine,dc=fr" dans ta base même si on essaye plutot d'avoir directement "dc=tondomaine,dc=fr" en racine

Il m'est déjà arrivé d'avoir des cas de "PC défectueux" qui sont en fait des cas d'usages incorrect par l'utilisateur. Mais pas forcement des usages conscient.

ça peut être tout simplement des mains qui se placent aux mauvais endroit, ou un potentiel static de l'utilisateur qui est trop important.

fonctionnalité != performances

source: experience professionnelle

Nous avons une douzaine de serveurs SQL qui tournaient sous mysql 5.5, l'upgrade debian/stretch à imposé la migration sur mariadb 10.0, résultat les requêtes de recherches de notre application on nécessité l'ajout d'un /tmp de 100Go (sur des machines dont la racine fait 10Go, + volume séparé pour le /var/lib/mysql) car le parser analyse mal les requêtes et génère des fichiers temporaires énormes (et donc des temps de requêtes supérieurs a 3 minutes).

Accessoirement les saturations de /tmp entrainement des blocages d'écritures des relay-logs, avec corruption, alors même que le relay-logs n'est pas sur la même partition.

Pour l'instant mes tests montrent que seul un passage à mariadb 10.4 permet de retrouver un parseur digne de mysql 5.5 mais il est tout juste sorti et je n'ai pas encore suffisamenet analysé les impacts

Mais justement, désolé de forcer mais je maintiens, ma préférence est clair : AUCUN DES DEUX. Il y a une vraie différence entre "je m'en fous" et "je ne veux ni l'un ni l'autre".

Heu… Non il n'y en a pas et notamment car il n'est pas envisageable dans notre constitution de ne pas avoir de gouvernement (après on peut vouloir changer ça aussi mais bon…)

Et je veux que si la majorité ne préfère aucun des deux, il puisse y avoir de nouvelles élections avec de nouveaux candidats.

Lesquels ? Des inconnus sortis d'où ? Comme tu le dis il y a des affiliations politiques, des partis qui ont élus leurs candidats, s'ils ne te conviennent pas tu peut au choix t'inscrire dans un de ces partis et monter les échelons ou participer au vote pour que le candidat te représente mieux ou monter ton parti politique.
Mais l'idée que la prise en compte des bulletins blancs amène 1/des reports d'élections et 2/l'apparition spontanée de nouveaux candidats qui plairaient à tout le monde est carrément invraisemblable…

(la question ne se pose plus dans le cas d'un scrutin à jugement majoritaire au passage…)
Clairement ce scrutin marche tellement bien dans la structure debian que tout le monde suit le dpl sans se plaindre… Oh wait…

Après oui ça serait probablement un peu mieux que le scrutin actuel… En théorie.. Je n'imagine pas le bordel de la saisie des résultats d'un scrutin majoritaire avec 50 millions d'électeurs et une douzaine de choix dans plusieurs milliers de centre de dépouillement. Avec en plus la complexité/difficulté du vote pour les électeurs les moins aisés mentalement.

Franchement c'était plus pour l'info, je doute que tu le sente passer t'embete pas à remettre un mysql.

j'ai choisi mariadb pour les performances

Wrong choice, try again?
D'expérience mysql est toujours devant Maria en terme de perf à releases équivalentes, et Maria a de grosses 'régression' de parsing/perfs qui commencent tout juste à s'améliorer en 10.4 (ie on retrouve les perfs de mysql 5.5)

Shore wall n'étant qu'un frontend à iptable

… il suffit donc de dire que le cookie de tracking est nécessaire au bon fonctionnement du site et zou pas besoin de demander le consentement ?

Non justement, du coup il y a un magnifique "il est précisé que cet « intérêt légitime » peut ne pas prévaloir sur les intérêts, les libertés et droits fondamentaux de la personne (par exemple un enfant)." …. comment je sais que l'adresse IP est celle d'un enfant ?

Rien à voir, c'est toi qui défini "traiter des données personnelles" comme étant "pister les utilisateurs".

Avoir des journaux d'accès et d'erreur sur ton serveur web rentre dans le cadre "traitement automatisé de données" et en plus ça contient des "données personnelles" (adresse IP)…

Une des plus grosses failles du RGPD est …

Pour moi la plus grosse faille du RGPD est que techniquement ce n'est pas possible de faire un truc full-rgpd-compliant:

• tu refuse le traitement automatisé de tes données personnelles: ok, comment je stocke ton refus sans traiter automatiquement tes données ?
• tu te connecte à un serveur web: comment je te demande l'accord de traiter ta première donnée 'personnelle' (ton adresse IP) avant même de pouvoir te répondre, de loguer ta requete, …

Mais j'avais déjà passé la journée à chercher des solutions via Google, et rien marchait… Je commençais à fatiguer.

parce qu'en général les gens cherchent des solutions "finales" sur google en se basant sur un problème générique, au lieu de lire tout simplement ce que le système renvoi ^{^}

Je suppose que vous avez déjà rencontré ce type d'erreur ?

Celle la non pas particulièrement, mais les appli qui ne demarrent pas en général oui ^{^}

Combien d'années de métier ?
Heu, 15 de métier, 20 de linux et 30 d'informatique en général XD

---

Pour être plus précis dans ton premier "dump" il y avait:

Job for ssh.service failed because the control process exited with error code.
See "systemctl status ssh.service" and "journalctl -xe" for details.

systemctl status ssh.service

ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Thu 2019-11-07 15:24:53 CET; 18s ago
Docs: man:sshd(8)
man:sshd_config(5)
Process: 31292 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=255/EXCEPTION)

Deux écoles ici, soit à la systemd, lancer: "systemctl status ssh.service" puis "journalctl -xe" si le premier n'aide pas assez.

Soit directement lancer à la main "/usr/sbin/sshd -t", qui est la commande utilisé par systemd pour vérifier que le service peut démarrer (dans le cas du service ssh) et qui ici à renvoyé une erreur (status=255/EXCEPTION), vous aurais sorti directement le message

Process: 30350 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=255/EXCEPTION)

=> ta configuration n'est pas compatible

Nov 07 15:24:53 vps129566 sshd[31292]: /etc/ssh/sshd_config line 29: Bad SSH2 cipher spec '3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr'.

=> supprime la ligne 29 de /etc/ssh/sshd_config et ça devrait être bon

sed -i.bak -e '29d' /etc/ssh/sshd_config

Sooooo, on est sensé comprendre quoi du dump ? qu'est que tu veut exactement ?

Un truc du genre:
ping1=2
ping2=3
ping3=2
ping4=4
..

? (si oui ça va être inutilisable, charge plutot ton fichier dans un tableau par exemple)

declare -a pings

while read pv; do
  pings+=($pv)
done < /path/to/pings

# do something:
echo ${pings[1]}

imapsync sur un Maildir local ?

Next est unique car il n’expose pas d’API, il est totalement ouvert et programmable, et qui plus est programmable à chaud

Comment est-ce que le projet peut être ouvert et programmable sans exposer d'interface de programmation de l'application (Application Programming Interface) ??

Je ne parle pas de l'ajout de-Wvla mais bien du processus qui a précédé de modification du code pour enlever les différents usages de vla. (ie je ne parlais pas d'un programme au sens informatique)

Autre note: le VLA est possible en C / via C99 mais pas en C++

C'était vrai avec l'ANSI C, ce n'est plus exact avec le C "d'aujourd'hui" (C99 & +), qui supporte les variables length array dans certaines conditions (pas dans les structures), ou les extensions GCC qui le supportent quasiment partout.

Après c'est un trade-off en performances qui ne convient pas à Linus pour le kernel par exemple, personnellement je pense que si ses arguments sont surement vrai aujourd'hui ils sont aussi probablement corrigeable, et qu'une facilité et uniformité d'écriture apporte un plus en sécurité mais bon, le kernel est maintenant VLA-free depuis plus d'un an.

A savoir que l'équipe du kernel linux à "récemment" introduit un programme de suppression de tout code VLA pour des raisons de performances et de sécurité (https://lkml.org/lkml/2018/3/7/621)

ou utiliser un compilateur C datant de moins de 20 ans supportant le C99 (voir mon commentaire) ^{^}