-=[ silmaril ]=- a écrit 1470 commentaires

Ta seule erreur est sur le POSTROUTING:
ce sont les packets à destination de ton interface VPN + ip rpi qu'il faut source-nater pour que le retour tcp passe bien par ton serveur et pas en direct sur la route par defaut du rpi2.

il faut donc modifier le MASQUERADE pour un "-o tun0" ou "-o tap0" selon l'interface construite par openvpn

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Hello,

Il n'existe aucune solution magique à ta demande, quand tu utilise /dev/sdb tu accéde au disque en mode block, il n'existe absolument aucune methode magique pour en bloquer l'accès, mis à part ne pas utiliser le compte root / sudo

Même chiffrer (et non crypter) le disque ne solutionnera pas ton problème.

Quelques options:
* ne pas travailler en root (utiliser udev pour fournir un accès à ton compte utilisateur sur les périphériques de type clef usb
* créer un script/utiliser un outil dédié pour formater les clef que tu pourra restreindre / ajouter des checks pour éviter de wiper ton disque
* créer un alias pour dd pour rajouter ces checks

Ancien ou pas des clusters/secteurs défectueux sur un disque c'est pas bon, et non ça ne fait pas parti du rodage …

Et si le disque est neuf avec des secteurs défectueux je l'inviterai à en demander un remplacement rapide.

Oui il y a un système de remplacement de secteurs dans certains disques (en général c'est plus les SSD d'ailleurs) mais s'il les vois re-apparaitre régulièrement c'est soit que le disque n'inclus pas cela, soit que le pool de remplacement est plein

Cela peut se comprendre, si Raku est capable d'interpréter du Perl, l'inverse tient de de l'impossible.

Je ne sais pas si cela peut se comprendre mais je ne vois pas le problème dans cette affirmation, si effectivement raku est capable d'interpréter du perl 5 alors tout est bien non, on respecte la backword-compat. Je ne connais pas des masses de choses qui sont forward-compatible sur une version majeure N+1.

Même perl 5.10 va avoir du mal a interpréter du code utilisant les fonctionnalités réçentes.

La vrai question est plutot: qu'as-tu comme message d'erreur au boot post coupure de courant ?

Prochaine coupure vérifie le contenu de /boot/efi avant de reinstaller grub.

Si c'est le bios qui perd la séquence de démarrage il peut être intéressant de regarder ce que dit efibootmgr et de faire juste le grub-install
voir même de copier /boot/efi/EFI/debian/grubx64.efi dans /boot/efi/EFI/BOOT/BOOTX64.EFI, c'est le boot-code utilisé par défaut en l'absence de paramètrage spécifique dans le BIOS / efibootmgr.

TL;DR: Non ce n'est pas possible / souhaitable

Réponse longue:
Un serveur NFS publie un dossier physique local (et uniquement ça), exemple srv1 va publier /home/agora, srv2 va aussi publier /home/agora
Si tu monte srv1:/home/agoro sur srv2 dans le dossier /home/agora c'est le dossier NFS qui sera le dernier monté sur le repertoire et ton système ne vera plus les fichiers du /home/agoro "local", et inversement sur srv2
Tu va te retrouver avec des dossiers différents sur chaque machine, avec le coût (latence, performance) du fs NFS et le comble c'est que les data de srv2 seront sur srv1 et inversement, (sauf si le demon qui accède à /home/agora est démarré avant les montages NFS auquels cas le truc sera encore plus rigolo car tu vera les fichiers de srv2 sur srv1 pendant que le programme qui tourne sur srv1 modifiera potentiellement d'autre fichiers).

Dans ton cas les options que je vois sont:
1 Définir une et une seule machine comme repository de stockage, et utiliser NFS pour exporter ce repository ailleurs (simple mais implique d'avoir toujours le serveur NFS d'actif / l'allumer en premier)
2 Utiliser un FS clusterisé type Ceph/GFS/GlusterFS (potentiel de prise de tête ++)
3 mettre en place une synchronisation two-way a base de rsync par exemple + cron pour replication régulière (nécessite d'avoir une certains marge de manoeuvre sur la disponibilité des fichiers)

ça et le fait de fournir un exemple complet étudiable parce que la il ne presente qu'une des fonctions de son outil, et pas celle qui enregistre le tableau dans un fichier donc on va avoir du mal à trouver pourquoi l'enregistrement déconne …

ah bein ça … je répondais juste a la demande initiale d'empecher un utilisateur lambda d'executer le reboot, je n'aime pas contester la pertinence des demandes des gens (ou en tout cas pas up-front ^).

Effectivement pour le ctrl-alt-suppr/bouton power c'est init qui va le déclencher donc il faut aussi configurer ça, ça doit être documenté quelque part.

pour le reste…

Exemple, je veut interdire un utilisateur non sudoers/root de pouvoir utiliser /usr/sbin/reboot

Bein c'est déjà le cas, reboot/poweroff sont des actions privilégiés, pour les utiliser il faut être root ou respecter certaines règles.

Dans un système réçent ces commandes vont être des liens vers systemctl, difficile à en bloquer l'execution via chmod sans limiter les fonctionnalités de systemd pour les utilisateurs, par contre les décisions d'autorisations pour reboot/shutdown (ainsi que d'autres actions normalement privilégiées telles que le montage/demontage de disques) vont passer par le filtre "policy-kit".

Selon ta version de policy-kit la configuration va varier mais il est possible de configurer l'outil pour que les utilisateurs locaux n'aient plus l'autorisation de reboot, exemple:

/etc/polkit-1/rules.d/20-disallow-shutdown.rules:

polkit.addRule(function(action, subject) {
    if ((action.id == "org.freedesktop.consolekit.system.stop" ||
         action.id == "org.freedesktop.consolekit.system.restart") &&
        subject.isInGroup("users")) {
            return subject.active ? polkit.Result.AUTH_ADMIN : polkit.Result.NO;
    }
});

Ou pour policykit <= 0.105:

/etc/polkit-1/localauthority/50-local.d/20-disallow-shutdown.pkla:

[Disallow shutdown]
Identity=unix-group:users
Action=org.freedesktop.consolekit.system.stop;org.freedesktop.consolekit.system.restart
ResultAny=no
ResultInactive=no
ResultActive=auth_admin

https://superuser.com/questions/354678/what-is-the-correct-way-to-prevent-non-root-users-from-issuing-shutdowns-or-rebo

Normalement tu peut faire ça via auditd

Point de départ:
https://access.redhat.com/solutions/10107

oh la la …

Maintenant que j'ai modifié mon /etc/hostname, j'ai supprimé la ligne MON.IP MON_DOMAIN.FR

Déjà je ne vois pas trop le rapport avec la choucroute (la creation de ton annuaire ldap)
Ensuite editer le /etc/hosts … mauvaise idée a priori

Du coup, je dois faire une entrée avec le ldif suivant ?

Tu ne "dois" rien, c'est à toi de décider tout d'abord quelle sera ta structure ldap, et surtout une fois que tu l'as décidé il faut arreter de la changer toutes les 5 minutes …

En revanche, j'ai bien pu ajouter l'entrée "dc=freewind, dc=fr"

Heu .. non

root@homeserv:~/ldap/freewind.fr# ldapadd -x -H ldap://localhost -D 'cn=admin,dc=nodomain' -f base.ldif
adding new entry "dc=freewind, dc=fr"
ldap_add: Server is unwilling to perform (53)
additional info: no global superior knowledge

=> unwilling == pas d'accord
=> "no global superior knowledge" = pas de branche à laquelle raccrocher la nouvelle entrée, ce qui n'est pas surprenant vu qu'a priori tu as re-créer un annuaire avec une racine "dc=nodomain" et que tu vaut rajouter l'entrée "dc=freewind" sur l'element "dc=fr"

Donc je répète ce que j'ai dit plus haut: si tu veut/doit mettre en place un annuaire LDAP oublie tout les tuto que tu as lu et documente toi sur les annuaires LDAP et sur l'administration d'OpenLDAP avant de taper n'importe quoi sans comprendre.

Un annuaire est basé une structure logique et administrative qu'il faut avoir définie AVANT de l'utiliser, ce n'est pas une simple base de donnée SQL

bein tu créé l'entrée comme n'importe quelle entrée ldap, via un ldapadd avec le ldif qui va bien, dans le cas présent

dn: dc=tondomaine,dc=fr
objectClass: dcObject
objectClass: organization
dc: tondomaine
o: monorga

Salut,

Il y a quelque chose que tu ne semble pas comprendre, un annuaire LDAP est un arbre, au sens mathématique du terme.

Tu as semble t'il créer ton arbre avec la racine "dc=fr", tu ne peut donc pas rajouter un element dans "dc=com" -> "dc=example" car "dc=com" n'existe pas dans ta configuration.

Quand à "dpkg-reconfigure slapd" il ne rajoutera jamais tout seul "dc=example,dc=com" car ta base ldap est déjà initialisée.

Tu peut rajouter un "dc=tondomaine,dc=fr" puis ensuite un "ou=People,dc=tondomaine,dc=fr" dans ta base même si on essaye plutot d'avoir directement "dc=tondomaine,dc=fr" en racine

Il m'est déjà arrivé d'avoir des cas de "PC défectueux" qui sont en fait des cas d'usages incorrect par l'utilisateur. Mais pas forcement des usages conscient.

ça peut être tout simplement des mains qui se placent aux mauvais endroit, ou un potentiel static de l'utilisateur qui est trop important.

fonctionnalité != performances

source: experience professionnelle

Nous avons une douzaine de serveurs SQL qui tournaient sous mysql 5.5, l'upgrade debian/stretch à imposé la migration sur mariadb 10.0, résultat les requêtes de recherches de notre application on nécessité l'ajout d'un /tmp de 100Go (sur des machines dont la racine fait 10Go, + volume séparé pour le /var/lib/mysql) car le parser analyse mal les requêtes et génère des fichiers temporaires énormes (et donc des temps de requêtes supérieurs a 3 minutes).

Accessoirement les saturations de /tmp entrainement des blocages d'écritures des relay-logs, avec corruption, alors même que le relay-logs n'est pas sur la même partition.

Pour l'instant mes tests montrent que seul un passage à mariadb 10.4 permet de retrouver un parseur digne de mysql 5.5 mais il est tout juste sorti et je n'ai pas encore suffisamenet analysé les impacts

Mais justement, désolé de forcer mais je maintiens, ma préférence est clair : AUCUN DES DEUX. Il y a une vraie différence entre "je m'en fous" et "je ne veux ni l'un ni l'autre".

Heu… Non il n'y en a pas et notamment car il n'est pas envisageable dans notre constitution de ne pas avoir de gouvernement (après on peut vouloir changer ça aussi mais bon…)

Et je veux que si la majorité ne préfère aucun des deux, il puisse y avoir de nouvelles élections avec de nouveaux candidats.

Lesquels ? Des inconnus sortis d'où ? Comme tu le dis il y a des affiliations politiques, des partis qui ont élus leurs candidats, s'ils ne te conviennent pas tu peut au choix t'inscrire dans un de ces partis et monter les échelons ou participer au vote pour que le candidat te représente mieux ou monter ton parti politique.
Mais l'idée que la prise en compte des bulletins blancs amène 1/des reports d'élections et 2/l'apparition spontanée de nouveaux candidats qui plairaient à tout le monde est carrément invraisemblable…

(la question ne se pose plus dans le cas d'un scrutin à jugement majoritaire au passage…)
Clairement ce scrutin marche tellement bien dans la structure debian que tout le monde suit le dpl sans se plaindre… Oh wait…

Après oui ça serait probablement un peu mieux que le scrutin actuel… En théorie.. Je n'imagine pas le bordel de la saisie des résultats d'un scrutin majoritaire avec 50 millions d'électeurs et une douzaine de choix dans plusieurs milliers de centre de dépouillement. Avec en plus la complexité/difficulté du vote pour les électeurs les moins aisés mentalement.

Franchement c'était plus pour l'info, je doute que tu le sente passer t'embete pas à remettre un mysql.

j'ai choisi mariadb pour les performances

Wrong choice, try again?
D'expérience mysql est toujours devant Maria en terme de perf à releases équivalentes, et Maria a de grosses 'régression' de parsing/perfs qui commencent tout juste à s'améliorer en 10.4 (ie on retrouve les perfs de mysql 5.5)

Shore wall n'étant qu'un frontend à iptable

… il suffit donc de dire que le cookie de tracking est nécessaire au bon fonctionnement du site et zou pas besoin de demander le consentement ?

Non justement, du coup il y a un magnifique "il est précisé que cet « intérêt légitime » peut ne pas prévaloir sur les intérêts, les libertés et droits fondamentaux de la personne (par exemple un enfant)." …. comment je sais que l'adresse IP est celle d'un enfant ?

Rien à voir, c'est toi qui défini "traiter des données personnelles" comme étant "pister les utilisateurs".

Avoir des journaux d'accès et d'erreur sur ton serveur web rentre dans le cadre "traitement automatisé de données" et en plus ça contient des "données personnelles" (adresse IP)…

Une des plus grosses failles du RGPD est …

Pour moi la plus grosse faille du RGPD est que techniquement ce n'est pas possible de faire un truc full-rgpd-compliant:

• tu refuse le traitement automatisé de tes données personnelles: ok, comment je stocke ton refus sans traiter automatiquement tes données ?
• tu te connecte à un serveur web: comment je te demande l'accord de traiter ta première donnée 'personnelle' (ton adresse IP) avant même de pouvoir te répondre, de loguer ta requete, …

Mais j'avais déjà passé la journée à chercher des solutions via Google, et rien marchait… Je commençais à fatiguer.

parce qu'en général les gens cherchent des solutions "finales" sur google en se basant sur un problème générique, au lieu de lire tout simplement ce que le système renvoi ^{^}

Je suppose que vous avez déjà rencontré ce type d'erreur ?

Celle la non pas particulièrement, mais les appli qui ne demarrent pas en général oui ^{^}

Combien d'années de métier ?
Heu, 15 de métier, 20 de linux et 30 d'informatique en général XD

---

Pour être plus précis dans ton premier "dump" il y avait:

Job for ssh.service failed because the control process exited with error code.
See "systemctl status ssh.service" and "journalctl -xe" for details.

systemctl status ssh.service

ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Thu 2019-11-07 15:24:53 CET; 18s ago
Docs: man:sshd(8)
man:sshd_config(5)
Process: 31292 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=255/EXCEPTION)

Deux écoles ici, soit à la systemd, lancer: "systemctl status ssh.service" puis "journalctl -xe" si le premier n'aide pas assez.

Soit directement lancer à la main "/usr/sbin/sshd -t", qui est la commande utilisé par systemd pour vérifier que le service peut démarrer (dans le cas du service ssh) et qui ici à renvoyé une erreur (status=255/EXCEPTION), vous aurais sorti directement le message

Process: 30350 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=255/EXCEPTION)

=> ta configuration n'est pas compatible

Nov 07 15:24:53 vps129566 sshd[31292]: /etc/ssh/sshd_config line 29: Bad SSH2 cipher spec '3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr'.

=> supprime la ligne 29 de /etc/ssh/sshd_config et ça devrait être bon

sed -i.bak -e '29d' /etc/ssh/sshd_config

Sooooo, on est sensé comprendre quoi du dump ? qu'est que tu veut exactement ?

Un truc du genre:
ping1=2
ping2=3
ping3=2
ping4=4
..

? (si oui ça va être inutilisable, charge plutot ton fichier dans un tableau par exemple)

declare -a pings

while read pv; do
  pings+=($pv)
done < /path/to/pings

# do something:
echo ${pings[1]}