eric gerbier a écrit 311 commentaires

La solution existe : Log2ram. Korben l'explique dans un article de 2020 : https://korben.info/carte-sd-raspberry-pi-duree-de-vie-m.html

Pour tester sans risque, il existe une signature de test reconnue par tous les antivirus : EICAR ( https://fr.wikipedia.org/wiki/Fichier_de_test_Eicar ).

Dans le dernier linux pratique (numéro 131 : https://connect.ed-diamond.com/linux-pratique/lp-131/mise-a-jour-totale-avec-topgrade), il y a un article sur un outil qui fait le job : topgrade ( https://github.com/r-darwish/topgrade ).

J'ai vu un article a ce sujet dans le journalduhacker : https://net-security.fr/system/nodejs-en-service/

Si tu veux une solution simple à mettre en œuvre et à maintenir, je te suggère glusterfs ( https://www.gluster.org ). Et en plus, c'est disponible nativement sur plein de distributions.

J'ai une certaine expérience : j'ai été cambriolé 3 fois (en 20 ans). Les pc portables ont disparu (sauf un qui avait une étiquette "stop vol") mais jamais les pc tour : trop gros, trop vieux ?

Comme je suis un vieil utilisateur d'unix, d'avant internet, je n'utilise que les pages man. L'outil pinfo permet de naviguer au sein des pages, plus facilement que man.

https://github.com/artemsen/xvi : pour les fan de vi uniquement :

Moi je pense à "Églantine et les ouinedoziens" : http://eelo.lgm.free.fr/fr/index.html

Attention, le logiciel était gratuit jusqu'à la version 4, il est payant en version 5.
Mais on peut toujours télécharger la version 4 depuis le site https://www.linuxuprising.com/2019/04/download-master-pdf-editor-4-for-linux.html en tar.gz, rpm ou deb.

Il n'y a pas que nextcloud dans la vie. Pour ma part j'héberge des cms sous spip, et des wiki sous mediawiki. Aucun des 2 ne supporte php 8, ce qui pose des problèmes de sécurité. Une soluition (installation via un tar) est proposée par un utilisateur sur le forum de mageia : https://forums.mageia.org/en/viewtopic.php?t=14038, mais ce n'est pas totalement propre.
A titre de comparaison, la dernière ubuntu (2104) fournit php 7, pour rester compatible avec le maximum d'applications.

Ssh est un mauvais exemple, parce qu'il est facile à sécuriser nativement, en passant le paramètre PasswordAuthentication à no dans le fichier /etc/ssh/sshd_config.
Par contre dans le cas d'un site web avec authentification, fail2ban me semble beaucoup plus pertinent et efficace.

C'est difficile à diagnostiquer avec un fichier incomplet : il faudrait que tu pose la sortie de la commande : iptables -L

Ca peut effectivement venir de webmin, qui lance régulièrement une tache de vérification, ce qui peut bloquer ta commande manuelle.
Tu peux le vérifier en arrêtant temporairement le service webmin avec la commande : systemctl stop webmin

Les dépots sont définis dans les fichiers du répertoire /etc/yum.repos.d/ et tu peux trouver une liste des miroirs officiels de centos sur https://www.centos.org/download/mirrors/

Bonjour
Depuis quelques temps, on parle beaucoup de wireguard, comme une solution plus simple à installer/configurer. Je voudrais savoir si tu l'as envisagé, et pourquoi tu es parti sur openvpn ?

Pour ssh, j'applique la même politique que toi : que des authentifications par clef (et un mot de passe énorme aléatoire).

Fail2ban mets les ip en quarantaine, c'est à dire qu'il les bloque temporairement. Si elles reviennent régulièrement, il y a plusieurs mécaniques possibles :
- le filtre recidive (/etc/fail2ban/filter.d/recidive.conf) qui exploite les log de fail2ban
- depuis la version 0.11.1, une fonctionnalité "incremental bantime", qui augmente à chaque ban la durée de la quarantaine

dans les filtres rigolos, je peux citer https://github.com/sikevux/fail2ban/blob/master/portscan.conf qui permet de bloquer les scan de port via les log netfilter

ok pour du ssh : on connait en général ses utilisateurs. Mais pour d'autres services comme des sites web, c'est plus difficile.
Pour moi, fail2ban est un outil
- qui a une utilisation très simple si l'on prends les config prédéfinies
- qui a une souplesse incroyable si l'on sait écrire des regex pour définir de nouveaux filtres

Une autre solution est de
* faire un snapshot du volume btrfs
* monter le snapshot
* faire la sauvegarde par rsync
* démonter et supprimer le snapshot.
Cela permet d'éviter l'arrêt du service.

on doit pouvoir faire ça avec un #define, qui va être expansé par le precompilateur.

Si tu vas sur cpan ( https://metacpan.org/pod/MIME::Lite ) pour lire la doc de ce module perl,
l'auteur recommande de ne plus utiliser ce module :

"MIME::Lite is not recommended by its current maintainer. There are a number of alternatives, like Email::MIME or MIME::Entity and Email::Sender, which you should probably use instead. MIME::Lite continues to accrue weird bug reports, and it is not receiving a large amount of refactoring due to the availability of better alternatives. Please consider using something else."

J'ai une bonne raison : au travail les parefeu ne laissent passer que les ports standards. Et demander un port non standard est digne de Kafka : RSSI, AQSSI …
Donc si l'on veut que les utilisateurs puissent travailler rapidement, on reste sur du standard (avec fail2ban).

La demande faite excède largement les recommandations de l'ANSSI qui sont :

R18 : "Le mot de passe root doit être suffisamment robuste compte tenu des recommandations présentes dans la note « Recommandations de sécurité relatives aux mots de
passe » [1].
Ce mot de passe doit être unique et propre à chaque machine.

R19 : Chaque administrateur doit posséder un compte dédié (local ou distant), et ne pas
utiliser le compte root comme compte d’accès pour l’administration du système.
Les opérations de changement de privilèges devront reposer sur des exécutables permettant de surveiller les activités réalisées (par exemple sudo).

C'est un choix logique en terme de sécurité : le support PHP 7 finira avant la prochaine mageia ( si on part sur une version de mageia par an comme il y a quelques années) et on aurait pu se retrouver avec un logiciel non maintenu pendant des mois …

Je confirme : tout ce que veulent les utilisateurs (et les décideurs), comme les échanges avec nos partenaires se font aux formats Office, c'est ne pas ravager les présentations à la moindre modification !
Pour cela LibreOffice est catastrophique, en pratique inutilisable.