eric gerbier a écrit 319 commentaires

J'utilise rsnapshot depuis plus de 10 ans.

Depuis un an ou deux, j'essaie des solutions "modernes" : restic et kopia, qui ont plusieurs avantages
- on peut chiffrer la sauvegarde
- un seul cron a lancer pour la gestion des retentions
- une interface graphique optionnelle (kopia)
- multi-os (linux, macos, windows)

De toute façon, il faut tester (sauvegarde et restauration).

Quand j'ai un doute sur l'origine matérielle/logicielle, j'utilise le livecd d'une autre distribution pour tester.

Depuis quelques temps, le logiciel at n'est souvent plus installé de base. Mais il est toujours disponible dans les dépôts.
Je suppose que c'est fait pour alléger l'installation, en tenant compte des stats d'utilisations des packages.

https://forum.ubuntu-fr.org/viewtopic.php?id=2073068

On peut configurer clamav pour fonctionner comme sur un poste windows, avec un scan de tous les fichiers ouverts, en utilisant les options 'OnAccessPrevention' ( https://docs.clamav.net/manual/OnAccess.html). Par contre, c'est lent et ça consomme pas mal de ressources.

La rapidité dépends beaucoup du nombre d'extensions chargées et du nombre d'onglets ouverts.

La copie d'écran, c'est joli, mais ça ne dit pas grand chose de précis : il y a un souci de dépendances. Pour savoir lesquelles, tente l'installation en ligne de commande ( dpkg -i hypnotix*.deb) et poste l'output.

Dans ton cas, je me pose 2 questions :
- la taille du parc : pour 5 machines, un simple cron suffit, pour 1000 machines, il faut industrialiser
- faut-il un tableau de bord, qui permet de savoir quel est l'état du parc : combien de machines à jour, combien de machines n'ont pas été vue depuis x jours.

Dans mon travail, j'utilisais pour cela puppet et puppetboard.

La solution existe : Log2ram. Korben l'explique dans un article de 2020 : https://korben.info/carte-sd-raspberry-pi-duree-de-vie-m.html

Pour tester sans risque, il existe une signature de test reconnue par tous les antivirus : EICAR ( https://fr.wikipedia.org/wiki/Fichier_de_test_Eicar ).

Dans le dernier linux pratique (numéro 131 : https://connect.ed-diamond.com/linux-pratique/lp-131/mise-a-jour-totale-avec-topgrade), il y a un article sur un outil qui fait le job : topgrade ( https://github.com/r-darwish/topgrade ).

J'ai vu un article a ce sujet dans le journalduhacker : https://net-security.fr/system/nodejs-en-service/

Si tu veux une solution simple à mettre en œuvre et à maintenir, je te suggère glusterfs ( https://www.gluster.org ). Et en plus, c'est disponible nativement sur plein de distributions.

J'ai une certaine expérience : j'ai été cambriolé 3 fois (en 20 ans). Les pc portables ont disparu (sauf un qui avait une étiquette "stop vol") mais jamais les pc tour : trop gros, trop vieux ?

Comme je suis un vieil utilisateur d'unix, d'avant internet, je n'utilise que les pages man. L'outil pinfo permet de naviguer au sein des pages, plus facilement que man.

https://github.com/artemsen/xvi : pour les fan de vi uniquement :

Moi je pense à "Églantine et les ouinedoziens" : http://eelo.lgm.free.fr/fr/index.html

Attention, le logiciel était gratuit jusqu'à la version 4, il est payant en version 5.
Mais on peut toujours télécharger la version 4 depuis le site https://www.linuxuprising.com/2019/04/download-master-pdf-editor-4-for-linux.html en tar.gz, rpm ou deb.

Il n'y a pas que nextcloud dans la vie. Pour ma part j'héberge des cms sous spip, et des wiki sous mediawiki. Aucun des 2 ne supporte php 8, ce qui pose des problèmes de sécurité. Une soluition (installation via un tar) est proposée par un utilisateur sur le forum de mageia : https://forums.mageia.org/en/viewtopic.php?t=14038, mais ce n'est pas totalement propre.
A titre de comparaison, la dernière ubuntu (2104) fournit php 7, pour rester compatible avec le maximum d'applications.

Ssh est un mauvais exemple, parce qu'il est facile à sécuriser nativement, en passant le paramètre PasswordAuthentication à no dans le fichier /etc/ssh/sshd_config.
Par contre dans le cas d'un site web avec authentification, fail2ban me semble beaucoup plus pertinent et efficace.

C'est difficile à diagnostiquer avec un fichier incomplet : il faudrait que tu pose la sortie de la commande : iptables -L

Ca peut effectivement venir de webmin, qui lance régulièrement une tache de vérification, ce qui peut bloquer ta commande manuelle.
Tu peux le vérifier en arrêtant temporairement le service webmin avec la commande : systemctl stop webmin

Les dépots sont définis dans les fichiers du répertoire /etc/yum.repos.d/ et tu peux trouver une liste des miroirs officiels de centos sur https://www.centos.org/download/mirrors/

Bonjour
Depuis quelques temps, on parle beaucoup de wireguard, comme une solution plus simple à installer/configurer. Je voudrais savoir si tu l'as envisagé, et pourquoi tu es parti sur openvpn ?

Pour ssh, j'applique la même politique que toi : que des authentifications par clef (et un mot de passe énorme aléatoire).

Fail2ban mets les ip en quarantaine, c'est à dire qu'il les bloque temporairement. Si elles reviennent régulièrement, il y a plusieurs mécaniques possibles :
- le filtre recidive (/etc/fail2ban/filter.d/recidive.conf) qui exploite les log de fail2ban
- depuis la version 0.11.1, une fonctionnalité "incremental bantime", qui augmente à chaque ban la durée de la quarantaine

dans les filtres rigolos, je peux citer https://github.com/sikevux/fail2ban/blob/master/portscan.conf qui permet de bloquer les scan de port via les log netfilter