Le même principe s'applique maintenant pour utiliser nftables. Je peux partager ces scripts à la demande.
4) Est-ce que vous recompilez votre noyau ? (…)
Non. Il est recommandé de passer du noyau "huge" (utilisé lors de l'installation) au noyau "generic" (un peu plus léger) mais au-delà de cela il est rare d'avoir à recompiler le noyau. Je ne dis pas qu'il n'y a pas de bénéfice en terme de sécurité ou de performance, mais pour un usage particulier je ne suis pas certain qu'il y ait un avantage flagrant.
5) Est-il possible de faire cohabiter slackware et windows 10 sur des disques dur différents dans ce PC ? (…)
Peut-être, mais comme tu l'indiques, c'est une bataille récurrente. Je ne fais plus de dual-boot depuis très longtemps.
6) En mode graphique, est-il possible de connecter automatiquement sans mode de passe un utilisateur défini à l'avance ?
KDE Plasma 5.23.5 propose une option pour cela :
System Settings > Startup and Shutdown > Behavior > Automatically log in as user
(désolé je n'ai pas de version française sous la main)
7) Avez-vous des conseils sur la configuration de slackware, des astuces qui vous facilitent la vie, des points importants que je n'ai pas abordé ici?
Concernant les CIS Benchmarks, j'encourage chaudement leur lecture. Il faut savoir que mettre en place les recommandations de niveau 2 (les plus avancées) ne concernent pas tout le monde et peuvent éventuellement causer des incompatibilités.
Il existe probablement plusieurs applications qui peuvent collecter les adresses MAC, celle que je connais le mieux et que je recommenderai est nommée NetDisco (et qui est capable de bien plus que cela) :
Je compatis, je me suis retrouvé dans une situation similaire il y a plusieurs années.
Ce qui m'a aidé c'est de garder à l'esprit les bases de fonctionnement UNIX/Linux (garder les choses au plus simple, utiliser les informations du système pour comprendre ce qui ne fonctionne pas, …) mais pas d'essayer de dupliquer les outils ou de faire les choses "façon Linux".
Active Directory est son propre environnement et essayer de résoudre certain problèmes de manière différente que ce qui est prévu n'aidera pas les choses sur le long terme. De la même manière que je ne dirais pas à quelqu'un d'utiliser uniquement des outils graphiques pour gérer un serveur Linux.
Ce que je recommanderais en premier lieu est de ne pas utiliser les outils graphiques (ou seulement de façon secondaire). Microsoft ne fait plus de mise à jour sérieuse pour ces outils, le but plus ou moins avoué est de promouvoir PowerShell.
Ce qui est une excellente chose.
PowerShell peut fonctionner sous Linux, mais à ma connaissance les modules de gestion pour Active Directory, Microsoft DNS, Microsoft DHCP, … ne le sont pas ; il faut donc accès à une machine sous MS Windows avec les RSAT tools installés (Remote Server Administration Tools).
Une fois les choses en place le principal concept à retenir est "tout est objet". Même si le résultat à l'écran est sous forme de texte, initialement il n'y a que des objets. Et à partir de là il est beaucoup plus simple de scripter et automatiser la gestion de utilisateurs, groupes et autres élements. Ayant une bonne expérience de scripting sous Linux j'ai utilisé PowerShell pour de très nombreuses tâches régulières et des administrateurs expérimentés me regardaient avec des grands yeux, parce que cette approche était nouvelle pour eux.
En terme de référence, Microsoft produit beaucoup de documentation. Pas forcément digeste, mais au moins il y a quelque chose de disponible. Il n'y a pas forcément beaucoup de livres que je pourrais recommander, le plus récent que je connaisse est "Mastering Active Directory" aux éditions Packt (en anglais).
Chaque environnement Active Directory est plus ou moins unique, selon son âge (certains sont en place depuis près de 20 ans !) et la façon dont les administrateurs précédents ont géré la chose (ce qui est d'une manière générale assez vrai pour beaucoup de systèmes). Il faudra probablement corriger des choses qui ont été configurées à l'emporte-pièce.
Dernier point : une bonne gestion d'Active Directory est cruciale en terme de sécurité. Si il n'y a pas de règles sérieuses en place, l'ensemble des machines jointes au domaine peuvent être vulnérables. Le site https://adsecurity.org/ propose beaucoup de ressources pour aider dans ce domaine (d'autres sont disponibles, mais il faut faire le tri entre le bon grain et l'ivraie).
Les outils de détection de vulnérabilités tel que Tenable Nessus ou Rapid7 Nexpose (je n'ai pas eu l'occasion de travailler avec OpenVAS) listent tous les paquets installés, que ce soit via les dépôts de la distribution ou via une source externe. Potentiellement, n'importe quel paquet peut contenir une vulnérabilité ou ne pas être à jour.
Une bonne base serait de générer une liste de tous les RPM installés sur chaque système :
rpm -qa | sort > installed-rpm-$HOSTNAME-$(date +"%F")
Il est possible d'ajouter l'option -qf avec des arguments supplémentaire pour obtenir plus d'information (date d'installation de chaque paquet par exemple).
Mais comme précisé dans un autre commentaire, Red Hat 4, 5 et 6 sont complètement obsolètes, le mieux est de commencer à prévoir une migration vers un système plus récent.
Le point positif des Meraki, c'est qu'il est possible d'utiliser l'API pour gérer le matériel de manière automatique.
Et c'est à peu près le seul avantage. Il n'y a pas d'accès possible en ligne de commande, il faut toujours payer une licence pour pouvoir utiliser le matériel et comparé avec des commutateurs 'classique' (Cisco ou autre) il n'y a pas tant d'avantages, à moins effectivement d'utiliser le matériel pour analyser le trafic réseau (et ne pas déployer un autre système dédié).
Avis personnel : éviter Meraki autant que possible.
L'examen du CISSP est réputé difficile, et exactement pour les raisons que tu listes : il faut connaître beaucoup de sujets différents au-delà de l'aspect superficiel, et le test lui même est assez stressant (les règles ont quelque peu changé depuis que j'ai passé le mien il y a quelques années, mais le principe reste similaire).
L'autre point que j’apprécie est que les certifications de ISC2 sont "vendor neutral" ; ce n'est pas un examen lié à un vendeur, produit ou technologie particulière, ce sont bien des règles de sécurité qui peuvent (et doivent) être appliquées quelque soit les systèmes avec lesquels ont travaille.
Là où le bas blesse, c'est qu'il faut maintenir sa certification (elle expire tous les trois ans) et il faut accumuler 40 crédits de formation par an (CPE - Continuing Professional Education) ce qui exige de se maintenir à jour. Excellente chose en soi, mais il ne faut pas s'y prendre au dernier moment.
Anecdote personnelle : je passe mon examen, je suis plutôt confiant, il faudra attendre un peu pour le résultat. Je sors de la salle d'examen, je récupère mon téléphone portable, où je vois plein d'appel manqués de la part de mon employeur (qui savait très bien que je n'étais pas joignable).
Message sur le répondeur : "il y a une panne de courant, notre sous-traitant informatique à recommandé d'éteindre toute la salle serveur (1). Plus rien ne marche. Le courant est revenu, il faut que tu reviennes tout redémarrer".
Ah, mais j'avais compris que l'examen CISSP c'était juste un questionnaire ; il y a une partie pratique en plus maintenant ?
1 : ni le sous-traitant, ni personne d'autre n'avait réalisé que la dite salle serveur est sous onduleur, et que le bâtiment dispose de son propre générateur…
Pour obtenir plus de détails sur les algorithmes gérés par le serveur, je recommande d'utiliser nmap, qui fournira plus de détails :
nmap -p T:22 --script ssh2-enum-algos -sV server.example.net
Il se trouve que j'ai rédigé un article sur la configuration d'OpenSSH regardant les paramètres de cryptographie il y a peu, j'espère que cela peut aider:
Secure Connection Failed
An error occured during a connection to www.twitch.tv.
cannot communicate securely with peer : no common encryption algorithm(s).
(Error code : ssl_error_no_cypher_overlap)
Très vraisemblablement les bibliothèques OpenSSL (utilisée pour le chiffrement HTTPS) ne sont pas à jour pour accéder au site, et il sera nécessaire d'installer une mise à jour, à supposer qu'elle existe pour cette version de Toutoulinux.
J'apprécie et j'encourage les efforts de vouloir continuer à utiliser du vieux matériel mais là il faut tout de même reconnaître que les ressources matérielles et logicielles sont au-dessous du niveau de la mer. Même en arrivant à faire tout fonctionner aujourd'hui, il est probable que le même type de problème se reproduise dans le futur.
C'est probablement possible, mais j'aimerai aussi limiter le nombre d'appareils gérant mon réseau. Quitte à devoir acheter quelque chose en plus, je préférerai en avoir une boîte qui gérerai tout proprement. Le souci est qu'avec une interface câble, le choix est plus restreint.
Malheureusement, certains équipements ne permettent pas de désactiver DHCP.
Cas vécu, similaire à ce que raconte l'auteur du journal : je veux mon propre DNS pour mon réseau local, et je ne peux pas paramétrer les adresses des serveurs DNS envoyés aux clients DHCP, l'option n'existe pas.
Par contre, je peux bloquer des clients pour qu'ils ne reçoivent pas de bail DHCP… J'en suis arrivé à la stratégie suivante, qui est assez horrible, mais qui marche :
sur le modem/routeur, je limite l'étendue du DHCP exactement au nombre d'adresses nécessaires
pour chaque équipement, je crée une règle de blocage ("telle adresse MAC ne reçoit pas de bail")
sur mon serveur DNS, j'installe un serveur DHCP
je configure le serveur DHCP en question, incluant entre autre, les paramètres adéquats pour que les clients utilisent le serveur DNS local
Au résultat, quand un client demande une adresse via DHCP, il peut recevoir deux réponses : un rejet de la part du modem/routeur et un bail de la part de mon propre serveur DHCP. Ce n'est pas élégant, ça demande un peu plus de gestion, mais ça fait ce que je veux.
Pour les personnes curieuses, le modem/routeur en question est un "XB3" fournit par Comcast, mon fournisseur d'accès aux États-Unis. Et dans la résidence où je suis, le choix des FAI se limite à "Comcast, Comcast ou Comcast" (plus ou moins pour des raisons historique ; Verizon, le FAI concurrent n'a pas déployé d'infrastructure dans ce quartier). Une autre solution consisterait à acheter mon propre modem/routeur et remplacer l'existant. Peut-être dans le futur…
Attention, calculer le MD5 de gros fichiers prendra beaucoup de temps; je recommande de commencer d'abord par travailler sur un sous-ensemble plutôt que sur un répertoire complet.
C'est en anglais, dense (400+ pages pour le guide sur Ubuntu) et il faut s'enregistrer pour télécharger les documents (la validité de l'adresse email n'est pas vérifiée il me semble) mais c'est mis à jour régulièrement et les instructions peuvent s'appliquer indépendamment sur deux niveaux.
Concernant les droits sur le système de fichiers, le droit de lecture est nécessaire pour pouvoir lancer de nombreuses applications, ce n'est pas celui a modifier en premier. Les droits en écriture et en exécution sont plus importants.
Pouvoir lire un fichier système n'est généralement pas un problème de sécurité ; le droit en lecture ne devrait être modifié uniquement sur les fichiers contenant des données sensibles (mots de passe, fichiers journaux, base de données, fichiers personnels, …).
# Quelques éléments de réponse
Posté par Ellendhel (site web personnel) . En réponse au message configuration de slackware 15.0 sur HP Pavilion. Évalué à 4 (+2/-0).
3) Comment configurer un pare-feu en ligne de commande avec les outils actuels ? (…)
Historiquement, j'utilisais un script "rc.firewall" qui s'appuie sur un fichier "rc.firewall.conf" pour charger des règles de filtrage avec iptables.
https://www.ellendhel.net/article.php?ref=2012+02+28-0
Le même principe s'applique maintenant pour utiliser nftables. Je peux partager ces scripts à la demande.
4) Est-ce que vous recompilez votre noyau ? (…)
Non. Il est recommandé de passer du noyau "huge" (utilisé lors de l'installation) au noyau "generic" (un peu plus léger) mais au-delà de cela il est rare d'avoir à recompiler le noyau. Je ne dis pas qu'il n'y a pas de bénéfice en terme de sécurité ou de performance, mais pour un usage particulier je ne suis pas certain qu'il y ait un avantage flagrant.
5) Est-il possible de faire cohabiter slackware et windows 10 sur des disques dur différents dans ce PC ? (…)
Peut-être, mais comme tu l'indiques, c'est une bataille récurrente. Je ne fais plus de dual-boot depuis très longtemps.
6) En mode graphique, est-il possible de connecter automatiquement sans mode de passe un utilisateur défini à l'avance ?
KDE Plasma 5.23.5 propose une option pour cela :
System Settings > Startup and Shutdown > Behavior > Automatically log in as user
(désolé je n'ai pas de version française sous la main)
7) Avez-vous des conseils sur la configuration de slackware, des astuces qui vous facilitent la vie, des points importants que je n'ai pas abordé ici?
J'ai bien quelques références, mais cela date d'il y a plus de dix ans… https://www.ellendhel.net/article.php?ref=2012+09+22-0
8) Comment rétribuer le créateur de slackware ? (…)
Il existe plusieurs options :
Paypal : https://www.paypal.com/paypalme/volkerdi
Patreon : https://www.patreon.com/slackwarelinux
Cafe Press : https://www.cafepress.com/volkerdi
[^] # Re: Quelques trouvailles ...
Posté par Ellendhel (site web personnel) . En réponse au message Sélection des algos pour openssh. Évalué à 3.
Je n'avais pas trouvé de référence récente non plus lors de mes propre tests : https://www.ellendhel.net/article.php?ref=2022+06+11-0
Avec une nouvelle recherche, j'ai découvert un guide publié par Mozilla qui peut être intéressant : https://infosec.mozilla.org/guidelines/openssh
Concernant les CIS Benchmarks, j'encourage chaudement leur lecture. Il faut savoir que mettre en place les recommandations de niveau 2 (les plus avancées) ne concernent pas tout le monde et peuvent éventuellement causer des incompatibilités.
# NetDisco
Posté par Ellendhel (site web personnel) . En réponse au message Collecter adresses mac connecté aux switch. Évalué à 3.
Il existe probablement plusieurs applications qui peuvent collecter les adresses MAC, celle que je connais le mieux et que je recommenderai est nommée NetDisco (et qui est capable de bien plus que cela) :
http://netdisco.org/
Non seulement cela permet de voir quel est l'état du réseau, mais il y a également un historique, qui peut s'avérer utile.
C'est basé sur Perl et PostgreSQL, ce n'est pas jeune mais c'est fiable et toujours maintenu.
[^] # Re: monitoring, plein de solutions
Posté par Ellendhel (site web personnel) . En réponse au message Projet site web - État des services. Évalué à 2.
Pour de la supervision système simple (voire même un peu evoluée) ma solution est d'utiliser Monit: https://mmonit.com/monit/
La configuration est facile à lire, il est possible de gérer la chose en ligne de commande et via une interface web.
# Quelques conseils et recommendations
Posté par Ellendhel (site web personnel) . En réponse au message Active Directory à l'usage des naufragés. Évalué à 7.
Je compatis, je me suis retrouvé dans une situation similaire il y a plusieurs années.
Ce qui m'a aidé c'est de garder à l'esprit les bases de fonctionnement UNIX/Linux (garder les choses au plus simple, utiliser les informations du système pour comprendre ce qui ne fonctionne pas, …) mais pas d'essayer de dupliquer les outils ou de faire les choses "façon Linux".
Active Directory est son propre environnement et essayer de résoudre certain problèmes de manière différente que ce qui est prévu n'aidera pas les choses sur le long terme. De la même manière que je ne dirais pas à quelqu'un d'utiliser uniquement des outils graphiques pour gérer un serveur Linux.
Ce que je recommanderais en premier lieu est de ne pas utiliser les outils graphiques (ou seulement de façon secondaire). Microsoft ne fait plus de mise à jour sérieuse pour ces outils, le but plus ou moins avoué est de promouvoir PowerShell.
Ce qui est une excellente chose.
PowerShell peut fonctionner sous Linux, mais à ma connaissance les modules de gestion pour Active Directory, Microsoft DNS, Microsoft DHCP, … ne le sont pas ; il faut donc accès à une machine sous MS Windows avec les RSAT tools installés (Remote Server Administration Tools).
Une fois les choses en place le principal concept à retenir est "tout est objet". Même si le résultat à l'écran est sous forme de texte, initialement il n'y a que des objets. Et à partir de là il est beaucoup plus simple de scripter et automatiser la gestion de utilisateurs, groupes et autres élements. Ayant une bonne expérience de scripting sous Linux j'ai utilisé PowerShell pour de très nombreuses tâches régulières et des administrateurs expérimentés me regardaient avec des grands yeux, parce que cette approche était nouvelle pour eux.
En terme de référence, Microsoft produit beaucoup de documentation. Pas forcément digeste, mais au moins il y a quelque chose de disponible. Il n'y a pas forcément beaucoup de livres que je pourrais recommander, le plus récent que je connaisse est "Mastering Active Directory" aux éditions Packt (en anglais).
https://www.packtpub.com/product/mastering-active-directory-third-edition/9781801070393
Chaque environnement Active Directory est plus ou moins unique, selon son âge (certains sont en place depuis près de 20 ans !) et la façon dont les administrateurs précédents ont géré la chose (ce qui est d'une manière générale assez vrai pour beaucoup de systèmes). Il faudra probablement corriger des choses qui ont été configurées à l'emporte-pièce.
Dernier point : une bonne gestion d'Active Directory est cruciale en terme de sécurité. Si il n'y a pas de règles sérieuses en place, l'ensemble des machines jointes au domaine peuvent être vulnérables. Le site https://adsecurity.org/ propose beaucoup de ressources pour aider dans ce domaine (d'autres sont disponibles, mais il faut faire le tri entre le bon grain et l'ivraie).
# Lister tous les paquets installés
Posté par Ellendhel (site web personnel) . En réponse au message Respect d'une PSSI. Évalué à 4.
Les outils de détection de vulnérabilités tel que Tenable Nessus ou Rapid7 Nexpose (je n'ai pas eu l'occasion de travailler avec OpenVAS) listent tous les paquets installés, que ce soit via les dépôts de la distribution ou via une source externe. Potentiellement, n'importe quel paquet peut contenir une vulnérabilité ou ne pas être à jour.
Une bonne base serait de générer une liste de tous les RPM installés sur chaque système :
rpm -qa | sort > installed-rpm-$HOSTNAME-$(date +"%F")
Il est possible d'ajouter l'option -qf avec des arguments supplémentaire pour obtenir plus d'information (date d'installation de chaque paquet par exemple).
Mais comme précisé dans un autre commentaire, Red Hat 4, 5 et 6 sont complètement obsolètes, le mieux est de commencer à prévoir une migration vers un système plus récent.
[^] # Re: Quelques pistes
Posté par Ellendhel (site web personnel) . En réponse au message Association pour don de PC (Isère). Évalué à 2.
Et la Guilde également : https://www.guilde.asso.fr/
[^] # Re: Des switchs encore plus bavard (Cisco Meraki)
Posté par Ellendhel (site web personnel) . En réponse au journal Un switch beaucoup trop à l'écoute .... Évalué à 5.
Il existe un accès local sur les commutateurs Meraki, mais les fonctions accessibles sont très limitées :
https://documentation.meraki.com/General_Administration/Tools_and_Troubleshooting/Using_the_Cisco_Meraki_Device_Local_Status_Page
Le point positif des Meraki, c'est qu'il est possible d'utiliser l'API pour gérer le matériel de manière automatique.
Et c'est à peu près le seul avantage. Il n'y a pas d'accès possible en ligne de commande, il faut toujours payer une licence pour pouvoir utiliser le matériel et comparé avec des commutateurs 'classique' (Cisco ou autre) il n'y a pas tant d'avantages, à moins effectivement d'utiliser le matériel pour analyser le trafic réseau (et ne pas déployer un autre système dédié).
Avis personnel : éviter Meraki autant que possible.
# DB Browser for SQLite
Posté par Ellendhel (site web personnel) . En réponse au message D-livret. Évalué à 6.
Je ne suis pas certain que cela réponde à tout tes besoins, mais tu peux peut-être regarder du côté de DB Browser for SQLite :
https://sqlitebrowser.org/
# Félicitations
Posté par Ellendhel (site web personnel) . En réponse au journal CISSP, sécurité, il faut que je vous raconte un truc.... Évalué à 10. Dernière modification le 03 juillet 2022 à 20:06.
L'examen du CISSP est réputé difficile, et exactement pour les raisons que tu listes : il faut connaître beaucoup de sujets différents au-delà de l'aspect superficiel, et le test lui même est assez stressant (les règles ont quelque peu changé depuis que j'ai passé le mien il y a quelques années, mais le principe reste similaire).
L'autre point que j’apprécie est que les certifications de ISC2 sont "vendor neutral" ; ce n'est pas un examen lié à un vendeur, produit ou technologie particulière, ce sont bien des règles de sécurité qui peuvent (et doivent) être appliquées quelque soit les systèmes avec lesquels ont travaille.
Là où le bas blesse, c'est qu'il faut maintenir sa certification (elle expire tous les trois ans) et il faut accumuler 40 crédits de formation par an (CPE - Continuing Professional Education) ce qui exige de se maintenir à jour. Excellente chose en soi, mais il ne faut pas s'y prendre au dernier moment.
Anecdote personnelle : je passe mon examen, je suis plutôt confiant, il faudra attendre un peu pour le résultat. Je sors de la salle d'examen, je récupère mon téléphone portable, où je vois plein d'appel manqués de la part de mon employeur (qui savait très bien que je n'étais pas joignable).
Message sur le répondeur : "il y a une panne de courant, notre sous-traitant informatique à recommandé d'éteindre toute la salle serveur (1). Plus rien ne marche. Le courant est revenu, il faut que tu reviennes tout redémarrer".
Ah, mais j'avais compris que l'examen CISSP c'était juste un questionnaire ; il y a une partie pratique en plus maintenant ?
1 : ni le sous-traitant, ni personne d'autre n'avait réalisé que la dite salle serveur est sous onduleur, et que le bâtiment dispose de son propre générateur…
[^] # Re: probleme de protocole de cypher ou de generation de clef
Posté par Ellendhel (site web personnel) . En réponse au message SSH cassé: "client_input_hostkeys: no new or deprecated keys from server". Évalué à 3.
Pour obtenir plus de détails sur les algorithmes gérés par le serveur, je recommande d'utiliser nmap, qui fournira plus de détails :
nmap -p T:22 --script ssh2-enum-algos -sV server.example.net
Il se trouve que j'ai rédigé un article sur la configuration d'OpenSSH regardant les paramètres de cryptographie il y a peu, j'espère que cela peut aider:
https://www.ellendhel.net/article.php?ref=2022+06+11-0
[^] # Re: ne pas utiliser ALL
Posté par Ellendhel (site web personnel) . En réponse au message sudoers. Évalué à 7.
Effectivement, c'est une très mauvaise idée, expliquée par M. W. Lucas dans sa conférence "Sudo: You're Doing it Wrong".
En résumé :
Morale de l'histoire : ne jamais définir de politique avec sudo à base d'interdiction, uniquement à base d'autorisation.
Pour les personnes souhaitant en savoir plus sur sudo, le même M. W. Lucas à écrit un livre sur le sujet : Sudo Mastery, 2nd Edition.
[^] # Re: Installation ok, mais impossible d'accéder à Twitch
Posté par Ellendhel (site web personnel) . En réponse au message Recherche une distribution compatible. Évalué à 2.
Très vraisemblablement les bibliothèques OpenSSL (utilisée pour le chiffrement HTTPS) ne sont pas à jour pour accéder au site, et il sera nécessaire d'installer une mise à jour, à supposer qu'elle existe pour cette version de Toutoulinux.
J'apprécie et j'encourage les efforts de vouloir continuer à utiliser du vieux matériel mais là il faut tout de même reconnaître que les ressources matérielles et logicielles sont au-dessous du niveau de la mer. Même en arrivant à faire tout fonctionner aujourd'hui, il est probable que le même type de problème se reproduise dans le futur.
[^] # Re: C'est délicieux, mangeons-en !
Posté par Ellendhel (site web personnel) . En réponse à la dépêche À la découverte de FreeBSD. Évalué à 2. Dernière modification le 04 août 2020 à 13:45.
Pas seulement de la science-fiction, de la fiction en général : fantasy, policier, et même des "histoires pour adultes".
https://mwl.io/fiction
[^] # Re: plus facile et indépendant de la box
Posté par Ellendhel (site web personnel) . En réponse au journal Changer son DNS sur une box 4G. Évalué à 3.
C'est probablement possible, mais j'aimerai aussi limiter le nombre d'appareils gérant mon réseau. Quitte à devoir acheter quelque chose en plus, je préférerai en avoir une boîte qui gérerai tout proprement. Le souci est qu'avec une interface câble, le choix est plus restreint.
[^] # Re: plus facile et indépendant de la box
Posté par Ellendhel (site web personnel) . En réponse au journal Changer son DNS sur une box 4G. Évalué à 2.
Malheureusement, certains équipements ne permettent pas de désactiver DHCP.
Cas vécu, similaire à ce que raconte l'auteur du journal : je veux mon propre DNS pour mon réseau local, et je ne peux pas paramétrer les adresses des serveurs DNS envoyés aux clients DHCP, l'option n'existe pas.
Par contre, je peux bloquer des clients pour qu'ils ne reçoivent pas de bail DHCP… J'en suis arrivé à la stratégie suivante, qui est assez horrible, mais qui marche :
Au résultat, quand un client demande une adresse via DHCP, il peut recevoir deux réponses : un rejet de la part du modem/routeur et un bail de la part de mon propre serveur DHCP. Ce n'est pas élégant, ça demande un peu plus de gestion, mais ça fait ce que je veux.
Pour les personnes curieuses, le modem/routeur en question est un "XB3" fournit par Comcast, mon fournisseur d'accès aux États-Unis. Et dans la résidence où je suis, le choix des FAI se limite à "Comcast, Comcast ou Comcast" (plus ou moins pour des raisons historique ; Verizon, le FAI concurrent n'a pas déployé d'infrastructure dans ce quartier). Une autre solution consisterait à acheter mon propre modem/routeur et remplacer l'existant. Peut-être dans le futur…
[^] # Re: testssl.sh
Posté par Ellendhel (site web personnel) . En réponse au lien cryptcheck : vérifiez la qualité cryptographique de vos sites Internet et internes. Évalué à 4.
Dans le même registre F5 vient d'annoncer la publication de Cryptonice :
C'est du code Python publié sous GPLv3.
[^] # Re: Expérience utilisateur
Posté par Ellendhel (site web personnel) . En réponse au journal Cloudflare abandonne le reCAPTCHA de Google. Évalué à 10.
Le bénéficiaire, c'est le conducteur de la voiture, en temps réel :
https://xkcd.com/1897/
[^] # Re: Script
Posté par Ellendhel (site web personnel) . En réponse au message Une biblio de script ?. Évalué à 2.
Ce n'est pas optimisé du tout, du fait que personnellement j'utilise ce script sur des jeux de données de taille assez modeste.
Maintenant que j'ai un peu plus de temps libre devant moi…
# Script
Posté par Ellendhel (site web personnel) . En réponse au message Une biblio de script ?. Évalué à 3.
J'ai un script qui génère une liste de fichier avec leur somme de contrôle MD5, pour lister les fichiers en double (ou triple, quadruple, …) :
https://gitlab.com/xbelanger/create-duplicates-list
Attention, calculer le MD5 de gros fichiers prendra beaucoup de temps; je recommande de commencer d'abord par travailler sur un sous-ensemble plutôt que sur un répertoire complet.
# Typo
Posté par Ellendhel (site web personnel) . En réponse à la dépêche Bitwarden, un gestionnaire de mots de passe libre. Évalué à 2.
Un petit commentaire pour deux petites choses :
# Appliquer les recommendations existantes
Posté par Ellendhel (site web personnel) . En réponse au message Chmod 700 /usr/sbin. Évalué à 3.
Le "Center for Internet Security" fourni des guides pour renforcer la configuration de différents systèmes et applications :
https://www.cisecurity.org/cis-benchmarks/
C'est en anglais, dense (400+ pages pour le guide sur Ubuntu) et il faut s'enregistrer pour télécharger les documents (la validité de l'adresse email n'est pas vérifiée il me semble) mais c'est mis à jour régulièrement et les instructions peuvent s'appliquer indépendamment sur deux niveaux.
Concernant les droits sur le système de fichiers, le droit de lecture est nécessaire pour pouvoir lancer de nombreuses applications, ce n'est pas celui a modifier en premier. Les droits en écriture et en exécution sont plus importants.
Pouvoir lire un fichier système n'est généralement pas un problème de sécurité ; le droit en lecture ne devrait être modifié uniquement sur les fichiers contenant des données sensibles (mots de passe, fichiers journaux, base de données, fichiers personnels, …).
# Crontab
Posté par Ellendhel (site web personnel) . En réponse au message Passage de Stretch à Buster avec réinstallation.. Évalué à 4.
Ne pas oublier de sauvegarder les tâches planifiées avec cron. Le plus simple est de commencer par jeter un œil dans /var/spool/cron.
# LEGO
Posté par Ellendhel (site web personnel) . En réponse au sondage Quel objet inutile avez‐vous sur votre bureau ?. Évalué à 3.
Une voiture en LEGO (31006 Highway Speedster) que je m'amuse a monter ou démonter lorsqu'il faut attendre pendant quelques minutes…
# Un nouveau logiciel DNS annoncé
Posté par Ellendhel (site web personnel) . En réponse au journal Liste de poissons d'avril 2019. Évalué à 3.
Et un peu tard, car le site web a été rétabli à l'original, mais Unbound a été renommé "punoqun" hier.