Il est clair que c'est gens qui essayent de se connecter en ssh non?
Oui. C'est commun sur un serveur SSH accessible publiquement, généralement des bots.
Assures-toi simplement d'utiliser des bons mots de passe, ou mieux, d'autoriser uniquement l'accès SSH avec une clé.
Pour éviter de pourrir tes logs, tu peux :
- firewaller le port SSH pour autoriser certaines adresses ;
- bloquer les adresses qui font trop d'auth fail avec par exemple fail2ban ;
- changer le port d'écoute de SSH - je conseille quand même de rester sur un port privilégié (<1024) ;
- faire du port knocking.
Posté par kna .
En réponse au journal Sortie de Devuan ASCII 2.0.
Évalué à 7.
Dernière modification le 14 juin 2018 à 23:52.
Il m'est arrivé de bosser dans de grosses structures où une bonne partie des adminsys sont des personnes qui ont passé l'âge de vouloir suivre "la mode technologique".
Je veux bien que le passage à systemd ne soit pas inné et demande de changer quelques habitudes, mais de là à dire que ça coute énormément de formation ou qu'il faille réapprendre tout le métier de sysadmin, ça me parait beaucoup exagéré quand même…
Puis c'est pas comme si avant on avait Sys-V openrc, daemontools, supervisord, runit, upstart…
Euh, pas forcément non…
Tu peux utiliser ton nom de domaine pour héberger du mail, des dépots git privés, du owncloud/seafile, des applis web à usage privé (kresus par exemple), etc.
Par ailleurs, pour un site public, la loi fait bien la différence entre personne morale, personne physique, site avec ou sans activité commerciale dans les mentions légales.
C'est discutable, mais le débutant va utiliser la GUI, plus intuitive ; le confirmé aura accès à la CLI pour être en mode « fais ce que je te demandes sans discuter », ou pourra utiliser rm -i s'il veut une demande de confirmation.
C'est pas forcément représentatif, tu trouveras des gens qui ont eu des problèmes similaires avec Ubuntu, et d'autres qui n'ont jamais eu de problèmes avec Mageia…
C'est peut-être historique. Mageia est dérivée de feu Mandrake/Mandriva, qui était à une lointaine époque la distribution la plus accessible (quand Ubuntu, Mint et consorts n'existaient pas).
Peut-être qu'il devrait y avoir deux informatiques : une d'outils, qui part du principe que l'utilisateur sait ce qu'il fait, et qui peut se torcher avec beaucoup de protections ; et une autre grand public qui devrait effectivement partir du principe que l'utilisateur n'a pas à connaitre les détails de fonctionnement ?
Oui. Je m'attends à ce qu'un GUI m'affiche une boite de dialogue de confirmation quand je fais clic droit > supprimer. En revanche, si en CLI je tape rm fichier je m'attends à ce que le fichier soit supprimé sans confirmation.
Et je suis la seule personne sur ce serveur mail. C'est peut être pour ça que je n'ai pas trop de soucis.
Oui. J'ai aussi un serveur mail que je suis seul à utiliser, et pour lequel je n'ai eu quasiment aucun problème en 10 ans. À côté de ça, j'ai travaillé sur des serveurs mail mutualisés, c'est beaucoup moins joyeux…
Avec ansible, tu peux aussi utiliser ansible-pull. C'est un script qui pull un repository et lance un playbook localement. On peut le lancer via un cron.
Néanmoins, ça implique d'avoir ansible installé sur chaque machine (pour exécuter le playbook). Mais pas besoin d'agent qui tourne sur la machine ni de pouvoir lancer des connexions vers elle. Il faut juste que la machine puisse accéder au repository.
Ben le ./configure && make && make install, c'est juste le point de départ classique en fait. Mais ça pourrait bien être du cmake ou ./install.sh --prefix /tmp/monpaquet ou même une arborescence créée manuellement, la méthode reste la même derrière…
Partant de là, je créé un fichier control et je lance dpkg-deb. On a fait pire comme complexité, non ?
Si la question se pose effectivement, je ne serais pas si alarmiste.
Les certificats sont générés pour 3 mois. La doc de Let'sEncrypt conseille de lancer cerbot --renew tous les jours, il ne fera rien si le certificat est a plus d'un mois de son expiration, et le renouvelle 1 mois avant son expiration.
Donc si on les monitore correctement, on peut voir le problème un mois avant que le site soit entièrement indisponible.
Comme alternative, il y a quand même… tout ce qui existait avant Let'sEncrypt. On trouve toujours des marchands de certificats « legacy » (sauf ceux qui se font retirer des navigateurs parce qu'ils font de la merde). Pour des sites importants, on en trouve dans tes tarifs abordables… même si j'en connais qui (re-)vendent des certificats pour plusieurs centaines d'euros.
Enfin, c'est loin d'être le seul « SPOF de l'Internet » : cloudflare, amazon s3,…
Posté par kna .
En réponse au journal Autocrypt.
Évalué à 3.
Effectivement, c'est cohérent. Ça ne donne pas une solution au top du top mais ça pourrait permettre de démocratiser le chiffrement, en le faisant fonctionner out-the-box.
Sauf que, à moins que je sois passé à côté de quelque chose, il reste 2 soucis :
* si la clé est perdue, on peut repartir avec une nouvelle clé, mais les messages reçus précédemment ne sont plus lisibles
* ça ne fonctionne que si on utilise un seul client de messagerie sur un seul terminal
Ce qui doit être rédhibitoire pour pas mal de monde…
Posté par kna .
En réponse au journal Autocrypt.
Évalué à 5.
Sauf que si j'en crois le journal, c'est pas seulement on first use
Si Bob change de clé, l’entête de ces messages va changer. Les destinataires de ces messages seront donc au courant du changement dès que bob leur écrira.
J'ai vu le reportage d'Envoyé Spécial est j'ai fait un peu le même reproche.
Un réparateur nous dit que l'imprimante annonce que le tampon est défectueux, il dit clairement que le SAV d'Epson le répare gratuitement (il y a d'ailleurs eu un nourjal ici) !
Mais, dit-il, le consommateur moyen, il va pas contacter le SAV, il va juste changer l'imprimante. C'est vrai, mais on ne peut pas alors dire que les consommateurs veulent des produits durables et réparables ! Les imprimantes, il n'y a pas que des jets d'encre à 50EUR !
Tout n'est pas parfait, mais quand même si on veut des produits durable, quand on cherche et qu'on est prêt à mettre le prix qu'il faut, on en trouve un peu quand même…
J'ai entendu dire que pour éviter d'être pisté par les sites qu'on visite avec TorBrowser, il ne faut pas modifier la taille de la fenêtre (la résolution faisant partie de l'empreinte laissée par le navigateur). Du coup, un gestionnaire de fenêtres pavant, ça ne me semble pas très adapté à ce type d'usage.
Pendant qu'on y est :
* mosh en alternative au client ssh
* shoop en alternative à scp
* httpie en alternative à curl
* mycli en alternative au client mysql
[^] # Re: réponse
Posté par kna . En réponse au message [postfix] est ce que mon serveur est piraté? Est il utilisé comme relai?. Évalué à 3.
Oui. C'est commun sur un serveur SSH accessible publiquement, généralement des bots.
Assures-toi simplement d'utiliser des bons mots de passe, ou mieux, d'autoriser uniquement l'accès SSH avec une clé.
Pour éviter de pourrir tes logs, tu peux :
- firewaller le port SSH pour autoriser certaines adresses ;
- bloquer les adresses qui font trop d'auth fail avec par exemple fail2ban ;
- changer le port d'écoute de SSH - je conseille quand même de rester sur un port privilégié (<1024) ;
- faire du port knocking.
[^] # Re: Parti pour du trollage?
Posté par kna . En réponse au journal Sortie de Devuan ASCII 2.0. Évalué à 7. Dernière modification le 14 juin 2018 à 23:52.
Entre suivre la dernière mode et être à la ramasse il y a un fossé.
Je veux bien que le passage à systemd ne soit pas inné et demande de changer quelques habitudes, mais de là à dire que ça coute énormément de formation ou qu'il faille réapprendre tout le métier de sysadmin, ça me parait beaucoup exagéré quand même…
Puis c'est pas comme si avant on avait Sys-V openrc, daemontools, supervisord, runit, upstart…
[^] # Re: sans garantie
Posté par kna . En réponse au message alternative (plus rapide) à find pour rechercher par date de modification. Évalué à 2. Dernière modification le 26 mai 2018 à 23:06.
Le
-delete
devrait tout de même être plus rapide, jouer avec xargs/parrallels peut néanmoins être intéressant pour limiter la charge : https://web.archive.org/web/20130929001850/http://linuxnote.net/jianingy/en/linux/a-fast-way-to-remove-huge-number-of-files.html[^] # Re: Pour les projets open-source
Posté par kna . En réponse au journal Gitlab.com interdit de supprimer ou modifier ses informations personnelles. Évalué à 3.
Euh, pas forcément non…
Tu peux utiliser ton nom de domaine pour héberger du mail, des dépots git privés, du owncloud/seafile, des applis web à usage privé (kresus par exemple), etc.
Par ailleurs, pour un site public, la loi fait bien la différence entre personne morale, personne physique, site avec ou sans activité commerciale dans les mentions légales.
[^] # Re: Quel est vraiment la nature du problème ?
Posté par kna . En réponse au journal Mise à jour Mageia: attention danger. Évalué à 2.
C'est discutable, mais le débutant va utiliser la GUI, plus intuitive ; le confirmé aura accès à la CLI pour être en mode « fais ce que je te demandes sans discuter », ou pourra utiliser
rm -i
s'il veut une demande de confirmation.[^] # Re: Quel est vraiment la nature du problème ?
Posté par kna . En réponse au journal Mise à jour Mageia: attention danger. Évalué à 5.
C'est pas forcément représentatif, tu trouveras des gens qui ont eu des problèmes similaires avec Ubuntu, et d'autres qui n'ont jamais eu de problèmes avec Mageia…
[^] # Re: Quel est vraiment la nature du problème ?
Posté par kna . En réponse au journal Mise à jour Mageia: attention danger. Évalué à 2.
C'est peut-être historique. Mageia est dérivée de feu Mandrake/Mandriva, qui était à une lointaine époque la distribution la plus accessible (quand Ubuntu, Mint et consorts n'existaient pas).
[^] # Re: Quel est vraiment la nature du problème ?
Posté par kna . En réponse au journal Mise à jour Mageia: attention danger. Évalué à 4.
Oui. Je m'attends à ce qu'un GUI m'affiche une boite de dialogue de confirmation quand je fais clic droit > supprimer. En revanche, si en CLI je tape
rm fichier
je m'attends à ce que le fichier soit supprimé sans confirmation.[^] # Re: stockage flash
Posté par kna . En réponse au journal Défragmenter une partition FAT32 sous Linux …. Évalué à 7.
C'est courant sur les autoradios : https://linuxfr.org/users/jihele/journaux/fatsort-a-la-rescousse-des-autoradios-mp3
[^] # Re: Le mail, c'est facile
Posté par kna . En réponse à la dépêche Héberger son courriel en 2018. Évalué à 3.
Oui. J'ai aussi un serveur mail que je suis seul à utiliser, et pour lequel je n'ai eu quasiment aucun problème en 10 ans. À côté de ça, j'ai travaillé sur des serveurs mail mutualisés, c'est beaucoup moins joyeux…
# DMARC redondant avec SPF/DKIM ?
Posté par kna . En réponse à la dépêche Héberger son courriel en 2018. Évalué à 2.
Sur un champ SPF, on peut indiquer quoi faire des adresses qui n'y sont pas présentes (~all, ?all ou -all). Avec DKIM, on peut ajouter un champ ADSP.
Du coup, DMARC a-t-il une utilité si on ne souhaite pas un controle plus fin (pct) ni recevoir d'alertes ?
[^] # Re: Blame the victim
Posté par kna . En réponse au journal [MaVie] La grosse gaffe du jour ..... Évalué à 3.
Avec ansible, tu peux aussi utiliser ansible-pull. C'est un script qui pull un repository et lance un playbook localement. On peut le lancer via un cron.
Néanmoins, ça implique d'avoir ansible installé sur chaque machine (pour exécuter le playbook). Mais pas besoin d'agent qui tourne sur la machine ni de pouvoir lancer des connexions vers elle. Il faut juste que la machine puisse accéder au repository.
[^] # Re: par le client dhcp
Posté par kna . En réponse au message [Résolu] Lancer une commande des qu'une connexion internet est détéctée.. Évalué à 2.
Avec dhcpcd aussi (man dhcpcd-run-hooks)
[^] # Re: Le plus difficile était fait
Posté par kna . En réponse au journal construire un paquet debian -- KISS way (ou presque). Évalué à 1.
Ben le
./configure && make && make install
, c'est juste le point de départ classique en fait. Mais ça pourrait bien être du cmake ou./install.sh --prefix /tmp/monpaquet
ou même une arborescence créée manuellement, la méthode reste la même derrière…Partant de là, je créé un fichier control et je lance
dpkg-deb
. On a fait pire comme complexité, non ?[^] # Re: PKGBUILD
Posté par kna . En réponse au journal Construire des paquets DEB pour Debian (deuxième partie). Évalué à 2.
La version stretch est aussi vulnerable d'après : https://security-tracker.debian.org/tracker/source-package/webkit2gtk
Si on clique sur un des CVE, on voit :
Tu peux aussi voir tous les paquets de stable affectés : https://security-tracker.debian.org/tracker/status/release/stable
# debbuild
Posté par kna . En réponse au journal construire un paquet debian -- KISS way (ou presque). Évalué à 10.
En cadeau bonux, un script de construction de paquet debian, très inspiré des SlackBuilds :
# Mouais
Posté par kna . En réponse au lien La croissance phénoménale de Let's Encrypt pourrait poser des problèmes (SPOF). Évalué à 5.
Si la question se pose effectivement, je ne serais pas si alarmiste.
Les certificats sont générés pour 3 mois. La doc de Let'sEncrypt conseille de lancer
cerbot --renew
tous les jours, il ne fera rien si le certificat est a plus d'un mois de son expiration, et le renouvelle 1 mois avant son expiration.Donc si on les monitore correctement, on peut voir le problème un mois avant que le site soit entièrement indisponible.
Comme alternative, il y a quand même… tout ce qui existait avant Let'sEncrypt. On trouve toujours des marchands de certificats « legacy » (sauf ceux qui se font retirer des navigateurs parce qu'ils font de la merde). Pour des sites importants, on en trouve dans tes tarifs abordables… même si j'en connais qui (re-)vendent des certificats pour plusieurs centaines d'euros.
Enfin, c'est loin d'être le seul « SPOF de l'Internet » : cloudflare, amazon s3,…
[^] # Re: Totalement broken sans authentification de clé
Posté par kna . En réponse au journal Autocrypt. Évalué à 3.
Effectivement, c'est cohérent. Ça ne donne pas une solution au top du top mais ça pourrait permettre de démocratiser le chiffrement, en le faisant fonctionner out-the-box.
Sauf que, à moins que je sois passé à côté de quelque chose, il reste 2 soucis :
* si la clé est perdue, on peut repartir avec une nouvelle clé, mais les messages reçus précédemment ne sont plus lisibles
* ça ne fonctionne que si on utilise un seul client de messagerie sur un seul terminal
Ce qui doit être rédhibitoire pour pas mal de monde…
[^] # Re: Totalement broken sans authentification de clé
Posté par kna . En réponse au journal Autocrypt. Évalué à 5.
Sauf que si j'en crois le journal, c'est pas seulement on first use
# haveibeenpwned / xkcd
Posté par kna . En réponse à la dépêche Gestionnaires de mots de passe. Évalué à 10.
Sur https://haveibeenpwned.com/Passwords, si je tape « correcthorsebatterystaple » :
[^] # Re: humhub
Posté par kna . En réponse au sondage Avez-vous un compte Facebook ?. Évalué à 10.
Téléphone, SMS et emails. Parfois je sors de chez moi aussi.
[^] # Re: reportage sur France 2
Posté par kna . En réponse au lien Halte à l'obsolescence programmée - le site. Évalué à 3.
J'ai vu le reportage d'Envoyé Spécial est j'ai fait un peu le même reproche.
Un réparateur nous dit que l'imprimante annonce que le tampon est défectueux, il dit clairement que le SAV d'Epson le répare gratuitement (il y a d'ailleurs eu un nourjal ici) !
Mais, dit-il, le consommateur moyen, il va pas contacter le SAV, il va juste changer l'imprimante. C'est vrai, mais on ne peut pas alors dire que les consommateurs veulent des produits durables et réparables ! Les imprimantes, il n'y a pas que des jets d'encre à 50EUR !
Tout n'est pas parfait, mais quand même si on veut des produits durable, quand on cherche et qu'on est prêt à mettre le prix qu'il faut, on en trouve un peu quand même…
[^] # Re: Sinon, y'a heads, aussi.
Posté par kna . En réponse à la dépêche Tails sauve discrètement le monde chaque jour et a besoin de votre soutien. Évalué à 4.
J'ai entendu dire que pour éviter d'être pisté par les sites qu'on visite avec TorBrowser, il ne faut pas modifier la taille de la fenêtre (la résolution faisant partie de l'empreinte laissée par le navigateur). Du coup, un gestionnaire de fenêtres pavant, ça ne me semble pas très adapté à ce type d'usage.
[^] # Re: Bug
Posté par kna . En réponse au journal Comment la rubrique « liens » est arrivée. Évalué à 3.
C'est corrigé apparemment…
# Alternatives à d'autres softs
Posté par kna . En réponse à la dépêche Des alternatives à grep, ls et find. Évalué à 7.
Pendant qu'on y est :
* mosh en alternative au client
ssh
* shoop en alternative à
scp
* httpie en alternative à
curl
* mycli en alternative au client
mysql