regarde si ton fournisseur du serveur ne peut pas t'attribuer une IP supplémentaire (failover ou autre).
ainsi tu mets cette nouvelle IP sur le pfsense, interface WAN
c'est alors indépendant de l'IP du proxmox.
tu n'as alors plus à te soucier des règles de firewall dans le proxmox
les flux arrivent directement sur vmbr0 (interface publique du pfsense)
et tu as tes VMs sur ton vmbr2 (internal OVSbridge par exemple, le LAN du pfsense)
tu codes chez toi, et tu peux pousser sur plusieurs plateformes pour te faire connaitre,
ensuite à toi de gérer les rfc, les bugs et pull-request des diverses plateformes.
Perso ca depend du contexte, pour :
- des assos, ce sera framagit, avec une copie locale
- des pros : gitlab/github selon leurs choix et toujours une copie locale du depot.
utilises-tu l'adresse privée ? 192.168.X.Y
ou ton IP/DNS publique ?
attention, dans ton cas il est possible que le fail2ban bloque les entrants de 192.168.X.254 (ou 192.168.X.1 suivant les bons) car il voit l'IP de la box comme "frauduleuse".
oui tu peux écrire un honeypot sur le port 22,
qui répond toujours FAUX à la tentative de connexion, mais stock le mot de passe en clair dans un fichier de log.
le problème c'est quand meme qu'il va falloir simuler un serveur SSH, avec échange de clef valide
si la solution me paraît complètement surdimensionnée (et sa consommation en ressources aussi) pour cet usage
en quoi est-ce "surdimensionner" ou "gourmand" en ressources ?
si tu ne te sers pas du module synchronisation des clients distants et uniquement de l'interface web, ca reste des scripts qui tournent uniquement quand on s'en sert.
"Linus Tech Tips" encore eux, ont quelques videos sur l'intérêt du water cooling.
Et finalement il en ressort que oui, c'est plus joli, plus fun,
mais que non, ce n'est pas forcement plus performant, ni plus silencieux (il faut parfois des ventiles pour souffler sur le radiateur qui refroidit le liquide)
et puis il y a les risques de fuites, les maintenances (purger/demonter le water cooling quand tu veux changer une piece du PC)…
donc je dirais un bon boitier, avec une bonne ventilation, ca fait bien l'affaire.
si tu veux assurer le monde que le depot est "officiel", tu ne permet pas à d'autres de cloner ton depot pour offrir la meme chose plus des modifications.
c'est le cas avec les ppa par exemple ou un développeur peut proposer son application, et des librairies différentes de celle du système (plus anciennes ou plus récentes) et parfois foutre le bordel dans ta machine.
dans tes interrogations précédentes, tu semblais vouloir scripteur du monitoring et afficher les retour dans conky
peut-être vaut-il mieux alors avoir plusieurs scripts dédiés,
plutot qu'un gros script que tu vas lancer 3 fois pour gérer des trucs différents.
ou alors un seul script avec des options (mode1, mode2, mode3) pour interroger différents capteurs selon le mode.
Le script sera alors plus rapide.
et si un script doit récupérer plusieurs capteurs pour faire une et une seule sortie,
alors à toi de coder pour faire des executions en parallèle de tes capteurs.
je poussoir le vieux PC, poussiéreux ou défectueux dont un composant chauffe car la ventilation ne se fait pas comme il faut, et le PC qui s'arrête pour se protéger de la surchauffe.
En retirant le PATH il lui est impossible d'utiliser la commande en tapant reboot, cependant il peut toujours utiliser /usr/sbin/reboot car les utilisateurs Other peuvent execute, si j'enleve le execute impossible de démarrer l'interface graphique.
peut-être parce que ton interface graphique n'est pas lancée en root et c'est tant mieux pour la sécurité.
et que cette interface propose un bouton reboot sur l'interface de login ou dans les menus, si cette option n'est pas disponible, le menu ne peut pas être construit, l'interface ne se lance pas.
il faudrait plutôt voir comment supprimer le droit de faire reboot aux utilisateurs non root de l'interface graphique
J'aimerai en premier lieu interdir l'accès au /usr/sbin,
/usr/sbin n'est en principe utilisable que par le root (Sbin) par opposition à /usr/bin, utilisable par les utilisateurs standards.
Cependant certains outils du /usr/sbin sont utilisés par d'autres.
J'ai supprimer le PATH dans le bashrc des utilisateurs mais quand je chmod 700 en root sur le /usr/sbin il met impossible de redemarrer par la suite.
c'est bien tu figes l'usage de /usr/sbin à l'utilisateur root.
mais tu as oublié qu'il y a plein d'autres utilisateurs pour faire fonctionner ton système.
Connaissez vous d'autre moyens d'y arriver et d'autre astuces de hardening ? merci
donc comprendre comment fonctionne linux, et ses sécurités de bases (multi utilisateur, utilisateur services, utilisateurs humains, droits sur les dossiers/fichiers)
avant de faire n'importe quoi et de bloquer ta machine ;)
le A va forcement sur une IP
le CNAME va vers un A
exemple :
monserveur1 IN A A.B.C.D
monserveur2 IN A E.F.G.H
mail IN CNAME monserveur1
smtp IN CNAME monserveur1
pop IN CNAME monserveur1
imap IN CNAME monserveur1
www IN CNAME monserveur2
ftp IN CNAME monserveur2
ainsi quand tu changes de serveur2 pour un autre, mais tu réinstalles les memes services,
tu changes juste ta ligne monserveur2 IN A ….
Evidemment on ne parle pas d'ouvrir la clef pour la démonter.
juste qu'elle est activée dans le système, visible dans le navigateur de fichier.
il n'y a probablement que l'option d' "éjecter" la clef, elle devient alors invisible du système.
il faut la démonter (désactiver de l'usage courant, mais la laisser visible du système)
dans un terminal
# ici la commande qui va lister les disques actifs
sudo mount
# ca va lister les disques et l'endroit ou ils sont activés, exemple
tmpfs on /run type tmpfs (rw,nosuid,noexec,relatime,size=3283764k,mode=755)
/dev/md1 on / type ext4 (rw,relatime,errors=remount-ro,data=ordered)
securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /dev/shm type tmpfs (rw)
/dev/sdb1 on /media/monuser/maclefUSB type NTFS
# là la commande pour demonter le disque (sdb1) sans l'éjecter
sudo umount /dev/sdb1
# ou pour démonter le disque à partir de son emplacement d'activation
sudo umount /media/monuser/maclefUSB
ensuite dans woeUSB, tu sélectionneras la clef sdb
Aussi, peut-on faire du multiple hostname pour un seul PC avec plusieurs services ?
oui, une meme machine, meme IP peut avoir plusieurs services, accessible par des noms de domaine different.
www.domain.tld IN A Adresse_IP
smtp.domain.tld IN A Adresse_IP
mail.domain.tld IN A Adresse_IP
ftp.domain.tld IN A Adresse_IP
chaque service écoutant sur un (des) port(s) different(s), ton client se connectera donc au bon service en fonction de ce qu'il demande.
exemple de port par défaut
www => port 80 (et 443 pour https)
smtp => port 25 (et/ou 465, 587)
mail => port 143 (imap), 110 (pop) et leur variante SSL, TLS (993, 995)
ftp => port 20/21 en actif, port 21 et multiport en passif
Je vous parle de ceci car n'ayant pas mis à jour mon hostname, je crois que je ne respecte pas complètement le schéma classique théorique FQDN.
Est-ce que les serveurs mails à règles sévères ont besoin de ceci ?
sans être "severe", dans la lutte anti spam, on regarde souvent que l'émetteur ait un nom de domaine valide (FQDN), si possible dans le domaine émetteur, ou sinon listé dans la liste SPF du domaine émetteur.
ainsi quand je reçois un email d'une machine X.Y.Z.T qui cherche a envoyé un email en provenance de @domainelectro75.tld vers mes utilisateurs,
ma machine va regarder si :
X.Y.Z.T renvoie bien sur un nom de domaine valide (c'est donc le reverse DNS, PTR de son nom qu'il faut renseigner)
X.Y.Z.T et/ou le nom de domaine trouvé preceddemment est dans la liste des machines autorisées à envoyer des emails avec émetteur @domainelectro75.tld (c'est le champ DNS SPF ou TXT du domaine domainelectro75.tld qu'il faut configurer)
mais on dégage aussi les machines qui ne se présente pas avec un hostname valide ou inconnu…
le gestionnaire de MàJ a accès au réseau sans qu'il y ait besoin de passer par le portail de connexion
pratique
mais dans ce cas, si MàJ il y a, cela rend inutilisable le pc (ralentissement important voir total) pendant 5 à 10 minutes
peut-être que la machine est trop "vieille" et n'a pas assez de puissance pour faire le reste ?
- quel processeur sur tes machines ?
- combien de RAM sur tes machines ?
- quelle genre de disque dur ?
une mise à jour va consommer d'abord du réseau, du cpu et de la ram pour calculer les dépendances entre les logiciels presents à ceux à mettre à jour.
ensuite ca va prendre du reseau et du disque dur pour télécharger et stocker les paquets avant ensuite de prendre du CPU/RAM/disque dur pour installer les mises à jour.
possible que sur des machines un peu trop ancienne la RAM ou le CPU s'écroule sous la charge, rendant la machine inutilisable.
La solution citée de LTSP permet d'avoir une seule machine véloce et plusieurs vieux coucou pour faire tourner tout ca, avec une seule machine à gérer (installation et mise à jour)
"Tête d'impression : Manquante, défectueuse ou incompatible".
tu as changé les cartouches ?
c'est des cartouches HP ?
tu as enlevé les caches (parfois il y a un bout de plastique à enlever pour que le contact se fasse, ou pour laisser l'air entrer et l'encre couler)
avec le protocole DLNA, tu as
- un serveur sur ton PC ou se trouve les fichiers (musiques, videos, photos…)
- une remote (un autre pc, une tablette, un smartphone)
- un viewer (ce qui va réellement jouer le fichier, la TV pour une video, la chaine pour le son….)
évidemment il manque l'étage "radio FM" mais maintenant avec les radios sur internet la question se simplifie, sauf à vouloir pouvoir écouter la musique en FM quand internet est coupé.
ex que j'utilise :
Plex Media Server sur le PC source
Plex Media Payer sur le remote et sur le viewer
évidemment il y en a d'autre comme Kodi (anciennement XBMC), Mediatomb, microDLNA
-> tenter de te connecter avec un autre utilisateur => ca élimine le problème de configuration logiciel (un réglage dans le compte qui fait que ca deconne)
si ca bloque toujours,
-> demarrer avec un liveCD, puis accéder au disque dur pour voir s'il est plein,
parfois on ne peut pas se connecter car on ne peut simplement pas écrire un fichier sur le disque.
si le disque est plein,
-> faire du menage, redémarrer et retenter de te connecter
si tu as toujours le problème alors il faut envisager de reinstaller.
-> depuis le liveCD, tu sauvegardes tes données et tes réglages (ton /home/moimeme en fait)
# IP supplémentaire
Posté par NeoX . En réponse au message Routage Proxmox + pfSense. Évalué à 4.
regarde si ton fournisseur du serveur ne peut pas t'attribuer une IP supplémentaire (failover ou autre).
ainsi tu mets cette nouvelle IP sur le pfsense, interface WAN
c'est alors indépendant de l'IP du proxmox.
tu n'as alors plus à te soucier des règles de firewall dans le proxmox
les flux arrivent directement sur vmbr0 (interface publique du pfsense)
et tu as tes VMs sur ton vmbr2 (internal OVSbridge par exemple, le LAN du pfsense)
# avantage de git
Posté par NeoX . En réponse au message Quel hub de développeur choisir ?. Évalué à 7.
tu codes chez toi, et tu peux pousser sur plusieurs plateformes pour te faire connaitre,
ensuite à toi de gérer les rfc, les bugs et pull-request des diverses plateformes.
Perso ca depend du contexte, pour :
- des assos, ce sera framagit, avec une copie locale
- des pros : gitlab/github selon leurs choix et toujours une copie locale du depot.
# comment accedes tu as ton serveur ?
Posté par NeoX . En réponse au message Fiabilité d'un serveur. Évalué à 2.
utilises-tu l'adresse privée ? 192.168.X.Y
ou ton IP/DNS publique ?
attention, dans ton cas il est possible que le fail2ban bloque les entrants de 192.168.X.254 (ou 192.168.X.1 suivant les bons) car il voit l'IP de la box comme "frauduleuse".
[^] # Re: Perdu d'avance
Posté par NeoX . En réponse au message /var/log/auth.log : loguer les mots de passes tentés!. Évalué à 2.
oui tu peux écrire un honeypot sur le port 22,
qui répond toujours FAUX à la tentative de connexion, mais stock le mot de passe en clair dans un fichier de log.
le problème c'est quand meme qu'il va falloir simuler un serveur SSH, avec échange de clef valide
[^] # Re: (next|own|xxx)cloud
Posté par NeoX . En réponse au message Micro CMS pour gérer les téléversements de fichiers pour un site web statique via HTTP. Évalué à 2.
en quoi est-ce "surdimensionner" ou "gourmand" en ressources ?
si tu ne te sers pas du module synchronisation des clients distants et uniquement de l'interface web, ca reste des scripts qui tournent uniquement quand on s'en sert.
# de l'interet du water cooling...
Posté par NeoX . En réponse au message Avis des pros du Hardware. Évalué à 3.
"Linus Tech Tips" encore eux, ont quelques videos sur l'intérêt du water cooling.
Et finalement il en ressort que oui, c'est plus joli, plus fun,
mais que non, ce n'est pas forcement plus performant, ni plus silencieux (il faut parfois des ventiles pour souffler sur le radiateur qui refroidit le liquide)
et puis il y a les risques de fuites, les maintenances (purger/demonter le water cooling quand tu veux changer une piece du PC)…
donc je dirais un bon boitier, avec une bonne ventilation, ca fait bien l'affaire.
# (next|own|xxx)cloud
Posté par NeoX . En réponse au message Micro CMS pour gérer les téléversements de fichiers pour un site web statique via HTTP. Évalué à 3.
sauf si je me trompe, il y a des solutions web/cloud développées en PHP
ca pourrait donc répondre à tes besoins.
[^] # Re: Impossible par design ?
Posté par NeoX . En réponse au message Snapstore sans connexion internet. Évalué à 2.
oui et non
si tu veux assurer le monde que le depot est "officiel", tu ne permet pas à d'autres de cloner ton depot pour offrir la meme chose plus des modifications.
c'est le cas avec les ppa par exemple ou un développeur peut proposer son application, et des librairies différentes de celle du système (plus anciennes ou plus récentes) et parfois foutre le bordel dans ta machine.
[^] # Re: lancer plusieurs processus
Posté par NeoX . En réponse au message Optimiser script php via multithread. Évalué à 2.
dans tes interrogations précédentes, tu semblais vouloir scripteur du monitoring et afficher les retour dans conky
peut-être vaut-il mieux alors avoir plusieurs scripts dédiés,
plutot qu'un gros script que tu vas lancer 3 fois pour gérer des trucs différents.
ou alors un seul script avec des options (mode1, mode2, mode3) pour interroger différents capteurs selon le mode.
Le script sera alors plus rapide.
et si un script doit récupérer plusieurs capteurs pour faire une et une seule sortie,
alors à toi de coder pour faire des executions en parallèle de tes capteurs.
[^] # Re: top
Posté par NeoX . En réponse au message Problème avec Mint Cinnamon. Évalué à 4.
je poussoir le vieux PC, poussiéreux ou défectueux dont un composant chauffe car la ventilation ne se fait pas comme il faut, et le PC qui s'arrête pour se protéger de la surchauffe.
[^] # Re: Merci
Posté par NeoX . En réponse au message Chmod 700 /usr/sbin. Évalué à 3.
peut-être parce que ton interface graphique n'est pas lancée en root et c'est tant mieux pour la sécurité.
et que cette interface propose un bouton reboot sur l'interface de login ou dans les menus, si cette option n'est pas disponible, le menu ne peut pas être construit, l'interface ne se lance pas.
il faudrait plutôt voir comment supprimer le droit de faire reboot aux utilisateurs non root de l'interface graphique
# comprendre comment fonctionne linux, et ses sécurités de bases
Posté par NeoX . En réponse au message Chmod 700 /usr/sbin. Évalué à 4.
/usr/sbin n'est en principe utilisable que par le root (Sbin) par opposition à /usr/bin, utilisable par les utilisateurs standards.
Cependant certains outils du /usr/sbin sont utilisés par d'autres.
c'est bien tu figes l'usage de /usr/sbin à l'utilisateur root.
mais tu as oublié qu'il y a plein d'autres utilisateurs pour faire fonctionner ton système.
donc comprendre comment fonctionne linux, et ses sécurités de bases (multi utilisateur, utilisateur services, utilisateurs humains, droits sur les dossiers/fichiers)
avant de faire n'importe quoi et de bloquer ta machine ;)
# c'est quoi les XX dans ton message d'erreur ?
Posté par NeoX . En réponse au message opensmtpd. Évalué à 5.
Idéalement c'est la (les) ligne(s) qui pose(nt) souci
[^] # Re: oui
Posté par NeoX . En réponse au message [Outil] Test en conformité sécurité. Évalué à 2.
pour dim et opensmtpd
https://lmgtfy.com/?q=dkim+%2Bopensmtpd
semble donner quelques résultats
pour pyzorcheck, ben c'est peut-être que tu as encore besoin de travailler sur ton serveur email, tes config DNS (MX, PTR, SPF, DKIM, DMARC…)
[^] # Re: oui
Posté par NeoX . En réponse au message [Outil] Test en conformité sécurité. Évalué à 2.
le A va forcement sur une IP
le CNAME va vers un A
exemple :
ainsi quand tu changes de serveur2 pour un autre, mais tu réinstalles les memes services,
tu changes juste ta ligne monserveur2 IN A ….
[^] # Re: Clé montée, il faut la démonter
Posté par NeoX . En réponse au message Créer une clé bootable de W10 sous Linux ZORIN. Évalué à 2.
Evidemment on ne parle pas d'ouvrir la clef pour la démonter.
juste qu'elle est activée dans le système, visible dans le navigateur de fichier.
il n'y a probablement que l'option d' "éjecter" la clef, elle devient alors invisible du système.
il faut la démonter (désactiver de l'usage courant, mais la laisser visible du système)
dans un terminal
ensuite dans woeUSB, tu sélectionneras la clef sdb
évidemment il faut adapter sdb à ton cas
[^] # Re: oui
Posté par NeoX . En réponse au message [Outil] Test en conformité sécurité. Évalué à 3. Dernière modification le 26 janvier 2020 à 10:41.
oui, une meme machine, meme IP peut avoir plusieurs services, accessible par des noms de domaine different.
chaque service écoutant sur un (des) port(s) different(s), ton client se connectera donc au bon service en fonction de ce qu'il demande.
exemple de port par défaut
www => port 80 (et 443 pour https)
smtp => port 25 (et/ou 465, 587)
mail => port 143 (imap), 110 (pop) et leur variante SSL, TLS (993, 995)
ftp => port 20/21 en actif, port 21 et multiport en passif
[^] # Re: ça dépend de la touche
Posté par NeoX . En réponse au message modifier le comportement de la touche «fn» ou «context». Évalué à 2.
au prix d'un clavier USB, donne ton clavier et acheté en un qui te convient :p
# oui
Posté par NeoX . En réponse au message [Outil] Test en conformité sécurité. Évalué à 5.
sans être "severe", dans la lutte anti spam, on regarde souvent que l'émetteur ait un nom de domaine valide (FQDN), si possible dans le domaine émetteur, ou sinon listé dans la liste SPF du domaine émetteur.
ainsi quand je reçois un email d'une machine X.Y.Z.T qui cherche a envoyé un email en provenance de @domainelectro75.tld vers mes utilisateurs,
ma machine va regarder si :
mais on dégage aussi les machines qui ne se présente pas avec un hostname valide ou inconnu…
ci-dessous mes rapports anti spams
# vieille machine ? de combien ?
Posté par NeoX . En réponse au message Accès à internet et portail de connexion. Évalué à 3.
pratique
peut-être que la machine est trop "vieille" et n'a pas assez de puissance pour faire le reste ?
- quel processeur sur tes machines ?
- combien de RAM sur tes machines ?
- quelle genre de disque dur ?
une mise à jour va consommer d'abord du réseau, du cpu et de la ram pour calculer les dépendances entre les logiciels presents à ceux à mettre à jour.
ensuite ca va prendre du reseau et du disque dur pour télécharger et stocker les paquets avant ensuite de prendre du CPU/RAM/disque dur pour installer les mises à jour.
possible que sur des machines un peu trop ancienne la RAM ou le CPU s'écroule sous la charge, rendant la machine inutilisable.
La solution citée de LTSP permet d'avoir une seule machine véloce et plusieurs vieux coucou pour faire tourner tout ca, avec une seule machine à gérer (installation et mise à jour)
# panne mécanique
Posté par NeoX . En réponse au message Hard reset imprimante : HP desktop officejet 6700 premium e-all-in-one. Évalué à 2.
tu as changé les cartouches ?
c'est des cartouches HP ?
tu as enlevé les caches (parfois il y a un bout de plastique à enlever pour que le contact se fasse, ou pour laisser l'air entrer et l'encre couler)
# la base : le DLNA
Posté par NeoX . En réponse au message Solution pour un serveur son à la maison. Évalué à 5.
avec le protocole DLNA, tu as
- un serveur sur ton PC ou se trouve les fichiers (musiques, videos, photos…)
- une remote (un autre pc, une tablette, un smartphone)
- un viewer (ce qui va réellement jouer le fichier, la TV pour une video, la chaine pour le son….)
évidemment il manque l'étage "radio FM" mais maintenant avec les radios sur internet la question se simplifie, sauf à vouloir pouvoir écouter la musique en FM quand internet est coupé.
ex que j'utilise :
Plex Media Server sur le PC source
Plex Media Payer sur le remote et sur le viewer
évidemment il y en a d'autre comme Kodi (anciennement XBMC), Mediatomb, microDLNA
[^] # Re: ça dépend de la touche
Posté par NeoX . En réponse au message modifier le comportement de la touche «fn» ou «context». Évalué à 3.
dans certains bios tu peux permuter Fn et Ctrl
# plusieurs pistes
Posté par NeoX . En réponse au message connexion impossible de xubuntu 18.04 depuis le 20/810/2020. Évalué à 2.
-> tenter de te connecter avec un autre utilisateur => ca élimine le problème de configuration logiciel (un réglage dans le compte qui fait que ca deconne)
si ca bloque toujours,
-> demarrer avec un liveCD, puis accéder au disque dur pour voir s'il est plein,
parfois on ne peut pas se connecter car on ne peut simplement pas écrire un fichier sur le disque.
si le disque est plein,
-> faire du menage, redémarrer et retenter de te connecter
si tu as toujours le problème alors il faut envisager de reinstaller.
-> depuis le liveCD, tu sauvegardes tes données et tes réglages (ton /home/moimeme en fait)
et tu réinstalles.
# interrogation
Posté par NeoX . En réponse au message [cherche] hébergeur mails. Évalué à 2.
hmm, les protocoles classiques pour les clients emails sont POP(s), IMAP(s) pour la reception et SMTP(s) pour l'emission d'email.
je ne vois pas trop comment ils pourraient héberger des emails sans être compatibles avec ces protocoles.