je poussoir le vieux PC, poussiéreux ou défectueux dont un composant chauffe car la ventilation ne se fait pas comme il faut, et le PC qui s'arrête pour se protéger de la surchauffe.
En retirant le PATH il lui est impossible d'utiliser la commande en tapant reboot, cependant il peut toujours utiliser /usr/sbin/reboot car les utilisateurs Other peuvent execute, si j'enleve le execute impossible de démarrer l'interface graphique.
peut-être parce que ton interface graphique n'est pas lancée en root et c'est tant mieux pour la sécurité.
et que cette interface propose un bouton reboot sur l'interface de login ou dans les menus, si cette option n'est pas disponible, le menu ne peut pas être construit, l'interface ne se lance pas.
il faudrait plutôt voir comment supprimer le droit de faire reboot aux utilisateurs non root de l'interface graphique
J'aimerai en premier lieu interdir l'accès au /usr/sbin,
/usr/sbin n'est en principe utilisable que par le root (Sbin) par opposition à /usr/bin, utilisable par les utilisateurs standards.
Cependant certains outils du /usr/sbin sont utilisés par d'autres.
J'ai supprimer le PATH dans le bashrc des utilisateurs mais quand je chmod 700 en root sur le /usr/sbin il met impossible de redemarrer par la suite.
c'est bien tu figes l'usage de /usr/sbin à l'utilisateur root.
mais tu as oublié qu'il y a plein d'autres utilisateurs pour faire fonctionner ton système.
Connaissez vous d'autre moyens d'y arriver et d'autre astuces de hardening ? merci
donc comprendre comment fonctionne linux, et ses sécurités de bases (multi utilisateur, utilisateur services, utilisateurs humains, droits sur les dossiers/fichiers)
avant de faire n'importe quoi et de bloquer ta machine ;)
le A va forcement sur une IP
le CNAME va vers un A
exemple :
monserveur1 IN A A.B.C.D
monserveur2 IN A E.F.G.H
mail IN CNAME monserveur1
smtp IN CNAME monserveur1
pop IN CNAME monserveur1
imap IN CNAME monserveur1
www IN CNAME monserveur2
ftp IN CNAME monserveur2
ainsi quand tu changes de serveur2 pour un autre, mais tu réinstalles les memes services,
tu changes juste ta ligne monserveur2 IN A ….
Evidemment on ne parle pas d'ouvrir la clef pour la démonter.
juste qu'elle est activée dans le système, visible dans le navigateur de fichier.
il n'y a probablement que l'option d' "éjecter" la clef, elle devient alors invisible du système.
il faut la démonter (désactiver de l'usage courant, mais la laisser visible du système)
dans un terminal
# ici la commande qui va lister les disques actifs
sudo mount
# ca va lister les disques et l'endroit ou ils sont activés, exemple
tmpfs on /run type tmpfs (rw,nosuid,noexec,relatime,size=3283764k,mode=755)
/dev/md1 on / type ext4 (rw,relatime,errors=remount-ro,data=ordered)
securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /dev/shm type tmpfs (rw)
/dev/sdb1 on /media/monuser/maclefUSB type NTFS
# là la commande pour demonter le disque (sdb1) sans l'éjecter
sudo umount /dev/sdb1
# ou pour démonter le disque à partir de son emplacement d'activation
sudo umount /media/monuser/maclefUSB
ensuite dans woeUSB, tu sélectionneras la clef sdb
Aussi, peut-on faire du multiple hostname pour un seul PC avec plusieurs services ?
oui, une meme machine, meme IP peut avoir plusieurs services, accessible par des noms de domaine different.
www.domain.tld IN A Adresse_IP
smtp.domain.tld IN A Adresse_IP
mail.domain.tld IN A Adresse_IP
ftp.domain.tld IN A Adresse_IP
chaque service écoutant sur un (des) port(s) different(s), ton client se connectera donc au bon service en fonction de ce qu'il demande.
exemple de port par défaut
www => port 80 (et 443 pour https)
smtp => port 25 (et/ou 465, 587)
mail => port 143 (imap), 110 (pop) et leur variante SSL, TLS (993, 995)
ftp => port 20/21 en actif, port 21 et multiport en passif
Je vous parle de ceci car n'ayant pas mis à jour mon hostname, je crois que je ne respecte pas complètement le schéma classique théorique FQDN.
Est-ce que les serveurs mails à règles sévères ont besoin de ceci ?
sans être "severe", dans la lutte anti spam, on regarde souvent que l'émetteur ait un nom de domaine valide (FQDN), si possible dans le domaine émetteur, ou sinon listé dans la liste SPF du domaine émetteur.
ainsi quand je reçois un email d'une machine X.Y.Z.T qui cherche a envoyé un email en provenance de @domainelectro75.tld vers mes utilisateurs,
ma machine va regarder si :
X.Y.Z.T renvoie bien sur un nom de domaine valide (c'est donc le reverse DNS, PTR de son nom qu'il faut renseigner)
X.Y.Z.T et/ou le nom de domaine trouvé preceddemment est dans la liste des machines autorisées à envoyer des emails avec émetteur @domainelectro75.tld (c'est le champ DNS SPF ou TXT du domaine domainelectro75.tld qu'il faut configurer)
mais on dégage aussi les machines qui ne se présente pas avec un hostname valide ou inconnu…
le gestionnaire de MàJ a accès au réseau sans qu'il y ait besoin de passer par le portail de connexion
pratique
mais dans ce cas, si MàJ il y a, cela rend inutilisable le pc (ralentissement important voir total) pendant 5 à 10 minutes
peut-être que la machine est trop "vieille" et n'a pas assez de puissance pour faire le reste ?
- quel processeur sur tes machines ?
- combien de RAM sur tes machines ?
- quelle genre de disque dur ?
une mise à jour va consommer d'abord du réseau, du cpu et de la ram pour calculer les dépendances entre les logiciels presents à ceux à mettre à jour.
ensuite ca va prendre du reseau et du disque dur pour télécharger et stocker les paquets avant ensuite de prendre du CPU/RAM/disque dur pour installer les mises à jour.
possible que sur des machines un peu trop ancienne la RAM ou le CPU s'écroule sous la charge, rendant la machine inutilisable.
La solution citée de LTSP permet d'avoir une seule machine véloce et plusieurs vieux coucou pour faire tourner tout ca, avec une seule machine à gérer (installation et mise à jour)
"Tête d'impression : Manquante, défectueuse ou incompatible".
tu as changé les cartouches ?
c'est des cartouches HP ?
tu as enlevé les caches (parfois il y a un bout de plastique à enlever pour que le contact se fasse, ou pour laisser l'air entrer et l'encre couler)
avec le protocole DLNA, tu as
- un serveur sur ton PC ou se trouve les fichiers (musiques, videos, photos…)
- une remote (un autre pc, une tablette, un smartphone)
- un viewer (ce qui va réellement jouer le fichier, la TV pour une video, la chaine pour le son….)
évidemment il manque l'étage "radio FM" mais maintenant avec les radios sur internet la question se simplifie, sauf à vouloir pouvoir écouter la musique en FM quand internet est coupé.
ex que j'utilise :
Plex Media Server sur le PC source
Plex Media Payer sur le remote et sur le viewer
évidemment il y en a d'autre comme Kodi (anciennement XBMC), Mediatomb, microDLNA
-> tenter de te connecter avec un autre utilisateur => ca élimine le problème de configuration logiciel (un réglage dans le compte qui fait que ca deconne)
si ca bloque toujours,
-> demarrer avec un liveCD, puis accéder au disque dur pour voir s'il est plein,
parfois on ne peut pas se connecter car on ne peut simplement pas écrire un fichier sur le disque.
si le disque est plein,
-> faire du menage, redémarrer et retenter de te connecter
si tu as toujours le problème alors il faut envisager de reinstaller.
-> depuis le liveCD, tu sauvegardes tes données et tes réglages (ton /home/moimeme en fait)
Elle n'est pas visible du système et seulement interprétée par le controleur du clavier qui, une fois une autre touche pressée, envoie le keycode associé à la combinaison.
du coup elle devient visible, mais uniquement avec une autre touche => un keycode.
suffit alors de retaper le keycode pour faire faire ce que tu veux.
Sérieux, un PC portable 100% compatible avec Linux/Ubutnu ça existe ???
ca va dépendre du constructeur du PC et du constructeur du composant, certains jouent le jeu de mettre des composants dont les pilotes existent aussi pour linux.
d'autres s'en fichent tant que ca marche sous windows.
du coup il faut parfois charger des fichiers "firmware" propriétaires (BLOB ?) depuis le site du constructeur de la carte wifi, pour déposer le fichier dans le bon dossier
afin que linux puisse alors discuter correctement avec la carte.
sans ce fichier, la carte est vue, mais pas utilisable :(
hmm, c'est le nom du logiciel sur lequel il va falloir developper des greffons ?
parce que pour moi un EBP c'est comme un CRM, donc si tu ne précises pas sur quel logiciel le client travaille, ca ne va pas aider à trouver quelqu'un qui pourra faire le boulot.
heu ???
pourquoi opensmtp voudrait accéder au port 587 ?
soit c'est dovecot qui gère ce service (SMTP authentifié), et il faut lui laisser ce port là
soit c'est opensmtp qui gère le SMTP authentifié, et c'est lui qui doit avoir le port 587
mais faut pas avoir plusieurs logiciels pour gérer le meme service
Du coup, la carte privé hôte est en 192.168.56.111, une VM windows 10, qui a elle aussi une carte privé hôte est elle en 192.168.56.103. Je ping sans soucis le .111 depuis mon client W10, mais que je tape http://192.168.56.111/checkmk/ ou http://localhost.localmachine/checkmk/, dans tous les cas, ça ne donne rien…
pour le localhost, c'est normal, depuis le windows, ca va aller … sur le windows.
que le windows n'ai pas de réponse à ta demande http://192.168.56.111 est plus étrange.
en dehors de checkMK, tu as un service qui écoute sur le port 80 (service web ?)
parce que tu peux installer ce que tu veux dans /var/www/html/checkmk
si personne ne répond aux requêtes sur le port 80, ca n'ira jamais dans ce dossier.
la commande netstat -plnt devrait te lister les services en cours, et dans la colonne "local address" (ou "adresse locale") tu doit avoir une ligne avec 0.0.0.0:80 ou ::80 ou 192.168.56.111:80
janv. 14 16:11:22 homeserv systemd[1]: Started OpenSMTPD SMTP server.
janv. 14 16:11:22 homeserv smtpd[1408]: pony express: listen: Address already in use
c'est donc possiblement que quelqu'un utilise deja le port que tu demandes à ouvrir.
dans ton fichier de configuration, il est probable que l'une des deux lignes était commentée, et que tu as ajouté la 2e pour que le service soit accessible de l'extérieur.
du coup, ton service s'active sur l'IP représentée par lo (127.0.0.1)
et cherche ensuite à l'activer sur TOUTES les IPs représentées par 0.0.0.0
donc il va réessayer de s'activer sur 127.0.0.1 et trouver qu'il y a deja quelqu'un (sans se rendre compte que c'est lui meme :p )
si tu as installé ton checkMK sur une machine autre que ta machine depuis laquelle tu te connectes, ton http://localhost ne trouvera rien car il ne pourra pas aller sur la machine distante.
le seul cas ou cela peut fonctionner, c'est si tu installes checkMK sur la meme machine que celle à partir de laquelle tu vas lancer le navigateur web pour se connecter sur ton interface.
[^] # Re: top
Posté par NeoX . En réponse au message Problème avec Mint Cinnamon. Évalué à 4.
je poussoir le vieux PC, poussiéreux ou défectueux dont un composant chauffe car la ventilation ne se fait pas comme il faut, et le PC qui s'arrête pour se protéger de la surchauffe.
[^] # Re: Merci
Posté par NeoX . En réponse au message Chmod 700 /usr/sbin. Évalué à 3.
peut-être parce que ton interface graphique n'est pas lancée en root et c'est tant mieux pour la sécurité.
et que cette interface propose un bouton reboot sur l'interface de login ou dans les menus, si cette option n'est pas disponible, le menu ne peut pas être construit, l'interface ne se lance pas.
il faudrait plutôt voir comment supprimer le droit de faire reboot aux utilisateurs non root de l'interface graphique
# comprendre comment fonctionne linux, et ses sécurités de bases
Posté par NeoX . En réponse au message Chmod 700 /usr/sbin. Évalué à 4.
/usr/sbin n'est en principe utilisable que par le root (Sbin) par opposition à /usr/bin, utilisable par les utilisateurs standards.
Cependant certains outils du /usr/sbin sont utilisés par d'autres.
c'est bien tu figes l'usage de /usr/sbin à l'utilisateur root.
mais tu as oublié qu'il y a plein d'autres utilisateurs pour faire fonctionner ton système.
donc comprendre comment fonctionne linux, et ses sécurités de bases (multi utilisateur, utilisateur services, utilisateurs humains, droits sur les dossiers/fichiers)
avant de faire n'importe quoi et de bloquer ta machine ;)
# c'est quoi les XX dans ton message d'erreur ?
Posté par NeoX . En réponse au message opensmtpd. Évalué à 5.
Idéalement c'est la (les) ligne(s) qui pose(nt) souci
[^] # Re: oui
Posté par NeoX . En réponse au message [Outil] Test en conformité sécurité. Évalué à 2.
pour dim et opensmtpd
https://lmgtfy.com/?q=dkim+%2Bopensmtpd
semble donner quelques résultats
pour pyzorcheck, ben c'est peut-être que tu as encore besoin de travailler sur ton serveur email, tes config DNS (MX, PTR, SPF, DKIM, DMARC…)
[^] # Re: oui
Posté par NeoX . En réponse au message [Outil] Test en conformité sécurité. Évalué à 2.
le A va forcement sur une IP
le CNAME va vers un A
exemple :
ainsi quand tu changes de serveur2 pour un autre, mais tu réinstalles les memes services,
tu changes juste ta ligne monserveur2 IN A ….
[^] # Re: Clé montée, il faut la démonter
Posté par NeoX . En réponse au message Créer une clé bootable de W10 sous Linux ZORIN. Évalué à 2.
Evidemment on ne parle pas d'ouvrir la clef pour la démonter.
juste qu'elle est activée dans le système, visible dans le navigateur de fichier.
il n'y a probablement que l'option d' "éjecter" la clef, elle devient alors invisible du système.
il faut la démonter (désactiver de l'usage courant, mais la laisser visible du système)
dans un terminal
ensuite dans woeUSB, tu sélectionneras la clef sdb
évidemment il faut adapter sdb à ton cas
[^] # Re: oui
Posté par NeoX . En réponse au message [Outil] Test en conformité sécurité. Évalué à 3. Dernière modification le 26 janvier 2020 à 10:41.
oui, une meme machine, meme IP peut avoir plusieurs services, accessible par des noms de domaine different.
chaque service écoutant sur un (des) port(s) different(s), ton client se connectera donc au bon service en fonction de ce qu'il demande.
exemple de port par défaut
www => port 80 (et 443 pour https)
smtp => port 25 (et/ou 465, 587)
mail => port 143 (imap), 110 (pop) et leur variante SSL, TLS (993, 995)
ftp => port 20/21 en actif, port 21 et multiport en passif
[^] # Re: ça dépend de la touche
Posté par NeoX . En réponse au message modifier le comportement de la touche «fn» ou «context». Évalué à 2.
au prix d'un clavier USB, donne ton clavier et acheté en un qui te convient :p
# oui
Posté par NeoX . En réponse au message [Outil] Test en conformité sécurité. Évalué à 5.
sans être "severe", dans la lutte anti spam, on regarde souvent que l'émetteur ait un nom de domaine valide (FQDN), si possible dans le domaine émetteur, ou sinon listé dans la liste SPF du domaine émetteur.
ainsi quand je reçois un email d'une machine X.Y.Z.T qui cherche a envoyé un email en provenance de @domainelectro75.tld vers mes utilisateurs,
ma machine va regarder si :
mais on dégage aussi les machines qui ne se présente pas avec un hostname valide ou inconnu…
ci-dessous mes rapports anti spams
# vieille machine ? de combien ?
Posté par NeoX . En réponse au message Accès à internet et portail de connexion. Évalué à 3.
pratique
peut-être que la machine est trop "vieille" et n'a pas assez de puissance pour faire le reste ?
- quel processeur sur tes machines ?
- combien de RAM sur tes machines ?
- quelle genre de disque dur ?
une mise à jour va consommer d'abord du réseau, du cpu et de la ram pour calculer les dépendances entre les logiciels presents à ceux à mettre à jour.
ensuite ca va prendre du reseau et du disque dur pour télécharger et stocker les paquets avant ensuite de prendre du CPU/RAM/disque dur pour installer les mises à jour.
possible que sur des machines un peu trop ancienne la RAM ou le CPU s'écroule sous la charge, rendant la machine inutilisable.
La solution citée de LTSP permet d'avoir une seule machine véloce et plusieurs vieux coucou pour faire tourner tout ca, avec une seule machine à gérer (installation et mise à jour)
# panne mécanique
Posté par NeoX . En réponse au message Hard reset imprimante : HP desktop officejet 6700 premium e-all-in-one. Évalué à 2.
tu as changé les cartouches ?
c'est des cartouches HP ?
tu as enlevé les caches (parfois il y a un bout de plastique à enlever pour que le contact se fasse, ou pour laisser l'air entrer et l'encre couler)
# la base : le DLNA
Posté par NeoX . En réponse au message Solution pour un serveur son à la maison. Évalué à 5.
avec le protocole DLNA, tu as
- un serveur sur ton PC ou se trouve les fichiers (musiques, videos, photos…)
- une remote (un autre pc, une tablette, un smartphone)
- un viewer (ce qui va réellement jouer le fichier, la TV pour une video, la chaine pour le son….)
évidemment il manque l'étage "radio FM" mais maintenant avec les radios sur internet la question se simplifie, sauf à vouloir pouvoir écouter la musique en FM quand internet est coupé.
ex que j'utilise :
Plex Media Server sur le PC source
Plex Media Payer sur le remote et sur le viewer
évidemment il y en a d'autre comme Kodi (anciennement XBMC), Mediatomb, microDLNA
[^] # Re: ça dépend de la touche
Posté par NeoX . En réponse au message modifier le comportement de la touche «fn» ou «context». Évalué à 3.
dans certains bios tu peux permuter Fn et Ctrl
# plusieurs pistes
Posté par NeoX . En réponse au message connexion impossible de xubuntu 18.04 depuis le 20/810/2020. Évalué à 2.
-> tenter de te connecter avec un autre utilisateur => ca élimine le problème de configuration logiciel (un réglage dans le compte qui fait que ca deconne)
si ca bloque toujours,
-> demarrer avec un liveCD, puis accéder au disque dur pour voir s'il est plein,
parfois on ne peut pas se connecter car on ne peut simplement pas écrire un fichier sur le disque.
si le disque est plein,
-> faire du menage, redémarrer et retenter de te connecter
si tu as toujours le problème alors il faut envisager de reinstaller.
-> depuis le liveCD, tu sauvegardes tes données et tes réglages (ton /home/moimeme en fait)
et tu réinstalles.
# interrogation
Posté par NeoX . En réponse au message [cherche] hébergeur mails. Évalué à 2.
hmm, les protocoles classiques pour les clients emails sont POP(s), IMAP(s) pour la reception et SMTP(s) pour l'emission d'email.
je ne vois pas trop comment ils pourraient héberger des emails sans être compatibles avec ces protocoles.
[^] # Re: ça dépend de la touche
Posté par NeoX . En réponse au message modifier le comportement de la touche «fn» ou «context». Évalué à 4.
du coup elle devient visible, mais uniquement avec une autre touche => un keycode.
suffit alors de retaper le keycode pour faire faire ce que tu veux.
[^] # Re: rsync >> cp
Posté par NeoX . En réponse au message cp -R excluant un répertoire. Évalué à 2.
dotant plus que
rsyncpermet de reprendre là ou tu en étais du transfert en cas de coupure, et donc toléré les interruptions de transfert[^] # Re: Ne marche toujours pas
Posté par NeoX . En réponse au message PC (avec Xubuntu) - Wifi = Ne prend pas mon mot de passe. Évalué à 3.
ca va dépendre du constructeur du PC et du constructeur du composant, certains jouent le jeu de mettre des composants dont les pilotes existent aussi pour linux.
d'autres s'en fichent tant que ca marche sous windows.
du coup il faut parfois charger des fichiers "firmware" propriétaires (BLOB ?) depuis le site du constructeur de la carte wifi, pour déposer le fichier dans le bon dossier
afin que linux puisse alors discuter correctement avec la carte.
sans ce fichier, la carte est vue, mais pas utilisable :(
# des infos ?
Posté par NeoX . En réponse au message Recherche « consultant » EBP bâtiment. Évalué à 4.
hmm, c'est le nom du logiciel sur lequel il va falloir developper des greffons ?
parce que pour moi un EBP c'est comme un CRM, donc si tu ne précises pas sur quel logiciel le client travaille, ca ne va pas aider à trouver quelqu'un qui pourra faire le boulot.
[^] # Re: Lignes en conflit
Posté par NeoX . En réponse au message Serveur Opensmtp. Évalué à 2.
heu ???
pourquoi opensmtp voudrait accéder au port 587 ?
soit c'est dovecot qui gère ce service (SMTP authentifié), et il faut lui laisser ce port là
soit c'est opensmtp qui gère le SMTP authentifié, et c'est lui qui doit avoir le port 587
mais faut pas avoir plusieurs logiciels pour gérer le meme service
[^] # Re: connexion d'ou à ou ?
Posté par NeoX . En réponse au message CentOS connexion à interface web (CheckMK). Évalué à 2.
pour le localhost, c'est normal, depuis le windows, ca va aller … sur le windows.
que le windows n'ai pas de réponse à ta demande http://192.168.56.111 est plus étrange.
en dehors de checkMK, tu as un service qui écoute sur le port 80 (service web ?)
parce que tu peux installer ce que tu veux dans /var/www/html/checkmk
si personne ne répond aux requêtes sur le port 80, ca n'ira jamais dans ce dossier.
la commande netstat -plnt devrait te lister les services en cours, et dans la colonne "local address" (ou "adresse locale") tu doit avoir une ligne avec 0.0.0.0:80 ou ::80 ou 192.168.56.111:80
[^] # Re: Lignes en conflit
Posté par NeoX . En réponse au message Serveur Opensmtp. Évalué à 3.
Je ne peux que plussoyer notre ami.
Ton erreur est diagnostiquée là :
c'est donc possiblement que quelqu'un utilise deja le port que tu demandes à ouvrir.
dans ton fichier de configuration, il est probable que l'une des deux lignes était commentée, et que tu as ajouté la 2e pour que le service soit accessible de l'extérieur.
du coup, ton service s'active sur l'IP représentée par lo (127.0.0.1)
et cherche ensuite à l'activer sur TOUTES les IPs représentées par 0.0.0.0
donc il va réessayer de s'activer sur 127.0.0.1 et trouver qu'il y a deja quelqu'un (sans se rendre compte que c'est lui meme :p )
[^] # Re: Besoin de te documenter sur LDAP
Posté par NeoX . En réponse au message Configuration serveur LDAP. Évalué à 2.
ton slap cat affiche maintenant "nodomain"
c'est donc que tu as rentré "nodomain" à un moment de la configuration.
refait ta purge et rentre l'info "tondomain.fr"
ca devrait faire un "dc=tondomaine,dc=fr"
# connexion d'ou à ou ?
Posté par NeoX . En réponse au message CentOS connexion à interface web (CheckMK). Évalué à 3.
localhost c'est TOUJOURS ta machine locale,
si tu as installé ton checkMK sur une machine autre que ta machine depuis laquelle tu te connectes, ton http://localhost ne trouvera rien car il ne pourra pas aller sur la machine distante.
le seul cas ou cela peut fonctionner, c'est si tu installes checkMK sur la meme machine que celle à partir de laquelle tu vas lancer le navigateur web pour se connecter sur ton interface.