NeoX a écrit 18201 commentaires

J'utilise DynDNS pour toutes mes machines derrière des box (ADSL/fibre), parce que leurs IP sont dynamiques et que ddclient c'est bien pratique.

alors fait ca chez dyn.com :

machine1-site1.dyn.com
machine2-site1.dyn.com

machine1-site2.dyn.com
machine2-site2.dyn.com

et rien ne t'empêche ensuite d'avoir une seule creation "definitive" à faire pour avoir

remotedesktop.site1.nanawel.tld IN CNAME machine1-site1.dyn.com
cloud.site1.nanawel.tld IN CNAME machine2-site1.dyn.com

ensuite tes applis tapent toujours remotedesktop.site1 ou cloud.site1
mais ca ira bien sur ton site1 sur la machine qui va bien

Je n'ai pas de serveur DNS propre si c'est la question. C'est Dyn qui me fournit ce service mais qui est donc apparemment bien bridé.

alors si tu n'as pas de DNS à toi (enfin de nom de domaine à toi chez un registrar)
oui, il te faudra faire avec les limitations de dyn.com et faire
machine1.dyn.com
machine2.dyn.com
machine3.dyn.com

ou changer de DNS dynamique pour un qui gere les sous, sous-domaine
service1.machine1.xxxx.tld
service2.machine1.xxxx.tld

Sinon un nom de domaine avec un vrai DNS, chez un hébergeur français bien connu c'est par exemple :
* 10euros/an pour un .com
* 7euros/an pour un .fr

c'est pas non plus la mort,
et ca gere aussi le DDNS si ton IP change souvent.

c'est dans la config du noyau que tu lui dis ce qui sera inclue dedans en dur ou en module.

une fois compilé, ton noyau ne contient alors que le strict nécessaire.

faut tricher, tu fais des niveaux 3

serveur1-foo.dyn.com
serveur2-foo.dyn.com

etc

ensuite tu utilises ton vrai DNS pour faire
www.nanawel.tld IN CNAME serveur1-foo.dyn.com
ftp.nanawel.tld IN CNAME serveur2-foo.dyn.com

etc

dans la meme idée,

mettre le service DNS en route sur le pfsense.
et renvoyer les noms de domaine vers les IPs internes des VMs

ainsi les VMs causent entre elles en interne.

mais il faut alors gérer 2 DNS, celui publique, et celui du pfsense.

tu demandes au jouer de choisir une lettre (P F C)
tu stockes le résultat dans choixJ

puis tu testes choixJ (la ligne case)
pour affecter la valeur du choix du joueur à choixJ

ton programme pourrait être simplifié

# iChoix pour le choix interactif
read -p "faites votre choix parmi P F V" iChoix

case $iChoix in
  P|F|C)
     choixJoueur=$iChoix
     a=0
  ;;
  *)
     echo "mauvais choix"
  ;;
esac

regarde si ton fournisseur du serveur ne peut pas t'attribuer une IP supplémentaire (failover ou autre).

ainsi tu mets cette nouvelle IP sur le pfsense, interface WAN
c'est alors indépendant de l'IP du proxmox.

tu n'as alors plus à te soucier des règles de firewall dans le proxmox
les flux arrivent directement sur vmbr0 (interface publique du pfsense)
et tu as tes VMs sur ton vmbr2 (internal OVSbridge par exemple, le LAN du pfsense)

tu codes chez toi, et tu peux pousser sur plusieurs plateformes pour te faire connaitre,

ensuite à toi de gérer les rfc, les bugs et pull-request des diverses plateformes.

Perso ca depend du contexte, pour :
- des assos, ce sera framagit, avec une copie locale
- des pros : gitlab/github selon leurs choix et toujours une copie locale du depot.

utilises-tu l'adresse privée ? 192.168.X.Y
ou ton IP/DNS publique ?

attention, dans ton cas il est possible que le fail2ban bloque les entrants de 192.168.X.254 (ou 192.168.X.1 suivant les bons) car il voit l'IP de la box comme "frauduleuse".

oui tu peux écrire un honeypot sur le port 22,
qui répond toujours FAUX à la tentative de connexion, mais stock le mot de passe en clair dans un fichier de log.

le problème c'est quand meme qu'il va falloir simuler un serveur SSH, avec échange de clef valide

si la solution me paraît complètement surdimensionnée (et sa consommation en ressources aussi) pour cet usage

en quoi est-ce "surdimensionner" ou "gourmand" en ressources ?

si tu ne te sers pas du module synchronisation des clients distants et uniquement de l'interface web, ca reste des scripts qui tournent uniquement quand on s'en sert.

"Linus Tech Tips" encore eux, ont quelques videos sur l'intérêt du water cooling.

Et finalement il en ressort que oui, c'est plus joli, plus fun,
mais que non, ce n'est pas forcement plus performant, ni plus silencieux (il faut parfois des ventiles pour souffler sur le radiateur qui refroidit le liquide)

et puis il y a les risques de fuites, les maintenances (purger/demonter le water cooling quand tu veux changer une piece du PC)…

donc je dirais un bon boitier, avec une bonne ventilation, ca fait bien l'affaire.

sauf si je me trompe, il y a des solutions web/cloud développées en PHP
ca pourrait donc répondre à tes besoins.

C'est vraiment étrange comme volonté :/

oui et non

si tu veux assurer le monde que le depot est "officiel", tu ne permet pas à d'autres de cloner ton depot pour offrir la meme chose plus des modifications.

c'est le cas avec les ppa par exemple ou un développeur peut proposer son application, et des librairies différentes de celle du système (plus anciennes ou plus récentes) et parfois foutre le bordel dans ta machine.

dans tes interrogations précédentes, tu semblais vouloir scripteur du monitoring et afficher les retour dans conky

peut-être vaut-il mieux alors avoir plusieurs scripts dédiés,
plutot qu'un gros script que tu vas lancer 3 fois pour gérer des trucs différents.

ou alors un seul script avec des options (mode1, mode2, mode3) pour interroger différents capteurs selon le mode.

Le script sera alors plus rapide.

et si un script doit récupérer plusieurs capteurs pour faire une et une seule sortie,
alors à toi de coder pour faire des executions en parallèle de tes capteurs.

je poussoir le vieux PC, poussiéreux ou défectueux dont un composant chauffe car la ventilation ne se fait pas comme il faut, et le PC qui s'arrête pour se protéger de la surchauffe.

En retirant le PATH il lui est impossible d'utiliser la commande en tapant reboot, cependant il peut toujours utiliser /usr/sbin/reboot car les utilisateurs Other peuvent execute, si j'enleve le execute impossible de démarrer l'interface graphique.

peut-être parce que ton interface graphique n'est pas lancée en root et c'est tant mieux pour la sécurité.

et que cette interface propose un bouton reboot sur l'interface de login ou dans les menus, si cette option n'est pas disponible, le menu ne peut pas être construit, l'interface ne se lance pas.

il faudrait plutôt voir comment supprimer le droit de faire reboot aux utilisateurs non root de l'interface graphique

J'aimerai en premier lieu interdir l'accès au /usr/sbin,

/usr/sbin n'est en principe utilisable que par le root (Sbin) par opposition à /usr/bin, utilisable par les utilisateurs standards.

Cependant certains outils du /usr/sbin sont utilisés par d'autres.

J'ai supprimer le PATH dans le bashrc des utilisateurs mais quand je chmod 700 en root sur le /usr/sbin il met impossible de redemarrer par la suite.

c'est bien tu figes l'usage de /usr/sbin à l'utilisateur root.
mais tu as oublié qu'il y a plein d'autres utilisateurs pour faire fonctionner ton système.

Connaissez vous d'autre moyens d'y arriver et d'autre astuces de hardening ? merci

donc comprendre comment fonctionne linux, et ses sécurités de bases (multi utilisateur, utilisateur services, utilisateurs humains, droits sur les dossiers/fichiers)

avant de faire n'importe quoi et de bloquer ta machine ;)

Idéalement c'est la (les) ligne(s) qui pose(nt) souci

pour dim et opensmtpd

https://lmgtfy.com/?q=dkim+%2Bopensmtpd

semble donner quelques résultats

pour pyzorcheck, ben c'est peut-être que tu as encore besoin de travailler sur ton serveur email, tes config DNS (MX, PTR, SPF, DKIM, DMARC…)

le A va forcement sur une IP
le CNAME va vers un A

exemple :

monserveur1 IN A A.B.C.D
monserveur2 IN A E.F.G.H

mail IN CNAME monserveur1
smtp IN CNAME monserveur1
pop IN CNAME monserveur1
imap IN CNAME monserveur1

www IN CNAME monserveur2
ftp IN CNAME monserveur2

ainsi quand tu changes de serveur2 pour un autre, mais tu réinstalles les memes services,
tu changes juste ta ligne monserveur2 IN A ….

Evidemment on ne parle pas d'ouvrir la clef pour la démonter.

juste qu'elle est activée dans le système, visible dans le navigateur de fichier.
il n'y a probablement que l'option d' "éjecter" la clef, elle devient alors invisible du système.

il faut la démonter (désactiver de l'usage courant, mais la laisser visible du système)

dans un terminal

# ici la commande qui va lister les disques actifs
sudo mount

# ca va lister les disques et l'endroit ou ils sont activés, exemple
tmpfs on /run type tmpfs (rw,nosuid,noexec,relatime,size=3283764k,mode=755)
/dev/md1 on / type ext4 (rw,relatime,errors=remount-ro,data=ordered)
securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /dev/shm type tmpfs (rw)
/dev/sdb1 on /media/monuser/maclefUSB type NTFS

# là la commande pour demonter le disque (sdb1) sans l'éjecter
sudo umount /dev/sdb1

# ou pour démonter le disque à partir de son emplacement d'activation
sudo umount /media/monuser/maclefUSB

ensuite dans woeUSB, tu sélectionneras la clef sdb

évidemment il faut adapter sdb à ton cas

Aussi, peut-on faire du multiple hostname pour un seul PC avec plusieurs services ?

oui, une meme machine, meme IP peut avoir plusieurs services, accessible par des noms de domaine different.

www.domain.tld IN A Adresse_IP
smtp.domain.tld IN A Adresse_IP
mail.domain.tld IN A Adresse_IP
ftp.domain.tld IN A Adresse_IP

chaque service écoutant sur un (des) port(s) different(s), ton client se connectera donc au bon service en fonction de ce qu'il demande.

exemple de port par défaut

www => port 80 (et 443 pour https)
smtp => port 25 (et/ou 465, 587)
mail => port 143 (imap), 110 (pop) et leur variante SSL, TLS (993, 995)
ftp => port 20/21 en actif, port 21 et multiport en passif

au prix d'un clavier USB, donne ton clavier et acheté en un qui te convient :p

Je vous parle de ceci car n'ayant pas mis à jour mon hostname, je crois que je ne respecte pas complètement le schéma classique théorique FQDN.

Est-ce que les serveurs mails à règles sévères ont besoin de ceci ?

sans être "severe", dans la lutte anti spam, on regarde souvent que l'émetteur ait un nom de domaine valide (FQDN), si possible dans le domaine émetteur, ou sinon listé dans la liste SPF du domaine émetteur.

ainsi quand je reçois un email d'une machine X.Y.Z.T qui cherche a envoyé un email en provenance de @domainelectro75.tld vers mes utilisateurs,

ma machine va regarder si :

• X.Y.Z.T renvoie bien sur un nom de domaine valide (c'est donc le reverse DNS, PTR de son nom qu'il faut renseigner)
• X.Y.Z.T et/ou le nom de domaine trouvé preceddemment est dans la liste des machines autorisées à envoyer des emails avec émetteur @domainelectro75.tld (c'est le champ DNS SPF ou TXT du domaine domainelectro75.tld qu'il faut configurer)

mais on dégage aussi les machines qui ne se présente pas avec un hostname valide ou inconnu…

ci-dessous mes rapports anti spams

RCPT
   Recipient address rejected: 

   Relay access denied (total: 4)
          2   45.143.223.51
          1   purpleroad.top
          1   195.189.197.138
   blocked using b.barracudacentral.org (total: 1)
          1   hostwindsdns.com
   blocked using bl.spamcop.net (total: 2)
          1   rsgsv.net
          1   sfmails.net
   blocked using cbl.abuseat.org (total: 1)
          1   rednovel.top
   cannot find your hostname (total: 63)
         42   64.225.118.184
          8   23.247.93.161
          4   134.73.250.199
          1   59.31.90.206
          1   77.121.5.131
          1   81.21.86.97
          1   91.191.146.57
          1   96.70.52.227
          1   118.70.220.116
          1   178.176.104.182
          1   185.116.254.18
          1   202.166.174.218