nono14 a écrit 1656 commentaires

root peut lire tous les fichiers de la machine

Si ça doit rester confidentiel, il faudrait penser au chiffrement.

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

C'est probablement la cg qui rame.

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

mate c'est pas léger

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

/sbin/ifconfig -a ?

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

Une fois que le boot loader a chargé le noyau

Essayer de passer des paramètres de boot du noyau en desactivant certains modules video et/ou usb.

ex: nomodeset de mémoire

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

pas de paquets ?

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

la question a été posée récemment.

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

ça n'existe pas

On peut cependant forcer l'actuel fichier de configuration ( force conf old )

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

faire
  pour i allant de 1 à 3
  lire ligne i ; ecrire ligne i;
  fin pour
retour à la ligne
tant que fin de fichier non atteinte

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

df -hm

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

http://livre.g6.asso.fr/

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

Quand on est parano

Déjà l'ipv6 est pas facile à trouver, tout du moins si elle est en autoconfiguration.

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

On peut trés bien avec des virtuals hosts, plusieurs sites sur la même ip.

Tu peux trés bien attaquer la même machine serveur web en interne/externe, c'est juste une question de dns ( publique/privé ) et du réseau ( redirection d'ip / dnat )

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

Chez moi ça fonctionne, le seul moyen c'est la version debian 64 bits pour avoir uefi qui boot correctement.

En 32 bits impossible de booter sur le disque.

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

C'est pas certain , tu connais les paquets de niveau 2 ?

Aucune chance de filtrer cela avec iptables => arptables pour le niveau 2

Le dhcp ça fonctionne au niveau 2 avant d'obtenir une ip pour le client.

ça depend de l'architecture, des switchs, tu vois pas forcement les requetes dhcp, c'est pas un hub…

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

firewall-cmd --list-all

FedoraWorkstation (active)
target: default
icmp-block-inversion: no
interfaces: wlp1s0
sources:
services: dhcpv6-client ssh mdns samba-client
ports: 1025-65535/udp 1025-65535/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" destination address="172.16.30.254/32" drop

ça parait clair les ports inférieurs à 1024 sont pas bloqués

rule family="ipv4" destination address="172.16.30.254/32" drop

ajouter source pour avoir:
rule family="ipv4" source address="172.16.30.254/32" drop
ou rule family="ipv4" address="172.16.30.254/32" drop ?

Si tu sais pas ce que ça fait, listes les règles ça doit utiliser iptables, non ?

C'est le soucis des couches d'abstraction, on sait pas ce que ça fait en dessous.

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

Bien sur que si, tu identifies les paquets ( protocole, sens, ip, ports, … )

C'est le seul moyen de trouver quand on connait pas ça par coeur.

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

tcpdump ou wireshark pour voir les paquets en temps réel

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

un serveur secondaire pour assurer la redondance

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

normal les ports 0-1023 sont pas bloqués :p

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

N'importe quoi, c'est interne, ça fonctionne tout seul.

Tu te poses trop de questions.

Sur un raid à 3 disques, 2 disques contiennent les données et le 3 ème la parité ( en théorie pour faire simple ).

En raid soft:

de mémoire

pour tester et déclarer un disque hs ( fail ).

mdadm -f /dev/md0 /dev/sdc

Enlever: remove

mdadm -r /dev/md0 /dev/sdc

Ajouter: add

Et encore tu a oublié la sauvegarde, donc disque en plus

Déjà un raid 1 ( 2 disques ) et sauvegarde avec un spare = 4 disques.

mdadm -a /dev/md0 /dev/sdc

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

=> https://linuxfr.org/forums/general-cherche-materiel/posts/achat-d-un-pc-serveur-a-prix-noel

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

le raid sauf le "zéro" survit à la défaillance d'un disque

les raid 1 et 5 donc resistent à la défaillance d'un seul disque.

Quand le slot disque est en hotplug oui, c'est possible.

Jamais testé la reconstruction automatique, il me semble que ça fonctionne, il faut un disque en spare/donc inutilisé dans le raid, pour pouvoir l'y ajouter en cas de casse.

Ajouter un disque sur un raid 1/5 existant c'est pas possible directement, sinon tu passes par lvm qui étends ton espace disque à chaud.

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

ça c'est testé:

nomodeset grub_gfxmode=1280x1024x24


Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

Piste:
- Comment positionner le curseur à un endroit précis

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités