Marc Quinton a écrit 1551 commentaires

merci et bravo pour le retour ; voici ce que j'ai sur mon NAS avec des warning un peu similaires.

# btrfs-find-root /dev/sdb1
Superblock thinks the generation is 385646
Superblock thinks the level is 0
Found tree root at 39075840 gen 385646 level 0
Well block 38797312(gen: 385645 level: 0) seems good, but generation/level doesn't match, want gen: 385646 level: 0

tu peux expérimenter avec ce qui est écrit ici : https://www.reddit.com/r/btrfs/comments/18r7ff4/acessing_a_btrfs_partition_wich_is_superblock_has/

pour plus de lisibilité, le code source est ici : https://github.com/bitnami/containers/blob/main/bitnami/moodle/docker-compose.yml ; basé sur l'éditeur Bitnami.

bonjour, il serait intéressant de préciser quel docker-compose est utilisé.

Par ailleurs, on a des erreurs similaires sur cet ticket, mais avec une autre application dans un container docker : https://github.com/Kong/docker-kong/issues/274

j'ai trouvé 2 pages concernant ce domaine d'activité (self-hosted search engine):
- https://medevel.com/20-os-search-engine/
- https://dev.to/swirl/7-open-source-search-engines-for-your-enterprise-and-startups-you-must-know-4504

tout a fait d'accord avec toi, sauf quand on regarde le numérique comme gisement d'emploi et par voie de conséquence les aspects financiers qui en découlent.

Le numérique, ce sont aussi les aspects juridiques et dans ce cas, le lien est avec le ministère de la justice et dans les cas les plus graves avec l'intérieur.

Le numérique, parfois ca déglingue le cerveau, et pas seulement celui des petits enfants ; du coup, bonjour le ministère de la santé.

Les ministères de la culture et de l'éducation nationale me semblent pleinement concernés.

C'est si vaste le numérique qu'on a envie de le rattacher un peu partout. Les sujets et impacts sont littéralement transversaux. Vouloir faire primer les aspects sociaux irait dans le bon sens.

on peut trouver sous le vocable proprietary-sabotage, une liste bien longue de malversations touchant tous les domaines techniques.

On y retrouve : des imprimante, des montres connectées, une grande marque de véhicules électriques, des distributeurs de billets en Russie, l'embarquement de logiciels espions ou portes dérobées, Google en lien avec des banques, permettant dans certaines conditions de désactiver un téléphone Android.

j'aurai tendance à appeler cette technique : malware institutionnel.

est-ce que cette pratique ne ressemble pas au Rançongiciel, je cite :

"Un rançongiciel peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en échange d'une somme d'argent."

dans le cas présent, l'auteur du logiciel privateur n'est pas un pirate inconnu, mais une société, souvent une très grande société ayant pignon sur rue.

Ca me fait penser à l'affaire du diesel-gate. Les pièges logiciels peuvent être partout.

test avec Grammalect ! suis-je capable de corriger mes fautes seuls, sans IA ?

ha, ben oui, j'y suis presque ! je crois avoir tendu un piège à Grammalect (mes fautes seul) … hahaha ; pour le reste, le plugin est parfaitement fonctionnel sur Firefox ; merci à vous les amis.

et voici le lien : https://linuxfr.org/sondages/sous-quel-systeme-d-exploitation-tourne-votre-telephone

si vous n'avez pas (plus) de MAJ applicative sur votre smartphone préféré, tout n'est pas définitivement perdu. A partir de la version 9 d'Android, il est généralement possible de profiter de l'architecture en couche d'Android basé sur Treble.

J'ai redécouvert ce concept dont on avait parlé sur un très bel article il y a 2 ans environ ; depuis, l'environnement communautaire a quelque peu évolué.

GSI désigne les images (ROM, ou firmware) universelles et portables pratiquement indépendantes des smartphones. Il est possible de les télécharger

ADB est l'utilitaire en ligne de commande qui permet de piloter un téléphone Android à partir d'un port USB

Fastboot est un mode de fonctionnement spécifique des smartphone Android qui permet si je ne me trompe pas de réaliser des opérations de maintenance (MAJ OS, configuration) ; utilitaire à comparer à notre bien connu GRUB (ou BIOS).

vbmeta.img est une image de boot et de déchiffrement (lien).

Avant de faire le grand saut, installez l'application Treble-info afin de vérifier que votre téléphone est compatible Treble/GSI ; le cas échéant, il vous donnera des infos sur l'image à télécharger. Il existe 2 types d'installations concernant les images : A et A/B. Il vous suffit de suivre les indications apportées par Treble-info pour télécharger l'image GSI correspondant a votre matériel.

Sortez vos ADB, vos cables USB, votre WGET et allez-y, foncez vers la MAJ de votre téléphone. Partagez vos expériences.

Parmi les liens :
- https://github.com/phhusson/treble_experimentations/ : espace téléchargement des images GSI.
- https://github.com/phhusson/treble_experimentations/wiki le Wiki associé au projet.

la recette de fabrication du container Docker est le Dockerfile ici : https://github.com/home-assistant/docker/

la procédure d'installation n'est pas basée sur Debian, mais sur Alpine Linux ; je pense que tu peux reproduire cette procédure en transposant dans un script bash l'ensemble des commandes passées dans cette procédure qui n'est plus ou moins qu'une sorte de recette de cuisine adaptée aux containers (Dockerfile).

merci pour les infos ; je suis passé d'une note F (47/100) à A+ (100/100) et je vous joins ma conf SSH fonctionnelle sur Ubuntu-Jammy

$ cat /etc/ssh/sshd_config.d/hardening-mozilla.conf 
# link: https://infosec.mozilla.org/guidelines/openssh

# Supported HostKey algorithms by order of preference.
HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
# HostKey /etc/ssh/ssh_host_ecdsa_key

KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers ,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com

je n'ai rien vu concernant l'héritage. On pourrait supposer que les sections x11, wayland, … héritent toute de common.

On peut le faire soit par la mise en place d'un mot clé spécifique, ou alors via le mécanisme interne à YAML.

Qu'en dites-vous ? Pour le reste, c'est génial ; bravo pour l'idée.

et une autre option de formatage :

$ reaction show -f json | jq -r '.ssh.failedlogin' | jq 'to_entries[]'
{
  "key": "87.227.30.119",
  "value": {
    "actions": {
      "unban": [
        "2024-01-10 04:37:01"
      ]
    }
  }
}
{
  "key": "95.156.96.46",
  "value": {
    "actions": {
      "unban": [
        "2024-01-10 00:40:42"
      ]
    }
  }
}
...

ce qui me semble plus simple à exploiter avec JQ.

cette commande avec JQ semble faire le job:

reaction show -f json | jq -r '.ssh.failedlogin|keys[]'

hello,

est-ce que le format JSON concernant le format de sortie ne pourrait pas être modifié pour permettre l'extraction d'un type "array" ?

actuellement :
- format YAML:

$ reaction show -f yaml
ssh:
  failedlogin:
    12.21.5.10:
      actions:
        unban:
        - "2024-01-10 05:01:00"
    14.63.162.98:
      actions:
        unban:
        - "2024-01-10 04:05:10"
    24.69.190.84:
      actions:
        unban:
        - "2024-01-10 05:29:19"

format JSON

$ reaction show -f json
{
  "ssh": {
    "failedlogin": {
      "101.126.64.69": {
        "actions": {
          "unban": [
            "2024-01-09 20:57:09"
          ]
        }
      },
      "101.43.107.154": {
        "actions": {
          "unban": [
            "2024-01-10 04:36:01"
          ]
        }
      },
      "103.118.29.175": {
        "actions": {
          "unban": [
            "2024-01-09 20:05:30"
          ]
        }
      },
 ...

il est assez difficile de récupérer via JQ les "keys" (adresses IP) concernés par le bannissement. Proposition : ouvrir un tableau "failedlogin": [ ... ]

répartition par adresse IP ou par groupe d'adresse IP concernant les tentatives d'authentification sur mon serveur SSH, sur 3 semaines :

zcat  /var/log/auth.log*.gz  | grep ssh | \
  egrep 'Invalid user|Failed password' | \
  sed -e 's#^.*from ##' -e 's# .*$##' | \
  sort -u | sed -e 's#\.[0-9]*$##' | \
  sort | uniq -c | sort -rn | | head -15

# head -15 /tmp/list 
     14 64.62.197
      8 60.10.72
      8 103.110.43
      7 15.204.86
      6 85.209.11
      6 222.186.16
      5 210.22.98
      5 197.5.145
      5 103.140.194
      4 65.49.1
      4 185.227.137
      4 185.162.235
      4 139.170.221
      3 82.207.8
      3 43.153.76

et maintenant si je prends l'ensemble des IP

# cat /tmp/list | sed -e 's#^ *##' -e 's# .*$##' | sort -n | uniq -c
   2147 1
    108 2
     10 3
      4 4
      3 5
      2 6
      1 7
      2 8
      1 14

autrement dit :
- je n'ai qu'une seule occurence ou l'on rencontre 14 IP dans le réseau 64.62.197.0/24
- 2 fois, j'ai 8 IP en /24 (60.10.72, 103.110.43),
- et la majorité (2147) concernant une seule instance en /24

aussi, il ne semble pas très intéressant, voir risqué de vouloir blacklister tout un /24.

en cherchant : "adaptateur USB casque", on trouve sur certains sites, des adaptateurs à partir de la modique somme de … (moins d'un euro, y compris vendus par lot de 5).

Le plus cher vaut dans les 12K€ de mémoire. Après le vaporware, voici venu le vapor-hardware et ca n'est pas nouveau.

il ne s'agit pas de se prémunir dans le cas de subuser d'une attaque locale au système ; l'utilisateur est réputé de confiance ; il s'agit plutot de faire du sandboxing sur un environnement mal maitrisé avec peu de confiance ; par exemple Firefox et de nombreux plugins.

suite du message …

• sub-adressing : permet de tranferer faire une boite mail, un message de la forme : sujet.uid@domain.example -> name@domain.example ; fonctionne avec '.' et "-" ; on doit pouvoir ajouter "+" subaddressing = { map = "^([^.]+)[\.-]([^.]+)@(.+)$", to = "${2}@${3}" } il me reste a mettre en place l'alias mail+forwarding ; pas trouvé la doc a ce sujet. Ayant une box chez Free, j'ai configuré le routage vers un compte perso dédié a cette fonction ; l'envoi direct via le SMTP ne marche pas bien, parce que les IP concernées sont blacklistées (plage d'IP 82.65.230.0).

je viens de mettre en place mon serveur SMTP/IMAP avec le produit Stalwart (https://stalw.art/). Ca me semble pas mal du tout :
- l'installateur facilite la mise en place des champs DNS : SPF, DKIM, DMARC ; il suffit de recopier ce qui est affiché depuis la console,
- l'installateur ne gère pas la genération du certificat LE, mais ca ne me semble pas indispensable
- parmi les fonctionnalités :
- le catch-all assez simple à mettre en place ; permet de récupérer tous les messages adressés au domaine :

[directory."default".options]
# catch-all = true
catch-all = { map = "(.+)@(.+)$", to = "admin@${2}" }
-

plein d'alternatives à cette solution ; en espérant que les tags que je dépose soit visibles de tous : https://linuxfr.org/tags/self-hosted-smtp/public

hello,

pour ma part, j'ai des disques partitionnés de manière symétrique :
- une petite partition, environ 1/3, 1/5 de l'espace disque dédié à faire du volume résiliant
- le reste de disque pour créer une partition permettant de faire de l'agrégation de volume et avec une résilience moindre, propice a stocker de la donnée à faible résilience.

ensuite, avec BTRFS, il est possible de mettre en place 2 volumes disques :
- le premier en redondance sur 2, 3, 4 disques
- le seconde sous forme d'agrégation.

Avec BTRFS, les volumes sont dynamiques. On peut ajouter et supprimer des volumes a la volée. On peut noter quelques bugs rélients dans le temps (non corrigés) liés au multi-volume type RAID5.

hello,

pour ma part, je suis passé sur une solution HP Smart Tank:
- installation sur PF Linux assez simple
- wifi uniquement, mais ca ne pose pas trop de problème ; il y a une appli sur Smartphone qui peut être pour les moins habiles ; l'appli Android est assez sympa, bien que je ne l'utilise pas
- plus de cartouches, mais des petits bidons a déverser dans un réceptacle (le concept smart-tank tout simplement) ; le niveau d'encre est visible en facade
- il est fort aisé de changer les têtes d'impression ; ou plus exactement, c'est à la charge de l'usager de les installer après le débalage (l'opération inverse doit donc être possible),
- les impressions ne noyent pas le papier d'encre contrairement a ce que je pouvais constater sur mon ancienne Epson
- mais pas de RV
- prix =~ 150€ pour le modèle 555.