Tout est dans le titre,

Comment tester la sécurité d'un serveur linux avec une seule ligne de commande.

Edit : Doudou pense à regarder ça.

Quelques commandes de bases qui permettent de sécuriser facilement et rapidement un serveur linux (protection ssh, iptables, fail2ban,…)

Un tuto en français montrant comment configurer un couche SSL sur nginx.

Présentation rapide de LXC, une technologie qui gagnerait à être connue

L'auteur d'origine déclare un gain de 45 min, alors pourquoi ne pas essayer.

Un tuto sympa. Je résume les points qui m'intéressent :

Protéger des attaques en SSH :

# SSH
# 3 retry ? > Ban for 15 minutes
[ssh]
enabled = true
port = ssh
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
logpath = /var/log/auth.log
maxretry = 3
bantime = 900

Protéger des attaques en HTTP :

# Protect against DOS attack
# 360 requests in 2 min > Ban for 10 minutes
[http-get-dos]
enabled = true
port = http,https
filter = http-get-dos
logpath = /var/log/varnish/varnishncsa.log
maxretry = 360
findtime = 120
action = iptables[name=HTTP, port=http, protocol=tcp]
mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]
bantime = 600

Quand vous avez un dual boot, l'horloge de l'OS Linux est en UTC, celle de Windows ne l'est pas. Mécaniquement, Windows retardera d'une à deux heures dès que l'horloge Linux est réglée. Pour corriger le problème faites ceci (sous Linux évidemment) :

sudo gedit /etc/default/rcS

# Puis modifier
UTC=yes

# en
UTC=no

Un tuto sur le setup d'un fail2ban dans un conteneur LXC

Ohhhhhhh cette nouvelle ! Sur le marché des particuliers, hors tablettes et mobile, Linux devient le second système d'exploitation devant Windows 8 et tous les OSX réunits ! Je pense que 2018 va être le début de gros changements :D

Edit : À ma grande déception, c'était une erreur de calcul qui s'est introduite au moment de la pondération des données. Je suis un peu triste mais je sais que chaque année, nous gagnons quelques pourcents. Le lien relatant l'erreur

Je copie-colle :

Moi j'utilise couramment "nohup" "2>&1 >/log.txt" et "&"

ce qui donne :

"nohup firefox 2>&1 > ./log.txt &"

pourquoi ?
nohup "détache" la commande suivante du terminal, même si le parent meurt le programme reste actif (en fait il est rattaché au process init 0)

le 2>&1 "redirige la sortie d'erreur 2 vers la sortie standard 1
le > log.txt redirige les sorties vers un fichier (pratique si ça plante tu as les erreurs)

et enfin le & rend la main au terminal en cours en "forkant" le processus.

Voilà.

PS: tu peux le faire avec detach, attach etc mais c'est plus bas niveau....

Le compilateur Kotlin est une merveille par rapport aux autres du même genre (coucou Scala).

Je note :

# Ouvrir le port 80 en TCP :
$ firewall-cmd --zone=public --add-port=80/tcp --permanent

# Ouvrir le port 80 en UDP :
$ firewall-cmd --zone=public --add-port=80/udp --permanent

# Recharger les droits :
$ firewall-cmd --reload

# Atention le --permanent est indispensable pour que les ouvertures persistent après un redémarrage.

# Vérification des ports ouverts :
$ firewall-cmd --list-all 

Savoir quand un OS a été installé en retrouvant la date de création du "/".

La commande vaut pour Linux et est à éxécuter en tant que root :

fs=$(df / | tail -1 | cut -f1 -d' ') && tune2fs -l $fs | grep created

Si vous ne comprenez pas clairement ce que c'est que 'root'... N'UTILISEZ PAS CETTE COMMANDE !

Comment sécuriser son serveur avec SSL et TLS (surtout TLS 1.2)

Le problème vient du power management de la carte (me concernant), en effet l'énergumène s'attelait à passer la carte en mode économie d'énergie - ce qui est une très bonne chose pour la batterie de mon ordinateur portable - sauf que le power management exécute cette opération aussitôt que la connexion wifi est inactive et met plusieurs minutes à renvoyer le courant électrique dans la carte wifi de telle sorte qu'il faille redémarrer la bête (ou a minima les modules network-manager & co). Bref inutilisable.

Voici la solution qui réduit le temps d'usage sur batterie mais corrige le problème :

sudo iwconfig wlp2s0 power off

Voilà

Prenons un exemple : vous souhaitez lancer un JAR avec la commande javaw (rappel = la commande javaw fait la même chose que la commande java mais sans afficher de console).

Il faut créer un fichier contenant ci :

Attention, la commande invoquée (ici javaw) DOIT ÊTRE DANS VOTRE PATH !

[Nemo Action]
Name=Lancer le JAR
Comment=Execute un fichier JAR/WAR avec javaw
Exec=javaw -jar %F
Icon-Name=bug-buddy
Selection=Any
Extensions=jar;war;

Où mettre ce fichier ?

Pour qu'il soit accessible à tous les utilisateurs (il vous faudra les droits root) :

## Placez votre fichier ici :
/usr/share/nemo/actions/

Pour qu'il ne soit accessible qu'à vous-même (pas d'élévation de privilèges) :

## Placez votre fichier ici :
$HOME/.local/share/nemo/actions/

Un dernière contrainte ?

Oui, votre fichier DOIT AVOIR L'EXTENSION : .nemo_action

Tout est dans le titre. L'idée est d'arriver aux choses suivantes :
1) Automatiser le build de OpenJDK 1.8 pour architecture linux x64
2) Arriver à produire de manière automatique trois JVM compactées à partir des profiles 1, 2 et 3 à partir du build d'OpenJDK 1.8 fournit ci-dessus.

Ce répo GitHub montre comment faire.

Installer un RAID0 sur Linux Mint (ce tuto m'intéresse énormément car je travaille sur clef USB et ÇA RAME) !!! Du coup comme j'ai trois clefs identiques, cela me permettra de réduire la surchauffe de la clef (qui fait qu'elle freeze - le jeu de mot est involontaire) et du coup non seulement je n'aurai plus les temps de pause (en théorie) mais en plus les performances seront doublées (la aussi en théorie).

A essayer ce week-end. C'est ma moitié qui va être content !

Tout le monde parle de la conteneurisation avec Docker mais connaissiez-vous la conteneurisation avec LXC (LinuX Container).