Présentation rapide de LXC, une technologie qui gagnerait à être connue

Un tuto sympa. Je résume les points qui m'intéressent :

Protéger des attaques en SSH :

# SSH
# 3 retry ? > Ban for 15 minutes
[ssh]
enabled = true
port = ssh
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
logpath = /var/log/auth.log
maxretry = 3
bantime = 900

Protéger des attaques en HTTP :

# Protect against DOS attack
# 360 requests in 2 min > Ban for 10 minutes
[http-get-dos]
enabled = true
port = http,https
filter = http-get-dos
logpath = /var/log/varnish/varnishncsa.log
maxretry = 360
findtime = 120
action = iptables[name=HTTP, port=http, protocol=tcp]
mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]
bantime = 600

Un tuto sur le setup d'un fail2ban dans un conteneur LXC

Je copie-colle :

Moi j'utilise couramment "nohup" "2>&1 >/log.txt" et "&"

ce qui donne :

"nohup firefox 2>&1 > ./log.txt &"

pourquoi ?
nohup "détache" la commande suivante du terminal, même si le parent meurt le programme reste actif (en fait il est rattaché au process init 0)

le 2>&1 "redirige la sortie d'erreur 2 vers la sortie standard 1
le > log.txt redirige les sorties vers un fichier (pratique si ça plante tu as les erreurs)

et enfin le & rend la main au terminal en cours en "forkant" le processus.

Voilà.

PS: tu peux le faire avec detach, attach etc mais c'est plus bas niveau....

Je note :

# Ouvrir le port 80 en TCP :
$ firewall-cmd --zone=public --add-port=80/tcp --permanent

# Ouvrir le port 80 en UDP :
$ firewall-cmd --zone=public --add-port=80/udp --permanent

# Recharger les droits :
$ firewall-cmd --reload

# Atention le --permanent est indispensable pour que les ouvertures persistent après un redémarrage.

# Vérification des ports ouverts :
$ firewall-cmd --list-all 

Comment sécuriser son serveur avec SSL et TLS (surtout TLS 1.2)

Prenons un exemple : vous souhaitez lancer un JAR avec la commande javaw (rappel = la commande javaw fait la même chose que la commande java mais sans afficher de console).

Il faut créer un fichier contenant ci :

Attention, la commande invoquée (ici javaw) DOIT ÊTRE DANS VOTRE PATH !

[Nemo Action]
Name=Lancer le JAR
Comment=Execute un fichier JAR/WAR avec javaw
Exec=javaw -jar %F
Icon-Name=bug-buddy
Selection=Any
Extensions=jar;war;

Où mettre ce fichier ?

Pour qu'il soit accessible à tous les utilisateurs (il vous faudra les droits root) :

## Placez votre fichier ici :
/usr/share/nemo/actions/

Pour qu'il ne soit accessible qu'à vous-même (pas d'élévation de privilèges) :

## Placez votre fichier ici :
$HOME/.local/share/nemo/actions/

Un dernière contrainte ?

Oui, votre fichier DOIT AVOIR L'EXTENSION : .nemo_action

Installer un RAID0 sur Linux Mint (ce tuto m'intéresse énormément car je travaille sur clef USB et ÇA RAME) !!! Du coup comme j'ai trois clefs identiques, cela me permettra de réduire la surchauffe de la clef (qui fait qu'elle freeze - le jeu de mot est involontaire) et du coup non seulement je n'aurai plus les temps de pause (en théorie) mais en plus les performances seront doublées (la aussi en théorie).

A essayer ce week-end. C'est ma moitié qui va être content !

C'est parti pour un tuto de réinstallation de Linux Mint Debian Edition 2. Ce post est avant tout pour moi une sorte de gros mémo.

Installer ce qui manque

## htop - pour visualiser les processus
## gparted - pour repartitionner des disques
## tree - pour visualiser une arborescence de fichiers dans une console
## wine - pour faire les applications Windows
## filezilla - pour les accès FTP
## audacity - pour la retouche audio
sudo aptitude install htop gparted tree wine filezilla audacity 

## Ajouter les tools de versionning :
sudo aptitude install mercurial git gitk git-flow git-doc git-sh git-man git-all

## Ajout de police de caractères (Microsoft pour la compatibilité avec la suite Office, Anonymous Pro pour coder et Bitstream par habitude) :
sudo aptitude install ttf-mscorefonts-installer ttf-anonymous-pro ttf-liberation ttf-bitstream-vera 

Mettre à jour les kernels

## Ajouter le kernel i686 :
sudo aptitude install linux-image-686-pae linux-headers-686-pae 

## Supprimer l'ancien kernel :
sudo aptitude remove linux-headers-586 linux-image-586 linux-headers-3.16.0-4-586 linux-image-3.16.0-4-586 linux-image-3.16.0-4-586 

Suppression des softs inutiles

## Avahi - l'équivalent du service 'Bonjour' d'Apple mais sous Linux. Rien à péter de publier les services de ma machine sur un réseau local avec une sorte DNS/DHCP décentralisé (pas pour aller sur le net, décentralisé de votre réseau privé uniquement).
sudo aptitude remove avahi-autoipd avahi-daemon avahi-utils

## apt-xapian-index est LE paquet qui fait ramer votre Mint ; il sert principalement pour la recherche rapide dans Synaptic (recherche qui bug toujours par rapport à la recherche "normale"). Ce service tourne en tâche de fond pour tenir à jour votre cache APT avec les actions qui sont faites entre les différents outils (apt, apt-get, aptitude, etc). Perso, j'utilise aptitude du début à la fin, avoir un service qui tourne rien que pour ça est au mieux inutile au pire carrément stupide.
sudo aptitude remove apt-xapian-index

## Pulseaudio (fait double emploi avec ALSA et je ne me sers pas du lecteur audio intégré)
sudo aptitude remove pulseaudio pulseaudio-module-x11 pulseaudio-utils 

## Bye bye Apache, je ne me sers plus de toi.
sudo aptitude remove apache2-bin 

## Bye bye les firmware inutiles pour ma machine.
sudo aptitude remove atmel-firmware zd1211-firmware 

## Un lecteur de musique dont je ne me sers pas.
sudo aptitude remove banshee 

## Je ne suis pas aveugle, brltty est pour les claviers en braille, espeak est un synthétiseur vocal, speech-dispatcher sers à diffuser le son du synthétiseur.
sudo aptitude remove brltty espeak espeak-data speech-dispatcher speech-dispatcher-audio-plugins

## Bye bye le bluetooth.
sudo aptitude remove blueberry bluetooth bluez bluez-cups bluez-firmware bluez-obexd obex-data-server odbcinst odbcinst1debian2

## Bye bye Open JDK / Icedtea, perso j'utilise une version à jour d'OpenJDK / Oracle-JDK :
sudo aptitude remove ca-certificates-java default-jre default-jre-headless icedtea-7-jre-jamvm icedtea-7-plugin icedtea-netx icedtea-netx-common java-common openjdk-7-jre openjdk-7-jre-lib openjdk-7-jre-headless icedtea-plugin tzdata-java 

## Bye bye CUPS (je n'utilise pas d'imprimante, le papier ça pollue) :
sudo aptitude remove cups cups-browsed cups-bsd cups-client cups-common cups-core-drivers cups-daemon cups-filters cups-filters-core-drivers cups-ppdc cups-server-common printer-driver-all printer-driver-brlaser printer-driver-c2050 printer-driver-c2esp printer-driver-cjet printer-driver-dymo printer-driver-escpr printer-driver-foo2zjs-common printer-driver-hpijs printer-driver-min12xxw printer-driver-pnm2ppa printer-driver-ptouch printer-driver-sag-gdi system-config-printer

## Bye bye tout ce qui touche à l'impression :
sudo aptitude remove hplip-data 

## Bye bye duplicity, je ne fais pas de backup incrémentaux de mon poste fixe.
sudo aptitude remove duplicity

## Bye bye evolution, je ne me sers pas d'evolution et d'aucune appli l'ayant pour dépendance.
sudo aptitude remove evolution-data-server

## Je n'ai pas de partition Mac / OSX sur mon PC.
sudo aptitude remove hfsplus hfsprogs hfsutils 

## Je n'ai pas de périphériques du type iBidule.
sudo aptitude remove ideviceinstaller 

## Mon PC est un ordinateur de bureau pas un PC portable ni un mobile ou une clef 3G/4G
sudo aptitude remove laptop-detect pcmciautils mobile-broadband-provider-info 

## Tout ce qui a été codé en .NET (désolé mais pas de soft développés avec un compilateur dont la licence est piégée).
sudo aptitude remove mono-4.0-gac mono-gac mono-runtime mono-runtime-common mono-runtime-sgen tomboy 

## Mon PC fixe est connecté en câble et n'utilise pas le protocole PPTP.
sudo aptitude remove network-manager-pptp network-manager-pptp-gnome pptp-linux

## Tenir l'heure de son PC synchronisé avec internet
sudo aptitude remove ntpdate

## Bye bye les impressions dans 'le cloud' (beurk).
sudo aptitude remove  openprinting-ppds 

## Bye bye Pidgin, je ne chat pas.
sudo aptitude remove pidgin pidgin-data pidgin-libnotify

## Je n'ai pas de scanner
sudo aptitude remove sane-utils simple-scan

## Je ne me sers pas du partage bureautique Windows :
sudo aptitude remove samba samba-common samba-common-bin samba-dsdb-modules samba-libs smbclient 

## Ma machine est une machine physique, pas une VM donc je vire les drivers virtualbox.
sudo aptitude remove virtualbox-guest-dkms virtualbox-guest-utils virtualbox-guest-x11 

Les optimisations

• Optimiser les accès disque (notatime/nodiratime) & écrire les logs dans la RAM)
• Supprimer l'écriture de log par l'OS
• Swapper que lorsque la RAM est pleine
• Rendre Firefox & Thunderbird plus rapide
• Supprimer la journalisation d'EXT4
• Réduire la consommation mémoire des JVM sous Linux

Désactiver les services :

sudo update-rc.d -f cups remove
sudo update-rc.d -f samba remove
sudo update-rc.d -f samba-ad-dc remove
sudo update-rc.d -f samba-ad-dc remove
sudo update-rc.d -f virtualbox-guest-utils remove
sudo update-rc.d -f virtualbox-guest-x11 remove
sudo update-rc.d -f speech-dispatcher remove
sudo update-rc.d -f brltty remove
sudo update-rc.d -f apache2 remove

Et une petite liste d'actions manuelles :

## Supprimer le cash APT :
sudo sh -c "echo 'Dir::Cache \"\";\nDir::Cache::archives \"\";' >> /etc/apt/apt.conf.d/02nocache"

Réduire le nombre de TTY :
1) sudo nano /etc/default/console-setup

# Remplacer 
ACTIVE_CONSOLES="/dev/tty[1-6]"
# par 
ACTIVE_CONSOLES="/dev/tty[1-1]"

2) sudo nano /etc/inittab

## Remplacer ceci :
1:2345:respawn:/sbin/getty 38400 tty1
2:23:respawn:/sbin/getty 38400 tty2
3:23:respawn:/sbin/getty 38400 tty3
4:23:respawn:/sbin/getty 38400 tty4
5:23:respawn:/sbin/getty 38400 tty5
6:23:respawn:/sbin/getty 38400 tty6

## Par ceci
1:2345:respawn:/sbin/getty 38400 tty1
#2:23:respawn:/sbin/getty 38400 tty2
#3:23:respawn:/sbin/getty 38400 tty3
#4:23:respawn:/sbin/getty 38400 tty4
#5:23:respawn:/sbin/getty 38400 tty5
#6:23:respawn:/sbin/getty 38400 tty6

Réduire le temps de boot de grub :
1) Ouvrir le fichier /etc/default/grub
2) Modifier la ligne GRUB_TIMEOUT=10
3) Exécuter la commande :

sudo update-grub

Deux choses que j'ai dues faire de mon côté :

1) Définir les variables suivantes dans votre fichier ~/.profile :

LOGIN="votre login"
PASSW="votre password"
PROXY_HOME="l'url du proxy"
PROXY_PORT="8080"
PROTOCOL="http:"

# En version HTTP (minuscule et majuscule car il faut les deux parfois) :
export http_proxy="${PROTOCOL}//${USER_LOGIN}:${USER_PASSW}@${PROXY_HOST}:${PROXY_PORT}"
export HTTP_PROXY="${PROTOCOL}//${USER_LOGIN}:${USER_PASSW}@${PROXY_HOST}:${PROXY_PORT}"

# En version HTTPS (minuscule et majuscule car il faut les deux parfois) :
export https_proxy="${PROTOCOL}//${USER_LOGIN}:${USER_PASSW}@${PROXY_HOST}:${PROXY_PORT}"
export HTTPS_PROXY="${PROTOCOL}//${USER_LOGIN}:${USER_PASSW}@${PROXY_HOST}:${PROXY_PORT}"

2) Ouvrir ou créer le fichier /etc/apt/apt.conf.d/proxy et y coller la ligne :

# ATTENTION, j'ai ajouté deux espaces entre "http:" et "//" parce que mon parser markdow faisait du caca. Ces espaces sont à supprimer
Acquire::http::Proxy "http:  //USER_LOGIN:USER_PASSW@PROXY_HOST:PROXY_PORT";