pcdwarf

Nov 302019
 

« Si le seul outil que vous avez est un marteau, vous tendez à voir tout problème comme un clou »

Abraham Maslow

la “Théorie de l’instrument : tentation qui consiste à travestir la réalité d’un problème en le transformant en fonction des réponses dont on dispose, ou encore le fait de considérer qu’il n’y a qu’une réponse unique à tous les problèmes.

SSH PermitRootLogin prohibit-password

 Reflexion de geek, Trucs et astuces techniques  Commentaires fermés sur SSH PermitRootLogin prohibit-password
Oct 192019
 

Il y eut un temps où je voulais avoir toujour un accès ssh par password (en plus de la clé RSA)
Mais on a avantage à ne pas faire comme ça.

  • Comme le password root n’est plus utilisé couremment, le password root peut être randomisé à un truc du genre ohju9aejaey6vohha3ai et est donc vraiment dur et aussi unique (c’est à dire sur aucune autre machine)
  • Le password root n’est communiqué à personne, ce qui réduit considérablement les risques de fuite.
  • Le password root est stocké sur papier en lieu sûr pour les cas de dépanage uniquement et sur la console locale.
  • Ca évite le bruteforce
  • Les clés RSA étant nominatives, ont peut en révoquer une sans changer le password root.
  • Changer le password root n’est plus une maintenance compliquée qui nécessite de communiquer le nouveau à toute la liste des usagers.
  • Les clés RSA étant nominatives, avec un peu de tuning ont peut savoir qui a executé telle ou telle commande en tant que root. On a donc une meilleure tracabilité des accès.

99% – Nayn-Un-Nayntsik

 Culture  Commentaires fermés sur 99% – Nayn-Un-Nayntsik
Oct 182019
 

They’re driving us out of town
‘Cause luxury makes the world go round
Read it in papers every morning
“How could all this trouble come to pass?
Years and years we listened to the warning
That luxury is just a golden calf.“

And you say the rich are parasites
You say they are a curse
But as soon as you get yourself a little money
In your purse, you’re worse

Me traybt undz aroys fun shtot
Vayl ashires iz der nayer got

Shraybn tsaytungen arum di temes:
“vi zhe ken dos haynttsutog nokh zayn?
Doyres lang farshteyen mir dem emes
Az ashires iz a falsher vayn!“
Un me ruft dem oysher a paskudnyak
Un me halt im far a brokh
Nor vi bald me fardint a bisl mezumen
Makht men dem oysher nokh. Oy nokh:
“Oy, vi sheyn iz mayn mashindele!
Zet vi es halt in kepele di gantse velt!“
Oy my little phone-y thing is beautiful
See how fast it captures simply everything!

Nayn-un-nayntsik, nayn-un-nayntsik, 99% are we
99% don’t measure up these days
To one who lives in luxury

Nayn-un-nayntsik in der vog fun oylem-haze
Kumt nit tsu tsu eyn gevir
Nayn-un-nayntsik zenen mir

Nayn-un-nayntsik, nayn-un-nayntsik
Nayn-un-nayntsik zenen mir
Nayn-un-nayntsik, nayn-un-nayntsik
Nayn-un-nayntsik zenen mir

You wanna join the one percent?
Just gather ninety-nine good friends:
Take from them the best they have to offer
Let them eat the leavings of your meal
Soon you will be filling up your coffers
Scraping heaven with your glass and steel

And if they say that you’re a dirty bum
Who takes without restraint
Just make a little donation
And they’ll say that you’re a saint, a saint!

Vilst vern an oysher haynt?
Iz zaml nayn-un-nayntsik fraynd
Nem tsu bay zey dos shenste un dos beste
Zoln zey lebn a bisl eng un shmol

Du’st zikh boyen fundamentn feste
Kratsn volkns mit dayn gloz-un-shtol

Az me’t dikh rufn a pust-un-paskudnyak
A megushemdiker shtik
Zolst shenken a sheyne nedove
Vestu vern an antik, antik!

“Oy, vi klug iz undzer oysherl
Zet vi er veyst vi ostsuheyln di gantse velt!“
“Oh how smart is our philanthropist
How he heals the whole wide world with charity!“

Nayn-un-nayntsik, nayn-un-nayntsik, 99% are we
One percent’s a lonely number
Lonely with his riches and his luxury

Eyn-un-eyntsik iz der oysher
Eyn-un-eyntsik mit zayn ashires on a shir
Nayn-un-nayntsik zenen mir

But if the wheel should turn
And the stock market should crash and burn
Bloody murder scream the ruling classes
“It’s not our fault, we put the money down,“
While the rest of us are thrown out on our asses, Looking for apartments out of town

So be a pal and not a pig
You’ll have yourself to thank
Don’t make your home a slot machine
Don’t turn your town into a bank

Tomer git zikh dos redl a drey
Un di berzhe falt biz okh un vey
Shrayt der eyn-protsentnik khay vekayem
“Loz di tsore nit tsum kern tsu!“

Beys mir vos esn gvirishe shirayem
Zukhn naye dires— ober vu?!
Oyb a khaver un nit keyn khazer zayn
Iz dos lebn a geshank

Me makht nit fun a voynung a konte
Me makht nit fun a shtot— a bank!

Nayn-un-nayntsik iz a khavershaft
Eyn-un-eyntsik iz a khazershaft
Ninety-nine is a community
One percent is a fuck-you-nity

Nayn-un-nayntsik, 99% are we
99%, we are the 99%, we sing our melody
Nayn-un-nayntsik, nayn-un-nayntsik
Lomir, 99 zingen undzer shir
Nayn-un-nayntsik zenen mir

Shtil Di Nakht Iz Oysgeshternt

 Culture  Commentaires fermés sur Shtil Di Nakht Iz Oysgeshternt
Oct 182019
 

J’ai découvert cette chanson que je trouve très jolie

Ci dessous une traduction des passages yiddish en anglais

Silent stars are shining over you
In the frost your hands are numb
Remember, sweet comrade, how I showed you
How a soldier holds her gun

A girl, a coat of fur and leather
Holding a pistol in her hand
Waiting and watching for the German
Convoy to come around the bend

The quiet night is full of stars
And the frost has strongly burned;
Do you remember how I have taught you
To hold a gun in the hand?

Shtil di nakht iz oysgeshternt
Un der frozt hat shtark gebrent
Tsi gedenkstu vi ikh hob dikh gelernt
Haltn a shpayer in di hent

A girl, a fur coat and a beret
And holds in her hand tightly a Nagant
A girl with a face as smooth as velvet
Holds up the enemy’s caravan.

A moyd, a peltsl un a beret
Un halt in hant fezt a nagan
A moyd mit a sametenem ponim
Hit op dem soynes karavan

She aims her trusty little weapon
Breathes, and pulls the trigger back
A transport full of ammunition
One shot stops it in it’s tracks

Aimed, fired and hit
Has her tiny pistol.
A vehicle filled with weapons
She has stopped with one bullet.

Getsilt, geshosn un getrofn
Hot ir kleyninker piztoyl
An oyto a fulinkn mit vofn
Farhaltn hot zi mit eyn koyl

At dawn, she crawls out of the forest
With garlands of snow all in her hair
One more little victory for freedom
One more comrade brave and fair

Before daybreak, she comes out of the forest
With snow garlands on her hair,
Encouraged by a minuscule victory
For our new, free generation.

Fartog fun vald aroysgekrokhn
Mit shney girlandn oyf di hor
Gemutikt fun kleyninkn nitsokhn
Far undzer nayem frayen dor

Memo LVM

 Sans catégorie  Commentaires fermés sur Memo LVM
Oct 142019
 

Pour voir sur quel PV sont les LV

lvs -a -o +devices

J’ajoute généralement à mon .bashrc la ligne suivante

alias lvsd='lvs -a -o +devices'

creation de PV

pvcreate /dev/blockdevice

ça met juste la signature "ceci est un PV LVM" dans le device.

Ajoute de PV à un VG existant

vgextend vgName /dev/blockdevice

deplace les données d’un PV vers les autres PV du groupe

pvmove -i5 /dev/PVblockdev 


Enfin un nouveau serveur !

 Sans catégorie  Commentaires fermés sur Enfin un nouveau serveur !
Oct 112019
 

ça y est!

Le site est migré sur un serveur qui avance un minimum.

Je vais pouvoir recommencer à m’en servir

Devrais-je bloquer ICMP ?

 Sans catégorie  Commentaires fermés sur Devrais-je bloquer ICMP ?
Sep 112019
 

Non !! Non et Non ! Surtout pas.

Le problème

De nombreux administrateurs réseau estiment que le protocole ICMP représente un risque pour la sécurité et qu’il doit donc toujours être bloquée au niveau du pare-feu. Il est vrai que ICMP est associée à certains problèmes de sécurité et qu’un grand nombre d’entre eux devraient être bloqués. Mais ce n’est pas une raison pour bloquer tout le trafic ICMP !

En effet, ICMP a de nombreuses caractéristiques importantes ; certaines sont utiles pour le dépannage, tandis que d’autres sont essentielles pour le bon fonctionnement d’un réseau. Sans être exhaustif, voici les détails de certains des trafics ICMP importants que vous devriez connaître, et envisager d’autoriser à travers votre réseau.

Demande d’écho et réponse à l’écho

IPv4 – Demande d’écho (Type8, Code0) et réponse d’écho (Type0, Code0)
IPv6 – Demande d’écho (Type128, Code0) et réponse d’écho (Type129, Code0)

Nous connaissons tous ceux-là – ping est l’un des premiers outils de dépannage que nous apprenons tous. Oui, si vous l’activez, cela signifie que votre hôte est maintenant détectable. Et alors ? Ne l’était-il pas déjà ? votre serveur web n’écoutait-il pas déjà sur le port 80 ? Bien sûr, bloquez les pings si vous le voulez vraiment à votre frontière vers votre DMZ (et encore…) mais bloquer le ping à l’intérieur de votre réseau ne vous apportera pas grand-chose, sauf un dépannage plus difficile (« Pouvez-vous pinger votre passerelle par défaut ? », « Non, mais je ne peux jamais, donc cela ne me dit rien ! »). Par ailleurs, notez que pour une immence majorité d’administrateurs et de prestataires, une IP qui ne réponds pas au ping est réputée libre et affectable à quelqu’un d’autre…. Ne vous plaignez pas si des conflits d’adresses IP apparaissent.

N’oubliez pas que vous pouvez également autoriser cela avec une direction donnée à l’esprit ; vous pouvez décider de laisser les demandes d’écho sortir de votre réseau vers Internet, et les réponses d’écho d’Internet vers votre réseau, mais pas vice versa.

Fragmentation requise (IPv4) / paquet trop grand (IPv6)

IPv4 – (Type3, Code4)
IPv6 – (Type2, Code0)

Ceux là sont importants. TRÈS importants. VRAIMENT TRES importants. Ils sont un composant essentiel de Path MTU Discovery (PMTUD), qui est une partie essentielle de TCP qui permet à deux hôtes d’ajuster leur taille maximale de segment TCP (MSS) à une valeur qui s’adaptera dans le plus petit MTU le long du chemin des liens entre les deux hôtes. Si deux hôtes ont un MTU plus petit que leur propre lien local sur le chemin entre eux, et n’ont aucun moyen de le découvrir, le trafic est silencieusement occulté ; en d’autres termes, « ca va être la merde ».

Les paquets IPv4 avec le bit DF (c’est la plupart d’entre eux !), ou les paquets IPv6 qui sont trop grands pour qu’un routeur puisse les transmettre à travers une interface (rappelez-vous qu’il n’y a pas de fragmentation par les routeurs dans IPv6), auront pour résultat que le routeur drop le paquet et génère une erreur ICMP « Fragmentation Required / Packet Too Big » vers la source et qui contient aussi le MTU du lien trop petit. Si cette erreur ne parvient pas à l’expéditeur, l’expéditeur interprétera simplement l’absence de ACK du récepteur comme une congestion/perte et il fera une retransmission, qui sera bien sûr également perdue. Ce type de comportement est difficile à dépanner car bien sûr, les poignées de main TCP fonctionnent bien, car il s’agit de petits paquets, mais la session semble se bloquer dès qu’une transmission de données en masse a lieu.

RFC 4821 a été développé pour aider les hôtes à contourner ce problème en utilisant « Packetization Layer Path MTU Discovery » (PLPMTUD), qui découvre le chemin MTU en augmentant progressivement le MSS pour essayer de trouver une valeur appropriée pour ce chemin. Cela supprime la dépendance à ICMP, et est disponible dans la plupart des piles réseau d’OS, mais n’est pas aussi efficace que d’apprendre directement ce que le MTU maximum devrait être. Alors s’il vous plaît, laissez passer ces messages ICMP. C’est vraiment important.

Temps dépassé

IPv4 – (Type11, Code0)
IPv6 – (Type3, Code0)

Traceroute est un outil très utile pour dépanner les connexions réseau entre deux hôtes, détaillant chaque saut sur le chemin. Il le fait en envoyant un paquet avec un TTL de 1 pour que le premier saut renvoie un message Time Exceeded (incluant son propre IP source), puis en envoyant un paquet avec un TTL de 2, et ainsi de suite, pour découvrir chaque saut sur le chemin.

Rappelez-vous quand vous l’avez déjà lancé et que vous obtenez un ou deux sauts qui ne peuvent pas être découverts au milieu de votre trace ? Ou pire encore, vous essayez de tracer l’itinéraire jusqu’à un hôte et tous les sauts ne peuvent être découverts. C’est ennuyeux, n’est-ce pas ? C’est parce que la personne qui exécute ces routeurs (ou votre pare-feu local) a décidé de bloquer les messages ICMP Time Exceeded. Ne sois pas comme ça, d’accord ?

NPD et SLAAC (IPv6)

Sollicitation de routeur (RS) (Type133, Code0)
Publicité sur le routeur (RA) (Type134, Code0)
Sollicitation de voisins (N.-É.) (Type135, Code0)
Publicité de voisinage (NA) (Type136, Code0)
Rediriger (Type137, Code0)

Alors qu’IPv4 utilisait le protocole de résolution d’adresse (ARP) pour les mappages des couches 2 à 3, IPv6 adopte une approche différente, sous la forme du protocole de découverte des voisins (NDP). NDP offre de nombreuses fonctions, y compris la découverte de routeurs, la découverte de préfixes, la résolution d’adresses, et bien d’autres encore. En plus du NDP, l’AutoConfiguration d’adresse sans état (SLAAC) permet à un hôte d’être configuré dynamiquement sur le réseau, selon un concept similaire à DHCP (bien que DHCPv6 existe pour un contrôle plus fin)

Pour le reste, il n’est pas indispensable de les laisser passer et même souhaitable d’en bloquer une grande partie. Mais ces cinq types ICMP ci dessus devraient TOUJOURS être autorisés dans votre réseau pour qu’il puisse fonctionner correctement.

Un mot sur la limitation de trafic.

Bien que les messages ICMP comme ceux couverts sur cette page puissent être très utiles, rappelez-vous que la génération de tous ces messages prend du temps CPU sur vos routeurs, et génère du trafic. Vous attendez-vous vraiment à recevoir 1000 pings par seconde à travers votre pare-feu dans une situation normale ? Serait-ce considéré comme un trafic légitime si vous le voyiez ? Non, probablement pas. Limitez tous ces types de trafic ICMP comme bon vous semble pour votre réseau ; c’est une bonne ligne de défense qui ne doit pas être ignorée.

Lire, Rechercher, Comprendre

Étant donné que le fait que les discussions sur « bloquer ou de ne pas bloquer ICMP » semble toujours entraîner de la confusion, de la colère et des désaccords fanatiques, n’hésitez pas à lire vous-même sur le sujet. Prenez le temps de le comprendre le plus complètement possible ; il y a beaucoup de liens tout au long de cette page seulement. Vous pourrez ensuite vous faire votre propre opinion et faire un choix éclairé sur ce qui convient le mieux à votre réseau.

Article traduit et légèrement modifié d’un article en anglais provenant de http://shouldiblockicmp.com/

Créer un lanceur systemD (equiv rc.local) sous debian stretch

 Sans catégorie  Commentaires fermés sur Créer un lanceur systemD (equiv rc.local) sous debian stretch
Avr 082019
 

1 – Créer un fichier Service

/etc/systemd/system/monpetitnomde.service

2 – Dans ce fichier, on met le code qui suit

[Unit] 
Description=Texte de description du service
ConditionPathExists=/full/path/of/script.sh

[Service]
Type=forking
ExecStart=/full/path/of/script.sh start
TimeoutSec=0
StandardOutput=tty
RemainAfterExit=yes
SysVStartPriority=99

[Install]
WantedBy=multi-user.target

3 – Créer ensuite le script avec chmod+x

4 – Enfin, ajouter au systeme avec

systemctl enable monpetitnomde

Remarques

cette config executera ça une seule fois au boot au moment ou on passse en mode multi-user. C’est l’équivalent du script rc.local de l’ancien système

Important : Si on veut lancer des démons, il vaut mieux faire plusisuers services car 1) c’est plus modulaire et surtout le process de boot va forker et tout lancer en parallèle ce qui accélère énormément sur les machine multi-cpu