Le fil des beaux gosses linuxiens, v2 où comment installer LFS sur BTRFS en RAID10

[M0s]

Seul truc qui me chiffonne un peu c'est qu'il semble que la webcam / micro fonctionne difficilement avec Linux sur les laptops que je vise (Thinkpad X1).

Si c'est un modèle sorti très récemment, genre les X1 Gen 7, c'est possible que le support soit pas encore très mature. Après ça dépend aussi beaucoup de la distro, mx linux par exemple c'est basé sur debian stable donc pas super à jour non plus. Et si ça pose problème t'as toujours la possibilité de choisir une distro basée sur unstable ou même une distro basée sur arch comme manjaro pour profiter des dernières features plus rapidement.

D'ailleurs le support (au moins du micro) a l'air d'être prévu avec l'arrivée du kernel 5.3 : https://wiki.archlinux.org/index.php..._7)#Microphone

[moimadmax]

Bonjour,

Je suis en train de remonter mon serveur raspberry pi, je passe d'un Rasperry pi 1 à un 2 Whouhou débauche de puissance .
Actuellement côté Internet il y a un serveur web (nginx + php5), un ftp (pureftpd) et un VPN (poptop).
Coté Lan il y a en plus Samba et SSh.

J'arrive à m'en sortir pour que tout fonctionne. Par contre niveau sécurité, je suis moins sûr de mon coup. Car bien que j'ai tenté de faire les choses bien (un user limité pour les services accessible en externe), SSH qui n’accepte que les connexions du réseau interne... Le point faible est poptop mais pour l'instant c'est difficile de faire plus simple car géré nativement par windows et android.

Et là comme j'ai plus de puissance, je voudrais y ajouter la surveillance de mon compteur EDF. Car actuellement j'ai un autre Rpi1 dédié à cette tâche.

Bref la question, connaissez vous des tutos ou bon guide pour sécuriser le bouzin ?
Je sais bien que la sécurité informatique est un métier, le but est de limiter la casse. De plus qu'il n'y a rien de très personnel dessus.

Le gros point d'entrée semble être fail2ban que je compte ajouter.

[Fastela]

Si c'est un modèle sorti très récemment, genre les X1 Gen 7, c'est possible que le support soit pas encore très mature. Après ça dépend aussi beaucoup de la distro, mx linux par exemple c'est basé sur debian stable donc pas super à jour non plus. Et si ça pose problème t'as toujours la possibilité de choisir une distro basée sur unstable ou même une distro basée sur arch comme manjaro pour profiter des dernières features plus rapidement.

D'ailleurs le support (au moins du micro) a l'air d'être prévu avec l'arrivée du kernel 5.3 : https://wiki.archlinux.org/index.php..._7)#Microphone

J'ai testé rapidement Arch dans une VM il y a quelques mois, et même si j'aimais bien l'idée de la rolling release, au bout d'une semaine, y'avait tellement de mises à jour à faire que tout s'est mis à planter, c'était clairement pas une bonne expérience.

[M0s]

J'ai testé rapidement Arch dans une VM il y a quelques mois, et même si j'aimais bien l'idée de la rolling release, au bout d'une semaine, y'avait tellement de mises à jour à faire que tout s'est mis à planter, c'était clairement pas une bonne expérience.

Dans ce cas tu devrais essayer manjaro à l'occasion. Niveau prise en main c'est tout aussi intuitif que mx linux, et pour l'avoir testée récemment j'ai eu aucun problème de stabilité. D'ailleurs c'est les deux distros les plus populaires depuis quelques mois sur distrowatch.

Bref la question, connaissez vous des tutos ou bon guide pour sécuriser le bouzin ?
Je sais bien que la sécurité informatique est un métier, le but est de limiter la casse. De plus qu'il n'y a rien de très personnel dessus.

Si tu es le seul utilisateur sur les services que tu comptes rendre accessible publiquement, tu peux déjà limiter leur accès à une ou plusieurs IP de confiance via iptables.

Après de manière plus générale, sur un service type ftp ou ssh, c'est une bonne idée de changer le port par défaut pour un port random. Rien qu'avec ça tu réduis de 90% les attaques automatisées. Associé à une authentification forte avec certificat + passphrase, un utilisateur avec des droits restreints et fail2ban par dessus ça offre déjà un niveau de sécurité plus que correct je pense. Faut juste pas oublier en parallèle de faire régulièrement les mises à jour pour ces services, ou même carrément automatiser les maj de sécurité.

En parlant de fail2ban, tu peux aussi l'utiliser pour nginx, ça fait pas de miracles mais ça peut aider à repérer et à bannir certains bots. Et dans ce cas il faut soit trouver un jeu de règles déjà faites, comme sur ce tuto, soit les écrire à la main selon les besoins.

Mais au delà de ça la question qui me vient en tête c'est est-ce que tu as l'obligation de faire tourner nginx et pureftpd directement sur le raspberry? Parce que dans le cas contraire la meilleure sécurité ça serait de les déporter sur un vps de manière à cloisonner physiquement les usages en ne faisant tourner que des services locaux sur le pi.

[moimadmax]

Si tu es le seul utilisateur sur les services que tu comptes rendre accessible publiquement, tu peux déjà limiter leur accès à une ou plusieurs IP de confiance via iptables.

Après de manière plus générale, sur un service type ftp ou ssh, c'est une bonne idée de changer le port par défaut pour un port random. Rien qu'avec ça tu réduis de 90% les attaques automatisées. Associé à une authentification forte avec certificat + passphrase, un utilisateur avec des droits restreints et fail2ban par dessus ça offre déjà un niveau de sécurité plus que correct je pense. Faut juste pas oublier en parallèle de faire régulièrement les mises à jour pour ces services, ou même carrément automatiser les maj de sécurité.

En parlant de fail2ban, tu peux aussi l'utiliser pour nginx, ça fait pas de miracles mais ça peut aider à repérer et à bannir certains bots. Et dans ce cas il faut soit trouver un jeu de règles déjà faites, comme sur ce tuto, soit les écrire à la main selon les besoins.

Mais au delà de ça la question qui me vient en tête c'est est-ce que tu as l'obligation de faire tourner nginx et pureftpd directement sur le raspberry? Parce que dans le cas contraire la meilleure sécurité ça serait de les déporter sur un vps de manière à cloisonner physiquement les usages en ne faisant tourner que des services locaux sur le pi.

Pas possible de restreindre les IPs, car le serveur web est surtout là pour permettre le partage facile de fichiers avec la famille, j'ai un répertoire caché des robots crawler qui liste les fichiers qui sont dedans, ainsi quand je dois partager un fichier, je le copie dans ce répertoire via samba de mon réseau interne et je donne le lien à la personne concerné, quant c'est pas des flèches en informatique, y'a pas plus simple.

Je ne vais peut être pas remettre de ftp, car finalement je l'utilise très peu. Il faudrait que je trouve un truc facile d'upload de fichier sans limite de taille,

Je fais les mises à jours régulièrement.

Après ce que je ne sais pas c'est a quel point peut on faire confiance aux mécanisme de sécurité des logiciel, comme la restriction d'IP de SSH ? Car je l'autorise que de mon LAN et sauf les IP du routeur pour éviter qu'on s'y connecte par rebond.

Merci je vais regarder tout cela.

[Wobak]

Pas possible de restreindre les IPs, car le serveur web est surtout là pour permettre le partage facile de fichiers avec la famille, j'ai un répertoire caché des robots crawler qui liste les fichiers qui sont dedans, ainsi quand je dois partager un fichier, je le copie dans ce répertoire via samba de mon réseau interne et je donne le lien à la personne concerné, quant c'est pas des flèches en informatique, y'a pas plus simple.

Je ne vais peut être pas remettre de ftp, car finalement je l'utilise très peu. Il faudrait que je trouve un truc facile d'upload de fichier sans limite de taille,

Je fais les mises à jours régulièrement.

Après ce que je ne sais pas c'est a quel point peut on faire confiance aux mécanisme de sécurité des logiciel, comme la restriction d'IP de SSH ? Car je l'autorise que de mon LAN et sauf les IP du routeur pour éviter qu'on s'y connecte par rebond.

Merci je vais regarder tout cela.

Perso pour les partages comme ça, j'ai installé un owncloud ou un nextcloud, et je mets le fichier dedans via le client Windows, tu crées un lien partageable, qui peut expirer... et c'est top.

[Fastela]

Dans ce cas tu devrais essayer manjaro à l'occasion. Niveau prise en main c'est tout aussi intuitif que mx linux, et pour l'avoir testée récemment j'ai eu aucun problème de stabilité. D'ailleurs c'est les deux distros les plus populaires depuis quelques mois sur distrowatch.

Oui j'ai vu passé ça, mais elle fonctionne sur le même principe de rolling release qu'Arch, j'ai peur que ce ne soit pas suffisamment stable pour moi. Là je teste elementary OS et ça fonctionne très bien aussi. C'est sur une base Ubuntu, mais avec un très fort accent mis sur la cohérence graphique. Venant de MacOS, forcément ça me parle. Pour l'instant je ne trouve pas de limitation non plus.

[M0s]

Après ce que je ne sais pas c'est a quel point peut on faire confiance aux mécanisme de sécurité des logiciel, comme la restriction d'IP de SSH ? Car je l'autorise que de mon LAN et sauf les IP du routeur pour éviter qu'on s'y connecte par rebond.

Tu peux je pense, surtout sur des services comme ssh.

Le problème qui peut se poser c'est surtout quand on veut répliquer la même configuration sur chaque service individuellement. Pour prendre un exemple au hasard, avec samba tu as une option pour forcer le service à écouter sur une interface réseau en particulier, si tu veux faire la même chose avec ssh en revanche c'est pas possible, il ne propose qu'une option pour écouter sur l'ip d'une interface et pas sur l'interface elle-même.

Dans ce cas la meilleure solution pour avoir une config homogène, c'est de passer directement par iptables et d'établir les restrictions via des règles qui s'appliqueront à tous les services en même temps. Comme refuser le trafic entrant s'il ne provient pas de telle interface, n'autoriser les connexions sur tel ou tel port que pour une plage d'ip spécifique, etc...

Après si j'étais toi, je me concentrerais aussi sur nginx qui peut être la porte d'entrée la plus fragile, encore plus si tu fais tourner des scripts custom dessus pour le partage de fichiers. Le vpn quant à lui peut également être un vecteur de risque selon la manière dont il est configuré. En particulier quand on fait du split-tunneling (faire passer une partie du trafic via le vpn et une autre partie par la connection normale).

Oui j'ai vu passé ça, mais elle fonctionne sur le même principe de rolling release qu'Arch, j'ai peur que ce ne soit pas suffisamment stable pour moi. Là je teste elementary OS et ça fonctionne très bien aussi. C'est sur une base Ubuntu, mais avec un très fort accent mis sur la cohérence graphique. Venant de MacOS, forcément ça me parle. Pour l'instant je ne trouve pas de limitation non plus.

Ouais elementary c'est sympa comme distro, d'ailleurs on voit de plus en plus de distro ces dernières années qui essaient de faire pareil avec un gros accent sur la cohérence graphique et sur l'aspect visuel. Ca change de l'époque des bureaux fonctionnels mais qui ressemblaient à rien

[Guapo]

Bonjour,

Je suis en train de remonter mon serveur raspberry pi, je passe d'un Rasperry pi 1 à un 2 Whouhou débauche de puissance .
Actuellement côté Internet il y a un serveur web (nginx + php5), un ftp (pureftpd) et un VPN (poptop).
Coté Lan il y a en plus Samba et SSh.

J'arrive à m'en sortir pour que tout fonctionne. Par contre niveau sécurité, je suis moins sûr de mon coup. Car bien que j'ai tenté de faire les choses bien (un user limité pour les services accessible en externe), SSH qui n’accepte que les connexions du réseau interne... Le point faible est poptop mais pour l'instant c'est difficile de faire plus simple car géré nativement par windows et android.

Et là comme j'ai plus de puissance, je voudrais y ajouter la surveillance de mon compteur EDF. Car actuellement j'ai un autre Rpi1 dédié à cette tâche.

Bref la question, connaissez vous des tutos ou bon guide pour sécuriser le bouzin ?
Je sais bien que la sécurité informatique est un métier, le but est de limiter la casse. De plus qu'il n'y a rien de très personnel dessus.

Le gros point d'entrée semble être fail2ban que je compte ajouter.

Tu pourrais utiliser ton RPi1 pour en faire un reverse proxy sur lequel tu n'as que nginx. Le 2eme Pi ne serait du coup qu'accessible qu'à partir du premier, avec les règles iptables qui vont bien.

[Nilsou]

Bon question bizarre et conne mais j'avoue que je bloque :

Je ne m'étais jamais posé la question jusqu'ici car je n'en avais jamais eu besoin, mais il n'y a en fait aucune solution simple pour voir les partitions Linux depuis Windows (10) ?
C'est quand même super bizarre, ça reste des partitions très classique sans truc particulier, pourquoi c'est comme ça? D'autant plus étrange quand même que Linux est tout à fait capable d'afficher les partitions windows en natif ...

Du coups je ne saisit pas bien

J'ai un peu regarder sur le net mais ça fait froid dans le dos les premières infos, genre si je regarde la page https://doc.ubuntu-fr.org/tutoriel/c...u_sous_windows presque chacune des solutions présenté à un risque non nul de flinguer la partition ou d’empêcher le démarrage windows
Chaud quand même ...

Idem coté Malekal :
https://www.malekal.com/lire-partiti...-sous-windows/

Alors j'ai raté une solution évidente ou c'est vraiment aussi pourris que ça en l'air ?

[TarteAuxFleurs]

Windows n'inclue pas de pilotes pour le système de fichiers EXT4 utilisé par Linux.
Le mieux ça reste de trouver des pilotes pour faire ça, mais il me semble que même ça c'est assez expérimental... Sinon mettre sa partition Linux en NTFS, mais je sais pas si c'est une bonne idée...

[Nilsou]

C'est fou quand même, un truc aussi simple pourtant ...
Bah tant pis je vais passer par des disques dur externe, mais là j'ai été bien déçu par Windows sur le coups ...

[Cwningen]

De toute façon, je ne suis pas sûr que partager une partition avec des permissions entre Linux et Windows soit très pratique.

[Nilsou]

Bah ça marche bien dans un sens, depuis Linux je tape sans soucis dans le dossier "téléchargement" de mon Windows, histoire de ne pas télécharger des doublons. Linux gère maintenant très très bien le NTFS en natif. Tant que tu ne fais rien d'exotique je pense, mais pour du copier-coller de fichier ça passe sans problème. J'avais un raccourics vers mon bureau windows sur le bureau linux pour récupérer des fichiers et c'était nickel.

Je suis tout simplement sidéré qu'on ne puisse pas faire la même chose depuis windows ...
C'est d'autant plus étrange que Windows se targuait d'être compatible linux ces derniers temps...

[Tilt]

Windows emmerde les autres OS, pour lui ils n'existent pas.
Y'a un programme sous windows Extofsd qui permet de lire l'ext4

[Nilsou]

Ext2Fsd tu veut dire ? D'après le wiki ubuntu il y a un risque pour Windows ne fonctionne plus si Ext2Fsd est installé sur windows 10, je vais pas prendre le risque perso Surtout que d'après Malekal il ne fonctionne pas et ne supporte pas le Ext4.

[Tilt]

Oui c'est ça.
Chez moi ça marche sous windows 10 et ça lit l'ext4 (mais pas les partitions nfs)

[Nilsou]

Ha bon, franchement en ce moment pour l'usage que j'en avais ça vaut pas le coups. Mais bon je retient quand même que toute cette histoire c'est un peu caca quand même ...

[Tilt]

Bon bon.
Après environ 20 ans passés en dual boot j'ai sauté le pas, j'ai écrabouillé mon windows par fedora 31 sur son ssd M2 1to.
Windows ne me manque pas. Au pire je le réinstallerai sur un vieux ssd 256, mais pour l'instant je ne ressent aucun besoin de l'avoir.
Mais je me doute que tôt ou tard j'en aurai besoin, pour mettre à jour un firmware ou autre truc pour lesquels les fabricants de matos n'auront prévu que la mise à jour ne puisse se faire que sous windows.....Malheureusement ça existe encore.

[JosephOrdure]

Salut les canards,

Est-ce que l'un de vous à déjà éssayé de faire marcher Vulkan sous Linux ?
En fait, je voulais m’essayer à la programmation 3D avec Vulkan, j'ai donc installé le SDK
Su mon pc portable j'ai deux cartes graphiques, une Intel (intégrée) et une NVidia (940mx).
Dans le panneau de config NVidia, si je sélectionne le GPU intégré (Intel), ca marche.
vulkainfo me retourne plein de trucs
Si je lance vkcube, j'ai une fenêtre qui s'ouvre avec un cube en 3D qui tourne

Si je sélectionne le GPU NVidia, plus rien ne fonctionne.
J'ai éssayé un peu tous les drivers (libre et non libre)... Je ne vois pas trop d'où vient le problème

J'ai créé un thread sur le forum de Khronos où j'ai mis plus d'infos : https://community.khronos.org/t/vulk...nt-work/104913

[schnak]

Hello.

Essaye de tapant "sudo vulkaninfo" et ensuite tente de lancer vkcube et dit moi si cela marche. J'ai eu un soucis équivalent pour un de mes jeux (TESO) et la solution a été trouvé en lançant la commande... jamais su d'où cela vient et visiblement le problème n'a pas été réglé (du moins pas à ma connaissance...)

J'ai trouve ce thread (je me demande même si ce n'est pas toi d'ailleurs ) et peut être que la solution viendra. J'avoue totalement sécher personnellement...

[JosephOrdure]

Salut Schnak,

Merci pour ta réponse, en fait j'ai éssayé...2000 trucs mais rien n'y fait...
J'ai aussi éssayé de lancer vulkaninfo avec sudo
En tapant "sudo vulkaninfo" ca le lance avec les droits root et donc les variables d'environnement ne sont plus les même (donc la variable VK_TRUC ou VULKAN_MACHIN) n'existent pas, du coup c'est comme si il n'y avait pas de SDK puisque l'executable lancé est /usr/bin/vulkaninfo et non /home/moi/vulkan-sdk/....

En fait, au mieux j'arrive à faire reconnaître mes deux cartes graphique par vulkaninfo mais j'ai encore jamais réussi à faire afficher le cube tournant avec la CG Nvidia

[Cwningen]

Le sdk n'est pas dans les dépôts de ta distribution ? Ça marcherait peut-être mieux.

[JosephOrdure]

Nonnon... Je suis sous Ubuntu 19.10
Mais même sans le SDK ca ne marche pas (en supprimant les variables d'environnement du SDK + le LD_LIBRARY_PATH) : vkcube = écran noir

[Cwningen]

Essaye déjà de faire marcher vkcube avec les bibliothèques de ta distribution, au moins on sait que ce n'est pas à cause d'un SDK mal installé.

Tu as quelle version du pilote Nvidia ? Il me semble que le support d'optimus est très récent.

Chez moi (Ivy Bridge + Geforce 660M, fedora 31 avec nvidia 440.31), vkcube marche sur les deux cg (enfin je crois, c'est dur de dire laquelle s'occupe vraiment du rendu quand il n'y a pas de problèmes de performance). Je n'ai pas essayé de développement.

[JosephOrdure]

Oui c'est ce que j'essaye de faire.

J'ai éssayé plusieurs version du driver, de tête : le 440, le 435, le 430...

Par contre j'ai éssayé un truc hier soir...
J'ai supprimé le fichier /usr/share/vulkan/icd.d/intel_icd et là en relancant vkcube, le système s'est figé pendant environ 1 minutes et ca m'a affiché le cube tournant.
Bon après, j'ai du rebooter à la sauvage car plus rien ne répondait

[Tilt]

Je crois que je vais devoir réinstaller windows sur le ssd 256Go.

En fait j'ai besoin d'accéder à un vieux site mal foutu avec MS silverilight.
La solution c'est de passer par internet explorer ou navigateur alternatif basé sur ie via Wine.
Mais le site a l'air incompatible avec wine : impossible de s'identifier dessus.

Donc je vais devoir installer windows......juste pour ça

[Garrluk]

Et sinon pour ne pas avoir a reformater les partitions, une VM ne suffirait pas ?

[Tilt]

Si peut être ..... Vais tester.
Mais ça m'embête un peu je risque d'avoir besoin d'un vrai windows un jour ou l'autre et il me faudra transférer la licence ou en racheter une.

Mais c'est vrai que c'est plus pratique qu'un dual boot ou il faut rebooter pour changer d'os.

[Calys]

Si peut être ..... Vais tester.
Mais ça m'embête un peu je risque d'avoir besoin d'un vrai windows un jour ou l'autre et il me faudra transférer la licence ou en racheter une.

Mais c'est vrai que c'est plus pratique qu'un dual boot ou il faut rebooter pour changer d'os.

Si c'est juste pour consulter un site sous IE les VMs de dév peuvent suffire : https://developer.microsoft.com/en-u...dge/tools/vms/

Tu fais un snapshot au premier jour et le restaure à chaque fois que la VM expire.