FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 15 octobre 2021Flux principal

Automatiser le processus de mise à jour Apt sur Debian

15 octobre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment automatiser le processus de mise à jour d'une machine Linux sous Debian ou Ubuntu. En effet, à partir d'un certain nombre d'instances de VM (ou de machines physiques), il est assez fastidieux de taper ne serait-ce qu'une fois par mois : "apt update && apt upgrade" sur toutes vos machines. L'objectif de cet article est de se la jouer fainéant, mais surtout futé en automatisant le processus.

"Je choisis une personne paresseuse pour un travail difficile, car une personne paresseuse va trouver un moyen facile de le faire." - Bill Gates 

II. Automatiser le processus de mise à jour avec un script bash

Nous allons créer un petit script bash pour réaliser notre automatisation. Afin de garder une trace de chaque exécution, je vais rediriger le contenu de stderr (en cas de retour d'une erreur lors de l'exécution du script) et stdout (en cas de succès).

Plus d'informations concernant la redirection des flux standard sous Linux.

Suivez les étapes ci-dessous, les commentaires sont là pour vous guider.

# Création du fichier
touch /home/user/script.sh 

# Edition du script
nano /home/user/script.sh
# Contenu du script "script.sh"
#!/bin/bash
echo ">>------------------------------------------------$(date)---------------------------------------------<<" >> /var/log/update_upgrade.log
echo ">>------------------errors------------------------------$(date)---------------errors------------------------------<<" >> /var/log/update_upgrade.err
export DEBIAN_FRONTEND=noninteractive
apt-get update && apt-get upgrade -y >> /var/log/update_upgrade.log 2>> /var/log/update_upgrade.err

# On donne les droits d'exécution sur le script
chmod u+x /home/user/script.sh 

# On édite la crontab 
crontab -e 

# Adaptez l'heure de la cron en fonction de l'heure à laquelle vous souhaitez faire votre test. 
06 17 * * * /home/user/script.sh

# Affichez les logs 
cat /var/log/update_upgrade.*

Je vais détailler quelques éléments du script ci-dessous :

- "DEBIAN_FRONTEND=noninteractive" : Nous allons activer ce mode par le biais de l'instanciation d'une variable DEBIAN_FRONTEND.  Utilisez ce mode lorsque vous n'avez besoin d'aucune interaction lors de l'installation ou de la mise à niveau du système via apt. Il accepte la réponse par défaut pour toutes les questions. Il peut envoyer un message d'erreur à l'utilisateur root, mais c'est tout. Une interface parfaite pour les installations automatiques. On peut utiliser ce mode dans des fichiers Dockerfile, des scripts shell, etc.

- ">> /var/log/update_upgrade.log" : Redirige la sortie standard du couple de commandes vers le fichier update_upgrade.log, afin d'avoir une trace de ce qu'il s'est passé.

- "2>> /var/log/update_upgrade.err" : Redirige la ou les erreurs en cas d'échec du couple de commandes vers le fichier update_upgrade.err. Normalement, ce fichier devrait toujours être vide. Le cas contraire indiquerait que vous avez un problème lors de l'exécution des deux commandes (il faudrait le cas échéant, déprogrammer la tâche cron, puis investiguer manuellement). Cas concret : si vous avez une coupure internet pile au moment du lancement du processus, apt vous renverra une erreur.

Il est à noter que les upgrades de tous les paquets se feront automatiquement sur Debian/Ubuntu, sauf les upgrades du noyau Linux, qui sont exclus par défaut, lorsque apt upgrade est automatisé. Pour faire ce genre de mise à jour, il faudrait manuellement taper la commande. 

Note 1 : Si au sein de votre parc informatique, vous avez un très grand nombre de machines Debian/Ubuntu (plus d'une centaine) par exemple, il serait peut-être judicieux de créer votre propre reposiotry local. Je vous laisse le soin de consulter ces deux articles si le sujet vous intéresse :

Ubuntu : comment créer son propre repository local ?  

Debian : comment créer son propre repository local ?

Note 2 : lors de la première exécution du script, il se peut que vous obteniez les messages (warnings) suivant :

cat /var/log/update_upgrade.err

Après quelques recherches, cette erreur intervient lors de la première exécution du script. Mais par la suite, vous ne devriez pas la rencontrer de nouveau.

En effet d'après ce que j'en ai déduit, le processus dpkg parent d'apt s'inquiète que la modification du mode frontend ait été changée, et nous le signale simplement. En aucun cas, ces messages qui pourraient s'apparenter à des "erreurs fatales" ne sont bloquants pour la mise à jour des dépôts distants et l'installation de nouveaux paquets, donc pas de stress ! 🙂

III. Automatiser le processus de suppression des paquets obsolètes  ?

Hum... Selon moi ce n'est pas une bonne idée, car certaines applications (anciennes ou non) peuvent reposer sur d'anciens packages. Je ne vous recommande pas d'effectuer cette automatisation au risque de perturber certains services de vos serveurs et d'occasionner un dysfonctionnement.

Selon moi, la commande "apt autoremove" doit être exécutée manuellement et avec une attention toute particulière, afin de bien évaluer l'impact de la suppression des paquets détectés comme obsolète/plus utile.

IV. Conclusion et idées d'optimisations

L'automatisation c'est génial ! Mais, gardez en tête qu'il faut de temps à autre jeter un œil au fichier de log, afin de vérifier que les automatisations fonctionnent comme vous le souhaitez.

Pour cela, je vous conseille de vous créer un fichier Excel ou équivalent avec la création d'un planning de tâche cron. C'est ce que j'utilise actuellement, et cela me permet de "prendre de la hauteur" sur l'ensemble de mes automatisations, et de ne pas être perdu parmi les nombreuses tâches cron qui s'exécute (à savoir des dizaines...).

Afin de ne pas vérifier tous les fichiers de logs apt un par un sur tous vos serveurs, il pourrait être judicieux d'implémenter un serveur RSYSLOG afin de centraliser la gestion de vos logs de mises à jour. Comme je suis sympa, je vous donne le morceau de configuration a ajouter dans la configuration rsyslog côté client (pas besoin de mettre quoi que ce soit dans la configuration côté serveur rsyslog).

Ajoutez ce bout de code à la fin du fichier /etc/rsyslog.conf de la machine qui transfert ses logs, et adaptez le en conséquence.

# ...
$ModLoad imfile
$InputFileName /var/log/update_upgrade.log
$InputFileTag tag_app_log:
$InputFileStateFile app_log1
$InputFileSeverity info
$InputFileFacility apt-update-upgrade
$InputRunFileMonitor
apt-update-upgrade @ip-du-serveur-rsyslog:514

# Si-vous utilisez TCP pour le transfert des logs au lieu d'UDP, veilliez à mettre deux @@ au lieu d'un.

A vous de jouer !

The post Automatiser le processus de mise à jour Apt sur Debian first appeared on IT-Connect.
À partir d’avant-hierFlux principal

Serveur de fichiers Debian : installer et configurer Samba 4

30 septembre 2021 à 11:30

I. Présentation

Dans ce tutoriel, je vous propose d'installer et configurer Samba 4 sur un serveur Debian 11 afin de créer un serveur de fichiers sous Linux, avec un partage de fichiers.

Qu'est-ce que Samba ?

Samba est une application libre qui tourne sous Linux et qui permet de créer un serveur de fichiers en s'appuyant sur l'implémentation du protocole SMB (CIFS). C'est précisément cette fonctionnalité qui va nous intéresser aujourd'hui, mais sachez que Samba permet également de partager des imprimantes et de créer un véritable contrôleur de domaine Active Directory (prise en charge des GPO, Kerberos, LDAP, DNS, etc.).

Quels sont les prérequis pour suivre ce tutoriel ?

Pour suivre ce tutoriel, vous avez besoin :

  • D'une machine sous Linux, pour ma part Debian 11 (selon la distribution quelques commandes peuvent changer)
  • D'un poste client sous Windows pour tester l'accès au partage, pour ma part Windows 11 (mais Windows 10 fera très bien l'affaire)

Quel est l'objectif de ce tutoriel ?

Nous allons installer le paquet Samba sous Debian 11 dans le but de monter un serveur de fichiers. Ce serveur de fichiers contiendra un seul partage nommé tout simplement "Partage" et il sera accessible par plusieurs utilisateurs. Nous verrons également comment accéder à ce partage depuis un poste client.

Si vous découvrez le protocole SMB à l'occasion de ce tutoriel, rendez-vous à la fin de l'article !

Ready ? Go !

II. Installer Samba sous Debian 11

Note : les commandes sont exécutées directement avec l'utilisateur "root" mais si vous agissez depuis un compte administrateur (autre que root), pensez à préfixer les commandes avec "sudo".

Connectez-vous sur votre machine Linux et mettez à jour la liste des paquets :

apt-get update

Ensuite, installez le paquet "samba" :

apt-get install -y samba
apt-get install -y samba
apt-get install -y samba

Suite à l'installation, on peut afficher la version actuelle de Samba via la commande smbd :

smbd --version
Version 4.13.5-Debian

Pour afficher le statut du serveur Samba, et voir s'il est démarré ou arrêté, voici la commande à exécuter :

systemctl status smbd

Avant de passer à la suite, nous allons activer le démarrage automatique de smbd (Samba) :

systemctl enable smbd

Maintenant, passons à la création du partage Samba.

III. Créer son premier partage sous Samba

La création du partage va s'effectuer en plusieurs étapes : la configuration de Samba dans un premier temps, et la préparation du groupe, de l'utilisateur et du dossier du partage dans un second temps.

A. Configurer le partage dans smb.conf

Le fichier de configuration de Samba est "/etc/samba/smb.conf", nous allons l'éditer :

nano /etc/samba/smb.conf

Ajoutez ensuite les lignes suivantes pour déclarer notre partage :

[partage]
   comment = Partage de données
   path = /srv/partage
   guest ok = no
   read only = no
   browsable = yes
   valid users = @partage
Configurer un partage dans Samba
Configurer un partage dans Samba

Quelques explications :

  • [partage] : sert à spécifier le nom du partage entre "[]", c'est le nom qui devra être utilisé pour accéder au partage
  • comment : description du partage
  • path : chemin vers le dossier à partager, sur le serveur
  • guest ok : accès invité au partage (par défaut "no"). Si vous décidez d'activer cette option, vous devez configurer l'option "guest account" qui par défaut prend la valeur "nobody".
  • read only : partage accessible uniquement en lecture seule (yes ou no)
  • browsable : le partage doit-il être visible ou masqué si on liste les partages du serveur avec un hôte distant (découverte réseau). La valeur "yes" permet de le rendre visible.
  • valid users : spécifier les utilisateurs ou les groupes qui ont les droits d'accès au partage (les droits sur le système de fichiers doivent être cohérents vis-à-vis de cette autorisation). On précise un utilisateur avec son identifiant et un groupe avec son identifiant précédé du caractère "@". Pour indiquer plusieurs valeurs, séparez-les par une virgule.

La configuration étant terminée, sauvegardez le fichier et redémarrez le service smbd :

systemctl restart smbd

B. Créer un utilisateur et le groupe "partage"

Le groupe "partage" que nous avons déclaré dans la configuration n'existe pas. Nous allons créer le groupe, ainsi qu'un utilisateur nommé "it-connect" et qui sera membre de ce groupe.

Créez l'utilisateur "it-connect" et définissez son mot de passe :

adduser it-connect

Pour que l'utilisateur puisse se connecter au partage, il faut l'autoriser dans Samba, en plus de la création au sein du système Linux. Pour cela, il faut utiliser la commande "smbpasswd" pour déclarer l'utilisateur et lui créer un mot de passe Samba (ce dernier pouvant être différent du mot de passe du compte sur le système).

Voici la commande pour ajouter l'utilisateur "it-connect" :

smbpasswd -a it-connect
Créer l'utilisateur et définir son mot de passe Samba avec smbpasswd
Créer l'utilisateur et définir son mot de passe Samba avec smbpasswd

Lorsqu'un utilisateur exécute lui-même la commande "smbpasswd", cela lui permet de modifier lui-même son mot de passe Samba.

L'utilisateur étant prêt, nous allons créer le groupe "partage" :

groupadd partage
Ajouter l'utilisateur au groupe associé à notre partage
Ajouter l'utilisateur au groupe associé à notre partage

Avec gpasswd ou usermod, ajoutez l'utilisateur "it-connect" au groupe "partage" :

gpasswd -a it-connect partage

Le tour est joué pour l'utilisateur et le groupe !

C. Préparer le dossier du partage

Le partage va être hébergé à l'emplacement "/srv/partage" de notre serveur. Commençons par créer le dossier :

mkdir /srv/partage

Ensuite, on va attribuer le groupe "partage" comme groupe propriétaire de ce dossier :

chgrp -R partage /srv/partage/

Puis, nous allons ajouter les droits de lecture/écriture à ce groupe sur ce dossier :

chmod -R g+rw /srv/partage/

On peut vérifier la configuration des droits avec la commande suivante :

ls -l /srv/
Préparer le dossier du partage Samba
Préparer le dossier du partage Samba

Tout est prêt, nous pouvons tester depuis un poste client mais avant cela lisez le point suivant.

D. Le partage [homes] de Samba

Dans sa configuration par défaut, Samba dispose d'un partage nommé [homes]. En fait, il ne s'agit pas réellement d'un partage nommé "homes" mais cette configuration spécifique permet de créer un partage personnel pour chaque utilisateur qui se connecte sur votre machine Linux.

De cette façon, l'utilisateur "it-connect" dispose d'un partage personnel (correspondant à son dossier personnel définit au niveau de Linux) accessible à l'adresse suivante :

\\<nom-du-serveur>\it-connect

Il faut savoir que, par défaut, ces partages sont accessibles en lecture seule et l'utilisateur ne voit que son propre partage, après s'être authentifié au serveur.

Si vous souhaitez désactiver ces partages car vous n'en avez pas l'utilité, il suffit de commenter les différentes lignes (la ligne [homes] ainsi que les directives en dessous) dans le fichier smb.conf et de redémarrer le service Samba.

IV. Accéder au partage Samba depuis Windows

Pour tester l'accès au partage, j'ai pris une machine Windows mais j'aurais pu utiliser un client sous Linux également. Pour accéder au partage, il y a plusieurs possibilités : à partir de l'explorateur de fichiers Windows, d'un lecteur réseau, de la commande net use voire même New-PSDrive en PowerShell.

Exemple - Connecter un lecteur réseau sous Windows
Exemple - Connecter un lecteur réseau sous Windows

Utilisons la méthode la plus courante pour accéder à un partage : un chemin UNC directement dans la barre d'adresse de l'Explorateur de fichiers. Pour ma part, ma machine se nomme "debian-11", ce qui donne :

\\debian-11\partage

Note : vous pouvez utiliser l'adresse IP à la place du nom si vous rencontrez des difficultés.

Accéder au partage Samba depuis Windows
Accéder au partage Samba depuis Windows

Le message accès refusé apparaît, c'est normal, car je dois m'authentifier, donc j'utilise le compte "it-connect" et le mot de passe saisit lors de l'exécution de la commande "smbpasswd".

Parfait ! J'accède bien à mon partage Samba depuis Windows ! Je peux même créer un fichier puisque j'ai accès en lecture / écriture.

Sur le serveur Linux, on peut lister le contenu de notre partage :

ls -l /srv/partage/

Il n'y a pas quelque chose qui vous choc ?

Si l'on regarde les droits du fichier "IT-Connect.txt", on peut voir que l'utilisateur propriétaire est "it-connect" et que le groupe propriétaire est "it-connect" également. En bref, il n'y a que l'utilisateur "it-connect" qui peut modifier ce fichier. Les autres utilisateurs pourront seulement le lire.

C'est gênant, car l'objectif c'est que plusieurs utilisateurs puissent accéder à ce partage et travailler sur les mêmes fichiers et dossiers. Nous allons voir comment ajuster la configuration de notre partage dans Samba.

V. Améliorer la gestion des droits sur le partage Samba

Au sein du fichier smb.conf et de notre bloc [partage], nous allons ajouter trois options :

create mask = 0660
directory mask = 0770
force group = partage

- L'option "create mask" va permettre de définir les droits par défaut sur les fichiers (lecture/écriture pour l'utilisateur propriétaire et le groupe propriétaire seulement)

- L'option "directory mask" va permettre de définir les droits par défaut sur les dossiers

- L'option "force group" va permettre de forcer le groupe "partage" comme groupe propriétaire des fichiers et dossiers

Ce qui donne :

[partage]
   comment = Partage de données
   path = /srv/partage
   guest ok = no
   read only = no
   browsable = yes
   valid users = @partage
   create mask = 0660
   directory mask = 0770
   force group = partage

Une fois cet ajustement effectué, sauvegardez la configuration et redémarrez le service :

systemctl restart smbd

Ensuite, les droits sur les nouveaux dossiers et fichiers permettront la collaboration entre plusieurs utilisateurs :

VI. Désactiver le SMB v1 sur Samba

Pour des raisons de sécurité (voir article ci-dessous), je vous rappelle qu'il est déconseillé d'utiliser le protocole SMB v1. C'est pour cette raison que nous allons configurer le serveur Samba de manière à désactiver le SMB v1.

Retournez dans le fichier "smb.conf" et sous le bloc [global], ajoutez ces deux lignes :

min protocol = SMB2
client min protocol = SMB2
smb.conf - "min protocol" et "client min protocol"
smb.conf - "min protocol" et "client min protocol"

Cela va permettre d'imposer le SMB v2 comme version minimale pour négocier une connexion SMB avec notre serveur Samba. Si vous souhaitez imposer le SMB v3, remplacez "SMB2" par "SMB3".

VII. Découvrir le protocole SMB

Le partage de fichiers avec Samba s'appuie sur le protocole SMB, mais connaissez-vous réellement ce protocole ? Je vous propose une introduction avec mon article "Le protocole SMB pour les débutants", disponible également au format vidéo.

Pour finir, voici le lien vers la documentation de Samba pour aller plus loin.

The post Serveur de fichiers Debian : installer et configurer Samba 4 first appeared on IT-Connect.

Linux : configuration d’un espace de stockage sécurisé avec SFTP

29 septembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, je vais vous expliquer comment mettre en place un système de stockage de fichier sécurisé par l’isolation de chaque utilisateur et le chiffrement des connexions. Autrement dit, nous allons permettre à différents utilisateurs de bénéficier d’un espace de stockage dédié et isolé sur notre serveur, au travers d’une connexion SFTP.

SFTP (pour Secure File Transfert Protocol) est un protocole de transfert de fichier sécurisé qui utilise SSH. Un des gros avantages de FTP est qu’il est simple à déployer et à utiliser ; à l’inverse, il est par nature non sécurisé dans le sens où tout passe en clair sur le réseau, y compris les mots de passe !

SFTP quant à lui, assure un chiffrement dès l’authentification, il permet ainsi d’assurer la sécurité des accès et des données qui transitent. En revanche, il nécessite plus de travail de mise en place et bien que nativement prit en charge dans Windows 10 depuis l’ajout du support OpenSSH, il est plus aisé d’utiliser un logiciel tel que WinScp ou Filezilla. Pour la sauvegarde, vous pouvez utiliser FullSync qui gère les connexions SFTP.

Pour ce tuto, j’ai utilisé un serveur Rocky Linux en installation minimale (pas besoin de plus) et le client OpenSSH de Windows pour la connexion SSH, mais vous pouvez utiliser un logiciel tiers comme PuTTY par exemple.

Bien entendu, ce tuto est reproductible sur CentOS, AlmaLinux ou Oracle Linux tel quel. Pour les utilisateurs de Debian, des notes viennent indiquer les changements de commandes et/ou de chemins de fichiers.

II. Préparation du serveur

A. Configuration du réseau

La première chose à faire bien entendu est d’adresser notre serveur en statique. Comme il s’agit d’un serveur de fichier, il n’est pas concevable de le laisser en dynamique au risque de voir son IP changer !

La gestion des adresses IP sur Linux varie en fonction de la distribution. Par chance sur CentOS, il existe un utilitaire qui permet de faire cela en un rien de temps : NetworkManager TUI

Il suffit donc de taper la commande :

[[email protected] ~]# nmtui

Un menu nous permet alors de définir notre adresse IP en statique. Dans un premier temps, sélectionnez « Modifier une connexion »

Puis de sélectionner l’interface correspondante (pour moi c’est facile, il n’y en a qu’une, mais attention si vous en avez plusieurs) et choisir « Modifier… »

Dans la fenêtre suivante, il faut vous rendre dans « CONFIGURATION IPv4 » pour le changer en « Manuel » puis sélectionner « Afficher ».

Ici, mon réseau étant en 192.168.1.0/24, je choisis l’adresse 192.168.1.100. Bien entendu, vous faites comme vous le souhaitez tant que votre adresse reste dans votre plage.

Au passage, vérifiez bien que la case « Connecter automatiquement » est bien cochée, cela vous évitera des déconvenues…

Note : les utilisateurs de Debian n’auront pas la chance d’avoir ce menu. Pour ceux-ci ou les aficionados de la ligne de commande, je vous laisse suivre les excellents tutos sur ifconfig ou iproute2 en fonction de vos systèmes.

Une fois tout ceci validé, un petit redémarrage des services réseau pour la prise en compte des modifications :

[[email protected] ~]#systemctl restart network
# Sous Debian : 
systemctl restart networking

Et pour valider le changement, on va afficher le résultat de la commande ip a.

Notre serveur est bien adressé, on peut passer à la suite.

B. Vérification de la présence du service SSH

Toutes les distributions Linux viennent avec un client SSH ; la plupart avec un serveur SSH, mais celui-ci n’est pas forcément installé par défaut. Ou encore, il m’arrive également de sauter l’étape correspondante lors de l’installation donc on va déjà vérifier qu’il est bien installé :

[[email protected] ~]#systemctl status sshd

Voici le retour pour moi :

Le service est bien installé et même actif.

Si vous avez un retour de ce genre :

Unit sshd.service could not be found

Pas de chance, c’est que le service n’est pas présent ! Mais pas de panique, on peut l’installer à tout moment grâce à la commande magique :

[[email protected] ~]#yum install -y sshd

Yum est le gestionnaire de paquet pour toutes les distributions dérivées de Red Hat comme le son Rocky, Alma et CentOS, cette commande appelle donc l’installation d’OpenSSH ; l’option « -y » permet d’éviter le prompt de validation.

Note : les utilisateurs de Debian avertis auront ici compris qu’il faut utiliser le gestionnaire de paquet Debian « apt ». La commande devient donc apt-get install -y sshd

C. Mise à jour du système

Donc avant tout, on va déjà se connecter, sur mon PC Windows, j’ouvre une fenêtre PowerShell et utilise la commande suivante :

ssh [email protected]

Si la fonctionnalité SSH n'est pas installée sur votre machine Windows, suivez ce tutoriel : le client SSH sous Windows.

Où « florian» est le nom d’utilisateur (à remplacer bien entendu par le vôtre). Une fois connecté, une petite mise à jour, ça ne fait pas de mal surtout maintenant que le serveur n’est pas encore entré en production. Mais pour cela, il faut se connecter en root avec la commande « su ».

[[email protected] ~]$ su
Mot de passe :

Au passage, vous pouvez constater que ma machine s’appelle « sftp », bien entendu, cela n’a aucune influence sur la suite du programme, vous pouvez la nommer comme vous voulez.

Une fois ceci fait, tapez la commande « yum update » :

[[email protected] ~]$ su
Mot de passe :
[[email protected] florian]# yum update

Dépendances résolues.

Là je n’en ai pas beaucoup, mais cela peut être différent chez vous, donc prévoir un petit temps pour compléter toutes les mises à jour.

Note : les systèmes Debian nécessitent deux étapes pour faire une mise à jour de paquets. D’abord la commande apt-get update pour la mise à jour des dépôts puis apt-get upgrade pour la mise à jour des paquets

III. Mise en place du service

Ce qu’il y a de bien avec SFTP, c’est qu’on peut utiliser ce qu’on appelle une prison chroot (chroot jail). L’appel système « chroot » permet de changer le répertoire racine d’un processus ou d’un utilisateur. On parle de prison, car, lorsqu’il est utilisé, l’utilisateur (ou le processus) à l’impression d’être à la racine du système et donc de n’avoir aucun répertoire au-dessus de celui dans lequel il se trouve.

Cela a ses avantages, car il permet, dans un contexte multi-utilisateur, de ne faire apparaître à l’utilisateur uniquement SES répertoires, il ne pourra pas afficher ceux du voisin. Autre avantage, même si un utilisateur se fait piquer son mot de passe, le voleur n’ira pas bien loin et ne pourra corrompre la totalité du serveur.

On va ajouter à cela l’impossibilité pour un utilisateur d’ouvrir un shell sur le serveur. De base, SFTP est une « variante » de SSH donc en théorie, l’utilisateur pourra ouvrir une ligne de commande, mais ça, on ne veut pas !

Vu qu’on va pas mal manipuler les fichiers de configuration, je vais vous éviter l’utilisation de vi, j’aimerais que ce tuto soit reproductible par le plus grand nombre. On va donc installer nano, pour cela, on se connecte en root puis on tape la commande :

[[email protected] ~]#yum install -y nano

Pour Debian, l’éditeur nano est présent nativement. Pour vous en assurer, vous pouvez utiliser la commande « nano --version ».

Une fois l’installation terminée, l’éditeur de texte est prêt à l’emploi.

A. Empêcher la connexion de root via SSH

Ici, les utilisateurs Debian sont chanceux, l’implémentation de sshd dans cette distribution empêche d’office la connexion de root.

Il est indispensable de ne pas autoriser la connexion de cet utilisateur en SSH. Il faudra alors se connecter avec un utilisateur « lambda » et utiliser le compte root seulement quand nécessaire. Pour mettre cela d’aplomb, il faut aller modifier le fichier /etc/ssh/sshd_config avec nano.

[[email protected] ~]#nano /etc/ssh/sshd_config

Ce qui nous intéresse, ce sont ces lignes :

#Authentication:
#LoginGraceTime 2m
PermitRootLogin yes

On va tout simplement supprimer le « yes » de la dernière ligne pour le transformer en « no ». Une fois fait, on enregistre (Ctrl+o) et on quitte (Ctrl+x). Pour que cela soit pris en compte, on redémarre SSH :

[[email protected] ~]#systemctl restart sshd

B. Configuration SFTP

La première étape est de créer un groupe d’utilisateurs qui pourront se connecter en SFTP. Il sera ainsi plus facile de les gérer le cas échéant.

[[email protected] ~]#groupadd sftp

Encore une fois, le nom « sftp » est celui que j’ai choisi pour mon groupe, vous pouvez l’appeler comme vous voulez.

La seconde étape consiste à créer un répertoire qui va servir de « home » aux utilisateurs sftp :

[[email protected] ~]#mkdir /sftp

Je choisis de le mettre à la racine « / » pour plus de facilité, notamment pour les scripts de sauvegardes. Bien entendu, vous pouvez le mettre où vous le souhaitez.

Là encore, vous le nommez comme vous le souhaitez. L’important est de lui donner les bons droits. En effet, il est IMPÉRATIF de donner la propriété à root ainsi que les droits d’écriture. Rappelez-vous il s’agit de faire croire à l’utilisateur qu’il est à la racine, dont seul root à les droits d’écriture. SI on tape la commande « ls -al / », on constate ceci :

drwxr-xr-x. 2 root root 6 20 juin 03:46 sftp

Ce n’est pas bon, car seul root doit avoir les droits complets (lecture, écriture, exécution r-w-x) or ici, les autres utilisateurs ont également les droits d’exécution. Pour modifier cela, il faut taper la commande :

[[email protected] ~]# chmod 750 /sftp

Les droits sous Linux pouvant être représenté par des chiffres (octal):

  • r (read) = 4
  • w (write) = 2
  • x (execute) = 1

Et chaque bloc représente un utilisateur (propriétaire-groupe-autres). Donc à partir de là, 750 octroie les droits complets au propriétaire, lecture et exécution au groupe et rien aux autres.

Maintenant que la base est là, on va retourner dans la modification du fichier sshd_config :

[[email protected] ~]#nano /etc/ssh/sshd_config

Ce qui nous intéresse ici, ce sont les dernières lignes :

override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
 
Example of overriding settings on a per-user basis
Match User anoncvs
X11Forwarding no
AllowTcpForwarding no
PermitTTY no
ForceCommand cvs server

Il est nécessaire de les modifier de la sorte (les explications viennent après) :

override default of no subsystems
Subsystem sftp internal-sftp
 
Example of overriding settings on a per-user basis
Match Group sftp
X11Forwarding no
AllowTcpForwarding no
PermitTTY no
PermitTunnel no
ForceCommand internal-sftp -d /upload
ChrootDirectory /sftp/%u

Bien, décortiquons tout ça :

- Subsystem sftp internal-sftp va indiquer au démon sshd d’utiliser les commandes intégrées

- Match Group sftp va appliquer les lignes qui suivent à tous les utilisateurs faisant partie du groupe « sftp »

- X11Forwarding no va interdire la transmission de l’affichage entre le serveur et le client (ici nous n’avons pas d’interface graphique, mais il vaut mieux l’activer si d’aventure on en rajoute une)

- AllowTcpForwarding no va interdire les redirections TCP

- PermitTTY no va interdire l’utilisation du shell

- PermitTunnel no va interdire l’utilisation des commandes SSH pour créer des tunnels chiffrés

- ForceCommand internal-sftp va obliger les utilisateurs à n’utiliser QUE les commandes SFTP, l’option « -d /upload » va spécifier le répertoire dans lequel l’utilisateur arrive au moment de la connexion, ceci pour éviter qu’il n’arrive à sa racine, car il n’aura pas les droits d’écriture (voir plus bas)

- ChrootDirectory /sftp/%u va indiquer au démon que les utilisateurs doivent croire que la racine est /sftp/nomdelutilisateur

Il ne nous reste qu’à enregistrer et fermer, puis redémarrer sshd.

IV. Création des utilisateurs

On va créer maintenant notre premier utilisateur « john» avec une seule ligne de commande :

[[email protected] ~]#useradd -s /usr/bin/false -d /sftp/john -G sftp john

- L’option « -s » spécifie le shell à utiliser, on ne veut pas qu’il en utilise donc on lui indique un « faux » shell (en fait, c’est plutôt une commande qui ne fait rien et se termine avec un code d’erreur)

- L’option « -d » indique quel répertoire sera celui de l’utilisateur

- L’option -G ajoute l’utilisateur au groupe (ici sftp)

N’oubliez pas de lui affecter un mot de passe :

[[email protected] ~]#passwd john

Attention, par défaut, le répertoire « john » aura des permissions uniquement pour l’utilisateur john (et root bien entendu). Comme indiqué plus haut, pour que SFTP puisse fonctionner, il est obligatoire d’avoir des droits réglés sur 750 avec root en tant que propriétaire.

Il faut donc modifier le propriétaire du dossier. J’en profite pour déclarer « sftp » comme groupe propriétaire également et modifie les droits :

[[email protected] ~]#chown root:sftp /sftp/john
[[email protected] ~]#chmod 750 /sftp/john

On ne peut pas s’arrêter ici, car l’utilisateur « john » pourra bien se connecter, mais en aucun cas uploader quoi que ce soit. Il faut donc lui créer un répertoire dans lequel il pourra à loisir uploader des fichiers, créer d’autres répertoires, etc.

Rappelez-vous, lors de la configuration du service, on a spécifié  « ForceCommand internal-sftp -d /upload » donc le répertoire qui sera utilisé par l’utilisateur doit s’appeler « upload ».

[[email protected] ~]#mkdir /sftp/john/upload
[[email protected] ~]#chown john:john /sftp/john/upload
[[email protected] ~]#chmod 750 /sftp/john/upload

V. Tester le bon fonctionnement

Pour le test, j’utilise WinSCP que j’aime beaucoup, mais vous pouvez utiliser Filezilla sans problème. Pour rappel, Windows 10 permet l’utilisation de sftp nativement, mais en ligne de commande, WinSCP ou FileZilla ont l’avantage de représenter l’arborescence à la manière d’un Explorer ce qui facilite grandement la manipulation de fichiers et répertoires.

Il est fort probable qu’a la première connexion, vous ayez un message de ce type. Normal, le serveur est inconnu, donc le logiciel ne peut comparer sa clé à une autre en mémoire. Cliquer sur « Oui » pour continuer le processus de connexion.

Comme promis, nous arrivons immédiatement dans le répertoire « upload » où l’utilisateur a les droits d’écriture (répertoire courant en haut à gauche) :

Si on remonte d’un cran, on arrive à ce résultat :

Vous constaterez qu’il est bien indiqué « racine » en haut à gauche en guise de répertoire actuel, alors que nous savons bien que c’est faux ! D’ailleurs, si vous essayez de remonter dans l’arborescence, vous ne pourrez pas.

Comme annoncé également, il sera impossible de créer ou uploader quoi que ce soit dans le répertoire courant, mais dans « upload » pas de soucis, notre utilisateur pourra faire ce qu’il veut.

Et qu’en est-il de la connexion par SSH ?

ssh [email protected]
[email protected]'s password:

PTY allocation request failed on channel 0
This service allows sftp connections only.
Connection to 192.168.1.100 closed.

Le message est on ne peut plus clair, seules les connexions et commandes sftp sont autorisées pour cet utilisateur. En revanche, pas de soucis pour mon utilisateur « florian » qui lui peut encore se connecter.

VI. Montage automatique du répertoire SFTP

Pour une utilisation ponctuelle ou une cible de sauvegarde, les étapes ci-dessus suffisent largement. En revanche, si on veut utiliser le répertoire sftp comme lecteur réseau par exemple, il est nécessaire de « monter » ce répertoire dans le système de fichier actuel pour l’utiliser comme s’il était directement attaché à notre machine.

Pour cela, il existe SSHFS, disponible sur toutes les distributions Linux et même sur Windows !

Note : je ne préconise pas de montage permanent ni sous Linux ni sous Windows. La création d’un tel serveur de fichier est à des fins de sécurité, or un montage permanent va à l’encontre de ce principe, surtout si l’utilisateur n’as pas de mot de passe de session par exemple.

A. Utilisation de SSHFS sous Linux

Retrouvez notre tutoriel dédié à SSHFS à cette adresse : Tutoriel SSHFS - Sinon, en résumé voici les étapes à suivre.

Pour tous ceux équipés d’une distribution desktop, rien de plus simple, il suffit d’installer le paquet sshfs sur leur machine à l’aide de la commande :

# Sur Debian
apt install -y sshfs

# Sur CentOS et dérivés
yum install -y sshfs

Une fois l’installation faite, il faut créer un répertoire qui « accueillera » notre montage, ici, je décide que ce sera un dossier nommé sftp que je crée dans mon répertoire user :

mkdir /home/flo/sftp

Maintenant, il ne me reste plus qu’a utiliser la commande qui va bien :

sshfs [[email protected]]serveur:[dossier distant] point_de_montage [options]

Soit dans mon cas :

sshfs [email protected]:/upload /home/flo/sftp
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
[email protected]'s password:

Une fois le mot de passe rentré, nous pouvons naviguer dans notre répertoire en local.

Note : n’oubliez pas que pour john, son répertoire est à la racine d’où le chemin « /upload » dans la commande sshfs. Si vous indiquez le VRAI chemin (/sftp/john/upload), cela ne fonctionnera pas !

Il est possible de monter ce répertoire en permanence via le fichier fstab en ajoutant la ligne :

[email protected]:/upload /home/flo/sftp fuse.sshfs defaults 0 0

La commande est identique à deux exceptions prêtes :

  • fuse.sshfs : spécifie le système de fichier utilisé
  • defaults : spécifie les options de montage, ici on laisse les options par défaut
  • 0 0 : Ces deux chiffrent sont utiles pour la vérification des erreurs du système de fichier au démarrage. Le premier concerne la racine, le deuxième pour les partitions externes. Ici je ne veux pas de vérification, donc je mets les deux valeurs à « 0 »

Note : si vous voulez vraiment faire un montage automatique, il sera obligatoire de vous authentifier par clé. Le montage par fstab via une authentification par mot de passe n’est pas possible.

B. Utilisation de SSHFS sous Windows

SSHFS est également disponible sur Windows, un grand merci à Bill Zissimopoulos (billziss-gh) pour les deux installateurs disponibles sur GitHub qu’il faudra d’ailleurs récupérer :

Une fois l’installation de ces deux paquets, l’ajout du lecteur réseau est aussi simple qu’un partage SMB directement dans l’explorateur :

\\sshfs\[email protected]

Ici, pas besoin de spécifier de chemin, comme pour les connexions manuelles, l’utilisateur sera immédiatement « propulsé » dans son dossier « upload »

Si tout est OK, vous aurez la demande du mot de passe :

Et le répertoire est monté. Je vous invite grandement à lire le manuel de SSHFS-Win pour voir toutes les possibilités offertes par ce merveilleux utilitaire.

VII. Conclusion

Notre serveur est prêt, vous pouvez maintenant créer d’autres utilisateurs selon le modèle de john et constater qu’ils ne peuvent connaitre l’existence des autres, et encore moins accéder à leurs dossiers.

Nous avons donc vu comment mettre en place un serveur de fichier sécurisé, avec chiffrement des données échangées et isolation des utilisateurs par « enfermement » dans une racine virtuelle.

Avec les possibilités de montage sur Linux ou Windows, cela offre un réel plus, notamment si vous avez plusieurs « clients » que vous souhaitez leur offrir un espace personnel sécurisé pour leurs fichiers sensibles ou encore leurs sauvegardes.

The post Linux : configuration d’un espace de stockage sécurisé avec SFTP first appeared on IT-Connect.

Debian 11 Bullseye : la nouvelle version stable de Debian est disponible !

26 août 2021 à 14:38

Debian 11, la nouvelle version stable de Debian, alias Bullseye, est disponible au téléchargement depuis quelques jours ! L'occasion de parler des nouveautés de Debian 11 !

Debian est une distribution très populaire et sur laquelle s'appuie d'autres distributions. Alors forcément, la sortie d'une nouvelle version majeure de Debian est toujours un petit événement, d'autant plus que ce n'est pas très fréquent. Par exemple, la première version de Debian 10 est sortie en juillet 2019. Quant à Debian 11, il est disponible depuis le 14 août 2021.

Avec Debian, on ne cherche pas à avoir les dernières versions des paquets, mais on mise plutôt sur la stabilité et sur des versions de paquets qui bénéficient d'un support LTS, c'est-à-dire de plusieurs années. Debian 11 ne déroge pas à cette règle.

Avant de commencer, quelques chiffres au sujet de Debian 11 :

  • 11 294 nouveaux paquets
  • 59 551 paquets au total
  • 42 821 paquets mis à jour
  • 9 519 paquets supprimés (obsolètes)

Et oui, on ne chôme pas au sein de l'équipe Debian ! Bien sûr, certains changements sont plus marquants que d'autres... Tout d'abord, sachez que Debian 11 s'appuie sur un noyau Linux 5.10, ce qui signifie que le système prend en charge nativement le système de fichiers exFAT (comme de nombreux systèmes pour NAS). Ce qui implique qu'il n'est plus nécessaire d'installer le paquet exfat-fuse. Cette version de noyau est sortie en décembre 2020 et il s'agit de la version LTS actuelle.

Des paquets populaires, notamment auprès des sysadmins, ont pu bénéficier d'une mise à jour :

  • Apache 2.4.48
  • Nginx 1.18
  • OpenSSH 8.4p1
  • Vim 8.2
  • Samba 4.13
  • GnuPG 2.2.20
  • Bind (DNS) 9.16
  • Python 3.9.1
  • Emacs 27.1
  • PHP 7.4
  • PostgreSQL 13
  • Etc.

Au sein de la documentation de Debian, il y a d'ailleurs un tableau qui montre les changements de versions opérés entre Debian 10 et Debian 11, pour certains paquets :

Debian 10 vs Debian 11
Debian 10 vs Debian 11

Même si Debian s'utilise souvent en tant que serveur sans interface graphique, il peut très bien fonctionner sur un poste de travail. Plusieurs environnements graphiques sont proposés avec Debian 11, voici la liste : Gnome 3.38, KDE Plasma 5.20, LXDE 11, LXQt 0.16, MATE 1.24 et Xfce 4.16. Pas de révolution puisque Gnome 40 n'est pas dans la liste.

Par ailleurs, l'utilisation d'une imprimante et d'un scanner devient simplifiée avec Debian 11 ! En effet, avec la prise en charge de CUPS et de SANE, il devient possible d'utiliser un périphérique sans installer un pilote spécifique au matériel ! Une très bonne nouvelle, d'autant plus que cela prend en charge la majorité des équipements des 5 dernières années.

Enfin, sachez que Debian 11 prend en charge 11 architectures matérielles différentes, parmi lesquelles : x86 (i386 / amd64), ARM (arm64 / armel / armhf), etc. Assez parlé, rendez-vous sur le site officiel pour le téléchargement et les instructions d'installation : Debian 11

Pour plus de détails sur Debian 11, je vous recommande de lire ce très bon article de NextInpact. ou cette page sur le site de Debian.

PS : Hier, c'était le 30ème anniversaire de Linux !

The post Debian 11 Bullseye : la nouvelle version stable de Debian est disponible ! first appeared on IT-Connect.

Mettre à jour Debian 10 vers Debian 11 (Bullseye)

18 août 2021 à 14:00
Par : Le Crabe

Debian 11 « Bullseye » – la nouvelle version de la plus célèbre distribution Linux – est disponible depuis le 14 août 2021. Cette nouvelle version propose de nouvelles versions pour de nombreux paquets, de nouvelles fonctionnalités ainsi qu’un support de 5 ans. Vous possédez un ordinateur ou une machine sous Debian 10 et vous souhaitez faire la mise à niveau vers Debian 11 ? Dans ce tutoriel...

Source

Comment se connecter en RDP à Debian 10 avec xRDP ?

18 août 2021 à 11:00

I. Présentation

Dans ce tutoriel, nous allons voir comment installer xRDP sur Debian pour se connecter en RDP depuis Windows sur notre machine Linux. La connexion sera possible depuis Windows, mais également une autre machine sous Linux, sous macOS ou sous Android : il suffit d'un client RDP.

Le protocole RDP (Remote Desktop Protocol) sert à se connecter à distance sur une machine avec un client Bureau à distance. Quant à xRDP, il s'agit d'une implémentation open source du protocole RDP de Windows.

Au niveau de la machine Linux, il y a un prérequis : vous devez avoir un environnement de bureau installé. Que ce soit GNOME, MATE, XFCE, etc... Au choix. Par exemple, pour installer XCFE Desktop sur Debian 10, il faudra exécuter ces commandes :

apt update -y
apt install task-xfce-desktop -y

Si vous avez une machine Debian 10 avec un environnement de bureau installé, vous pouvez passer à la suite.

II. Installation de xRDP sous Debian 10

Ouvrez un Terminal sur la machine Debian et commencez par mettre à jour les paquets (le préfixe sudo est nécessaire si vous n'utilisez pas le compte "root").

sudo apt update

Ensuite, installez le paquet xRDP qui est dans les dépôts par défaut :

sudo apt install xrdp -y

Suite à l'installation, on peut s'assurer que le service est bien démarré :

sudo systemctl status xrdp

Malheureusement, si l'on regarde le détail du statut, on constate qu'il y a une erreur.

Nous devons ajouter l'utilisateur "xrdp", associé au serveur xRDP, au groupe ssl-cert de notre machine Debian. En fait, xRDP s'appuie sur le fichier "ssl-cert-snakeoil.key" pour la partie certificat de la connexion RDP, mais ce fichier est accessible uniquement aux membres du groupe "ssl-cert".

sudo adduser xrdp ssl-cert

Redémarrez le service xRDP :

sudo systemctl restart xrdp

Enfin, activez le démarrage automatique du service xRDP :

sudo systemctl enable xrdp

Notre serveur xRDP est prêt à l'emploi, passons à la configuration.

Note : si vous utilisez un firewall sur votre machine Debian, il faut penser à ouvrir le port 3389 qui est le port par défaut du protocole RDP. Par exemple pour UFW, voici la commande à exécuter : sudo ufw allow 3389

III. Configurer xRDP sous Debian 10

Sans apporter de modifications à la configuration, on pourrait déjà se connecter sur notre machine Linux à distance. Toutefois, il me semble important de vous présenter les fichiers de configuration du serveur xRDP.

Il y a un premier de configuration ici :

/etc/xrdp/xrdp.ini
Fichier de configuration xRDP
Fichier de configuration xRDP

Dans ce fichier, on pourrait modifier le port d'écoute du serveur xRDP pour ne pas utiliser 3389. Cela se configure au niveau de la directive suivante qu'il suffit de modifier :

port=3389

Ce fichier permet également de gérer l'apparence de l'écran de connexion (message, couleurs, image de fond, etc.).

Il y a un second fichier de configuration, que voici :

/etc/xrdp/sesman.ini

Il contient de nombreux paramètres. Il va permettre d'empêcher l'utilisateur "root" de se connecter en RDP :

# Définir sur "false" pour empêcher le compte "root" de se connecter en RDP (par défaut, c'est autorisé)
AllowRootLogin=false

Dans la configuration de xRDP, on peut aussi autoriser seulement les utilisateurs d'un groupe spécifique, par défaut "tsusers", à se connecter en RDP. Le problème, c'est que ce groupe n'est pas créé et que tout le monde peut se connecter.

Pour déclarer un groupe, il faut renseigner cette directive :

TerminalServerUsers=tsusers

Au passage, il faut basculer sur "true" la directive ci-dessous pour imposer la vérification des membres du groupe pour gérer la connexion.

AlwaysGroupCheck=true

On obtient le fichier suivant :

xRDP - Exemple sesman.ini

Il faut penser à créer votre groupe si ce n'est pas déjà fait. On peut aussi créer un groupe en prenant le nom suggéré par défaut :

sudo groupadd tsusers

Ensuite, on va ajouter un utilisateur au groupe :

sudo adduser florian tsusers

Enfin, pensez à redémarrer le service xRDP pour que les changements soient pris en compte. Il ne reste plus qu'à tester. Si un utilisateur n'est pas autorisé à se connecter, le gestionnaire de sessions lui renverra le message suivant :

Pour gérer les sessions, il y a d'autres paramètres à connaître :

# Nombre de sessions RDP maximales, en même temps
MaxSessions=10

# Tuer une session déconnectée après X minutes ou secondes
KillDisconnected=true

# Délai avant de tuer une session déconnectée. Si "0" = 60 secondes
DisconnectedTimeLimite=0

Les événements sont loggués dans deux fichiers de log :

/var/log/xrdp.log
/var/log/xrdp-sesman.log

Passons maintenant aux tests.

IV. Se connecter à Debian 10 depuis Windows

Depuis la machine Windows, il suffit d'ouvrir le client Bureau à distance, de saisir l'adresse IP de l'hôte Linux et de se connecter. Comme c'est la première connexion, il faudra accepter le certificat.

On arrive sur une fenêtre de connexion, où l'on renseigne un identifiant et un mot de passe.

Et voilà, on est connecté sur la machine Debian en RDP !

V. Résoudre les erreurs de connexion xRDP

Après avoir établi une connexion, si vous obtenez un écran noir ou un écran bleu (de la couleur du fond du prompt RDP) : pas de panique ! En fait, cela se produit si vous utilisez la même session (même utilisateur) en direct sur le serveur et en connexion RDP.

Vous devez fermer la session en local sur la machine et relancer la connexion RDP.  Ensuite, cela va fonctionner.

Il y a de fortes chances pour que deux prompts s'affichent suite à la connexion pour vous demander le mot de passe Administrateur :

  • Il est nécessaire de s'authentifier pour créer un périphérique avec gestion de couleurs
  • Authentication is required to refresh the system repositories

Authentication is required to refresh the system repositories

Cela se produit à cause du composant PolKit qui gère les interactions d'un utilisateur standard avec les applications. Nous allons créer une politique personnalisée pour qu'il nous laisse tranquilles quand on se connecte en RDP.

Créez le fichier suivant :

sudo nano /etc/polkit-1/localauthority.conf.d/02-allow-colord.conf

Ajoutez le contenu ci-dessous pour créer la règle :

polkit.addRule(function(action, subject) {
if ((action.id == "org.freedesktop.color-manager.create-device" ||
 action.id == "org.freedesktop.color-manager.create-profile" ||
 action.id == "org.freedesktop.color-manager.delete-device" ||
 action.id == "org.freedesktop.color-manager.delete-profile" ||
 action.id == "org.freedesktop.color-manager.modify-device" ||
 action.id == "org.freedesktop.color-manager.modify-profile" ||
 action.id == "org.freedesktop.packagekit.system-sources-refresh" || action.id == "org.freedesktop.packagekit.system-network-proxy-configure") &&
 subject.isInGroup("{users}")) {
 return polkit.Result.YES;
 }
});

Sans même redémarrer le service xRDP ou un autre service, vous pouvez retenter une connexion RDP : cette fois-ci vous allez accéder au bureau Linux sans être embêté ! 😉

Nous venons de voir dans ce tutoriel comment installer et configurer xRDP sous Debian 10. C'est assez simple, mais il faut penser à apporter quelques réglages pour que ce soit pleinement opérationnel.

The post Comment se connecter en RDP à Debian 10 avec xRDP ? first appeared on IT-Connect.

Télécharger les ISO de Debian 11 (Bullseye)

18 août 2021 à 09:00
Par : Le Crabe

Après de deux ans de développement, Debian 11 – nom de code « Bullseye » – est disponible ! Cette nouvelle version sera prise en charge pendant 5 ans, jusqu’en 2026. Sur cette page, vous trouverez les liens pour télécharger les ISO de Debian 11 (Bullseye) en téléchargement direct (direct download). Ces ISO sont nécessaires pour créer une clé USB d’installation de Debian. Utilisez ensuite cette clé...

Source

Comment vérifier l’espace disque sous Linux ?

16 août 2021 à 11:00

I. Présentation

Dans ce tutoriel, nous allons apprendre à vérifier l'espace disque sous Linux (Ubuntu, Debian, Kali Linux) à l'aide des commandes df et du. Que ce soit sur votre ordinateur, un serveur physique, une machine virtuelle, une distribution Linux gérée par WSL ou encore un serveur VPS, les commandes que nous allons voir aujourd'hui fonctionneront et font partie des commandes à connaître ! 😉

Grâce à la commande df, nous allons pouvoir regarder l'espace disque restant sur chaque partition et chaque disque monté au sein du système Linux. Ensuite, grâce à la commande du, nous allons pouvoir obtenir la taille des dossiers : de quoi faciliter l'identification des dossiers les plus volumineux de votre système, ce qui sera utile pour libérer de l'espace disque.

II. L'espace disque sous Linux avec df

Commencez par vous connecter sur votre machine et exécutez la commande df, sans option. D'ailleurs, "df" signifie "disk free", ce qui s'annonce plutôt de bien par rapport à ce que l'on cherche à faire !

df

Vous allez obtenir une sortie similaire à celle ci-dessous. Pour chaque volume, nous avons plusieurs informations au sujet de l'espace de stockage : la taille totale, l'espace utilisé, l'espace disponible et le pourcentage d'utilisation du disque. Néanmoins, ce n'est pas très facile à lire.

Linux - Commande "df"
Linux - Commande "df"

Reprenons la commande précédente et ajoutons simplement le paramètre "-h" : il va permettre d'avoir la sortie au format "human readable", c'est-à-dire plus facilement à lire pour les humains. Les valeurs seront alors indiquées en Gigaoctets ou Megaoctets, ce qui sera plus agréable.

df -h

Constatez l'amélioration de vos propres yeux grâce à l'image ci-dessous. 🙂

Linux - Commande "df -h"
Linux - Commande "df -h"

Intéressons-nous un instant aux différentes colonnes :

  • Sys. de fichiers : le nom du système de fichiers, c'est-à-dire les différents disques physiques, volumes logiques, etc.
  • Taille : la taille totale du système de fichiers
  • Utilisé : l'espace disque consommé
  • Dispo : l'espace disponible
  • Uti% : le pourcentage d'espace disque utilisé
  • Monté sur : point de montage correspondant à ce système de fichiers

Pour être un peu plus précis, on peut dire que /dev/sda1 correspond à notre disque physique, qui est en réalité un disque virtuel sur une VM. Les différents volumes tmpfs sont temporaires et utilisés par différentes fonctions et processus du système.

Cette commande très simple permet d'obtenir une synthèse de l'espace disque utilisé sur sa machine. Efficace.

Pour obtenir l'état d'un volume spécifique, on précise son nom ou alors "/" pour afficher les informations sur le disque primaire.

df -h /

Ce qui revient à saisir la commande suivante :

df -h /dev/sda1

Enfin, sachez que l'on peut obtenir le type de système de fichiers utilisés pour chaque volume. Il suffit d'ajouter l'option "T".

df -hT
# ou
df -h -T
Linux - Commande "df -hT"
Linux - Commande "df -hT"

III. La taille d'un dossier sous Linux avec du

Maintenant que l'on maîtrise la commande df et que l'on sait afficher l'espace disque restant sur notre machine Linux, on va apprendre à utiliser une seconde commande : du, pour disk usage.

Tout d'abord, exécutez la commande sans paramètre :

du

Surprise : la commande vous indique l'espace disque consommé par rapport au dossier dans lequel vous vous situez, mais aussi l'espace disque pour chaque sous-dossier.

Là encore, le résultat n'est pas très lisible, mais nous avons le droit à la même option que pour la commande df, à savoir "-h". Essayez :

du -h

On peut voir la taille de chaque sous-dossier, de manière récursive, ce qui est très puissant à partir d'une commande si simple ! À la fin de la sortie de la commande, il y a la taille totale.

Linux - Commande "du -h"
Linux - Commande "du -h"

Si l'on veut obtenir seulement la taille totale, il suffit d'ajouter l'option "s", comme ceci :

du -hs

Si l'on se déplace dans le dossier "/etc/nginx" et que l'on utilise du, on peut connaître la taille utilisée par ce dossier (cumul de tous les fichiers et sous-dossiers qu'il contient).

Linux - Commande "du -hs"
Linux - Commande "du -hs"

Bien sûr, nous ne sommes pas obligés de nous positionner dans le dossier avant d'utiliser du. On peut spécifier le chemin directement, comme ceci :

sudo du -hs /etc/nginx/

J'ai ajouté le préfixe "sudo" volontairement, car si vous utilisez un utilisateur classique, il se peut que vous n'ayez pas les droits sur tous les fichiers et dossiers. En préfixant avec "sudo", vous pouvez contourner un éventuel "accès refusé".

On pourrait utiliser cette commande pour calculer l'espace disque utilisé par le profil (home) d'un utilisateur :

du -hs /home/florian

Le mot  de la fin.

Vous l'aurez compris, la commande df permet d'obtenir un état global de l'espace disque utilisé sur les différents volumes, tandis que la commande du permet d'obtenir la taille des différents dossiers.

The post Comment vérifier l’espace disque sous Linux ? first appeared on IT-Connect.

Mettre à jour Debian 10 vers Debian 11 (Bullseye)

14 août 2021 à 17:43

Debian 11 (nom de code Bullseye) succède à Debian 10 (Buster).
Cette nouvelle version inclut plus de 11294 nouveaux paquets, pour un total de plus de 59551 paquets.
Entre autres, sont maintenant inclus GNOME 3.38, KDE Plasma 5.20, LXDE 11, LXQt 0.16, MATE 1.24, et Xfce 4.16.
Enfin, LibreOffice est mis à jour vers la version 7.0.
Attention, il ne s'agit pas d'une version LTS (Long Time Support).

Pour bénéficier de cette nouvelle version, vous pouvez mettre à niveau votre système avec APT.

Ce tutoriel vous guide pour mettre à jour Debian 9 vers 10 et ainsi passer de Debian 10 à Debian 11.
Vous trouverez toutes les étapes pour réussir la mise à niveau de votre distribution Linux Debian.

Mettre à jour Debian 10 vers 11 (Bullseye)

Les versions de Debian

Ce tableau récapitule les versions de Debian avec leurs noms de code.
La dernière version LTS est Debian 9.

Version et nom de codeDate de publicationFin de support
Debian 11 ("Bullseye")Aout 2021
Debian 10 ("Buster")20192022
Debian 9 ("Stretch") - LTS20176 juillet 2020
Fin LTS : juin 2022
Debian 8 ("Jessie") LTS201517 juin 2018
Debian 7 ("Wheezy")201325 avril 2016
Fin LTS : 31 mai 2018
Debian 6.0 ("Squeeze")201131 mai 2014
Fin LTS : 29 février 2016
Debian GNU/Linux 5.0 ("Lenny")20096 février 2012
Debian GNU/Linux 4.0 ("Etch")200715 février 2010
Debian GNU/Linux 3.1 ("Sarge")200531 mars 2008
Debian GNU/Linux 3.0 ("Woody")200230 juin 2006
Debian GNU/Linux 2.2 ("Potato")200230 juin 2003
Debian GNU/Linux 2.1 ("Slink")30 septembre 2000
Fin LTS : 30 octobre 2000
Debian GNU/Linux 2.0 ("Hamm")
Liste des versions de Debian

Comment mettre à jour Debian 10 vers Debian 11 (Bullseye)

Pour commencer, vérifiez la version Debian de départ pour s'assurer que vous êtes bien en Debian 9.
Par exemple avec la commande :

lsb_release -a

D'autres méthodes pour afficher la version de Debian :

Mettre à jour le gestionnaire de packages et les référentiels APT

  • Faites une sauvegarde des sources APT en copiant le fichier sources.list vers sources.list.bak
sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak
  • Éditez le fichier /etc/apt/sources.list :
sudo vim /etc/apt/sources.list
Mettre à jour le gestionnaire de packages et les référentiels APT pour mettre à jour Debian 10 vers Debian 11
  • Puis modifiez toutes les références de ce fichier de Buster à Bullseye. Les entrées doivent apparaître comme suit :
deb http://deb.debian.org/debian/ bullseye main
deb-src http://deb.debian.org/debian/ bullseye main
deb http://deb.debian.org/debian/ bullseye-updates main
deb-src http://deb.debian.org/debian/ bullseye-updates main
deb http://security.debian.org/debian-security bullseye-security main
deb-src http://security.debian.org/debian-security bullseye-security main
Mettre à jour le gestionnaire de packages et les référentiels APT pour mettre à jour Debian 10 vers Debian 11

Mettre à niveau de Debian 10 vers Debian 11

  • Téléchargez et mettez à jour les sources APT :
sudo apt-get update
apt-get update - Mettre à niveau de Debian 10 vers Debian 11
  • Ensuite, exécutez les mises à jour sur les packages logiciels pour préparer la mise à niveau du système d'exploitation :
sudo apt-get -y upgrade
apt-get -y upgrade - Mettre à niveau de Debian 10 vers Debian 11
  • Une fois la mise à jour des paquets terminée, vous revenez sur le terminal
apt-get -y upgrade - Mettre à niveau de Debian 10 vers Debian 11
  • Faire O pour confirmer. Puis des questions peuvent être posées durant cette mise à jour comme la conservation de fichiers de configuration
sudo apt-get dist-upgrade
apt-get dist-upgrade - Mettre à niveau de Debian 10 vers Debian 11
  • Là aussi des questions sont posées sur la conservation des fichiers de configuration
Confirmer les modifications de la configuration lors d'une mise à niveau Debian
  • Une fois le processus terminé, vous revenez sur le terminal
apt-get dist-upgrade - Mettre à niveau de Debian 10 vers Debian 11
  • Redémarrez le système pour démarrer dans Debian 11 BullEeye. Cela va démarrer sur la dernière version du noyau Linux. Vous pouvez attendre quelques heures s i vous ne pouvez pas redémarrer la machine de suite.
sudo reboot
Bravo ! vous avez réussi à mettre à jour Debian 10 vers Debian 11.

Vérifier la mise à jour Debian 11

Enfin, une fois les système réinitialisé, on vérifie la version de Debian pour s'assurer que la version est bien passée en Debian 11.
A nouveau on peut utiliser la commande lsb_release :

[email protected]:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 11 (bullseye)
Release:        11
Codename:       bullseye

Le champ Description doit afficher Debian GNU / Linux 11 (Bullseye).
Enfin la commande release affiche 11 et Codename est sur Bullseye :

Vérifier la mise à jour Debian 11 avec la commande release

Supprimer les packages obsolètes

Après la mise à niveau vers Debian 11, votre système peut avoir des packages et des dépendances obsolètes qui ne sont plus nécessaires.
Il est alors possible de nettoyer les restes de la mise à jour de la distribution.

Pour supprimer les packages obsolètes, exécutez la commande --purge autoremove :

sudo apt --purge autoremove

L’article Mettre à jour Debian 10 vers Debian 11 (Bullseye) est apparu en premier sur malekal.com.

Proxmox VE 7 est disponible pour tous (Debian 11, Btrfs, QEMU 6…)

8 juillet 2021 à 07:00
Par : EVOTk

Proxmox VE 7 300x225 - Proxmox VE 7 est disponible pour tous (Debian 11, Btrfs, QEMU 6...)Proxmox Virtual Environment est une solution de virtualisation libre. Mardi dernier, Proxmox annonçait la sortie d’une nouvelle version majeure de son outil : Proxmox VE 7. Ce dernier bénéficie de plusieurs évolutions et de la dernière mouture Debian 11 (non sortie officiellement). Explications… Proxmox VE 7 Proxmox VE 7 est basé sur Debian 11. Cela pourrait sembler curieux puisque la dernière version officielle est la version 10.10. Pour la version 11 (nom de code « Bullseye »), l’éditeur indique à côté de […]

Cet article Proxmox VE 7 est disponible pour tous (Debian 11, Btrfs, QEMU 6…) est apparu en premier sur Cachem

Comment protéger son serveur Linux des attaques avec CrowdSec ?

7 juillet 2021 à 11:30

I. Présentation

Vous connaissez surement Fail2Ban, un outil qui permet d'analyser les journaux de votre machine Linux dans le but de bannir les adresses IP correspondantes à des hôtes qui ont des comportements malveillants ou suspects. Dans ce tutoriel, nous allons voir comment mettre en place CrowdSec pour protéger son serveur Linux des attaques.

Qu'est-ce que l'outil CrowdSec ?

CrowdSec est un outil open source, gratuit, français, qui s'inspire de Fail2ban et qui a pour objectif de protéger votre serveur, en détectant puis en bloquant les attaques.

Lorsque des adresses IP sont bloquées par une instance de CrowdSec, l'information est remontée dans une base centralisée au travers d'une API : ce qui permet d'avoir une liste d'adresses IP malveillantes communautaire et gérée par CrowdSec. Bien sûr, il y a un mécanisme de réputation qui entre en jeu : une adresse IP n'est pas bannie chez tout le monde dès le premier signalement, c'est un peu plus complexe que cela vous vous en doutez bien.

Actuellement, CrowdSec est disponible en version 1.0. Suite à la sortie de cette version, CrowdSec a fait évoluer l'architecture interne de sa solution puisque les composants (client, bouncers, processus) communiquent entre eux via une API REST locale. L'utilisation d'une API est particulièrement intéressante pour rendre indépendants les composants les uns des autres et éviter d'attaquer directement la base de données (c'est réservé au service de l'API REST locale).

Pour ce premier article au sujet de CrowdSec et en guise d'introduction, je vous propose de prendre un serveur Web Nginx comme cible et d'apprendre à le protéger avec CrowdSec.

Voici les prérequis pour suivre ce tutoriel :

  • Une machine Debian avec un serveur Web Nginx opérationnel et accessible depuis l'extérieur (pour l'attaque distante)
  •  Une machine avec l'outil Nikto installé (cela peut-être via WSL) pour réaliser l'attaque

II. Installation de CrowdSec sur Debian 10

Pour l'installation, il y a plusieurs façons de faire : simplement aller piocher dans les dépôts de Debian (sur Debian Bullseye pour le moment), utiliser le dépôt CrowdSec, installer soi-même le package .deb, l'installer en mode interactif à partir d'une archive et d'un script d'installation, ou alors à partir d'une image Docker.

Nous allons utiliser le dépôt CrowdSec. Il suffit de l'ajouter à notre machine et de mettre à jour la liste des paquets :

wget -qO - https://s3-eu-west-1.amazonaws.com/crowdsec.debian.pragmatic/crowdsec.asc |sudo apt-key add - && echo "deb https://s3-eu-west-1.amazonaws.com/crowdsec.debian.pragmatic/$(lsb_release -cs) $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/crowdsec.list > /dev/null sudo apt-get update
sudo apt-get update

Ensuite, on lance l'installation de crowdsec :

sudo apt-get install crowdsec

Lors de l'installation, Crowdsec va analyser votre machine à la recherche de services qu'il prend en charge. Dans cet exemple, il détecte bien le système Linux, mais également les fichiers journaux de Nginx : access.log et error.log.

Ce qui donne :

Grâce à cette analyse de notre machine locale, Crowdsec va installer les collections correspondantes aux services détectés et qui vont lui permettre de détecter les attaques.

Pour lister les collections CrowdSec, utilisez la commande suivante du CLI CrowdSec (cscli) :

cscli collections list

À la fin de l'installation, on redémarre Crowdsec :

sudo systemctl reload crowdsec

Passons à l'utilisation de Crowdsec en prenant une simulation d'attaque comme exemple.

III. Scan du serveur Nginx : comment Crowdsec va-t-il réagir ?

A. Première analyse de notre serveur Web avec Nikto

Nikto est un outil open source qui permet de scanner les serveurs Web. Il permet de rechercher des vulnérabilités, des fichiers dangereux, etc... À l'aide de cet outil, on va déclencher un scanner sur notre serveur Web Nginx pour voir comment réagit Crowdsec. Il s'agit simplement d'un scanne, et non d'une attaque.

Avant toute chose, manipulons quelques instants la ligne de commande CrowdSec : cscli. Pour lister les décisions actives, c'est-à-dire les adresses IP que CrowdSec a décidé de bloquer, il faut exécuter la commande suivante :

cscli decisions list

On peut voir que la liste est vide : No active decisions. Essayez maintenant avec un paramètre supplémentaire :

cscli decisions list --all

Là, nous avons d'autres adresses IP : il s'agit des adresses IP obtenues à partir de la liste centralisée et partagée par CrowdSec directement (construire à partir des instances CrowdSec et des remontées associées).

Passons à l'utilisation de Nikto.

Depuis une machine distante, située sur un autre réseau, je vais déclencher un scan à destination de mon site it-connect.tech. Pour cette attaque, je vais utiliser l'outil mentionné précédemment : Nikto. Voici la commande à utiliser pour déclencher l'analyse :

nikto -h it-connect.tech

Nikto va requêter le site it-connect.tech à la recherche de vulnérabilités et de défaut de configuration. Sur le serveur Web, relancez la commande précédente : il se passe des choses.

cscli decisions list

Mon adresse IP fait l'objet d'une surveillance et Crowdsec a envie de la bannir pour une durée de 4 heures ! On peut voir qu'il y a deux événements associés à cette adresse IP.

Je dis bien "qu'il a envie" de la bannir, car il ne l'a pas fait, en tout cas, pour le moment ! 😉 - Disons que pour le moment, CrowdSec a identifié l'adresse IP malveillante.

Pour en savoir un peu plus, listons les alertes :

cscli alerts list

Le champ "VALUE" nous donne l'adresse IP source : il s'agit de l'adresse IP publique de la machine qui exécute le scanner via Nikto. On peut voir qu'il y a de nombreuses alertes générées par CrowdSec suite au scan que j'ai déclenché.

B. L'intervention du Bouncer Nginx

Pour que CrowdSec puisse bloquer une adresse IP, autrement dit qu'il puisse mettre en pratique la décision, il s'appuie sur des Bouncers. Ces bouncers vont permettre de contrer les menaces grâce à différentes actions (bloquer, présentation d'un Captcha, etc.).

Un bouncer s'apparente à un module qui va appliquer la décision. Par exemple, si l'on installe le Bouncer Nginx (ce que nous allons faire juste après), CrowdSec va bloquer mon adresse IP directement dans Nginx (et pas sur le firewall de ma machine Linux, vraiment dans Nginx) pour appliquer l'action "bannir".

Voici un lien vers la liste des bouncers disponibles : CrowdSec - Bouncers

Note : il existe de nombreux bouncers et d'autres sont en cours de développement. Par exemple, il y a un bouncer CloudFlare, un bouncer WordPress, mais pas encore de bouncer Apache.

Pour protéger notre serveur Nginx, on va installer le Bouncer Nginx. Il faut que l'on télécharge le paquet pour l'installer manuellement. Par la suite, il sera possible d'installer encore plus simplement les Bouncers.

À partir de la ligne de commande, on télécharger le fichier "cs-nginx-bouncer.tgz" :

wget https://github.com/crowdsecurity/cs-nginx-bouncer/releases/download/v0.0.4/cs-nginx-bouncer.tgz

Ensuite, on décompresse l'archive obtenue :

tar -xzvf cs-nginx-bouncer.tgz

On se positionne dans le dossier "cs-nginx-bouncer-v0.0.4" :

cd cs-nginx-bouncer-v0.0.4/

On lance l'installation :

sudo ./install.sh

D'ailleurs, le script d'installation va en profiter pour installer quelques dépendances, si elles sont manquantes bien sûr. Voici la liste des dépendances installées sur ma machine par ce Bouncer : lua, lua-sec, libnginx-mod-http-lua, lua-logging. Pour information, LUA est un système qui permet de développer et d'intégrer des modules au sein de Nginx.

Pour vérifier que notre bouncer est opérationnel, on va lister les bouncers :

sudo cscli bouncers list

Il est bien là et il est valide : parfait !

Avant d'aller plus loin, on va redémarrer Nginx :

sudo systemctl restart nginx

C. Deuxième analyse avec Nikto : CrowdSec va-t-il me bannir ?

Désormais, CrowdSec dispose d'un bouncer capable de nous bannir si l'on effectue des actions suspectes. On va vérifier s'il fonctionne correctement.

Sur la machine Kali Linux, on va tenter de se connecter à notre site Web. On va effectuer une requête avec l'outil CURL :

curl -I it-connect.tech

On voit bien que le code retourné par la page est "HTTP/1.1 200 OK" : cela signifie que l'on a pu accéder à la page du site et qu'il n'y a pas eu d'erreur.

Maintenant, je relance mon scanne Nikto :

nikto -h it-connect.tech

Dans la foulée, je relance ma commande CURL : oups, j'ai un code différent cette fois-ci ! J'obtiens le code "HTTP/1.1 403 Forbidden",  ce qui correspond à un accès refusé. Il y a de fortes chances pour que je sois bloqué par CrowdSec !

Nous allons le vérifier facilement avec la commande suivante (que l'on a vue précédemment) :

cscli decisions list

Sans réelle surprise, mon adresse IP apparaît bien et je suis bannie pour une durée de 4 heures !

Puisqu'il s'agit d'un faux positif étant donné que je m'attaque moi-même, cela me donne l'occasion de vous montrer comment débannir manuellement une adresse IP (il faut remplacer X.X.X.X par l'adresse IP publique) :

cscli decisions delete --ip X.X.X.X

De la même façon, on peut aussi bannir manuellement une adresse IP :

cscli decisions add --ip X.X.X.X

Dans ce cas, la raison du bannissement sera "Manual ban from <login API>". Par défaut, une adresse IP est bannie pendant 4 heures, mais on peut être un peu plus méchant et partir sur 24 heures directement :

cscli decisions add --ip X.X.X.X --duration 24h

IV. Le tableau de bord CrowdSec via Metabase

CrowdSec propose un container Docker basé sur Metabase pour bénéficier d'un tableau de bord très sympathique qui va permettre d'analyser les attaques subies par sa machine. Au préalable, il faut penser à installer Docker (apt-get install docker.io -y) sur la machine. Ensuite, on peut créer le container de cette façon :

sudo cscli dashboard setup --listen 0.0.0.0

À la fin de la création, le nom d'utilisateur et le mot de passe s'affichent dans la console :

À partir de l'hôte local ou d'un hôte distant, on peut accéder à l'interface de Metabase et s'authentifier.

Une fois connecté, on obtient des statistiques précises et des graphiques : nombre de décisions actives, nombre d'alertes, répartition des attaques par adresses IP, etc... Je me suis amusé à attaquer ma propre machine, mais visiblement je ne suis pas le seul a avoir essayé ! 😉

Un peu plus bas dans la page, nous avons d'autres graphes. Cette interface est très pratique pour effectuer des analyses pendant ou après une attaque.

Note : la commande cscli metrics permet d'obtenir des informations sur les métriques à partir de la ligne de commande, mais bon, une fois que l'on a gouté à l'interface Metabase c'est difficile de s'en passer.

Il faut savoir que CrowdSec est capable d'intégrer à ce tableau de bord d'anciens logs générés par vos applications avant même que l'outil soit déployé sur votre serveur.

Lorsque vous avez terminé d'utiliser le dashboard, vous pouvez l'arrêter temporairement grâce à cette commande :

sudo cscli dashboard stop

Pour le relancer, il suffira d'exécuter :

sudo cscli dashboard start

V. Conclusion

Ce premier tutoriel au sujet de CrowdSec touche à sa fin : je dis bien "ce premier article", car je pense qu'il y en aura d'autres sur le sujet ! Nous avons vu le bouncer pour Nginx, mais il existe un bouncer nommé "cs-firewall-bouncer" et qui va permettre à CrowdSec d'interagir avec le firewall, notamment iptables et nftables.

Grâce à CrowdSec, nous avons pu mettre en place un outil efficace pour protéger notre serveur Web en détectant et bloquant les attaques.

Pour finir, voici la commande qui va vous permettre de voir s'il y a des mises à jour disponibles pour les différents bouncers, collections, etc... De votre installation :

sudo cscli hub update

Ensuite, pour déclencher la mise à jour :

sudo cscli hub upgrade

Quelques liens :

Voilà, c'est tout pour cette fois !

Que pensez-vous de CrowdSec ? Pensez-vous le tester pour protéger un ou plusieurs de vos serveurs ?

Merci à Thibault Koechlin d'avoir pris le temps de me présenter CrowdSec.

The post Comment protéger son serveur Linux des attaques avec CrowdSec ? first appeared on IT-Connect.
❌