Moi je trouve ça bien le fait qu'il faille ajouter un user à wheel pour qu'il puisse utiliser su, c'est une étape de sécurité supplémentaire qui décourage les petits malins via SSH, et ça pourrit pas les logs de tentative de connexions.
Le 21 juin 2015 à 11:41:16 Runnymede a écrit :
Moi je trouve ça bien le fait qu'il faille ajouter un user à wheel pour qu'il puisse utiliser su, c'est une étape de sécurité supplémentaire qui décourage les petits malins via SSH, et ça pourrit pas les logs de tentative de connexions.
J'avais vite lu, je comprends ce que tu veux dire (car OpenBSD propose de virer l'authentification en root par SSH automatiquement si tu ajoutes un autre user que root).
Déjà si le petit malin accède à la session, c'est qu'il y a un gros problème. Donc ce n'est vraiment pas un problème pour ça, je trouve (ça ne fera que pourrir les logs par contre, il lui faudra des années de bruteforce pour arriver à quoique ce soit, et déjà faut qu'il puisse se logger sur cette session).
Au final, ajouter un user à wheel c'est ce que tout le monde fait ou a par défaut, et si OpenBSD ne l'a pas désactivé, c'est que ce n'est pas si important que ça, je pense.
Le 21 juin 2015 à 11:41:16 Runnymede a écrit :
Moi je trouve ça bien le fait qu'il faille ajouter un user à wheel pour qu'il puisse utiliser su, c'est une étape de sécurité supplémentaire qui décourage les petits malins via SSH, et ça pourrit pas les logs de tentative de connexions.
Bah, si. Si quelqu'un essaie de se connecter à ta machine en SSH, qu'il utilise root, jeanpierre ou cornichon comme login, ça créera une trace dans auth.log ![]()
En général les bots utilisent pratiquement tous root comme login. ![]()
Le truc à faire dès que possible est de virer l'accès SSH pour root.
Quoi les FAI déploient la fibre dans les campagnes aussi?
Non absolument pas car pas rentable pour eux.
C'est le conseil général de la Moselle qui s'en est chargé, avec l'appui du maire d'une commune située près de chez moi qui connait le secteur des télécoms et les enjeux de la fibre ![]()
Chez moi
Pas rentable pour Orange
Moyenne d'age de 65 ans à 40 km aux alentours qui sait a peine ce qu'est internet
Donc c'est pas pour demain ![]()
Bon en faite je reste sur Open BSD.
C'est quand même con, parce qu'il y a écrit nul part que la commande c'est php-5.6 pour lancer php. Et idem pour php-fpm, j'ai vu que la commande pour le lancer c'est php-fpm-5.6
Bon ba tout mes problèmes sont réglé du coup ![]()
Merci Acan !
De rien, il faut se montrer persistant dans la vie. ![]()
Bah, si. Si quelqu'un essaie de se connecter à ta machine en SSH, qu'il utilise root, jeanpierre ou cornichon comme login, ça créera une trace dans auth.log
Je viens de remarquer que mon auth.log chez OVH est bombardé de tentatives de bruteforce ![]()
Il y a pas moyen de blacklister les ips qui puent, ou une autre méthode pour empêcher ces tentatives ?
fail2ban ![]()
Le 21 juin 2015 à 21:25:02 -Moopie- a écrit :
fail2ban
Bah non, tu vas avoir des logs aussi dans /var/fail2ban.log. ![]()
Deux solutions pour moi :
Changer de port SSH (les bots prennent pas la peine de nmap, au pire portsentry)
Désactiver l'authentification par mot de passe pour un système par clés
Et plus de logs à rallonge. ![]()
Pour les rennais :
https://jardin-entropique.eu.org/
Omg j'ai trouvé un forum Open BSD encore actif ! http://daemonforums.org/forumdisplay.php?f=11 ![]()
Genial ![]()
Le 21 juin 2015 à 22:19:14 Acan a écrit :
Le 21 juin 2015 à 21:25:02 -Moopie- a écrit :
fail2banBah non, tu vas avoir des logs aussi dans
/var/fail2ban.log.
Deux solutions pour moi :Changer de port SSH (les bots prennent pas la peine de nmap, au pire portsentry)
Désactiver l'authentification par mot de passe pour un système par clés
Et plus de logs à rallonge.
Encore mieux, un gros blacklist auto (sans expiration) des bruteforcers à coup d'iptables + ipset. Testé et approuvé... j'en suis à 1053 IPs blacklistées
(actuellement avec le roulement de logs, j'ai plus la moindre trace de bruteforce... ils sont tous partis au tarpit)
Le 21 juin 2015 à 12:02:26 Nh3xus a écrit :
Quoi les FAI déploient la fibre dans les campagnes aussi?
Non absolument pas car pas rentable pour eux.
C'est le conseil général de la Moselle qui s'en est chargé, avec l'appui du maire d'une commune située près de chez moi qui connait le secteur des télécoms et les enjeux de la fibre
C'est une très bonne initiative, surtout que les FAI ont déjà du mal à se bouger le cul pour installer la fibre dans toutes les grandes villes par contre pour la 4G bizarrement ça pose aucun problème... ![]()
Le 22 juin 2015 à 10:58:19 Lord-of-Flames a écrit :
Le 21 juin 2015 à 12:02:26 Nh3xus a écrit :
Quoi les FAI déploient la fibre dans les campagnes aussi?
Non absolument pas car pas rentable pour eux.
C'est le conseil général de la Moselle qui s'en est chargé, avec l'appui du maire d'une commune située près de chez moi qui connait le secteur des télécoms et les enjeux de la fibre
C'est une très bonne initiative, surtout que les FAI ont déjà du mal à se bouger le cul pour installer la fibre dans toutes les grandes villes par contre pour la 4G bizarrement ça pose aucun problème...
La 4G est beaucoup plus avantageuse pour les FAI, et au prix où ils ont acheté les fréquences j'imagine qu'ils ont bien envie de l'amortir dans la mesure du possible ![]()
Pour eux c'est l'occasion rêvée de vendre « l'Internet accessible partout » aux gens, à prix d'or et avec des seuils de données, là où les offres fibre illimitées doivent probablement les emmerder.
Parce que bon, à 200Mbps par client pour du FTTH "moyenne gamme" je vous laisse faire le calcul mais ça doit faire mal à l'infra. Je ne dis pas qu'ils n'ont pas les sous pour payer le matos (clairement, ils les ont
) mais ça doit être chaud à rentabiliser en fin de compte.
C'est surtout les marges qui sont nettement plus importantes sur les offres mobiles, les abonnements 4G coûtent assez cher dans l'ensemble pour du limité. Puis les FAI se font aussi des marges sur la vente de téléphone donc au final c'est plus lucratif que la fibre... Du moins ça le sera.
Moi perso j'ai pas de smartphone car je ne suis pas connecté hors de chez-moi et comme les smartphones ne remplaceront jamais un ordinateur (bien que pour certains ça l'est) je ne vois pas trop l'intérêt d'en avoir un. Un laptop coûte moins cher et est plus performant.
D'ailleurs les smartphones tuent le jeu vidéo sur console portable puis le PC dans un une moindre mesure, il suffit de voir la baisse des ventes des laptops, PC pré-montés...
(Au passage Numéricable enfin SFR désormais vend de la fibre limitée en dl, puis impose la télé et des bouquets mais ça c'est autre chose...
)
J'ai un smartphone mais:
- Je ne paie plus de forfait. D'une parce que je change bientôt de pays, de deux parce que j'aime pas les gens. (bon j'exagère mais en gros quand je veux téléphoner je suis @home donc j'utilise le fixe, et je suis pas très "vocal" de base
)
- Je ne le connecte qu'en WiFi, et uniquement pour contrôler mon serveur mpd. J'ai désactivé les notifications mail / planning, j'ai juste envie d'être peinard en fait ![]()
En définitive aujourd'hui j'utilise encore Facebook parce que des amis y sont mais sinon, IRC et TeamSpeak me suffiraient amplement. +une boîte mail pour le taff mais en ce moment je ne sais même plus chez qui aller à ce sujet (je me débarrasse un peu de mes comptes Google en tous genre ces temps-ci).
On me veut de partout, je ne sais plus quoi faire ! ![]()
Je souris chaque fois que je marquegit stash poop
au lieu de git stash pop
![]()