Le 21 mars 2017 à 00:38:42 -Moopie- a écrit :
C'est la mort du forum ou quoi
En effet ca fait un bout de temps que rien ne m'a fait poster pour ma part.
Le 21 mars 2017 à 00:38:42 -Moopie- a écrit :
C'est la mort du forum ou quoi
L'activite varie toujours beaucoup au cours de l'annee. Mias j'ai aussi l'impression que ca cause moins qu'avant, disons il y a 5 ans.
Ce n'est pas forcement une mauvaise chose. Il y a 5 ans, beaucoup de discussion tournait autour de probleme d'installation de distro. Peut etre que moins de topic veut dire que les distro fonctionnent mieux d'elle meme.
Oui c'est possible aussi ![]()
Pas faux, en tout cas, personellement, ma Debian est d'un ennui infini.
Tout fonctionne bien, pas de bug, tous mes fichiers de conf sont optimisés (même mon kernel, c'est dire).
Pareil pour mon serveur, depuis que je suis passé sous Docker, je n'ai plus grand chose à faire et il est globalement assez bien sécurisé.
Je regarde parfois les rapports de logwatch, dans l'espoir que l'un des disques de mon RAID tombe en rade, mais rien de tout ça. ![]()
Vivement que Stretch arrive pour tout casser.
Récemment j'ai vu qu'il y a eu de gros changement dans gpg-agent entre la version 2.0 et la 2.1, j'espère bien avoir quelques fichiers de configs inutilisables et des clefs SSH inutilisables.
Je m'en délecte d'avance. ![]()
Vivement que Stretch arrive pour casser tout ça.
Récemment j'ai vu qu'il y a eu de gros changement dans gpg-agent entre la version 2.0 et la 2.1, j'espère bien avoir quelques fichiers de configs inutilisables et des clefs SSH inutilisables.
Je m'en délecte d'avance.
J'ai déjà assez de soucis avec mon hardware pour ne pas avoir envie de me soucier de mon software... Après chacun ses délires, je juge pas ![]()
Le 21 mars 2017 à 18:37:30 DuckSauce a écrit :
Pas faux, en tout cas, personellement, ma Debian est d'un ennui infini.
Tout fonctionne bien, pas de bug, tous mes fichiers de conf sont optimisés (même mon kernel, c'est dire).Pareil pour mon serveur, depuis que je suis passé sous Docker, je n'ai plus grand chose à faire et il est globalement assez bien sécurisé.
Je regarde parfois les rapports de logwatch, dans l'espoir que l'un des disques de mon RAID tombe en rade, mais rien de tout ça.Vivement que Stretch arrive pour tout casser.
Récemment j'ai vu qu'il y a eu de gros changement dans gpg-agent entre la version 2.0 et la 2.1, j'espère bien avoir quelques fichiers de configs inutilisables et des clefs SSH inutilisables.
Je m'en délecte d'avance.
Ah, la jeunesse...![]()
Le 21 mars 2017 à 18:37:30 DuckSauce a écrit :
Pas faux, en tout cas, personellement, ma Debian est d'un ennui infini.
Tout fonctionne bien, pas de bug, tous mes fichiers de conf sont optimisés (même mon kernel, c'est dire).Pareil pour mon serveur, depuis que je suis passé sous Docker, je n'ai plus grand chose à faire et il est globalement assez bien sécurisé.
Je regarde parfois les rapports de logwatch, dans l'espoir que l'un des disques de mon RAID tombe en rade, mais rien de tout ça.Vivement que Stretch arrive pour tout casser.
Récemment j'ai vu qu'il y a eu de gros changement dans gpg-agent entre la version 2.0 et la 2.1, j'espère bien avoir quelques fichiers de configs inutilisables et des clefs SSH inutilisables.
Je m'en délecte d'avance.
Mais ![]()
Et moi j'ai deux problèmes récurrents dont je me passerais volontiers.
La satisfaction des voeux fut mauvaise cette année ![]()
dans l'espoir que l'un des disques de mon RAID tombe en rade, mais rien de tout ça.
T'es bien bizarre quand même ![]()
Perso je viens d'installer archlinux pour la première fois avec awesome WM etc, je me rends compte que je me fais chier pour pas grand chose quand même, jsais pas pourquoi je me prends la tête avec tout ça quand je pourrais avoir pareil sous w10 ![]()
Le 24 mars 2017 à 07:48:31 [xenio] a écrit :
Perso je viens d'installer archlinux pour la première fois avec awesome WM etc, je me rends compte que je me fais chier pour pas grand chose quand même, jsais pas pourquoi je me prends la tête avec tout ça quand je pourrais avoir pareil sous w10
Je comprends pas ta question ?
Le 21 mars 2017 à 18:37:30 DuckSauce a écrit :
Pas faux, en tout cas, personellement, ma Debian est d'un ennui infini.
Tout fonctionne bien, pas de bug, tous mes fichiers de conf sont optimisés (même mon kernel, c'est dire).Pareil pour mon serveur, depuis que je suis passé sous Docker, je n'ai plus grand chose à faire et il est globalement assez bien sécurisé.
Je regarde parfois les rapports de logwatch, dans l'espoir que l'un des disques de mon RAID tombe en rade, mais rien de tout ça.Vivement que Stretch arrive pour tout casser.
Récemment j'ai vu qu'il y a eu de gros changement dans gpg-agent entre la version 2.0 et la 2.1, j'espère bien avoir quelques fichiers de configs inutilisables et des clefs SSH inutilisables.
Je m'en délecte d'avance.
Non y aura rien, j'ai fait la migration Jessie
Stretch sur mon serveur il y a 2 mois. ![]()
Je m'ennuyais vraiment donc j'ai fait la mise à jour en avance, avant le gel je crois ? Mais je m'en foutais un peu mis à part les 21 conteneurs qui tournent dessus, ça change pas grand chose pour eux. Quelques dépréciations côté SSH mais aucun problème j'ai juste nettoyé ma conf.
Attention quand même Docker =/= sécurité même si on pourrait croire que c'est un chroot en mieux ou je ne sais quoi, il faut régulièrement mettre ses conteneurs à jour. Puis j'ai passé une conf AppArmor dessus. Et utiliser de bonnes images aussi : les miennes n'utilisent aucun process root. ![]()
Lui il en parle un peu même s'il est assez extremiste sur sa position (et "anti-Docker" mais tous les arguments sont bons à prendre) : https://blog.imirhil.fr/2016/10/09/docker-container-hell.html
Il y a pas de questions; juste une constatation ![]()
Niveau sécurité, j'ai les bases installés :
Je pense que c'est suffisant pour un serveur personnel. Si tu vois autre chose, dis le moi.
J'ai lu cet article sur Docker, je comprends les arguments, mais il ne changera rien pour moi et pour ma pratique.
Tout d'abord parce que j'utilise presque que des images officielles, même si honnêtement je n'ai pas regardé les Dockerfiles, elles sont a priori sérieuses et sécurisées, même si l'article montre des contre-exemples. Idem, j'ai fuis comme la peste les processus lancé en root.
J'entends également bien les arguments de complexité mais sans les comprendre véritablement, puisque c'est exactement pour cette raison que j'utilise Docker.
Ce que j'apprécie surtout avec le déploiement Docker, c'est que tout est "bien" construit avec l'écriture des docker-compose. Pour la première fois depuis que je fais de l'auto-hébergement (2013), j'ai l'impression d'avoir un serveur lisible. Pour moi, avoir toute la logique écrite, ça aide pour l'administration. Surtout que je ne suis pas informaticien, et je ne passe pas mes journées devant un PC. Du coup ça m'arrive d'oublier comment j'en suis arrivé à mettre en place mon serveur et ses différentes applications.
Pour les containers, ok ils sont gourmands en ressources, ok il n'y a qu'un seul processus, ok il faut mettre à jour régulièrement. Mais par rapport au chroots (que j'ai utilisé bien avant d'utiliser Docker, notamment pour Steam -pour éviter d'installer les libs i386-), c'est indéniablement plus simple... Mais l'uniformisation des Dockerfiles et bien plus simple que les scripts Bash que tu peux utiliser pour gérer les chroots (enfin de mon expérience).
Et enfin pour les backups, la sauvegarde des fichiers de conf, tooout est plus simple.
Ce qui est sûr, c'est que je ne reviendrais pas en arrière.
Pour la sécu c'est une bonne base, après j'ai quelques préférences :
Je recompile le kernel avec AppArmor du coup et quelques options de sécu en plus.
J'utilise ni Logwatch ni Fail2ban, mais quelque chose qui fait les 2 : un HIDS comme Ossec. C'est vraiment puissant et contrairement à ce que l'on pourrait penser, c'est quasiment out-of-the-box. Bon bien sûr faudra modifier quelques règles (je pense notamment à la limite des requêtes ajax rapidement atteinte qui te vaut un ban alors que t'es dans le webmail...), mais ça fait vraiment tout, même anti-rootkit, etc. Et avec la configuration pour se débarasser des flood HTTP c'est parfait. J'imagine plus un serveur sans Ossec !
Mieux configurer SSH, pour le coup tout est dit ici : https://stribika.github.io/2015/01/04/secure-secure-shell.html
Faire le tri dans les ciphers, virer les trucs moisis, passer sur des clés ed25519 exclusivement... Et en plus : activer l'authentification 2FA (synchro sur mon smartphone et ma Pebble
), et le port knocking (pas vraiment obligatoire mais c'est un classique de la sécurité par l'obscurité).
Quant aux images Docker, malheureusement il ne faut pas faire confiance à 100% aux images officielles. C'est pour ça que je réécris mes images, et que je cherche des Dockerfiles qui sont mieux faits : c'est-à-dire qu'on peut choisir un GID/UID perso, et surtout, qu'il n'y ait vraiment aucun process root. Quitte à bricoler un peu, c'est pour ça que même si j'ai les droits sur l'image nextcloud officielle, j'ai choisi de ne pas y contribuer et continuer ma propre image. Idéalement on devrait utiliser des conteneurs dont on sait parfaitement comment ils ont été construits, mais bon.
Et pour les images officielles, autre problème, parfois les images sont pas mises à jour. Pour ça que mon serveur a un cron pour déclencher les builds de tout ce que j'ai une fois par semaine. Après tout mettre à jour c'est chiant, et je peux pas encore me permettre d'automatiser cette partie, mais pourquoi pas, par contre il faut utiliser rigoureusement les tags pour éviter les mauvaises surprises.
C'est pour ça que les arguments d'aeris sont valables pour ce qu'une vaste majorité de personnes font de Docker, mais tout est plus ou moins gérable avec de bonnes pratiques.
Tu donnes beaucoup de nouvelle piste, il faut que je prenne le temps de regarder tout ça avant de te répondre. ![]()
Les user namespaces sont intéressants aussi pour du docker.
En parlant dedocker,vous connaissez un bon crash coursedocker? Ou docker.com/docs est le bon endroit pour commencer?
Le 28 mars 2017 à 16:45:08 Godrik a écrit :
En parlant dedocker,vous connaissez un bon crash coursedocker? Ou docker.com/docs est le bon endroit pour commencer?
J'ai commencé avec ce tutoriel :
https://mondedie.fr/d/716164-Tuto-Utilisation-de-Docker
Le 28 mars 2017 à 07:46:57 _skip a écrit :
Les user namespaces sont intéressants aussi pour du docker.
J'ai pas encore pris le temps de m'y intéresser, tu peux en dire plus ?
Le 29 mars 2017 à 08:10:17 DuckSauce a écrit :
Le 28 mars 2017 à 16:45:08 Godrik a écrit :
En parlant dedocker,vous connaissez un bon crash coursedocker? Ou docker.com/docs est le bon endroit pour commencer?J'ai commencé avec ce tutoriel :
https://mondedie.fr/d/716164-Tuto-Utilisation-de-DockerLe 28 mars 2017 à 07:46:57 _skip a écrit :
Les user namespaces sont intéressants aussi pour du docker.J'ai pas encore pris le temps de m'y intéresser, tu peux en dire plus ?
Pour faire simple ça permet d'avoir un compte root dans le conteneur qui n'en est pas un sur l'hôte.
J'ai eu un petit problème avec mon wifi sous Ubuntu que je n'arrivais pas à activer. Mais j'ai constaté hier soir qu'il était revenu de lui-même (comme un grand).
Sinon j'attends la MAJ 17.04 qui devrait arriver dans quelques jours.
À part ça RAS.
Il y a une petite hype autour de Mastodon (un twitter décentralisé et open-source) en ce moment, ça existe déjà, un énième Diaspora/GNUSocial je sais, mais avec des technologies plus récentes et pour le coup on peut éviter l'effet Framasphere. 95% de chances que ça coule au bout d'un mois mais pour l'instant il y a de l'activité et ça monte de plus en plus. ![]()
Il y a une liste d'instances disponibles ici : https://github.com/tootsuite/mastodon/blob/master/docs/Using-Mastodon/List-of-Mastodon-instances.md
J'ai monté la mienne, c'est un peu chiant mais ça se fait. ![]()
Ajoutez moi si vous y êtes : @wonderfall@social.targaryen.house