ns/blurb/security.html
De l'importance de séparer le cache des serveurs autoritaires :
* http://cr.y... low; };
};
J'ai regardé un petit peu plus loin le problème, utiliser allow-recursion pour limiter v... n'est pas la panacée... en effet, ceci empêchera les requêtes récursives (le fait que votre serveur interroge d'autres serveurs DNS externes lors de dema
Docker ======
===== Build à la mano =====
C'est le job de l'excellent Ansible, mais il faut l'utilis... ssuré.
So, ici c'est une procédure manuelle (pour le vieux débile que je suis :-)).
==== ssh config ====
* Changer le port d'écoute. Ne pas oublier d'ouvrir le nouveau port sur le firewall.
* Supprimer l'accès ''ssh''
====== Les erreurs de l'administrateur système ======
Pour moi, il existe 4 administrateurs différent... administrateur de la politique de sécurité, c'est le RSSI, il est responsable de la définition de la p... on.
Des erreurs en vrac:
* Ne pas avoir change le mot de passe par défaut des équipements réseau
... ccès distant non sécurisés
* Ne pas avoir testé les applications non critiques contre les failles de
e interface plus ergonomqie et amélioré. Il liste les processus, le load average, l’utilisation RAM / SWAP…
* [[http://www.atcomputing.nl/Tools/atop/ind... ité de se serveur linux. atop permet de monitorer les processus, l’activité des disques, la charge pro... net/projects/apachetop|apachetop]] fonctionne sur le même principe que top, mais lui concerne le serve
== NCFTPD =====
==== virtual user ====
Pour que les droits et sécurités du répertoire restent bien a... tilisateur virtuel au niveau de ncftpd, utilisant le même utilisateur système que celui du site, mais ... ire précis...
Regarde dans la doc de ncftpd pour les utilisateurs virtuels ou fais une recherche goog... $IP -R -m /home /home/*
</code>
et pour concerver les droits ajouter un tar
<code>
tar cf - /home | nc
a fin du répertoire source qui détermine si c'est le répertoire lui-même qui sera synchronisé (sans le /) ou bien son contenu (avec le /).
Quelques options pour la commande rsync:
<code>
-v, --verbos... ync will skip any files that are already the same length and have the same time-stamp. This option tur
e/files_synchronization]]
Pour sauvegarder tous les 1/4 d'heure de très nombreux fichiers (45Go en 540000 fichiers)
* rclone est tros lent à la sauvegarde
* restic est super rapide par... contre
* utilise plusieurs Go de cache
* les commandes stats,prune et check sont hyper lentes (en heures...)
* retrouver un fichier particuli
ilisant la commande ''tee'', qui fait un "T" vers le fichier et stdout:
<code bash>
cat toto.txt | te... &> file
</code>
==== Effacer des fichiers selon leur âge ====
<code bash>
find /tmp/ -amin +120 -t... == Extraire des champs ====
Je voudrais extraire le password de /etc/shadow
On peut faire en 1 seule... déconnecter avant la fin de son exécution ?
* Le lancer avec '&' à la fin de la ligne de commande.
md/|Comment utiliser journalctl pour voir et lire les journaux Linux Systemd]]
* https://www.digital... systemd/man/latest/journald.conf.html|doc]]
Voir les logs depuis le dernier boot:
journalctl -b
Interroger sur périodes
journalctl --since "2015-01-... ctl -t postfix/smtp --since 2025-09-01
Seulement les messages du noyau (kernel)
journalctl -k
Volu
www.freedesktop.org/software/systemd/man/latest/
Les directives:
* https://www.freedesktop.org/soft... cron/crontab n'est pas installé, il faut utiliser les [[https://www.freedesktop.org/software/systemd/m... f-cron-in-debian-12-bookworm/
==== Exemple ====
les stats de livraison d'emails avec Postfix sur handipause.fr :
Le service ''/etc/systemd/system/mail-stats.service'
ail2ban/fail2ban
===== Tips & Tricks =====
Voir le status de toutes les ''jails''
<code bash>
sudo fail2ban-client status | sed -n 's/,//g;s/.*Jail lis...
===== Filters =====
==== Wordpress ====
Voir les filtres du plugin [[https://wordpress.org/plugin
es systems un peu obsolètes on peut mettre à jour le binaire de restic avec ''sudo restic self-update''.
Sur les dérivés de debian il est préférable de désactive
====== TCP ======
Les machines sont puissantes, le réseau est rapide, et pourtant à partir d'un certain nombre de connexio... mentation/en-us/red_hat_enterprise_linux/6/html/
Les valeurs sont lisibles dans ''/proc/sys/net/ipv4/''
Sur les performances:
<code bash>
$ cat /etc/security/li
