T’as une référence de routeur à conseiller ? Si possible avec un modop pour remplacer la livebox
edit: Je viens de voir qu’il fallait un boitier ONT que je n’ai plus avec la livebox 5
Alors oui et non.
Si tu vires la Livebox et que ton routeur à toi n’est pas coupé (enfin le temps d’un reboot ça passe), tu ne changes pas d’adresse IP. En six ans je n’ai changé qu’une fois d’ip.
Oui c’est sûrement plus léger qu’une image docker.
De tête, Orange est le seul fournisseur en France à proposer des IP dynamiques pour les particuliers
Mais avant j’utilisais un ptit script shell qui trouvais l’ip et qui en cas de changement faisait un ptit coup de nsupdate vers le serveur.
Une dizaine de ligne et juste curl et nsupdate en dépendance. Le tout dans un cron chaque minute.
La première partie est le premier article qui est en lien dans l’article. Elle expliquera justement en quoi sudo est davantage une lourdeur plutôt que simplement utiliser SSH.
Il me semble avoir abordé tous ces points, notamment :
sudo demande un mot de passe en clair, que ce soit celui de l’utilisateur ou de root peu importe
Les évènements peuvent être journalisés avec des outils plus robustes comme auditd
Sur la majorité des distributions le binaire n’est pas restreint à un groupe donc il peut être exploité facilement par un service compromis
Le but de l’article est surtout de faire comprendre que la connexion à root via SSH n’a rien de problématique d’autant plus quand la pratique d’utiliser des binaires setuid+root avec un historique d’exploitation est déjà répandue. Mais aussi qu’il y a, de toute façon, des problèmes bien plus sérieux suivant le modèle de sécurité abordé.
Cependant je pense modifier l’article pour préciser que l’article du début est la première partie, et aussi ajouter une meilleure comparaison entre su/sudo/SSH pour l’utilisation de root.
Désolé mais je ne suis pas convaincu :/ Je ne vois pas ce que cela apporte de se connecter au compte root via ssh plutôt que sudo si ce n’est de la lourdeur.
Un des intérêt d’utiliser sudo est de ne pas communiquer le mot de passe root et d’éviter que celui-ci soit perdu ou qu’il doive être modifier en plus de permettre de faire un suivi des opérations utilisées via sudo. Je ne me connecte jamais en root sauf lorsque sudo ne fonctionne pas et uniquement pour l’opération concernée.
Il est indiqué dans le titre, partie 2, mais je trouve pas la partie 1.
Le fonctionnement de su et sudo sont abordés dans la première partie. L’idée est d’éviter de recourir à des binaires setuid+root qui sont en général une importante surface d’attaque, peu importe s’ils sont configurés pour autoriser ou non certains comptes utilisateurs.
Le gros défaut de “su -” en plus de fonctionner ainsi est de distribuer de façon centralisée le compte root. Vous avez besoin du mot de passe du compte root pour vous y connecter. Avec des clés on évite ce problème.
L’article explique justement qu’interdire la connexion root par SSH est une comédie sécuritaire souvent répandue et fait plus de mal que de bien quand au final on utilise su/sudo.
Je pense aborder un récapitulatif à la fin de l’article pour que ce soit plus clair car peut-être que les informations sont trop dispersées.
En même temps, je ne comprends pas trop le problème.
J’ai toujours interdit la connexion root par SSH. Je n’ai quasiment jamais utilisé ou prou sudo, sauf dans un environnement particulier. Je me connecte par SSH à une session, et si j’ai besoin d’administrer le système, je bascule en root, par l’usage de “su -”. Et puis, basta…
Et, quand je dois vraiment utiliser “sudo”, je le configure d’une seule et même manière :
Defaults targetpw
ALL ALL=(ALL) ALL
Qui appelle strictement le compte root… sans avoir la nécessité d’utiliser un utilisateur privilégié.
Je dois avouer qu’au départ à première lecture du titre j’ai pas bien vu le rapport du SSH qui remplace sudo.
Après en lisant l’article je comprends mieux où tu veux en venir.
Comme je l’ai écrit dans l’article, je n’ai pas vu de référence au code source. Je serais intéressé par un lien qui confirme que c’est basé sur Nextcloud. Sur la page Wikipédia il est fait référence à une application mobile basée sur Nextcloud mais il est noté que la licence est propriétaire : https://fr.wikipedia.org/wiki/KDrive
Petite information, tout infomaniak ou presque est basé sur du logiciel libre, les mails, contacts, agenda ou même kdrive sont basé sur Nextcloud, le client de sync kdrive est basé sur Nextcloud client, le client de sync Xdav est basé sur davx5 etc…
Le service mail est vraiment top, 5 adresses mail pour une 30ene d’euros par ans, avec chacun alias illimité, et on peux lié le compte smtp à un compte infomaniak ou non. De plus les domaines sont illimités chez eux.
Franchement je n’ai rien trouvé de mieux pour le moment, à voir par la suite. Rien n’est écris
T’as une référence de routeur à conseiller ? Si possible avec un modop pour remplacer la livebox
edit: Je viens de voir qu’il fallait un boitier ONT que je n’ai plus avec la livebox 5
Alors oui et non. Si tu vires la Livebox et que ton routeur à toi n’est pas coupé (enfin le temps d’un reboot ça passe), tu ne changes pas d’adresse IP. En six ans je n’ai changé qu’une fois d’ip.
Oui c’est sûrement plus léger qu’une image docker.
De tête, Orange est le seul fournisseur en France à proposer des IP dynamiques pour les particuliers
J’ai une ip fixe ^__^ plus simple.
Mais avant j’utilisais un ptit script shell qui trouvais l’ip et qui en cas de changement faisait un ptit coup de nsupdate vers le serveur. Une dizaine de ligne et juste curl et nsupdate en dépendance. Le tout dans un cron chaque minute.
Belle initiative - même si je n’ai pas la possibilité d’investissement nécessaire :p
Un p’tit retour d’expérience sur ce que vous utilisez pour gérer vos DNS avec une IP dynamique la communauté ?
Merci pour les précisions !
La première partie est le premier article qui est en lien dans l’article. Elle expliquera justement en quoi sudo est davantage une lourdeur plutôt que simplement utiliser SSH.
Il me semble avoir abordé tous ces points, notamment :
Le but de l’article est surtout de faire comprendre que la connexion à root via SSH n’a rien de problématique d’autant plus quand la pratique d’utiliser des binaires setuid+root avec un historique d’exploitation est déjà répandue. Mais aussi qu’il y a, de toute façon, des problèmes bien plus sérieux suivant le modèle de sécurité abordé.
Cependant je pense modifier l’article pour préciser que l’article du début est la première partie, et aussi ajouter une meilleure comparaison entre su/sudo/SSH pour l’utilisation de root.
Désolé mais je ne suis pas convaincu :/ Je ne vois pas ce que cela apporte de se connecter au compte root via ssh plutôt que sudo si ce n’est de la lourdeur.
Un des intérêt d’utiliser sudo est de ne pas communiquer le mot de passe root et d’éviter que celui-ci soit perdu ou qu’il doive être modifier en plus de permettre de faire un suivi des opérations utilisées via sudo. Je ne me connecte jamais en root sauf lorsque sudo ne fonctionne pas et uniquement pour l’opération concernée.
Il est indiqué dans le titre, partie 2, mais je trouve pas la partie 1.
Le fonctionnement de su et sudo sont abordés dans la première partie. L’idée est d’éviter de recourir à des binaires setuid+root qui sont en général une importante surface d’attaque, peu importe s’ils sont configurés pour autoriser ou non certains comptes utilisateurs.
Le gros défaut de “su -” en plus de fonctionner ainsi est de distribuer de façon centralisée le compte root. Vous avez besoin du mot de passe du compte root pour vous y connecter. Avec des clés on évite ce problème.
L’article explique justement qu’interdire la connexion root par SSH est une comédie sécuritaire souvent répandue et fait plus de mal que de bien quand au final on utilise su/sudo.
Je pense aborder un récapitulatif à la fin de l’article pour que ce soit plus clair car peut-être que les informations sont trop dispersées.
En même temps, je ne comprends pas trop le problème.
J’ai toujours interdit la connexion root par SSH. Je n’ai quasiment jamais utilisé ou prou sudo, sauf dans un environnement particulier. Je me connecte par SSH à une session, et si j’ai besoin d’administrer le système, je bascule en root, par l’usage de “su -”. Et puis, basta…
Et, quand je dois vraiment utiliser “sudo”, je le configure d’une seule et même manière :
Qui appelle strictement le compte root… sans avoir la nécessité d’utiliser un utilisateur privilégié.
Oui je m’étais fait la remarque également. :P
sinon non-officiels mais maintenus par des membres réguliers du Journal : Sur Twitter et sur Reddit
Je dois avouer qu’au départ à première lecture du titre j’ai pas bien vu le rapport du SSH qui remplace sudo. Après en lisant l’article je comprends mieux où tu veux en venir.
Toutes mes excuses mais j’ai du mal à saisir l’intérêt pour le JdH de 12 secondes de contenu.
c’est parce que la technologie utilisée derrière c’est webdav comme Nextcloud et Owncloud.
Je n’arrive pas à retrouvé l’article qui en parlait, mais je suis tombé sur ce tweet : https://twitter.com/infomaniak/status/1367755521491689472
Apparemment il s’en éloigne, mais aujourd’hui, le client nextcloud (que j’utilise), fonctionne parfaitement sur kdrive.
Comme je l’ai écrit dans l’article, je n’ai pas vu de référence au code source. Je serais intéressé par un lien qui confirme que c’est basé sur Nextcloud. Sur la page Wikipédia il est fait référence à une application mobile basée sur Nextcloud mais il est noté que la licence est propriétaire : https://fr.wikipedia.org/wiki/KDrive
Petite information, tout infomaniak ou presque est basé sur du logiciel libre, les mails, contacts, agenda ou même kdrive sont basé sur Nextcloud, le client de sync kdrive est basé sur Nextcloud client, le client de sync Xdav est basé sur davx5 etc… Le service mail est vraiment top, 5 adresses mail pour une 30ene d’euros par ans, avec chacun alias illimité, et on peux lié le compte smtp à un compte infomaniak ou non. De plus les domaines sont illimités chez eux.
Franchement je n’ai rien trouvé de mieux pour le moment, à voir par la suite. Rien n’est écris
Content de voir que mon contenu est apprécié ! Merci pour ce commentaire :)