nftables - #Debian Wiki
▻https://wiki.debian.org/nftables
NOTE: Debian #Buster uses the #nftables framework by default.
Starting with Debian Buster, nf_tables is the default backend when using #iptables, by means of the iptables-nft layer (i.e, using iptables syntax with the nf_tables kernel subsystem). This also affects ip6tables, arptables and ebtables.
netfilter/iptables project homepage - The #netfilter.org “nftables” project
▻https://www.netfilter.org/projects/nftables/index.html
Unified and consistent #syntax for every support protocol family, contrary to #xtables utilities, that are well-known to be full of #inconsistencies
nftables - nft command line tool
▻http://git.netfilter.org/nftables
nft command line tool
Moving from iptables to nftables - nftables wiki
▻https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables
This page gives information on moving/migrating from the old iptables/xtables (legacy) world to the new nftables framework.
A common situation is the #need_to_move from an existing iptables ruleset to nftables. The Netfilter team has created some tools and mechanisms to ease in this move.
Debian 10 (Buster qui est sorti cet été) est compatible avec le Secure Boot (!!! c’est pas trop tôt !!!).
Mais contrairement à Ubuntu, il faut faire une manip soit même.
▻https://www.it-connect.fr/debian-10-et-secure-boot-comment-sadapter-au-demarrage-securise
Il est vrai que l’ensemble de la procédure peut s’avérer longue et rébarbative. Mais, je ne doute pas que la communauté Linux mette rapidement en œuvre une solution intégrée et adaptée à ce nouveau mode de démarrage.
Ouais alors vu que la phase 1 a pris 9 ans (entre l’introduction de l’UEFI sur le marché et la première version qui a su l’utiliser), je n’irais pas parier sur le rapidement .
#uefi #secureboot #debian #linux
Debian — Actualités — Publication de Debian 10 « Buster »
▻https://www.debian.org/News/2019/20190706
Après 25 mois de développement, le projet #Debian est fier d’annoncer sa nouvelle version stable n° 10 (nom de code « Buster »), qui sera suivie pendant les cinq prochaines années grâce à l’effort combiné de l’équipe de sécurité de Debian ainsi qu’à celui de l’équipe de gestion à long terme de Debian.
lien propre :
▻https://www.zdnet.com/article/russian-military-moves-closer-to-replacing-windows-with-astra-linux
[...]
RusBITech initially developed the OS for use in the Russian private market, but the company also expanded into the local government sector, where it became very popular with military contractors.
A few years back, the OS received certifications to handle Russian government information labeled as “secret” and “top secret” —two data secrecy levels situated underneath “special importance” according to Russian law.
Since then, Astra Linux has slowly made its way into government agencies and is currently in use at the Russian National Center for Defence Control, among various other government and military agencies.
Already used by the Russian military
In January 2018, the Russian Ministry of Defence announced plans to transfer military systems from the Windows OS to Astra Linux, citing fears that Microsoft’s closed-source approach might hide Windows backdoors that can be abused by US intelligence to spy on Russian government operations.
Since then, RusBITech has been going through the Russian government’s certification process to get a “special importance” classification for Astra Linux — which it did, on April 17, according to two local media reports.
In addition to the FSTEC certification, Astra Linux also received certificates of conformity from the FSB, Russia’s top intelligence agency, and the Ministry of Defense, opening the door for full adoption by Russia’s top military and intelligence agencies.
The certification was granted for Astra Linux Special Edition version 1.6, also known as the Smolensk release, per local reports. This is a commercial (paid) release.
The news comes after earlier this week it was reported that the Chinese military was taking similar steps to replace the Windows OS on military systems amid fears of US hacking. The Chinese military didn’t go for a Linux distro but instead alluded to plans of developing a custom OS instead.
[finis]
#Russie #sécurité #militaire #défense #Debian #Linux #Windows
Failed to fetch ▻http://ftp.debian.org/debian/dists/jessie-updates/main 404 Not Found - Jesús Amieiro
▻https://www.jesusamieiro.com/failed-to-fetch-http-ftp-debian-org-debian-dists-jessie-updates-main-4
Executing #apt update in a #Debian 8 I get the error... This occurs because of Debian removes Wheezy and #Jessie (except LTS) from mirrors.
YunoHost est un outil qui vous permet d’installer et d’utiliser facilement votre propre serveur. • YunoHost
►https://yunohost.org
Une distrib Linux (basée sur Debian) spécifique pour de l’auto-hébergement. Avec une interface graphique, AMP + letsencrypt, un serveur de mail, gestion LDAP des users...
Le but de YunoHost est de rendre accessibles au plus grand nombre l’installation et l’administration d’un serveur, sans délaisser la qualité et la fiabilité du logiciel.
Tous les efforts sont faits pour simplifier le déploiement sur le plus d’appareils possible et dans toutes les conditions (chez soi, sur son serveur dédié ou sur un VPS).
J’utilise yunohost depuis un peu plus d’un an, sur un raspberry pi, c’est vraiment bien foutu. J’ai installé Nextcloud (qui remplace dropbox), freshRSS (un aggrégateur de flux RSS) et Wallabag (qui remplace pocket) et quelques autres trucs. Il suffit d’appuyer sur bouton pour que ça s’installe.
Je conseille cette conférence donnée au Capitole du Libre en 2018 pour une bonne intro, plus politique que technique :
▻https://cinema.yunohost.support/videos/watch/b8b5cfd5-1830-4283-a866-5f74e7d68db6
How To Install Memcached on Debian 9 - idroot
▻https://idroot.us/linux/install-memcached-debian-9
Pour plus de détails : voir la doc officielle de Memcached ▻https://github.com/memcached/memcached/wiki
C’est une impression ou ce tutoriel propose d’ouvrir memcached sur le reste du monde ?
firewall-cmd —permanent —zone=public —add-port=11211/tcp
firewall-cmd —reload
Quelle bizarrerie...
j’avoue qu’utilisant iptables je n’ai pas fait très attention à ce point du tuto... et effectivement l’ouverture du port ne devrait être faite que pour la seule IP 127.0.0.1 !
Colorer son less
▻http://namok.be/blog/?post/2018/09/21/colorer-son-less
Ce matin, je faisais une recherche dans une page de man et je ne voyais pas le mot cherché. Ma page de manuel était blanche sur noir. Triste. Ajoutons des couleurs.
Pour info, lorsque l’on consulte une page de manuel, #linux lance un pager par défaut. Ce programme permet de visualiser un fichier page par page (page par page, pager, tu l’as ?) et y faire des recherches. Les principaux sont : less, more et most. Par défaut, c’est souvent less qui est installé.
La première manière de colorer ses pages de manuel est d’utiliser un pager qui gère les couleurs. Lapalissade. most est coloré par défaut, il s’active en ajoutant dans son .bashrc.
export PAGER=most
Si, par contre, vous avez l’habitude avec less et que vous ne voulez pas changer, vous pouvez lui apprendre les couleurs et ajouter dans votre (...)
Aujourd’hui, débat et approbation d’une loi spéciale en Bolivie : ce sera la première loi 100% numérique, depuis son élaboration jusqu’à son approbation (avec utilisation de la signature électronique par exemple).
Quelques anecdotes :
– l’Assemblée utilise Debian, pas un système d’exploitation privatif
– la majorité des députés sont des députées
– des députés de toutes les couches de la société : des mineurs, des employées domestiques, des paysans, des ouvriers...
Suite à l’upgrade d’un serveur de #debian wheezy vers #jessie, je rencontrais des erreurs avec le plugin #facteur pour #SPIP. Le problème est bien documenté dans le wiki de la classe #PHPMailer cf :
PHP versions since 5.6 verify certificates on SSL connections. If there’s a problem relating to the certificate, you will get an error like this:
Warning: stream_socket_enable_crypto(): SSL operation failed with code 1.
OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
▻https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting#certificate-verification-failure
Ce que confirme openssl avec le test suivant openssl s_client -connect domaine.net:443 qui renvoyait l’erreur Verify return code: 21 (unable to verify the first certificate).
Pour corriger ça, j’ai simplement ajouté le certificat de GANDI (puisque le domaine est chez eux) sur le serveur :
cd /usr/local/share/ca-certificates/
wget https://www.gandi.net/static/CAs/GandiStandardSSLCA2.pem
mv GandiStandardSSLCA2.pem GandiStandardSSLCA2.crt
update-ca-certificatesCette fois, le test avec openssl renvoie bien Verify return code: 0 (ok) et l’envoie de mail depuis le plugin facteur fonctionne de nouveau.
PS : pour supprimer un certificat ajouté manuellement, il faut supprimer son fichier .pem et lancer la commande update-ca-certificates --fresh
J’allais citer la source en ligne, mais je vois qu’elle est référencée ici ▻https://seenthis.net/messages/610192, c’est beau seenthis :)
#Spectre et #Meltdown : deux grosses failles de sécurité sur les processeurs dans nos machines
Quasi toutes les machines à base de processeurs Intel (donc Mac et PC) sont affectés pour Meltdown, ainsi que les AMD et ARM pour Spectre.
Meltdown et Spectre : 7 questions pour comprendre les failles critiques sur les processeurs
▻https://www.numerama.com/tech/318576-meltdown-et-spectre-7-questions-pour-comprendre-les-failles-critiqu ?
Meltdown and Spectre
Bugs in modern computers leak passwords and sensitive
data
Microsoft issues emergency Windows update for processor security bugs
▻https://www.theverge.com/2018/1/3/16846784/microsoft-processor-bug-windows-10-fix
Meltdown, Spectre : The password theft bugs at the heart of Intel CPUs
▻http://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability
Failles des processeurs : Intel, AMD et ARM prévenus par Google
▻https://www.generation-nt.com/faille-processeur-google-intel-amd-arm-mletdown-spectre-actualite-194
Un début d’analyse en français
▻https://twitter.com/fenarinarsa/status/948697105996156928
Et une version plus étoffée en anglais
▻https://twitter.com/gsuberland/status/948907452786933762
Deux failles critiques : Meltdown et Spectre - LinuxFr.org
▻http://linuxfr.org/news/deux-failles-critiques-meltdown-et-spectre
Ces derniers jours, les rumeurs allaient bon train sur les réseaux sociaux suite à l’intégration en urgence d’un gros correctif dans la RC-6 du noyau Linux. Cela allait à l’encontre de toutes les habitudes de #Linus_Torvalds, ce qui laissait penser que les conditions étaient vraiment particulières.
[SECURITY] [DSA 4078-1] linux security update
▻https://lists.debian.org/debian-security-announce/2018/msg00000.html
This specific attack has been named Meltdown and is addressed in the Linux kernel for the Intel x86-64 architecture by a patch set named Kernel Page Table Isolation, enforcing a near complete separation of the kernel and userspace address maps and preventing the attack. This solution might have a performance impact, and can be disabled at boot time by passing `pti=off’ to the kernel command line.
Deux failles critiques : Meltdown et Spectre - LinuxFr.org
▻http://linuxfr.org/news/deux-failles-critiques-meltdown-et-spectre#comment-1725951
J’aurai tendance à dire que #Linus a entièrement raison.
Check if/inhowfar you’re affected with InSpectre
▻https://www.ghacks.net/2018/01/16/gibson-releases-inspectre-vulnerability-and-performance-checker
Eucalyptus - Debian Wiki
▻https://wiki.debian.org/Eucalyptus
With #Debian we are already good in preparing software packages in a way that others can install - and optionally recompile - it easily. The #Amazon AWS Cloud services brought us Infrastructure as a Service (IaaS), mostly sold as an increase in flexibility for public or other services with variable loads. To the Open Source enthusiasts it is more the immediate access to readily configured environments and the exchange of those in the community. And AWS has pioneered also the sharing of public data, which for today’s data-driven research may be more critical than compute time. The Eucalyptus euca2ools are a free way to communicate through the Amazon API. And the eucalyptus package allows for the installation of your #very_own #cloud installation.
Depuis ▻https://seenthis.net/messages/568682 il y a eu des évolutions pour le plugin #alternc-borgbackup pour #alternc.
Pour les vielles distributions #Debian, un paquet compatible de #borgbackup est proposé. Ce paquet reprend les binaires officiels pour linux et propose donc une retro-compatibilité avec les paquets officiels des versions récentes.
De plus comme pour #alernc-certbot un dépôt est proposé pour télécharger les dernières versions du plugin compatible à partir de #wheezy
N’hésitez pas à tester et à faire vos retours, la documentation est encore fraîche :)
Bon tests
Migration distribution Debain en RAID
▻http://chrtophe.developpez.com/tutoriels/migrer-debian-raid
Tutoriel complet pour passer un système Debian en RAID 1
Debian — Les versions de Debian
▻https://www.debian.org/releases/index.fr.html
Actuellement, la distribution « #stable » de #Debian est la version 9, nom de code #Stretch. Elle a été initialement publiée en tant que version 9 le 17 juin 2017 et sa dernière mise à jour, version 9.0, a été publiée le 17 juin 2017.
Debian - LinuxFr.org
▻http://linuxfr.org/sections/debian
Debian 9 : Stretch déploie ses tentacules - LinuxFr.org
►http://linuxfr.org/news/debian-9-stretch-deploie-ses-tentacules
(en référence à la pieuvre violette de Toy Story 3)
Nouveau certificat chez Gandi, confiance et #git
▻http://namok.be/blog/?post/2017/06/26/certificat-gandi-confiance-git
Pour le serveur gitlab de l’école, je viens de renouveler les certificats chez Gandi. Si l’on se connecte via son navigateur, on a un beau certificat un peu plus récent :
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 256 bits
Par contre, lorsque j’essaie un git clone | pull | push rien ne va plus car l’autorité n’est pas reconnue par ma machine. Il faut que j’aille chercher le certificat sur le serveur ou bien chez Gandi et que je l’ajoute à ma liste de certificats.
Pour prendre le certificat sur le serveur, je fais donc :
echo -n | openssl s_client -showcerts -connect git.esi-bru.be:443
… et je mets les deux chaines entre -----BEGIN CERTIFICATE---- et -----END CERTIFICATE----- dans un fichier MyGandi.crt
Si je préfère aller chercher le certificat chez Gandi directement, il se trouve à cette page et (...)
#Cartable_au_dos #debian #esi #geek
Debian - Statement concerning the arrest of Dmitry Bogatov
▻https://www.debian.org/News/2017/20170417
The Debian Project is concerned to hear that one of our members, Dmitry Bogatov, has been arrested by Russian authorities.
Dmitry is a mathematics teacher, and an active Debian contributor. As a Debian Maintainer, he worked in the Debian Haskell group and currently maintains several packages for command line and system tools.
We await further details of the case against him, but hope that he receives fair treatment and due process.
In the meantime, the Debian Project has taken measures to secure its systems by removing Dmitry’s keys in the case that they are compromised.
The Debian Project honours his good work and strong dedication to Debian and Free Software, and we hope he is back as soon as possible to his endeavours.
We send our full support to him and his family.
Arrestation en Russie d’un membre du projet Debian, professeur de math. La communauté a révoqué ses clefs afin d’éviter d’éventuelles compromissions de paquets.
Les principales dates du projet #Linux
▻http://www.dsfc.net/logiciel-libre/linux/principales-dates-projet-linux
C’est en août 1993 et octobre 1994 que sont nées respectivement les premières versions des distributions #Debian et #Red_Hat.
7 Reasons to Use Debian (and 3 Reasons Not To) - Datamation
▻http://www.datamation.com/open-source/7-reasons-to-use-debian-and-3-reasons-not-to.html
Seven Reasons to Use Debian
Rumors depict Debian as a distribution for hardcore Linux users. That may have been true once, but today Debian has many features that appeal to every level of user.
7. A Comprehensive Installer
Early on, Debian gained a reputation for being hard to install that it has never altogether lost. In reality, though, the reverse is true, and Debian has the most thorough-going installer available. Although most people installing Debian only need a shortened version, the Debian Installer allows the selection of almost every detail — so long, of course, as you are prepared to spend a couple of hours installing.
If you are having trouble getting Debian to run on your hardware, take the example of Ubuntu and use the advanced version of the Debian Installer to solve your problems. Short of Linux from Scratch, you won’t find a more customizable installer.
6. A Choice of the Degree of Freedom
Debian installs with only free software. However, if you choose to work with proprietary software, add contrib non-free to the end of each line of /etc/apt/sources.list, then run apt-get update. The contrib section contains free software that requires non-free software to run, while non-free section contains proprietary software. Officially, neither section is tested as thoroughly as the rest of Debian, but unofficially, their stands are still high.
5. Multiple Hardware Architectures
Each Debian release officially supports nine hardware architectures, ranging from amd64 (64 bit Intel) to arm64 and PowerPC. Another five architectures are unofficially supported, while three are unsupported but listed anyway.
In comparison, many distributions, including the popular Linux Mint, support only 32- and 64-bit Intel chips. Others, like Fedora, have dropped support for many architectures that Debian still supports, such as SPARC. If Debian doesn’t run on your hardware, the chances are no other distribution does.
4. Easy Transitions Between Technologies
The introduction of new technologies like Systemd often causes problems when upgrading to a new release. However, Debian makes a point of creating packages that make the changeover as smooth as an ordinary upgrade.
3. The Largest Number of Installed Packages
Probably no one has counted exactly, but Debian includes over 40,000 packages — and possibly over 50,000. Either number is generally assumed to be larger than any other distribution, even though few other distributions count their own packages.
The only packages that Debian is unlikely to have are recent ones. However, Debian and its derivatives are so common today that if a project bothers to create packages, they probably do in the .deb format.
2. A Balance Between Cutting Edge and Stability
Debian’s three main repositories are Stable, Testing, and Unstable. These repositories are supposed to be organized for the purposes of producing a new release, but it is a rare user who can resist the temptation to raid Testing and Unstable for the most recent software.
Mixing the three repositories can cause problems, especially if you borrow core packages from Testing and Unstable. Yet, looked at another way, their availability lets you choose your priorities. If reliability matters, then stay with Stable. If you want the latest software, enable Testing and Unstable — but be careful.
1. Stability and Security
All distributions have guidelines for their packages, but the Debian Policy Manual is by far the most comprehensive. The manual details every possible aspect of what a package may contain and how it can interact with other packages, and every package must adhere to it. The result is that the Debian Stable repository is almost certainly the most dependable version of Linux available. Even Unstable is as stable as other distributions most of the time — although occasionally it can have some unpleasant surprises.
Three Reasons Not to Use Debian
So, if Debian is so wonderful, why does anyone bother with any other distribution? The question has many answers, but these are probably the most common ones:
3. Debian Installs with Only Free Software
In Debian, getting non-free software is as easy as adding the repositories. However, for some users, even that is too much effort. They prefer a Debian derivative like Linux Mint or Ubuntu that makes getting non-free drivers or tools like Flash even easier.
2. Debian Uses Systemd
While most users have accepted the introduction of Systemd a few years ago, some continue to fault Debian for using it. They see Systemd as too powerful an administration tool, and suspect it as a ploy by Red Hat to control the desktop. The Debian wiki includes instructions for replacing Systemd with Init, but the process is cumberson, so those who object to Systemd often prefer a derivative distribution like Devuan, which installs without Systemd.
1. Debian Software Is Not Always Up To Date
The cost of Debian’s stability is often software that is several versions behind the latest. This cost becomes especially obvious in the kernel and desktop environment; for example, Debian Stable has yet to include the fourth release series of the kernel or the fifth release series of KDE, despite both being available for a couple of years.
Debian does have Security and StableUpdates repositories to help keep Stable more current, but neither makes Debian cutting edge. Debian is most current immediately after a general or a point release, but even then its software versions are behind most other distributions.
The Debian Inevitability: Although the advantages of Debian outnumber the cons, whether Debian suits you is a matter of your priorities. For networking, Debian is an obvious choice, especially if you prefer to support yourself rather than buy a service contract from Red Hat or SUSE. But, for a desktop user, Debian’s frequent lack of up-to-dateness may be frustrating, especially if you have hardware unsupported by its kernel.
Fortunately, if Debian doesn’t meet your needs, then one of its derivatives probably will. Even if you don’t consciously plan to use a derivative, probability suggests than you will wind up using one anyway. These days, avoiding contact with Debian is nearly impossible.
Mise en place d’un DNS menteur
▻http://namok.be/blog/?post/2017/03/05/mise-en-place-dns-menteur
Comme je le disais dans un précédent billet non technique, un serveur DNS peut te mentir ou te bloquer.
Normalement si un nom de domaine existe — par exemple facebook.com — un serveur DNS donne l’adresse IP correspondant au nom — pour facebook.com, c’est 179.60.195.36. Cette résolution permet, par exemple — et c’est le cas le plus courant — d’accéder à la page web correspondante. Dans le cas de facebook, cela permettra à l’utilisateur de cliquer sur un pouce bleu !
Si ton DNS te bloque, tu croiras que le site n’existe pas. C’est de la censure. Si ton DNS te ment, tu seras dirigé vers une autre page. Cela permet de faire du phishing par exemple.
Bloquer, mentir, mettre en place de la censure est finalement très simple.
En supposant que bind soit installé — d’un grand coup de apt install bind9 — il (...)
#Mes_doigts_dans_le_clavier #alternatives #debian #geek #internet
Une formation de 4 jours sur les fondamentaux #Linux
▻http://www.dsfc.net/formations/formations-systeme-et-reseau/formation-4-jours-fondamentaux-linux
L’objectif de cette formation sur les fondamentaux Linux est d’être en capacité d’installer et d’exploiter les serveurs Linux qui s’exécutent dans vos services informatique.
#Système_et_Réseau #Centos #Debian #Formateur_Centos #Formateur_Debian #Formateur_Linux #Formateur_openSUSE #Formateur_Red_Hat #Formateur_SUSE #Formateur_Ubuntu #Formation_CentOS #Formation_Debian #Formation_Linux #Formation_OpenSUSE #Formation_Red_Hat #Formation_SUSE #Formation_Ubuntu #OpenSuse #Red_Hat #SUSE #Ubuntu #Ubuntu_Server_LTS
Packages for pkgr/gogs
▻https://packager.io/gh/pkgr/gogs
Le packageur non-officiel de GOGS
...sur certaine mises à jour, peut être responsable de modifications de la configuration par défaut qui plantent tout !
Voir aussi :
– site officiel de GOGS ▻https://gogs.io
– le forum des utilisateurs développeurs : ▻https://discuss.gogs.io
#gogs #debian #paquet #package #mise_à_jour
Regarde peut-être du côté de ►https://gitea.io ? C’est ce que @azerttyu a choisi d’utiliser dans le futur pour #spip :)
des infos sur cette « fin de vie » de gogs ? ▻https://github.com/gogits/gogs me semble tout à fait actif...
...renseignements pris, le développement de gogs est « bloqué » entre les mains d’un seul dev, pas très ouvert aux suggestions !
=> zou ! on a migré sous ►https://gitea.io (fork de gogs) : la migration à pris 3 minutes et cet outil semble très bien :)
#Squid : marqueur des distributions #Linux pour serveurs ?
▻http://www.dsfc.net/logiciel-libre/squid/squid-marqueur-des-distributions-linux-pour-serveurs
Les binaires de la dernière version de Squid ne sont disponibles que pour Linux #Fedora / #Centos / #Red_Hat et #Debian.
#Formateur_Centos #Formateur_Debian #Formateur_Fedora #Formateur_Linux #Formateur_Red_Hat #Formateur_Sécurité_Réseau #Formateur_Squid #Sécurité_Réseau