UFW: règles de base

Pour placer un garde fou au niveau réseau sur vos serveurs ces quelques bases vous seront utiles:

  • en entrée par défaut couper tout
  • en sortie par défaut autoriser tout (c’est pas spécialement une bonne politique, mais c’est un premier jet)
  • ouverture du port ssh de façon limitée
  • ouverture du port http ET https

Et pour moi c’est tout.

Je vais reporter tout ça dans un tit script ansible ;-)

 

# become must be on each ufw if not I got a 'ERROR: You need to be root to run this script'

- name: Limit ssh access (brutforce)
  ufw:
    rule: limit
    port: ssh
    proto: tcp
  become: true

- name: Incoming disabled as default
  ufw:
    direction: incoming
    policy: deny
  become: true

- name: Outcoming enabled as default
  ufw:
    direction: outgoing
    policy: allow
  become: true

- name: Enable UFW
  ufw:
    state: enabled
  become: true

- name: Http server
  ufw:
    rule: allow
    port: http
    proto: tcp
  become: true

- name: Https server
  ufw:
    rule: allow
    port: https
    proto: tcp
  become: true

- name: Set logging
  ufw:
    logging: on
  become: true

 

 

Posted in AdminSys at April 10th, 2018. Comments Off on UFW: règles de base.

Install ‘real’ firefox on Debian 8

Iceweasel is often enough but for some remote debugging the ‘official’ version is required.

Linux mint handles this package in repo. Add the following line into a new file /etc/apt/sources.list.d/linuxmint.list

deb http://packages.linuxmint.com debian import

and follow rest of flow (update, install firefox is the name of package).

This explanation is less less verbose but source is : http://linuxconfig.org/simple-firefox-web-browser-installation-on-debian-8-jessie-linux

Posted in Au quotidien at December 29th, 2015. Comments Off on Install ‘real’ firefox on Debian 8.

Novation – Launchpad mini

I just bought this little ‘gadget’ / Je viens de m’offrir le petit joujou suivant : Launchpad MINI

LaunchPad_Mini_PP_Pic4

Et j’ai cherché un peu de documentation pour pouvoir sortir des sentiers battus (cad être un contrôleur pour ableton):

And I searched little documentation to get some extra features and can handle this device without using classical way (so with ableton)

Read More…

Posted in MIDI at September 1st, 2014. Comments Off on Novation – Launchpad mini.

SFTP – FTP bye bye

Remplacer le FTP par le SFTP c’est bien mais il ne faut pas abaisser la sécurité pour autant. Et par défaut l’utilisateur à accès à toute la machine via SFTP, il faudra donc le chrooter.

Je vais donc vous expliquer pas à pas comment sécuriser une installation sftp.

Commencer par refuser la possibilité de login à tt les utilisateurs que vous utiliserez comme sftp en faisant soit chsh user et en mettant /bin/false ou en mettant dans /etc/default/useradd les valeurs suivantes:

SHELL=/bin/false
SKEL=/etc/skelempty

Il vous faudra créer le dossier /etc/skelempty qui ne contient rien (ceci afin d’éviter l’ajout automatique de fichier qu’un utilisateur uniquement sftp n’aura cure).

Read More…

Posted in Hosting at April 2nd, 2014. 1 Comment.

MPDCron init.d script

Comme promis dans l’article de présentation de MPDCron, voiçi le script que vous pourrez mettre dans votre /etc/init.d folder.

N’oubliez pas de le rendre exécutable (chmod +x)  et de l’ajouter au démarrage du système (update-rc.d mpdcron defaults)

 
Read More…

Posted in Au quotidien at September 14th, 2013. 1 Comment.

XRandR (dual screen) on boot/login

source : http://www.jejik.com/articles/2008/10/setting_up_dual_monitors_system-wide_with_xrandr_on_debian_lenny/

find the right config to match your screen config. Mine is :

xrandr –output DP1 –pos 1920×0

And after you can create a file 45custom_xrandr (as root) into folder /etc/X11/Xsession.d with a copy paste of the XRandR needed (no chmod +x needed).

You can reboot, and will work.

 

Posted in Au quotidien at August 20th, 2013. Comments Off on XRandR (dual screen) on boot/login.

Dockstar Leds

La petite LED bicolore en façade du Dockstar nous signifiant qu’il est allumé c’est bien. Mais si on pouvait la manipuler nous même ça serait mieux ne pensez vous pas ?!

Ce qui est chouette c’est qu’en fait on peut. Paraitrait qu’il faille installer un noyau spécial pour avoir le contrôle de ces LEDS mais je dois vous avouer que j’ai fait beaucoup de bidouillages et que je ne me souviens plus trop de ce que je lui ai fait subir. Je vous invite a googler ou a jeffDozzaner pour trouver ce qu’il vous manque pour ça.

Contrôle des leds

Après avoir trouvé comment supporter ces leds je me suis fait : oh que c’est complexe, ça va être pénible d’appeler les bonnes commandes aux bons moments et dans le bon ordre. C’est pourquoi je me suis facilité la vie en écrivant un premier script.

Read More…

Posted in Linux at December 24th, 2011. Comments Off on Dockstar Leds.