cedricAbonnel/varlog
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
f34f2c58f25a0187c7b488ee86b7084236599d57
varlog/_cache/similar/9f52df72-daa7-4b9a-90b7-cffb39ff43fb.json
T
Cédrix b0716911b3 init : articles varlog (migration depuis rsync)
2026-05-15 10:37:48 +02:00

1 line
22 KiB
JSON
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
[{"uuid":"0bba1ad7-e4cb-49a6-9467-fcfac2e09a93","slug":"deuxiemes-pas-devops-durcir-et-fiabiliser-un-serveur-debian","title":"Deuxièmes pas DevOps : durcir et fiabiliser un serveur Debian","category":"informatique","author":"cedric@abonnel.fr","cover":"cover.jpg","published":true,"published_at":"2026-06-08 07:00","created_at":"2026-05-12 23:01:34","updated_at":"2026-05-13 22:53:46","tags":{"logiciels":["Fail2ban","Debian"]},"plain":"Une fois le système de base configuré (dépôts, mises à jour, , identification — sujets traités dans l'article précédent), la machine est fonctionnelle mais encore vulnérable et un peu fragile pour un usage sérieux. Ce deuxième article s'attaque aux gestes qui transforment un serveur « qui marche » en un serveur sur lequel on peut raisonnablement faire tourner quelque chose : sécuriser l'accès SSH, mettre en place un pare-feu, automatiser les correctifs de sécurité et soigner quelques détails opérationnels.\r\n\r\nSécuriser l'accès SSH\r\n\r\nSSH est la porte d'entrée principale d'un serveur Linux. C'est aussi, statistiquement, la cible la plus attaquée : n'importe quelle IP publique reçoit en permanence des tentatives de connexion automatisées. Deux gestes simples changent radicalement la donne.\r\n\r\nPasser à l'authentification par clé\r\n\r\nLes mots de passe, même longs, restent vulnérables aux attaques par force brute et au phishing. Une paire de clés cryptographiques est à la fois plus sûre et plus pratique au quotidien.\r\n\r\nCôté poste de travail, on génère une paire de clés modernes :\r\n\r\n\r\n\r\nL'algorithme est aujourd'hui le choix par défaut recommandé : clés courtes, signatures rapides, sécurité solide. Le commentaire () facilite l'identification de la clé quand on en gère plusieurs.\r\n\r\nOn copie ensuite la clé publique sur le serveur :\r\n\r\n\r\n\r\nCette commande dépose la clé publique dans côté serveur avec les bonnes permissions. À partir de là, la connexion se fait sans saisir de mot de passe — il faut tester depuis une nouvelle session avant de passer à l'étape suivante, sous peine de risquer de se retrouver enfermé dehors.\r\n\r\nDésactiver la connexion root et les mots de passe\r\n\r\nUne fois la connexion par clé validée, on durcit la configuration SSH. Le fichier à modifier est :\r\n\r\n\r\n\r\nLes directives importantes à positionner (ou décommenter) sont :\r\n\r\n\r\n\r\nLa première interdit toute connexion directe en via SSH : on devra obligatoirement se connecter avec un utilisateur normal puis élever ses droits via . La deuxième supprime complètement l'authentification par mot de passe, ne laissant plus que les clés. La troisième confirme explicitement que l'authentification par clé est active.\r\n\r\nOn recharge ensuite le service pour appliquer les changements :\r\n\r\n\r\n\r\nImportant : garder la session SSH actuelle ouverte et tester la nouvelle configuration depuis un autre terminal avant de fermer la première. En cas de problème, on peut encore corriger le tir.\r\n\r\nPour aller un cran plus loin, changer le port SSH par défaut (22) vers un port moins évident réduit considérablement le bruit dans les logs. Ce n'est pas de la sécurité au sens strict (un scan le retrouvera), mais c'est un filtre efficace contre les attaques automatisées.\r\n\r\nMettre en place un pare-feu\r\n\r\nPar défaut, Debian n'a aucun pare-feu actif. Tout port ouvert par un service installé sera donc directement exposé. Deux outils standards existent : (le successeur officiel d', bas niveau et puissant) et (une surcouche pensée pour la simplicité). Pour démarrer, est le bon compromis.\r\n\r\n\r\n\r\nLa logique consiste à tout bloquer en entrée par défaut, puis à n'ouvrir explicitement que ce qui doit l'être :\r\n\r\n\r\n\r\nSi SSH écoute sur un port non standard, remplacer par (ou le port choisi). Oublier cette étape avant un est un grand classique du verrouillage involontaire.\r\n\r\nPour les services web, on ouvrira typiquement les ports 80 et 443 :\r\n\r\n\r\n\r\nL'état du pare-feu se vérifie avec :\r\n\r\n\r\n\r\nSur une architecture où la machine est derrière un reverse proxy (cas fréquent quand on expose plusieurs services sur un même domaine), seuls les ports utiles côté proxy doivent être ouverts au monde extérieur. Les services applicatifs eux-mêmes restent accessibles uniquement depuis le réseau interne.\r\n\r\nAutomatiser les correctifs de sécurité\r\n\r\nLes failles de sécurité ne préviennent pas, et personne n'a envie de lancer manuellement chaque matin sur dix machines. Le paquet applique automatiquement les mises à jour du dépôt .\r\n\r\n\r\n\r\nLa configuration se trouve ensuite dans . Par défaut, seuls les correctifs de sécurité sont appliqués automatiquement, ce qui est généralement le bon compromis : on profite des patches critiques sans risquer qu'une mise à jour fonctionnelle introduise une régression sur un service en production.\r\n\r\nQuelques options qui méritent l'attention dans ce fichier :\r\n: à régler sur si l'on accepte les redémarrages automatiques après une mise à jour de noyau, ou si l'on préfère les piloter à la main. La directive permet alors de choisir l'horaire.\r\n: pour recevoir un rapport par mail des mises à jour appliquées, à condition d'avoir un MTA configuré sur la machine.\r\n\r\nLe bon réflexe consiste à vérifier de temps en temps les logs dans pour s'assurer que tout se déroule sans heurts.\r\n\r\nSoigner les détails opérationnels\r\n\r\nQuelques outils complémentaires améliorent significativement le confort et la résilience d'un serveur.\r\n\r\nFail2ban surveille les logs d'authentification et bannit temporairement les IP qui tentent trop de connexions échouées. Même avec SSH par clé uniquement, le service réduit considérablement le bruit dans les journaux :\r\n\r\n\r\n\r\nLa configuration par défaut surveille déjà SSH ; elle peut être étendue à d'autres services (nginx, Postfix, etc.) via des fichiers dans .\r\n\r\nLogwatch ou journalctl méritent qu'on s'y attarde. Sur une Debian récente, est l'outil central pour consulter les logs systemd :\r\n\r\n\r\n\r\nPrendre l'habitude de jeter un œil aux logs régulièrement — ou de mettre en place une remontée centralisée si l'on gère plusieurs machines — change beaucoup de choses en exploitation.\r\n\r\nUn swap raisonnable, sur une VM ou un serveur dédié, évite que la machine ne devienne complètement injoignable en cas de pic de consommation mémoire. Sur un conteneur LXC en revanche, c'est généralement géré au niveau de l'hyperviseur.\r\n\r\nEt après ?\r\n\r\nAvec ces réglages, le serveur est dans un état correct pour accueillir des services réels : la surface d'attaque est réduite, les correctifs s'appliquent tout seuls, et les logs racontent ce qui se passe. La suite logique est l'installation de la pile applicative proprement dite (serveur web, base de données, runtime) et la mise en place d'un reverse proxy pour exposer plusieurs services derrière un même point d'entrée.\r\n\r\nComme évoqué dans le premier article, le moment où l'on commence à enchaîner ces étapes sur plusieurs machines est exactement celui où il faut basculer vers de l'automatisation : un script shell bien rangé pour commencer, puis Ansible ou un équivalent quand le parc grossit. Une bonne pratique consiste à versionner ces scripts dans un dépôt Git dédié à l'infrastructure, au même titre que le code applicatif."},{"uuid":"0e0b8d1d-3352-4ab7-bc70-7bc1f02ee485","slug":"imagemagick-sur-debian-pourquoi-convert-im6-et-ou-trouver-magick","title":"ImageMagick sur Debian : pourquoi `convert-im6` et où trouver `magick`","category":"linux","author":"cedric@abonnel.fr","cover":"cover.svg","published":true,"published_at":"2025-12-28 15:32","created_at":"2025-12-28 15:32:01","updated_at":"2026-05-12 00:29:00","tags":[],"plain":"Si tu as déjà installé ImageMagick sur un serveur Debian, tu es probablement tombé sur cette étrangeté : la commande historique est là, mais elle s'appelle . Et la commande moderne , présente partout ailleurs, semble manquer à l'appel — sauf si tu es sur Debian 13, où elle est revenue.\r\n\r\nLe sujet est un peu plus subtil qu'il n'y paraît, et beaucoup d'explications qui circulent sur le web sont fausses (notamment celle qui prétend que entrerait en conflit avec un binaire de — c'est un mythe). Voilà ce qui se passe réellement.\r\n\r\nUn peu de contexte sur ImageMagick\r\n\r\nImageMagick, c'est une suite d'outils en ligne de commande pour manipuler des images : conversion de formats, redimensionnement, compression, génération de vignettes, watermarks, lecture de métadonnées… Le genre d'outil qu'on retrouve aussi bien dans un script bash de cinq lignes que dans une chaîne de traitement industrielle ou un pipeline CI.\r\n\r\nHistoriquement, la suite est composée de plusieurs binaires distincts, chacun avec son rôle : pour la conversion, pour lire les métadonnées, pour le traitement par lot, pour combiner des images, pour les planches. C'est l'architecture d'ImageMagick 6, la version qui a régné en maître pendant une bonne quinzaine d'années.\r\n\r\nDepuis 2016, ImageMagick 7 est disponible. Le grand changement, c'est qu'il unifie tout derrière une seule commande : . Les anciennes commandes deviennent des sous-commandes (, , etc.), même si pour la rétrocompatibilité un binaire peut continuer à se comporter comme quand on l'appelle avec une syntaxe d'IM6.\r\n\r\nPourquoi le suffixe sur Debian\r\n\r\nC'est ici que beaucoup d'articles racontent n'importe quoi. La vraie raison n'a rien à voir avec un conflit avec — je l'ai vérifié, aucun paquet système ne fournit de commande . Tu peux le vérifier toi-même : ne renvoie rien qui vienne de util-linux.\r\n\r\nLa vraie raison est plus prosaïque. Pendant des années, Debian a voulu pouvoir packager IM6 et IM7 en parallèle dans la même distribution, pour permettre une transition en douceur. Le souci, c'est que les deux versions fournissent des binaires aux mêmes noms (, , …) avec des comportements légèrement différents. Impossible de les installer côte à côte sans renommer.\r\n\r\nLa solution adoptée par les mainteneurs Debian a été d'ajouter un suffixe explicite au nom de chaque binaire :\r\nles outils d'IM6 deviennent , , etc.\r\nles outils d'IM7 deviennent et compagnie\r\n\r\nLe indique la profondeur quantique du binaire (16 bits par canal, la valeur par défaut), et le / indique la version d'ImageMagick. Les noms classiques (, ) ne sont alors que des symlinks gérés par , qui pointent vers la version active. C'est le même mécanisme que pour , , ou à une époque.\r\n\r\nCe qui change entre Debian 11, 12 et 13\r\n\r\nC'est l'autre point que la plupart des articles ratent : la situation n'est pas la même selon la version de Debian.\r\n\r\nSur Debian 11 (bullseye) et 12 (bookworm), le paquet installe IM6 (version 6.9.11.60). Tu n'as que et ses copains, et n'existe pas dans les dépôts officiels (le paquet existe mais n'est pas le défaut). C'est cette situation que décrivent la plupart des tutoriels qui traînent sur le web.\r\n\r\nSur Debian 13 (trixie), sorti en août 2025, le défaut a basculé sur IM7 (version 7.1.1.43). La commande est disponible, et est désormais un symlink vers . Tu peux le vérifier :\r\n\r\n\r\n\r\nAutrement dit, sur Trixie, si tu écris , tu appelles en réalité IM7 sous un nom d'IM6. Ça fonctionne pour la plupart des usages, mais attention : IM7 est plus strict sur l'ordre des arguments en ligne de commande (), donc certains scripts anciens peuvent grogner.\r\n\r\nCorrespondance entre les deux versions\r\nImageMagick 6 (Debian 11/12) | ImageMagick 7 (Debian 13) |\r\n---------------------------- | ------------------------- |\r\n| |\r\n| |\r\n| |\r\n| |\r\n\r\nPour les cas simples, le comportement est identique. Une commande de redimensionnement classique passe sans modification :\r\n\r\n\r\n\r\nFaut-il s'inquiéter sur un serveur en production ?\r\n\r\nSi tu administres une machine Debian 12 ou plus ancienne, non. IM6 est toujours activement maintenu pour les CVE (les correctifs sont régulièrement backportés dans les paquets stable), et la plupart des scripts existants continueront de fonctionner. Le dans le nom du binaire est juste du marquage, pas une dépréciation.\r\n\r\nSi tu migres vers Debian 13, prévois un peu de temps pour relire tes scripts. Les pièges classiques :\r\nl'ordre des options qui devient plus strict ;\r\nquelques comportements de couleur et d'alpha qui ont changé entre les deux versions, notamment sur les opérations chaînées ;\r\nle fichier qui a déménagé : devient . Si tu avais assoupli les restrictions sur les PDF ou PostScript (un grand classique), il faut reporter la modification.\r\n\r\nPour un projet PHP comme les tiens, l'extension Imagick côté PHP est sensible à cette transition : la version compilée doit correspondre à la version d'IM installée, sinon échoue. Sur Trixie, c'est IM7 qu'il faut lier.\r\n\r\nEn pratique\r\n\r\nSur Debian 11/12, utilise , , etc. C'est la convention locale, pas une version dégradée. Si tu veux malgré tout, tu peux installer le paquet (présent dans les dépôts depuis bookworm) et basculer les alternatives manuellement, mais ce n'est presque jamais nécessaire.\r\n\r\nSur Debian 13, utilise directement. La commande reste disponible par compatibilité, mais elle pointe en réalité vers IM7 — autant utiliser le nom officiel.\r\n\r\nEt dans tous les cas, évite les alias globaux qui réécrivent : ça finit toujours par mordre quelqu'un, soit toi dans six mois, soit le prochain qui reprendra le serveur."},{"uuid":"5d680f76-475c-4be0-9847-f4230f4f83ca","slug":"20231125-markdown-pdf-pandoc-fedora","title":"Fichier Markdown en PDF avec Pandoc et LaTeX sous Fedora","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-11-25 08:26:30","created_at":"2023-11-25 08:26:30","updated_at":"2023-11-25 08:26:30","tags":[],"plain":"La création de documents PDF à partir de fichiers Markdown est une tâche courante dans le domaine de la rédaction technique et de la publication. Dans cet article, nous allons explorer les commandes nécessaires pour accomplir cette tâche en utilisant les outils Pandoc, LaTeX et Texlive. Commande 1 : Installation de Pandoc et texlive-xetex Installons le package sur votre système Fedora. Le package est un composant essentiel de LaTeX, un système de composition de documents largement utilisé. XeTeX est un moteur de composition de texte TeX qui prend en charge la gestion des polices de caractères TrueType et OpenType, ce qui est utile pour la création de documents contenant des caractères spéciaux et des langues non latines. Commande 2 : Mise à jour du cache TeX Mettre à jour le cache TeX après l'installation de nouveaux packages ou de modifications apportées aux fichiers de configuration. Le cache TeX est essentiel pour que TeX et ses moteurs associés, comme XeTeX, puissent trouver rapidement les fichiers nécessaires lors de la compilation de documents : Commande 4 : Installation de texlive-unicode-math Installer le package . Ce package est utile lorsque vous avez besoin de prendre en charge des caractères mathématiques Unicode dans vos documents LaTeX. Il fournit des fonctionnalités avancées pour la typographie mathématique. Commande 5 : Conversion du fichier Markdown en PDF avec Pandoc et LaTeX On utilise Pandoc pour convertir un fichier Markdown nommé en un fichier PDF nommé . Voici une explication détaillée des options utilisées :\n: Indique que le fichier source est écrit en Markdown GitHub Flavored Markdown (GFM), une variante de Markdown couramment utilisée sur GitHub.\n: Spécifie que nous souhaitons convertir le fichier en PDF.\n: Indique l'utilisation de XeLaTeX comme moteur de composition LaTeX. XeLaTeX est un moteur de composition de texte TeX qui prend en charge la gestion des polices de caractères TrueType et OpenType, ce qui est utile pour la création de documents contenant des caractères spéciaux et des langues non latines, tout comme LuaLaTeX.\n: Le nom du fichier source Markdown que nous souhaitons convertir.\n: Le nom du fichier PDF de sortie que nous souhaitons créer. Conclusion L'installation des packages TeX appropriés et la configuration de l'environnement sont des étapes cruciales pour garantir que la conversion se déroule sans problème et que le résultat final soit de haute qualité. Crédit image : ////"},{"uuid":"e5d7f4ad-a313-4e9f-aae4-826f25e0bd42","slug":"pdfcreatorwithphotoviewer","title":"Générer un fichier PDF avec la visionneuse de photos Windows","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-28 20:18:34","created_at":"2023-02-28 20:18:34","updated_at":"2023-02-28 20:18:34","tags":[],"plain":"Ouvrir l'image avec la \"Visionneuse de photos Windows\".\nUn double clique sur la photo suffit à ouvrir l'image avec la \"Visionneuse de photos Windows\", Si ce n'est pas le cas, essayer d'effectuer un clic droit sur la photo, puis sélectionner \"Ouvrir avec\" et choisir \"Visionneuse de photos Windows\". Lancer l'impression\nPour appeler la fenêtre d'impression, il faut soit :\neffectuer la combinaison de touches 'Ctrl' + 'P'\ncliquer sur \"Imprimer\" de le barre de menu"},{"uuid":"eaf4d284-81af-4dbe-95e4-887627fef83d","slug":"installer-un-serveur-de-partage-de-fichiers","title":"- Partage de fichiers","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-28 20:02:47","created_at":"2023-02-28 20:02:47","updated_at":"2023-02-28 20:02:47","tags":[],"plain":"L'objectif de ces notes est de mettre en œuvre un partage de fichier avec SAMBA et NFS.\nSamba\nLe logiciel SAMBA est utilisé pour le partage de fichiers et dimprimantes à laide des protocoles SMB et CIFS. Ces protocoles étant ceux utilisés pour les systèmes dexploitation Microsoft, linstallation de Samba sur une machine équipée de Linux permet :\ndintégrer celle-ci dans le \"réseau Microsoft\" de lentreprise\nde prendre la place dun serveur Microsoft Windows On configure le service Samba à laide du fichier qui est composé de deux parties :\nUne partie globale, qui permet de configurer le fonctionnement du service.\nUne partie partages, où sont listés les partages de répertoires et dimprimantes et leurs paramètres. La suite des manipulations serveur ont été testées avec Raspbian 10 sur Raspberry Pi 2 le 21 mars 2020.\nInstaller Samba sur le serveur\nSur Debian et Rasbpian, il faut utiliser apt : Si votre ordinateur obtient ses paramètres IP à partir d'un serveur DHCP du réseau, ce serveur peut aussi fournir des informations sur les serveurs WINS (serveurs de noms NetBIOS) présents sur le réseau. Une modification du fichier est nécessaire afin que les réglages WINS fournis par le serveur DHCP soient lus dans . Le paquet doit être installé pour utiliser cette fonctionnalité. Samba utilise la configuration présente dans le fichier . A chaque modification il sera nécessaire de redémarrer le service Samba pour que les modifications soient prises en compte :\nCréer un accès Samba anonyme\nToutes les connexions non identifiées se verront attribuer une ressource partagée. Cela permet d'échanger des fichiers sans authentification, dans un espace isolé. Voici la configuration nécessaire dans le fichier du serveur Samba : Côté client Windows, le partage sera accessible sans authentification. Les fichiers et dossiers créés le seront avec l'utilisateur et le groupe . Il faudra veiller à ce que le dossier soit en lecture/écriture pour tout le monde.\nPartage NFS sous Linux\nNFS (Network File System), littéralement système de fichiers en réseau, est un protocole qui permet de partager des fichiers ou des dossiers entre système Unix/Linux depuis 1980. Il permet de monter dans votre système de fichier local des fichiers d'autres ordinateurs et interagir comme si ils étaient montés localement. Donc vous le comprendrez, NFS permet d'accéder de manière local à des fichiers distants. NFS est une architecture standard utilisé par des clients et serveur Unix. Avec NFS il n'est pas nécessaire d'avoir exactement le même système d'exploitation. Et grâce à NFS, nous pouvons réaliser une solution de stockage centralisé. NFS est composé de deux parties :\nServeur NFS : désigne le système qui possède physiquement les ressources (fichiers, répertoires) et les partages sur le réseau avec dautres systèmes.\nClient NFS : désigne un système qui monte les ressources partagées sur le réseau. Une fois montées, les ressources apparaissent comme si elles étaient locales. Le package serveur NFS inclus trois grandes parties inclus dans les package portmap et nfs-utils.\nportmap est un mappeur appelé par les autres machines.\nNFS est le logiciel qui permet de transférer le fichier ou les commandes vers le fichier distant, vers le système de fichier distant, et inversement.\nRPC.mountd et le service qui permet de monter et démonter le système de fichier. Au niveau configuration nous retenons 3 fichier de configuration.\n/etc/exports correspond au fichier de configuration principal du système NFS. Il contient la liste des ressources partagées, une ligne par ressource. \n/etc/fstab permet de monter les dossiers NFS et de les remonter de manière automatique à chaque boot.\netc/sysconfig/nfs et le fichier de configuration du système NFS pour contrôler les ports RPC et les autres services en écoute. Quelques commandes :\nLa liste des ressources partagées peut être obtenue à laide de la commande . Aucune configuration particulière nest nécessaire pour les clients. Les ressources partagées peuvent être listées et montées/démontées manuellement ou automatiquement.\n, compatible avec Windows\n, partage Linux compatible partiellement avec Windows"}]
Reference in New Issue View Git Blame Copy Permalink