Securisation d'openssh via l'ANSSI
via https://sebsauvage.net/links/?ZA7gHA

Je n'avais pas fait attention, mais le script de migration wordpress vers Hugo (voir Partie1) propose d'exporter également les commentaires (dans le fichier d'article).

J'ai du coup dû, dans le fichier hugo-export.php
1) Activer cette option:
l.39 : private $include_comments = true;

2) Commenter la copie du dossier "wp_content" (14Go dans mon cas ...) :
l. 497 : //$this->copy_recursive($upload_dir['basedir'], $this->dir . str_replace(trailingslashit(get_home_url()), '', $upload_dir['baseurl']));

3) Copier tel-quel mon dossier "wp-content" dans le dossier "public" de hugo (pour avoir /var/www/hugo/public/wp-content/)

4) Faire un petit sed des familles pour corriger le liens ( https://domain vers //domain)
sed -i 's#https://domain.tld/wp-content/#//domain.tld/wp-content/#g' *.md

Partie1: https://shaarli.m0le.net/?ASPLmQ
Partie2: https://shaarli.m0le.net/?0fRZhg

Peut-être un remplacant pour Borg ?!

Jusqu'à présent, j'utilisait "netstat -tunelp" pour avoir les listes des ports ouverts sur un serveur.
Mais dans le cas d'un bind entre IPv6 et IPv4 (qui est parfois activé par défaut, voir /proc/sys/net/ipv6/bindv6only ) certains processus n'était listé QUE en tcp6/IPv6.

Il se trouve que si le bind est activité, le port est aussi en écoute (ouvert) en tcp/ipv4 ! du coup, j'aurais tendance à utiliser "ss -tunelp" qui LUI me montre un poil mieux (voir le flag v6only à la fin) :

# netstat -tunelp | grep mysql
tcp6       0      0 :::3306                 :::*                    LISTEN      113        31002      2244/mysqld

# ss -tunelp | grep mysql
tcp   LISTEN  0       80                         *:3306                 *:*      users:(("mysqld",pid=2244,fd=17)) uid:113 ino:31002 sk:7e v6only:0 <->

Vous avez déjà testez ou eu des retours sur cmd.com ?

Le sachiez-tu ? Sous bash (dans debian, par défaut), précéder sa commande par un espace, ne log pas la commande dans le bash history °o°

On peut vérifier cela en faisant :
$ echo $HISTCONTROL
Si la valeur est "ignoreboth" (dans ~/.bashrc) => Je la met à "ignoredups" pour ignorer les duplicatas mais pas les espaces en début de ligne

Petite note pour utiliser SSH / SCP depuis SERVER_A vers SERVER_C via SERVER_B (server "rebond")
ssh -A -t -p <PORT_SERVER_B> <USER_SERVER_B>@<IP_SERVER_B> ssh -A -t <USER_SERVER_C>@<IP_SERVER_C> -p <PORT_SERVER_C>

scp -o ProxyCommand="ssh -p <PORT_SERVER_B> <USER_SERVER_B>@<IP_SERVER_B> nc <IP_SERVER_C> <PORT_SERVER_C>" <LOCAL_FILE> <USER_SERVER_C>@<IP_SERVER_C>:<PATH_SERVER_C>

Le script que j'utilise pour sauvegarder mon serveur (ovh) vers mon NAS synology avec Borg Backup, via sshfs. (Ou comment gagner 20% d'espace disque, le tout chiffré ;-) )

Une notion interessante dans vi(m), je préfère ":x" à ":wq" mais je n'en connaissais pas la mince différence.

J'ai mis à jour des systèmes et lorsque je lancais un aptitude update && aptitude upgrade, je me retrouvais avec ca :
# aptitude safe-upgrade
Résolution des dépendances…
ouverts : 281120 ; fermés : 216263 ; reportés : 5 ; en conflit : 7                                                                                            
.Processus arrêté

La solution :
#apt-get purge aptitude
#apt-get install aptitude
#aptitude update && aptitude upgrade