chiffrement ssl certificat}}
====== Devenir une Autorité de Certification (CA) avec Openssl ======
... de qui permet d'agir de la même manière qu' une **autorité de certification** désignée également CA((*... l'usage des serveurs web pour leur permettre de s'authentifier auprès des clients et chiffrer les communications via HTTPS.
* D'émettre des certificats
emd est devenu le système d'initialisation par défaut pour de nombreuses distributions, il n'est pas f... nt être démarrés après le chargement (boot) du noyau Linux (traditionnellement désignés composants uti... de service (service units) et le fichier d'unité aura le suffixe ''.service''. Cependant pour de nomb...
Certains services sont capables de recharger à chaud leurs fichiers de configuration sans redémarrage
CSR n'est pas correcte:
* La signature par l'**Autorité de Certification** (**CA**) peut échouer;
* L'authentification MTLS peut ne pas fonctionner et ret... oints notables =====
* openssl consulte par défaut le fichier de configuration ''/usr/lib/ssl/openssl.cnf'' sauf si l'option **-config** est utilisée.
* Le cha
{{tag>sysadmin linux systemd log journaux journalisation}}
====== journalctl: Consulter la journalisa... lement pour des raisons de performances, les journaux sont stockés par **journald** sous forme binaire... rd permettant d'accéder et de visualiser les journaux produits par **journald**. Il permet également d... ess/vim pour rechercher les chaînes de caractères au sein de la sortie.
<code bash>
journalctl
</code
s**'' ou ''**pstree**'':
<code>
yoann@janus:~$ ps aux
USER PID %CPU %MEM VSZ RSS TTY S... e retourner également le nom du processus. Par défaut seul le PID est retourné:
<code bash>
yoann@jan... r/log/messages
</code>
Lorsque l'application est au premier plan, elle peut être mise en pause avec ctrl+Z. Une fois le processus fils en pause, la main
{{tag>sysadmin netadmin réseau interface}}
====== Nommage des interfaces réseau ======
Plusieurs méthodes existent pour le renommage permanent des interfaces réseau sur les distributions GNU/Linux :
* **systemd*... permet de [[netadmin:linux:renommer_interface_reseau#systemd|renommer une interface]] ;
* **Netplan*
rs.
===== Mises à jours système =====
===== Réseau =====
Si l’hôte n'est pas nomade ou si le foncti... hote-sans-routage]] présente les paramétrages réseau recommandés par l'ANSSI sur des poste n'offrant p... aque en n'installant que les services nécessaires au fonctionnement.
===== Droits d'accès =====
Par défaut les droits notamment en lecture sont assez permi
ion d'un disque:
* vitesse de rotation des plateaux,
* hauteur de la tête de lecture,
* temps de positionnement de la tête de lecture,
* taux d'erreurs de lecture/écriture
<code bash>
$ sud...
<code bash>
$ sudo smartctl --smart=on --offlineauto=on --saveauto=on /dev/sda
</code>
La commande
ons}}
====== Redéfinir les droits d'accès par défaut des fichiers et dossiers ======
Le fonctionnement des droits d'accès aux fichier et dossiers est abordée dans le wiki [[s... :linux:gestion-droits-access]].
Lorsque un nouveau fichier ou un nouveau répertoire est créé, le shell lui applique des droits d'accès par défaut. Ces d
énérer un certificat SAN pour les services web locaux ======
<note warning>
Lors de mes différentes t... ilisant un wilcard sous un domaine de premier niveau (TLD) comme *.localhost, *.local ou *.lan. Par co... rd à partir d'un nom de domaine de **deuxième niveau** étaient valides et acceptés par les navigateurs... ats SAN génériques sur un domaine de deuxieme niveau sont refusés: *.localhost, *.local, *.any sont in
rotocol)) permet de distribuer l'heure sur le réseau. L'heure du système impacte le fonctionnement de ... a surcharge des serveurs. Les sources sont de niveau 0 (strate), Chaque serveur est configuré sur un s... rver ou pool peut avoir une option **iburst** qui autorise le service à rattraper rapidement le temps ... e. Vérifier la configuration du serveur et du réseau.
</note>
Si le serveur écoute sur toutes les in
cal"
</code>
Pourtant lorsqu'on tente d’accéder au site depuis le navigateur Web, un message d'avert... tended Key Usage:
TLS Web Server Authentication
. . .
</file>
Le standard X.509 vers... q ]
# définitions des options pour openssl req
default_bits = 2048
distinguished_name = distin...
# SHA-1 is deprecated, so use SHA-2 instead.
default_md = sha256
[ distinguished_name ]
c
**Syslog** conçue dans les années 1980 par Eric Paul Allman. Syslog désigne à la fois l'application e... === Principe =====
Les messages sont communiqués au daemon rsyslogd via différents canaux (UDP, fichier exécutable, commande). Pour pouvoir écouter ces canaux (ou entrée) les modules correspondants doivent ê
on de certificats à usage interne( comprenant une autorité de certification racine et une autorité de certification intermédiaire) .
Pour tester les cer... ation du certificat par signature de la CSR par l'autorité de certification:
# Création d'un certifica... ancé, depuis un poste client, tester la connexion au serveur web, ici via **cURL**
<code bash>
curl --
d/.Trash*/*.bak/
</file>
==== Restriction d’accès aux services ====
Il est possible de limiter les se... ba a certains clients
<file>
# Personne n’accède au serveur SAMBA
hosts deny = all
# Sauf les clients explicitement autorisés ici
hosts allow = 192.168.0.1
</file>
tester les modifications