Re: Configuration d'un ordinateur comme passerelle
Le 16/07/2019 à 15:45, Christian Quentin a écrit : Et sinon, l'utilisation d'un petit switch de quelques ports n'est pas envisageable ? Ce serait de loin la solution la plus simple et la plus fiable. ou encore moins coûteux, l'utilisation d'une paire de dédoubleurs RJ45 Si je ne m'abuse, c'est limité au fast ethernet (100 Mbit/s) qui n'utilise que 2 paires par liaison sur les 4 d'un câble ethernet. Le gigabit ethernet (1000 Mbit/s) utilise les 4 paires. Note pour Samy : "passerelle" ("gateway") est un terme vague dont l'usage est déconseillé et devrait être banni. Ce que tu proposes dans ton message initial est un pont ethernet (ni plus ni moins qu'un switch logiciel). L'autre type de configuration possible, plus compliquée, serait un routeur IP (v4 et/ou v6).
Re: Debian 10 nouvellement installée - Comment vérifier la sécurisation ?
Merci pour vos retours. J'ai en effet de quoi lire pour un moment avec https://wiki.visionduweb.fr/index.php?title=Sommaire_Sécurité qui a l'air très complet, et parle notamment de Lynis. Utiliser un outil fait gagner du temps pour avoir un résultat, pour apprendre et mieux comprendre par rapport à potasser les manuels de référence. Il existe des outils pour automatiser des tests. Il faut les utiliser. On n'a pas besoin de tous les outils à la fois. Il va falloir choisir. Je vais essayer Lynis, à moins que GP2C ait une autre recommandation ?
Re: Debian 10 nouvellement installée - Comment vérifier la sécurisation ?
Bonjour, Roger Tarani, au 2019-07-16 : > Ma première Debian c'était Jessie. Et moi, c'était une Lenny. :) > J'ai découvert, fait des erreurs et corrigé au > fur-et-à-mesure. Heureusement, ce n'était pas pour un serveur > de production ! Encore aujourd'hui je complète régulièrement > mes connaissances limitées et je corrige des erreurs. Tant > que les erreurs me ralentissent, ça va : oubli d'utiliser LVM > qui simplifie beaucoup la gestion des partitions VS Gparted, > problème de réseau créé par resolv.conf et sa bande de paquets > douteux, réglages fins d'openvpn aux conséquences majeures pas > immédiatement visibles...). Mais je ne suis jamais certain à > 100% que la machine est sécurisée. Vous pouvez être certain que votre machine n'est pas sécurisée à 100% ; ou alors vous l'avez balancée dans un trou noir. C'est vrai pour toutes les machines, pas seulement votre ordinateur. :) Si vous vous inquiétez de la sécurité de vos machines, n'hésitez pas à suivre de près les annonces de sécurité de Debian, en vous abonnant à la liste par mail, ou en utilisant le flux RSS. Souvent, des informations importantes accompagnent l'annonce de mise à jour du ou des paquets affectés : https://www.debian.org/security/ Le suivi des DSA est un bon début. Si vous avez des programmes sensibles, alors vous pouvez suivre indépendamment leurs propres canaux d'annonces de sécurité. Ne suivez pas directement l'ensemble des CVE, à moins que vous n'ayez rien d'autre à faire que de la sécurité. Bien sûr, mettez à jour vos systèmes régulièrement. Si vous avez de nombreuses machines, afin de ne pas en oublier, il vous faut un inventaire, et le conserver à jour. Éventuellement vous pouvez scanner votre réseau à coup de "nmap" pour, peut-être, repérer des anomalies, comme des machines qui ne devraient pas être présentes, des services qui ne devraient pas être lancés, ou ne pas être visible depuis une certaine partie du réseau. Vous pouvez même potentiellement identifier des serveurs renvoyant des numéros de version ancien, et qui mériteraient une mise à jour (à moins que ce serveur tourne sous Debian, et que le patch soit déjà apporté par la version X.Y.Z+debNuM). Le manuel de nmap(1) est assez épais ; si vous ajoutez cet outil à votre processus de sécurisation, passez du temps dans sa documentation. Attention, si vous n'êtes pas administrateur système, il se peut que votre charte informatique ne permette pas l'usage des logiciels scannant le réseau, et passer outre cette interdiction peut donc être motif de licenciement. C'est une forme de sécurité, celle par l'obscurité... Dans tous les cas, il vous faut une connaissance des services qui sont déployées sur votre parc. Sans cela, quel que soit l'outil utilisé pour scanner vos machines, vous ne pouvez pas discriminer les composants indispensables au bon fonctionnement de votre infrastructure des anomalies. La sécurité est un processus, pas un produit. -- Bruce Schneier Note : j'espère n'avoir pas été l'hôpital qui se moque de la charité... :) [...] > FAI ou GLPI sont prévus pour déployer des machines en masse et > obligent au préalable à définir une configuration. > Pensez-vous qu'ils puissent permettre de régler ce problème en > vérifiant la configuration par rapport à des règles de > sécurité et à des failles de sécurité connues ? Fully Automated Installation (FAI) ne vérifie pas la configuration à proprement parler, il la met en place dans la foulée de l'installation du système d'exploitation. Lors de la mise au point de vos scripts FAI, vous allez tester le système résultant pour vous assurer qu'il rend bien le service pour lequel il a été installé. Vous pouvez en profiter pour scanner cette machine de test, mais une fois que les scripts d'installation sont validés, ces vérifications post-installation ne sont plus nécessaires ; du moins, tant que les scripts d'installation de la machine ne sont pas modifiés. L'installation se fait en suivant les spécifications que vous donnez à FAI : - la liste des paquets à installer, ou éventuellement à éviter, - la topologie du stockage: point de montage, RAID, LVM, LUKS... - l'exécution des scripts et copie des fichiers suite à l'installation, notamment pour configurer la machine, - le tout étant rassemblé en classes auxquelles vos divers noms de machines peuvent, ou non, être rattachées. Attention à ce que tout le monde ne puisse pas accéder à votre machine dédiée aux installations FAI : elle sert à construire votre parc d'ordinateurs, ce qui en fait une cible intéressante en soi. Si des changements en masse doivent être effectués après installation, alors il est préférable de le coupler à un outil de maintenance comme Puppet ou Ansible, et éventuellement de reporter la modification dans FAI pour les installations futures. (Note à part: il y a bien un mécanisme fai-update qui permet de passer des mises à jour, mais il est loin d'être aussi souple que des spécifications
Re: Configuration d'un ordinateur comme passerelle
Le mardi 16 juillet 2019 à 14:49 +0200, Samy Mezani a écrit : > Bonjour, Bonjour, > > Je souhaiterais donc connecter A à la box, et connecter B à A par un > câble Ethernet pour que B puisse accéder au web. Je souhaite donc > utiliser A comme passerelle (il possède 2 cartes réseau Ethernet). Je pense que si tu n'utilises pas IPV6, la réponse à ta question est là: https://debian-handbook.info/browse/fr-FR/stable/network-infrastructure.html#sect.gateway Pas besoin de pont, deux réseaux distincts (adresses en "dur" pour B et la carte de A connectée à B ) , activer le port-forwarding de la machine A et quelques règles iptables pour activer la NAT devraient suffire. Il ne faut pas perdre de vue que B sera derrière une double NAT, ce qui est moche... > > > Merci pour le coup de main. De rien > > Samy Christophe
Re: Configuration d'un ordinateur comme passerelle
On Tuesday 16 July 2019 17:48:35 daniel huhardeaux wrote: > Le 16/07/2019 à 17:38, ajh-valmer a écrit : > > La box fait office de hub aussi. > J'aimerai clarifier une chose: un hub est différent d'un commutateur > (switch) et n'est plus utilisé depuis longtemps dans les réseaux actuels. > Il faut donc lire "la box inclue un commutateur" Merci de le rappeler et d'avoir corrigé. - Hub = concentrateur, - Le Switch, contrairement au Hub, est capable de différencier chaque appareil qui lui est connecté. - Un routeur permet d’envoyer des données entre différents réseaux. https://projetsdiy.fr/router-switch-hub-differences-choix/ Une box aujourd'hui est sophistiquée et capable de faire plein de choses, souvent, pas la peine de rajouter d'autres matériels qui seront inutiles.
Re: Configuration d'un ordinateur comme passerelle
Le 16/07/2019 à 17:38, ajh-valmer a écrit : [...] Juste de choisir une solution simple, qui te satisfaira. La box fait office de hub aussi. J'aimerai clarifier une chose: un hub est différent d'un commutateur (switch) et n'est plus utilisé depuis longtemps dans les réseaux actuels. Il faut donc lire "la box inclue un commutateur" -- Daniel
Re: Configuration d'un ordinateur comme passerelle
Et sinon, l'utilisation d'un petit switch de quelques ports n'est pas envisageable ? ou encore moins coûteux, l'utilisation d'une paire de dédoubleurs RJ45 (comme ceux-là: https://www.amazon.fr/Duttek-Coupleur-Adaptateur-Ethernet-Connecteur/dp/B07872K7Y1/ref=sr_1_1_sspa?keywords=dedoubleur+ethernet=1563284250=gateway=8-1-spons=1). D'un côté de ton long câble Ethernet tu branches le 1er dédoubleur sur 2 ports Ethernet de ta box, de l'autre côté de ton long câble, tu branches l'autre dédoubleur, une sortie raccordée à ton PC Debian, l'autre à ton PC Windows. Il te faut un peu plus de matériel (plus de bouts de câble, dédoubleurs) que dans la solution passerelle que tu envisages. En contrepartie, chacun des PC est indépendant de l'autre pour l'accès à Internet. Christian
Re: Configuration d'un ordinateur comme passerelle
On Tuesday 16 July 2019 16:03:23 Samy Mezani wrote: > Le 16/07/2019 à 15:19, ajh-valmer a écrit : > > En fait, 2 cartes réseau sur chaque ordinateur ne sont pas utiles. > > Une suffit, car la box délivre 2 adresses IP. > C'est juste l'un des 2 ordinateurs qui a 2 cartes réseau dont je > souhaitais profiter. > Sinon, je ne comprends pas trop où tu veux en venir. Moi non plus :-) Juste de choisir une solution simple, qui te satisfaira. La box fait office de hub aussi.
Re: Configuration d'un ordinateur comme passerelle
Salut, Quelque soit la solution passerelle ou pas il te faudra un hub ou un switch pour connecter le second ordi. Le 16/07/2019 à 16:03, Samy Mezani a écrit : Le 16/07/2019 à 15:19, ajh-valmer a écrit : En fait, 2 cartes réseau sur chaque ordinateur ne sont pas utiles. Une suffit, car la box délivre 2 adresses IP. C'est juste l'un des 2 ordinateurs qui a 2 cartes réseau dont je souhaitais profiter. Sinon, je ne comprends pas trop où tu veux en venir. Samy -- logogite*Roseline & Bruno Volpi** **Chaillac** **19450 Chamboulive* F: 05 55 21 27 57 M: 06 78 07 40 27 web : http://www.brunovolpi.com/gites
Re: Debian 10 nouvellement installée - Comment vérifier la sécurisation ?
> Après avoir installé Debian 10 assez facilement, il me vient une question > générale : > comment vérifier que la machine est configurée pour garantir sa "totale" > sécurisation ? De quoi occuper les 10 prochaines années : https://wiki.visionduweb.fr/index.php?title=Sommaire_Sécurité
Re: Configuration d'un ordinateur comme passerelle
Le 16/07/2019 à 15:19, ajh-valmer a écrit : En fait, 2 cartes réseau sur chaque ordinateur ne sont pas utiles. Une suffit, car la box délivre 2 adresses IP. C'est juste l'un des 2 ordinateurs qui a 2 cartes réseau dont je souhaitais profiter. Sinon, je ne comprends pas trop où tu veux en venir. Samy
Re: Configuration d'un ordinateur comme passerelle
Le 16/07/2019 à 15:20, Stephane Ascoet a écrit : Bonjour, sinon tu as plus simple: le cable qui vient du modem-routeur, au lieu de le mettre sur A, tu le mets sur un petit hub ou commutateur. Le 16/07/2019 à 15:45, Christian Quentin a écrit : Et sinon, l'utilisation d'un petit switch de quelques ports n'est pas envisageable ? ou encore moins coûteux, l'utilisation d'une paire de dédoubleurs RJ45 Je n'avais pas envisagé l'achat de matériel (hub, dédoubleur), voulant pour l'instant tester la passerelle Debian, mais pourquoi pas. Merci, je ne connaissais pas les dédoubleurs. Samy
Re: Configuration d'un ordinateur comme passerelle
Le 16/07/2019 à 14:49, Samy Mezani a écrit : J'ai 2 ordinateurs, l'un sous Debian (A), l'autre sous Windows 10 (B), que je souhaiterais connecter tous les deux à Internet. Impossible de les connecter les 2 à la box pour des raisons matérielles (longueur, gaine dispo trop fine pour passer un 2nd câble). Je n'ai donc qu'un seul câble Ethernet utilisable avec la box. Bonjour, sinon tu as plus simple: le cable qui vient du modem-routeur, au lieu de le mettre sur A, tu le mets sur un petit hub ou commutateur. Sur ce dernier, tu branches A et B. Et voilou, probleme regle en quelques minutes ;-) PS: c'est ce que j'ai moi meme fait chez Bapav il y a quelques mois, en leur laissant un joli hub que j'aimais bien(Logitech je crois), mais depuis mon amie qui y travaillait a demissionne :-( -- Cordialement, Stephane Ascoet
Re: Configuration d'un ordinateur comme passerelle
En fait, 2 cartes réseau sur chaque ordinateur ne sont pas utiles. Une suffit, car la box délivre 2 adresses IP. Une intranet (DHCP) et l'autre Internet. Tous les ordinateurs peuvent se connecter, - entre eux, ayant leur IP intranet - et à internet. 2 cartes réseau compliquent tout, sauf pour un projet d'organisation réseau spécifique. On Tuesday 16 July 2019 14:49:31 Samy Mezani wrote: > J'ai 2 ordinateurs, l'un sous Debian (A), l'autre sous Windows 10 (B), > que je souhaiterais connecter tous les deux à Internet. Impossible de > les connecter les 2 à la box pour des raisons matérielles (longueur, > gaine dispo trop fine pour passer un 2nd câble). Je n'ai donc qu'un seul > câble Ethernet utilisable avec la box. > Je souhaiterais donc connecter A à la box, et connecter B à A par un > câble Ethernet pour que B puisse accéder au web. Je souhaite donc > utiliser A comme passerelle (il possède 2 cartes réseau Ethernet). > [Désolé par avance pour mes erreurs de vocabulaire, je ne suis pas à > l'aise avec les réseaux.] > Vu que ces ordis sont dans un local associatif éloigné de chez moi, je > dois m'y rendre prochainement mais je n'ai pas le droit à l'erreur et je > dois mener l'opération rapidement pour ne pas gêner l'association. > Des conseils me seraient donc très utiles pour savoir si mes > configurations suivantes sont bonnes. > 1. Configuration de A > # Installation de bridge-utils. > # Configurer le pont (bridge) > brctl addbr br0 > ## soient ensb0 et ensb1 mes 2 interfaces Ethernet > brctl addif br0 ensb0 ensb1 > # Configuration du fichier /etc/network/interfaces > auto lo ensb0 ensb1 br0 > iface lo inet loopback > iface ensb0 inet manual > # d'après plusieurs tutos, mais je ne comprends pas pourquoi on > n'attribue pas d'adresse IP à ensb0, alors qu'elle doit permettre à A de > se connecter à Internet > iface ensb1 inet manual > iface br0 inet static > bridge_ports ensb0 ensb1 > address 192.168.1.51 > broadcast 192.168.1.255 > netmask 255.255.255.0 > gateway 192.168.1.1 > dns-nameservers 194.2.0.20 194.2.0.50 > # Activation du pont : > ifup br0 > 2. Configuration de B (sous Windows) > Adresse IP : 192.168.1.52 > Masque de sous-réseau : 255.255.255.0 > Passerelle par défaut : 192.168.1.51 > Serveur DNS préféré : 194.2.0.20 > Serveur DNS auxiliaire : 194.2.0.50
Configuration d'un ordinateur comme passerelle
Bonjour, J'ai 2 ordinateurs, l'un sous Debian (A), l'autre sous Windows 10 (B), que je souhaiterais connecter tous les deux à Internet. Impossible de les connecter les 2 à la box pour des raisons matérielles (longueur, gaine dispo trop fine pour passer un 2nd câble). Je n'ai donc qu'un seul câble Ethernet utilisable avec la box. Je souhaiterais donc connecter A à la box, et connecter B à A par un câble Ethernet pour que B puisse accéder au web. Je souhaite donc utiliser A comme passerelle (il possède 2 cartes réseau Ethernet). [Désolé par avance pour mes erreurs de vocabulaire, je ne suis pas à l'aise avec les réseaux.] Vu que ces ordis sont dans un local associatif éloigné de chez moi, je dois m'y rendre prochainement mais je n'ai pas le droit à l'erreur et je dois mener l'opération rapidement pour ne pas gêner l'association. Des conseils me seraient donc très utiles pour savoir si mes configurations suivantes sont bonnes. 1. Configuration de A # Installation de bridge-utils. # Configurer le pont (bridge) brctl addbr br0 ## soient ensb0 et ensb1 mes 2 interfaces Ethernet brctl addif br0 ensb0 ensb1 # Configuration du fichier /etc/network/interfaces auto lo ensb0 ensb1 br0 iface lo inet loopback iface ensb0 inet manual # d'après plusieurs tutos, mais je ne comprends pas pourquoi on n'attribue pas d'adresse IP à ensb0, alors qu'elle doit permettre à A de se connecter à Internet iface ensb1 inet manual iface br0 inet static bridge_ports ensb0 ensb1 address 192.168.1.51 broadcast 192.168.1.255 netmask 255.255.255.0 gateway 192.168.1.1 dns-nameservers 194.2.0.20 194.2.0.50 # Activation du pont : ifup br0 2. Configuration de B (sous Windows) Adresse IP : 192.168.1.52 Masque de sous-réseau : 255.255.255.0 Passerelle par défaut : 192.168.1.51 Serveur DNS préféré : 194.2.0.20 Serveur DNS auxiliaire : 194.2.0.50 Merci pour le coup de main. Samy
Re: Debian 10 nouvellement installée - Comment vérifier la sécurisation ?
Le 16/07/2019 à 11:59, roger.tar...@free.fr a écrit : FAI ou GLPI sont prévus pour déployer des machines en masse et obligent au préalable à définir une configuration. Pensez-vous qu'ils puissent permettre de régler ce problème en vérifiant la configuration par rapport à des règles de sécurité et à des failles de sécurité connues ? Je ne sais pas s'ils fournissent une configuration des machines pré-établie ou si on doit définir la sienne à partir d'une feuille blanche. https://wiki.debian.org/FAI https://fai-project.org http://glpi-project.org/ Merci Bonne journée Bonjour, GLPI, qu'on utilise dans mon universite et dans de nombreux autres services publics, et dont le site Web me donne envie de vomir, ne permet pas de deployer des images de systemes. C'est un outil de gestion de service d'assistance, plutot d'un point de vue administatif et flux de l'activite. C'est bien dommage d'ailleurs, car le manque d'un outil de gestion de parc pouvant concurrencer SCCM et autres prisons privatrices est le principal argument utilise dans mon service pour diminuer le libre au maximum. Il ne fait aucun doute que c'est une fausse barbe evidemment. Des outils, on peut en trouver si on cherche, et on peut financer des developpements, c'est meme le principe du libre, mais ici on y est allergique justement... ca n'a pas toujours ete le cas puisque le chef de l'equipe dans laquelle je me trouve avait justement obtenu que l'universite finance GLPI et m'avait justement recrute pour faire du libre... mais pas de bol, un trimestre plus tard il faisait un burn-out... :-( -- Cordialement, Stephane Ascoet
Re: Debian 10 nouvellement installée - Comment vérifier la sécurisation ?
La sécurité informatique et moi ça fait deux, mais je pense que tu peux déjà commencer par regarder là: https://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html https://www.debian.org/doc/manuals/debian-handbook/security.fr.html
Re: Debian 10 nouvellement installée - Comment vérifier la sécurisation ?
Bonjour, Je ne l'ai jamais utilisé mais lynis me semble être un bon point de départ pour faire de l'audit de sécurité. Sinon, il y a « checksecurity » en plus basique. Sinon, concernant les processeurs, on peut utiliser « spectre-meltdown-checker » pour vérifier les failles. Ce script vérifie aussi d'autres failles comme « zombieload, foreshadow et ridl ». « apticron » envoie un courriel quand des mise à jour sont disponibles et les télécharge. Sinon il y a « unattended-upgrades » qui lui installe les mise à jour. Cordialement, -- Guillaume Clercin On Tue, 16 Jul 2019 11:59:27 +0200 (CEST) roger.tar...@free.fr wrote: > Bonjour, > > Après avoir installé Debian 10 assez facilement, il me vient une > question générale : comment vérifier que la machine est configurée > pour garantir sa "totale" sécurisation ? > > Ma première Debian c'était Jessie. J'ai découvert, fait des erreurs > et corrigé au fur-et-à-mesure. Heureusement, ce n'était pas pour un > serveur de production ! Encore aujourd'hui je complète régulièrement > mes connaissances limitées et je corrige des erreurs. Tant que les > erreurs me ralentissent, ça va : oubli d'utiliser LVM qui simplifie > beaucoup la gestion des partitions VS Gparted, problème de réseau > créé par resolv.conf et sa bande de paquets douteux, réglages fins > d'openvpn aux conséquences majeures pas immédiatement visibles...). > Mais je ne suis jamais certain à 100% que la machine est sécurisée. > > Pour vérifier qu'une machine est correctement configurée, cad que le > système est stable (paquets fiables) et est très sécurisé (en bref, > seule les personnes autorisées ont accès aux ressources; les > ressources sont soigneusement isolées), je vois deux manières : soit > j'ai une (check-)list des points à vérifier et des commandes > nécessaires (et je les répète jusqu'à ce que ça devienne naturel) > soit j'utilise un logiciel qui sait tout ça et qui me dit au moins ce > qui ne va pas, et idéalement qui m'indique ce qu'il faut faire, voire > me propose de le faire sans me le cacher > > Existe-t-il un outil de diagnostic pour vérifier l'état d'une machine > sans rien oublier (ou devoir rester plongé la tête dans un manuel > Debian dont on ne comprend jamais tout à 100%, faute d'expérience) ? > > Si tout le monde sait qu'il faut faire attention, la taille des > systèmes et le nombre des machines rend la tâche délicate. Cet > article (parmi tant d 'autres) rappelle des règles basiques > régulièrement oubliées : > > "Les 10 failles de sécurité qui représentent 99 % des cas" > https://www.informatiquenews.fr/les-10-failles-securite-representent-99-cas-jean-nicolas-piotrowski-ittrust-19224 > > FAI ou GLPI sont prévus pour déployer des machines en masse et > obligent au préalable à définir une configuration. Pensez-vous qu'ils > puissent permettre de régler ce problème en vérifiant la > configuration par rapport à des règles de sécurité et à des failles > de sécurité connues ? Je ne sais pas s'ils fournissent une > configuration des machines pré-établie ou si on doit définir la > sienne à partir d'une feuille blanche. https://wiki.debian.org/FAI > https://fai-project.org http://glpi-project.org/ > > > Merci > Bonne journée > pgptLjFKPmOnR.pgp Description: Signature digitale OpenPGP
Debian 10 nouvellement installée - Comment vérifier la sécurisation ?
Bonjour, Après avoir installé Debian 10 assez facilement, il me vient une question générale : comment vérifier que la machine est configurée pour garantir sa "totale" sécurisation ? Ma première Debian c'était Jessie. J'ai découvert, fait des erreurs et corrigé au fur-et-à-mesure. Heureusement, ce n'était pas pour un serveur de production ! Encore aujourd'hui je complète régulièrement mes connaissances limitées et je corrige des erreurs. Tant que les erreurs me ralentissent, ça va : oubli d'utiliser LVM qui simplifie beaucoup la gestion des partitions VS Gparted, problème de réseau créé par resolv.conf et sa bande de paquets douteux, réglages fins d'openvpn aux conséquences majeures pas immédiatement visibles...). Mais je ne suis jamais certain à 100% que la machine est sécurisée. Pour vérifier qu'une machine est correctement configurée, cad que le système est stable (paquets fiables) et est très sécurisé (en bref, seule les personnes autorisées ont accès aux ressources; les ressources sont soigneusement isolées), je vois deux manières : soit j'ai une (check-)list des points à vérifier et des commandes nécessaires (et je les répète jusqu'à ce que ça devienne naturel) soit j'utilise un logiciel qui sait tout ça et qui me dit au moins ce qui ne va pas, et idéalement qui m'indique ce qu'il faut faire, voire me propose de le faire sans me le cacher Existe-t-il un outil de diagnostic pour vérifier l'état d'une machine sans rien oublier (ou devoir rester plongé la tête dans un manuel Debian dont on ne comprend jamais tout à 100%, faute d'expérience) ? Si tout le monde sait qu'il faut faire attention, la taille des systèmes et le nombre des machines rend la tâche délicate. Cet article (parmi tant d 'autres) rappelle des règles basiques régulièrement oubliées : "Les 10 failles de sécurité qui représentent 99 % des cas" https://www.informatiquenews.fr/les-10-failles-securite-representent-99-cas-jean-nicolas-piotrowski-ittrust-19224 FAI ou GLPI sont prévus pour déployer des machines en masse et obligent au préalable à définir une configuration. Pensez-vous qu'ils puissent permettre de régler ce problème en vérifiant la configuration par rapport à des règles de sécurité et à des failles de sécurité connues ? Je ne sais pas s'ils fournissent une configuration des machines pré-établie ou si on doit définir la sienne à partir d'une feuille blanche. https://wiki.debian.org/FAI https://fai-project.org http://glpi-project.org/ Merci Bonne journée