blog [AdminSysGNULinux]

blog

Table des matières

7 billet(s) pour mars 2026

2026:
- janvier
- février
- mars

2025:
- mars
- avril
- mai
- juin
- juillet
- août
- septembre
- octobre
- novembre
- décembre

7 billet(s) pour mars 2026

Notes podman secret	2026/03/23 15:10	Jean-Baptiste
Notes ansible podman	2026/03/23 14:08	Jean-Baptiste
Notes podman volume	2026/03/23 14:00	Jean-Baptiste
Find list - Trouver des fichiers à partir d'une liste	2026/03/18 14:32	Jean-Baptiste
AWX inventaire vault	2026/03/17 18:04	Jean-Baptiste
AWX - Configuration git en local (sans serveur web)	2026/03/05 16:24	Jean-Baptiste
OpenSMTP	2026/03/03 16:58	Jean-Baptiste

ulimit

Voir aussi :

prlimit

Depuis Redhat 6 nous avons :

/etc/security/limits.d/90-nproc.conf

# Default limit for number of user's processes to prevent
# accidental fork bombs.
# See rhbz #432903 for reasoning.
*          soft    nproc     1024
root       soft    nproc     unlimited
www-data   soft    nproc     unlimited

Options ulimit :

-H : Hard
-S : Soft
-a : All
-u : Nombre maximal de processus utilisateurs

ulimit -a -H
ulimit -a -S

help ulimit

Voir http://fr.wikipedia.org/wiki/Fork_bomb

:(){ :|:& };:

En cas de dépassement : comment le sait-on ?

Grsecurity propose un audit des dépassements des “ulimit”

Message d'erreur ?

Pourquoi ne pas utiliser les cgroups ?

Core dump

Désactiver les cores dumps (Redhat)

/etc/profile

# No core files by default
ulimit -S -c 0 > /dev/null 2>&1

Activer les cores dumps (Redhat)

su -
ulimit -c unlimited

Notes

/bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; /usr/local/bin/plop

Temps réel

However, for systems with a Linux kernel 2.6.13 or newer, it is possible to allow processes without root privileges to set the real-time scheduling policy. When the Linux PAM module is installed (which is normally the case) you can control the maximum real-time priority for non-privileged processes on a per user or group basis via the /etc/security/limits.conf file.

For example, adding the line

   *      -      rtprio      99

Outils

Appliquez les modifications directement à un processus en cours d'exécution avec prlimit

Python

import resource
 
print(resource.getrlimit(resource.RLIMIT_NOFILE)[1])

2025/03/24 15:06

ressource, process, securite, linux

Ubuntu LTS - Quelques optimisations pour les anciens PC

Ubuntu light / aléger

Voir aussi - Distribution GNU/Linux légéres basées sur Debian :

antiX Linux et MX Linux
Bodhi Linux

Voir aussi - Distribution GNU/Linux légéres basées sur Ubuntu :

Trisquel Mini
lunbuntu

Description: Notes installation ubuntu

Lors d'une nouvelle install, il faut d'assurer de bien aligner les partions Voir formater_une_carte_microsd_en_optimisant_les_performances_et_la_duree_de_vie

Voir :

# Services activé :
systemctl list-unit-files |grep enabled
 
# Services démarrés :
systemctl |grep running

CPU - grub Kernel param

/etc/default/grub

mitigations=off

Optimisation mémoire avec zram

Voir https://la-vache-libre.org/zram-un-kernel-module-qui-peut-etre-utile/

FixUbuntu

https://fixubuntu.com/

git pull https://github.com/micahflee/fixubuntu

Allégement Ubuntu

apt-get -y purge --autoremove $(dpkg -l |awk '{print $2}' |grep -i ubuntuone)
apt-get -y purge --autoremove ubuntu-sso-client ubuntu-sso-client-gtk python-ubuntu-sso-client geoclue-ubuntu-geoip
apt-get -y purge --autoremove $(dpkg -l |awk '{print $2}'|grep compiz|grep -v ^lib)
apt-get -y purge --autoremove gnome-online-accounts xserver-xorg-video-vmware evolution-data-server gnome-orca gnome-accessibility-themes
apt-get -y purge --autoremove $(dpkg -l |awk '{print $2}'|grep gwibber|grep -v ^lib)
apt-get -y purge --autoremove zeitgeist-core zeitgeist rhythmbox-plugin-zeitgeist python-zeitgeist
apt-get -y purge --autoremove landscape-client-ui-install
apt-get -y purge --autoremove $(dpkg -l|grep speech |awk '{print $2}'|grep -v ^lib)
apt-get -y purge --autoremove $(dpkg -l |grep bluetooth|awk '{print $2}'|grep -v ^lib )
apt-get -y purge --autoremove $(dpkg -l |grep bluez|awk '{print $2}')
apt-get -y purge --autoremove apt-xapian-index indicator-keyboard

Bureau classique

apt-get install gnome-session-fallback gnome-panel

Autres

apt-get install atop htop fdupes check-dfsg-status sysstat apt-file rdiff-backup rsync vim synaptic vlc gimp chromium-browser powertop

note : check-dfsg-status remplace vrms

/etc/fstab

UUID=c6f15232-b71f-42a7-85bf-754ee44cac6a /               ext4    errors=remount-ro,noatime 0       1
UUID=a5d996f4-b25c-417a-9b41-941e9898431b /home           ext4    defaults,noatime,noexec,nosuid,nodev        0       2
tmpfs           /dev/shm        tmpfs   defaults,size=100m      0       0

Voir /etc/default/tmpfs

Il s'agit ici de

rajouter noatime sur toutes les partitions ext4 ou ext3
d'ajouter size=100m à la partition /dev/shm. Ici 100m est un exemple. La partition /dev/shm ne fera que 100 Mo de RAM.

Parametres système - Son - Effets sonores - Volume des alertes

sed -i -e 's/^NoDisplay=true.*/NoDisplay=false/' /etc/xdg/autostart/*.desktop

gnome-session-properties

Si MATE Desktop, remplacez gnome-session-properties par mate-session-properties

Désactivation de :

Onboard
Partage de bureau
Moniteur de sauvegarde
Discussion (Telepathy)
Moniteur de sauvegarde
Conversion des données GSettings
Mise à jour des dossiers utilisateur
Fichiers

cat > /etc/modprobe.d/jibe.conf <<EOF
blacklist minix
blacklist btrfs
blacklist xfs
blacklist reiserfs
blacklist ppdev
blacklist parport_pc
blacklist lp
blacklist parport
blacklist hfs
blacklist hfsplus
EOF

Voir :

http://www.webupd8.org/2012/04/things-to-tweak-after-installing-ubuntu.html

deborphan

Notes Ubuntu 16.04

TODO: Tester de supprimer Compiz

FixUbuntu

Paramtètre système / Luminosité & verrouillage

Vérrouiller
Demander mon mot de passe lors de la sortie de veille

Sécurité et confidentialité Sécutité Demander mon mot de passe Dignostics

Unity Tweak Tool Unity / Web Apps

Inviers d'intégration : off

Domaines pré-autorisés Amazon : décoché Ubuntu One : Décoché

apt-get -y purge --autoremove $(dpkg -l |grep webapps | grep ^ii |awk '{print $2}')

apt-get install vim atop sysstat powertop deborphan acpi

apt-get -y purge --autoremove xul-ext-ubufox

apt-get autoremove
deborphan
apt-get -y purge --autoremove $(deborphan)
apt-get -y purge --autoremove $(deborphan)

Suppression effets sonores

Install libcss pour lire les DVD Le plus simple c'est d'installer VLC

apt-get install vlc

2025/03/24 15:06

ubuntu, module, apt, perf

Ubuntu problème langue clavier

Voir :

IBus
SCIM
Fcitx
Mozc

Bug sur Ubuntu (Quelle version ?). Ubuntu démarre (Le problème apparaît seulement une fois logé sur l'interface graphique)

Ubuntu est en clavier yankee appelé qwerty

Sources :

Qwerty

En cliquant sur l’icône de la langue clavier, se situant en haut, le problème cesse jusqu'au prochain redémarrage.

Solution : dans un terminal taper :

ibus-setup

Si vous ne pouvez pas utiliser dbus, ajouter les lignes suivantes dans votre

~/.bashrc

export GTK_IM_MODULE=ibus
export XMODIFIERS=@im=ibus
export QT_IM_MODULE=ibus

Fermer, puis relancer le terminal (pour relire le .bashrc)

Onglet “Méthode d'entrée” “Personnaliser les méthodes de saisie actives” Vérifier que la langue clavier est correctement configuré

Onglet “Avancé” Cocher la case “Utiliser la disposition clavier système”

Voir aussi

loadkeys fr
 
# Idem pour X11
setxkbmap fr

Sous Debian

# loadkeys fr
cannot open file fr

loadkeys /usr/share/keymaps/i386/azerty/azerty.kmap.gz

cd /usr/share/keymaps
ln -s i386 amd64

Changer agencement clavier :

loadkeys fr-pc

Sous Archlinux /etc/vconsole.conf

KEYMAP=fr

Dé-commenter les locales souhaiter (pour définir la langue du système)

nano /etc/locale.gen

Exécuter :

locale-gen

Ajouter la même locale dans /etc/locale.conf Pour la France : ajouter : /etc/locale.conf

LANG="fr_FR.UTF-8"

Ajouter la locale pour la session courante :

export LANG=fr_FR.UTF-8

/etc/default/locale

#  File generated by update-locale
LANG="fr_FR.UTF-8"

Paramètres noyau

lang=fr_FR kmap=fr-latin1

2025/03/24 15:06

pb, ubuntu

Tunnel SSH over HTTPS

Voir socat

corkscrew

http://olivier.cochard.me/bidouillage/comment-surfer-tranquille-au-bureau

https://gist.github.com/fnando/1101211

https://coolaj86.com/articles/adventures-in-haproxy-tcp-tls-https-ssh-openvpn/

http://wiki.gromez.fr/linux/howto/ssh_over_proxy

https://wiki.archlinux.org/index.php/HTTP_tunneling

http://www.ubuntugeek.com/how-to-use-ssh-via-http-proxy-using-corkscrew-in-ubuntu.html

http://daniel.haxx.se/docs/sshproxy.html

http://www.mtu.net/~engstrom/ssh-proxy.php

SSLH

Voir

http://william.shallum.net/random-notes/sslh-configuring-logging-logrotate-and-logwatch

apt-get install sslh

Nous configurons notre serveur web en HTTPS, mais au lieu d'utiliser le port 443 ici nous allons utiliser le port 444.

Puis nous configurons SSLH pour écouter sur le port 443 et si HTTPS se connecter sur 127.0.0.1:444

/etc/default/sslh

#DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile /var/run/sslh/sslh.pid"
DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 127.0.0.1:7001 --ssl 127.0.0.1:444 --pidfile /var/run/sslh/sslh.pid

service nginx rstart
service sslh restart

à présent on peux serfer sur https://www.acme.fr et aussi se connecter en ssh via ssh www.acme.fr -p 443

/etc/fail2ban/jail.local

# Add the following to your fail2ban jail.conf
# In Debian you'd append it to /etc/fail2ban/jail.local
 
[sslh-ssh]
enabled = true
filter = sslh-ssh
action = iptables-multiport[name=sslh,port="443"]
logpath = /var/log/messages
maxretry = 5

2025/03/24 15:06

ssh, web, tls

Serveur HTTP Web proxy

Liste :

2025/03/24 15:06

brouillon, web, proxy, http

<< Billets récents | Anciens billets >>

blog.txt · Dernière modification : 2025/03/24 15:06 de 127.0.0.1