Reprise du message précédent :

 
petit rappel, ne pas oublier ton mot de passe de chiffrement... sinon c'est mort pour récupérer tes données

oui oui , j’ai mon laptop qui est chiffré avec luks depuis un moment, j’ai déjà bien galéré le jour où le layout clavier à changé au boot pour retaper la clé, donc maintenant c’est ceinture/bretelle sur ce genre de mot de passe
 
D’ailleurs, (j’ai pas encore googlé cette question) mais des idée de yubikey/clé usb/config réseau? qui ferait que j’ai pas à taper la clé à chaque démarrage?

 
J'ai un peu étudié cette histoire de yubikeys, ça ne me semble pas foufou comme idée.
- il en faut plusieurs par sécurité donc $$$
- suivant quoi, elle finit par péter ou flinguer tes ports USB à force d'être connectée toutes les 5 minutes
- il existe des modèles super petits histoire de les laisser tout le temps connectés sans risque de péter ton port USB si tu déplace ton laptop mais du coup tu perds le côté sécurité vu que le truc est connecté tout le temps
- ce n'est pas pris en charge par tant de services que ça
- en ciblant un peu comme il faut l'affaire, un gus peut te chourer ta clé au bon moment pour accéder à ta machine
 
Ce n'est que mon point de vue bien entendu mais pas certain que ce soit la solution miracle cette histoire. D'autres avis par ici ?

Pour une sécurité "idéale" il faut suivre la règle "Quelque chose qu'on a et quelque chose qu'on sait"; autrement dit une clé ET un mdp.
 
Après je suis d'accord avec darxmurf, les clés en tout genre ça doit faire mal aux ports USB rapidement (une vraie plaie cette connectique au niveau méca!). Et puis prudence, les Yubi ou quelque chose du même genre je sais plus avaient un problème de conception, de mémoire le trou qui permet d'enfiler ce truc sur le trousseau de clé finit par s'agrandir et endommager une piste sur le PCB -> dead...

les PC pro récents ont souvent le NFC et les clef yubikeys sont compatibles.
du coup, en général même pas besoin de brancher.
 
les clefs ont toujours le connecteur USB pour le cas ou le NFC serait pas dispo (machine plus vieille, OS non compatible etc...)

Il faut bien marquer son mot de passe sur le post-it sur le rebord de l'écran

Ou au crayon à papier directement sur l'écran si les bords sont noirs

ou bien sous le clavier s'il n'y a plus de place avec les autres mots de passe  

Vu récemment à la cogip

quand c'est pas un post-it sous le clavier, c'est sur la dernière pas du bloc note juste à coté

 
Bonjour.
 
- Deux clés suffisent pour un particulier.
- Ça flingue rien du tout c'est fait pour ça et tu peux très bien passer sur un modèle nano que tu laisses tout le temps dessus.
- Tu as une liste de service prit en charge par chaque modèle et y'en a quand même un bon paquet. Ca va ensuite dépendre de si tu es amené a utiliser ces services et oui ça serait bien que certains sites permettent une authentification par 2FA avec un périphérique physique.
- Quelqu'un qui te vole ta yubikey ou la retrouve parce que tu l'as perdue ne pourra pas faire grand chose avec. Mais si tes mdp trainent sur le bureau....
 
Le plus gros défaut selon moi c'est que ton activité peut être reliée en fonction des services que tu utilises à cause de l'identification unique de la clé ( facebook....etc). Sauf si tu compartimentes tes comptes avec plusieurs clés.
 
EDIT : tu as le NFC pour éviter l'USB et ça fonctionne particulièrement bien avec les smartphones.

dernière machine migrée en debian 12 (oui je sais, pas très rapide   )
 
problème rencontré avec polkit lors de l'upgrade, comme ici https://forums.debian.net/viewtopic.php?t=156286
 
la solution mentionnée a fonctionné pour moi, à savoir :

tiens je remarque que depuis l'upgrade, le comportement des fréquences CPU a changé, il tourne bien plus souvent à la fréquence maximale (alors que la charge n'a pas augmenté)    
Quelqu'un sait à quoi ça pourrait être dû ?
 


(upgrade autour de 01:00 sur les diagrammes)

L'upgrade vient avec un nouveau kernel, ça pourrait venir de là ?

B'jour les gens,  
 
dites, j'ai une p'tite question dhcp/dns/ddns
 
Contexte :  
OS : Debian12 virtualisé via proxmox
Nom : disons "serveur"
DHCP : Kea
DNS : Bind9
 
config "ddns" dans kea-dhcp4.conf

 
Sous proxmox, une VM debian12 ultra basique (rien d'installé) :
config réseau : DHCP
nom : desktest
 
Mon PC fixe, un windows 11 à jour et sans particularité :
config réseau : DHCP
nom : disons "saucisse" ²
 
DHCP et DNS fonctionnent bien, RAS.
 
Le DDNS en revanche, c'est un peu plus tricky visiblement.
 
Depuis "serveur"
ping desktest : ok
ping saucisse : pas ok
 
Depuis "saucisse"
ping serveur : ok
ping desktest : ok
 
Depuis "desktest"  
ping serveur : ok
ping saucisse : pas ok
 
Visiblement, le DDNS fonctionne donc bien... avec certains clients uniquement.
Ce n'est donc pas un problème de conf.
 
Une idée?
Comment je peux troubleshooter ca?
Une commande pour voir les records ddns?
 
Mon estime absolue pour celui qui a une piste voir une solution

comme d'hab, capture tcpdump et lecture de la trace dans wireshark pour commencer

vanilla os 2 "orchid", c'est un fail pour moi. Connexion réseau obligatoire pour installer passer les écrans d'accueil, et pas moyen de choisir un réseau wifi masqué et pas de possibilité de tester en live, installation obligatoire avec connexion réseau.

je suis parti entre temps sur une autre piste.
 
Long story short : ipconfig /registerdns sous windows.
 
Pour l'instant ca fait le job.  
 
J'attends de voir au renew du bail dhcp et au refresh des ddns records, je pense que ca va de nouveau merder (parce que le /registerdns, il faut le faire en terminal avec privilèges sous windows, en user simple ca passe pas )

Salut,
J'ai décidé de tester debian stable

Et je suis super content sauf que j'arrive pas à activer le secure boot et j'ai donc été voir le wiki et ça fait peur je comprend rien...  

D'où ma question c'est quoi les limitations quand on a pas secure boot ?
Pour un pc destiné au surf/mails et à faire tourner quelques anciens jeux sous steam on s'en branle ?

Clairement oui ... surtout si tu n'utilises que des noyaux des dépôts.  
Par contre, si tu viens à tester des noyaux ramassés sur internet, tu ne seras pas forcément informé des modifications effectuées dedans et ça représente un risque.  
 
Le secure boot sert justement à ne laisser démarrer des noyaux pour lesquels l'origine est connue (soit une distro officielle, soit tes propres noyaux que tu as fabriqué en local).  
 
Perso, je suis coincé avec le PC du taf sur lequel le secure boot est actif sans accès au BIOS pour le désactiver. Du coup, j'ai ajouté ma propore signature à l'UEFI et je le démarre avec des noyaux compilé / signé en local.  

Ok ! Bon je ne compte pas changer le noyau a priori donc pas grave
 
Sinon un mystère car j'ai des souvenirs sous debian mais là je ne vois pas
 

 
Si je traduis je passe su j'appelle fdisk il me dit qu'il connaît pas
Donc je lui demande d'installer fdisk et il me dit qu'il est déjà installé ?
 
Là je suis sur le cul

Il doit manquer /usr/sbin dans TON path. CàD celui du compte « ludo ».
Le mieux : faire « su - » au lieu de « su » tout court.
 
Autre solution :  
tu installes sudo (apt install -y sudo)
puis : « sudo -i »

Merci car à l'époque où j'étais sous debian on faisait sudo fdisk on ne faisait pas su
J'essaierai "su -" demain là je vais dormir

C'est quoi "su -" ?

trouvé https://www.linuxtricks.fr/wiki/dif [...] o-su-et-su

Merci et bonne nuit

ps je dormirai moins con

 
Perso je le désactive.
Au boulot, j'ai du aussi le virer sur des machines AlmaLinux (CentOS like) parce qu'elles tournent le driver nvidia provenant d'un repository tierce et il ne fonctionne pas si le secure boot est actif.

Pour fdisk etc: Faut toujours faire su - donc avec le tiret depuis Debian 12 ou 11 déjà. Ne me demandez pas pourquoi, j'ai pas le temps de chercher là.

 
de mémoire, le "-" reset l'environnement et remet les variables par défaut.

Ce que je sais pas c'est est-ce que j'ai resizable bar sans secure boot ?
CPU-X me dit oui mais est-ce fiable ?

 
Je ne connaissais pas cette option mais visiblement il s'en fout du secure boot https://www.intel.com/content/www/u [...] phics.html

resizable bar et secure boot sont 2 paramètres distincts du bios/uefi.
Tu peux désactiver les deux, ou en activer qu'un seul des 2.