Elektrine
Log in Register

#sysadmin

35 posts · Last used 1h

Back to Timeline
@Larvitz@burningboard.net · 1h ago
Fresh gist: mitigating CVE-2026-31431 ("Copy Fail") on RHEL 8/9/10 with a tiny Ansible playbook. It blacklists algif_aead via a kernel boot arg (initcall_blacklist=algif_aead_init), reboots only when needed, and asserts the mitigation actually stuck after reboot. Idempotent & safe to re-run. https://codeberg.org/Larvitz/gists/src/branch/main/2026/20260501-CVE-2026-31431_RHEL_Mitigation.md #Ansible #RHEL #Linux #InfoSec #SysAdmin #DevOps #CVE #CVE_2026_31431 #copyfail
0
0
0
@greg@social.intothecloud.net · 11h ago
So many reboots because of copy.fail will be happening tonight and through the weekend. Good luck to all my fellow sysadmins, may your reboots be quick. #sysadmin #linux
1
1
0
@greg@social.intothecloud.net · 12h ago
#debian has released a new Debian 13 (Trixie) kernel to fix #cve_2026_31431. If you aren't on Trixie yet, maybe a good time to upgrade? #sysadmin #homelab #linux
0
0
0
@data0@indieweb.social · 23h ago

I couldn’t find a list of #Linux #kernel versions that include a patch for #copyfail, so I dug into the commit log and made one. Make sure you’re using at least the following version of your branch to mitigate against copyfail:

  • 7.0-rc7 (any stable 7.x is safe)
  • 6.19.12
  • 6.18.22
  • 6.12.85
  • 6.6.137
  • 6.1.170
  • 5.15.204
  • 5.10.254

See https://copy.fail for more info about the #exploit.

#privilegeescalation #vulnerability #cryptography #linuxadmin #sysadmin

3
0
2
@underseamonkey@fosstodon.org · 2d ago
If you say "folder" instead of "directory", you don't play at my level. Many of my actual colleagues, I'm looking at you. #UNIX #Linux #SysAdmin #DevOps
4
0
1
In reply to
@restorante@social.linux.pizza · 1d ago
@underseamonkey@fosstodon.org If you say 'directory' instead of 'segment', you don't play at my level. Many of my actual colleagues, I'm looking at you. #Unix #Linux #SysAdmin #DevOps
0
0
0
@barbapulpe@blogs.gayfr.social · 5d ago

Protéger le fédiverse contre les bots IA

<h3 id="introduction">Introduction [...]</h3> Sensitive
Introduction Cette publication en français est à destination des utilisateurs francophones curieux. Elle sera suivie d’un article plus technique en anglais afin de détailler comment protéger les applications du fédiverse contre les bots IA. En effet, j’ai dû résoudre un certain nombre de problèmes avant d’arriver à une solution satisfaisante que je partagerai donc ici. Grâce à ça, tous nos services du fédiverse (présentés sur notre portail) sont désormais protégés. Contexte Dans les derniers mois et avec une accélération grandissante, j’ai constaté une augmentation significative du trafic vers l’ensemble de nos sites. Bonne nouvelle ? Regardons de plus près… Beaucoup de ce trafic venait de Chine ou Singapour notamment, avec des ordres de grandeur dépassant largement les pays européens (fois dix, voire plus). Étonnant pour des sites francophones… Un peu de travail pour bloquer avec le pare-feu les adresses IP malveillantes à partir de bases de données libres m’ont permis de ramener initialement ce trafic à un profil plus normal, où traditionnellement les pays dominants sont la France, la Belgique, la Suisse puis l’ensemble des pays européens suivis de la plaque continentale américaine. Mais ce répit a été de courte durée, et ce blocage (pourtant mis à jour en continu) ne suffit désormais plus. Un trafic toujours en croissance, émanant des pays les plus divers (mais notamment USA, Singapour, Chine et Hong-Kong…) et qui semble attaquer par vagues successives, avec des adresses IP sources multiples et différentes qui n’apparaissent pas sur les listes de blocage. Problème La cause à tout cela est claire : les « crawlers IA » ou « bots IA ». Il s’agit de comptes robots (c’est-à-dire automatisés, sans personne derrière) dont l’objectif est de parcourir l’ensemble des pages internet pour les analyser et apprendre des contenus de toutes les pages disponibles. Il y a toujours eu des comptes robots, par exemple ceux liés aux moteurs de recherche (type Google, Bing, DuckDuckGo…) et qui permettent d’indexer les pages afin que celles-ci se retrouvent dans les résultats des recherches que l’on utilise quotidiennement, mais ces derniers sont « raisonnables » dans leur sollicitation des ressources et leur intention. Les études récentes montrent que plus de la moitié du trafic internet est désormais le fait de bots, et que la croissance des bots IA est exponentielle. Ici, ces bots IA posent des problématiques particulières : Éthiques d’une part, car ils pillent littéralement les contenus pour les réutiliser et pour nourrir leurs modèles, au mépris des droits d’auteur, des licences et de la volonté de leurs créateurs ; Impactant les sites internet d’autre part, car ces bots sont très nombreux et consultent inlassablement et continûment les mêmes pages, provoquant des requêtes internet en masse sur les serveurs pouvant aller jusqu’à ralentir leur performance ou carrément les faire tomber (ce qu’on appelle un « déni de service »). A ce double titre, ils peuvent être considérés comme des maliciels (« malwares » en anglais). Et pour ces deux raisons, j’ai souhaité les bloquer, à la fois pour protéger nos serveurs et par respect pour nos utilisateurs et leurs contenus. Caractéristiques Normalement, l’internet est fait pour accommoder les comptes robots, et il y a plusieurs façons de les reconnaître. Adresses IP Ces adresses identifient quelle est la machine source qui envoie les requêtes vers un serveur. Certaines de ces adresses IP sont bien connues et identifiées comme étant malveillantes, et des listes publiques sont maintenues et utilisées pour les bloquer (y compris par moi). Les bots IA contournent pour beaucoup ce mode d’identification, en utilisant des adresses IP résidentielles, multiples et évolutives, rendant impossible leur blocage compte tenu du nombre et du caractère dynamique de telles listes. Le fichier robots.txt Historiquement, ce petit fichier texte présent à la racine des sites internet permet d’indiquer de manière normalisée ce que l’administrateur du site souhaite accepter comme type de comptes robots. Il est indicatif et n’effectue aucun blocage, c’est comme un autocollant « pas de pub svp » sur votre boîte aux lettres. Respecté par les bots « honnêtes » comme celui d’indexation du moteur de recherche Google ou Bing, il ne l’est malheureusement pas par la plupart des bots IA qui l’ignorent allègrement. Le User-Agent Quand une machine va consulter un serveur, elle envoie entre autres choses un en-tête (invisible à l’utilisateur) qui s’appelle le User-Agent et qui identifie quelle est l’application source qui fait la requête. On peut donc normalement l’utiliser pour savoir si on a affaire à un navigateur (et donc à un utilisateur humain) ou bien à une autre application, y compris un robot. Ces derniers devraient donc s’identifier comme tels, et par exemple la fédération (le processus automatisé qui permet à tous les serveurs du fédiverse de communiquer entre eux) respecte également cette pratique, le User-Agent de Mastodon identifiant bien cette application pour ne prendre qu’un exemple. Caractéristique de leur comportement voyou, beaucoup de bots IA se font passer pour un navigateur standard (et donc un utilisateur) en envoyant un User-Agent volontairement faux et trompeur. Il est donc difficile d’utiliser ce seul critère pour débusquer ces bots. Solutions possibles Vous l’aurez compris, beaucoup de bots IA sont difficiles à déceler car ils sont précisément conçus pour imiter la consultation d’un site internet par un humain. Alors, que faire ? Plusieurs solutions. Rendre son site internet privé Solution radicale, il est possible d’exiger la création d’un compte pour s’identifier et accéder au contenu de son site internet. Les bots IA ne disposant pas de ces identifiants, ne peuvent accéder qu’au contenu public et si celui-ci est vide, problème résolu. Seulement, cela impacte aussi les utilisateurs ainsi que la visibilité du site en question (le fameux « SEO ») et n’est pas forcément souhaitable si l’on désire afficher des pages publiques. D’autre part, il faut sécuriser la création de compte (avec par exemple un CAPTCHA) car certains bots savent le faire automatiquement, confirmation par e-mail comprise. Utiliser un service en ligne spécialisé Certains services en ligne (je pense notamment à Cloudflare) proposent un filtrage configurable et savent résoudre notamment le problème du déni de service. Pour ma part, je n’aime pas cette solution, car elle revient à introduire entre l’utilisateur et le site internet un intermédiaire (américain pour Cloudflare) qui voit passer tout le trafic en clair. Oui, vous avez bien lu, et donc toutes vos consultations, contenus, vos identifiants et mots de passe sont également disponibles à cet intermédiaire. Cette solution n’est pas acceptable par rapport aux objectifs d’éthique et de protection de la vie privée que je recherche, mais elle pourrait l’être pour d’autres. Se contenter des filtrages standards Si l’on reprend les éléments cités plus haut (adresses IP, fichier robots.txt, User-Agent), il est possible de bâtir un ensemble de filtrages qui amélioreront la situation par rapport au fait de ne rien faire du tout. Certains vont même jusqu’à bannir des pays entiers par leur adresse IP (Chine, par exemple) mais cela me semble trop radical et exclut de facto les utilisateurs légitimes de ces pays (et il y en a). Dans tous les cas, cette solution ne permettra pas de filtrer les bots IA qui utilisent des adresses IP résidentielles, qui ignorent robots.txt et utilisent un User-Agent de navigateur standard : une grande partie de ces bots, en fait. Solution choisie Voici ce que j’ai cherché à atteindre : Protéger nos utilisateurs du moissonnage massif et systématique de leur contenu ; Protéger nos serveurs des attaques en masse de ces bots IA ; Laisser nos sites internet visibles publiquement, car c’est pour moi une des vocations des réseaux sociaux, le choix étant laissé à l’utilisateur de sélectionner la visibilité de ses publications ; Ne pas utiliser un service en ligne dédié, car une de mes valeurs est de protéger la vie privée de nos utilisateurs, et dépendre d’une solution externe qui a toute visibilité sur le trafic et le contenu des consultations n’est pas acceptable ; Aller au-delà du filtrage « standard », et ainsi adresser la problématique des bots IA quels que soient leurs adresses IP et qui s’identifient comme des utilisateurs humains (font semblant d’utiliser un navigateur). Ainsi, j’ai choisi d’installer Anubis, un programme en source ouverte (disponible ici sous licence MIT) que j’auto-héberge afin d’être autonome et de garantir la sécurité et la confidentialité de la navigation. Impacts En tant qu’utilisateur, voici les impacts pour vous : Si vous utilisez une application (comme sur un smartphone) : aucun ; Si vous utilisez un navigateur : vous verrez apparaître une fenêtre de « vérification que vous n’êtes pas un robot » pendant une à deux secondes, puis vous serez redirigé automatiquement vers le site. À partir de ce moment, vous n’aurez plus cette fenêtre pendant une semaine (sauf si vous changez d’appareil ou de navigateur), et le cycle recommencera. Notez bien qu’Anubis requiert que le navigateur autorise Javascript et le dépôt de cookies, mais sans cela Mastodon ne fonctionnerait pas de toutes façons. Côté performances, cela a un impact négligeable sur le temps de réponse. Ce dispositif réalise le meilleur compromis entre gêne utilisateur (faible et sans action de votre part) et blocage du trafic IA. Car il s’agit bien d’un compromis ! Aucune solution de ce type ne peut être parfaite, il faut trouver le bon équilibre pour ne pas bloquer les utilisateurs légitimes. De plus, certains robots évolués seraient capables de contourner cette protection en reprenant l’ensemble des caractéristiques de l’utilisateur humain, mais cela leur demanderait plus de ressources de par le fonctionnement inhérent d’Anubis : ainsi, il ne s’agit pas tant de bloquer entièrement tous les bots IA, que de rendre leur utilisation en masse trop gourmande pour eux en essayant de consulter nos sites. Pour aller plus loin Ainsi, Anubis protège nos sites contre une grande majorité de bots IA, tout en laissant nos contenus publics visibles sans nécessiter de connexion. Toutefois, si vous recherchez une protection absolue, vous devez avoir en tête les éléments suivants : Comme on l’a dit, certains robots évolués (ou conçus spécialement) pourraient passer malgré tout ; Le mécanisme de la fédération fait que vos publications sont recopiées sur les autres serveurs des personnes qui vous suivent (si posts publics) ou s’il y a interaction (like, boost, commentaire) ; si ces serveurs ne sont pas protégés contre les bots IA, ces derniers pourraient accéder indirectement au contenu ; Si un compte vous suit et qu’il n’est autre qu’un bot IA masqué, il accédera également à votre contenu. Prenez garde à qui sont vos abonnés ! Si vous souhaitez vraiment augmenter encore votre protection par rapport aux deux derniers points, considérez alors jouer sur la visibilité de vos publications (qui impactera également comment les utilisateurs humains verront vos posts) : Tout ce que vous publiez en visibilité « publique » est visible… publiquement, et peut donc être moissonné à partir d’un autre serveur fédéré non protégé ; Si vous publiez en visibilité « public discret », on ne la verra pas dans les fils mais elle restera accessible publiquement à partir de son lien (qu’il faut donc connaître). Le moissonnage par un bot IA est plus difficile, mais peut se faire par exemple si ce bot suit un utilisateur qui interagit avec votre post ; Si vous publiez en mode « abonnés seuls », il n’y a que ces derniers qui peuvent voir vos publications (ce qui nécessite donc d’avoir un compte et de vous suivre). Il faudra alors veiller à ce qu’aucun compte abonné ne soit en réalité un bot IA masqué ; La seule protection absolue : la visibilité « mention privée ». Mais alors, on n’est plus sur un réseau social… Si vous suspectez un compte « bot IA masqué » sur une instance, n’hésitez pas à la signaler. Si vous rencontrez un souci d’accès, contactez votre administrateur. Pour conclure En conclusion, tous nos services sont protégés contre les bots IA ce qui vous offre un haut niveau de protection contre le vol en masse direct et systématique de vos données – mais ce n’est pas une protection absolue. Nous resterons évolutifs dans nos solutions de protection, car c’est un jeu du chat et de la souris. L’internet reste une jungle et tout ce qui est publié publiquement restera accessible à un acteur déterminé, pour l’éternité. Techno-Fil et faits divers Le blog d’un informaticien, animateur de multiples réseaux sociaux du fédiverse, administrateur système versé dans la sécurité informatique et la défense de la vie privée. Je publierai des articles relatifs à l’informatique, la sécurité, la protection des données personnelles, avec le souci de vulgariser au maximum, plutôt en français mais pas exclusivement. #infosec #security #privacy #dataprivacy #opensource #sysadmin #linux #fediverse #hardware #watercooling
0
0
0
@shollyethan@fosstodon.org · Apr 17, 2026
Self-Host Weekly (17 April 2026) #Whoogle goes dark, software updates and launches, a spotlight on #Transmute -- a file conversion platform, and more in this week's #selfhosted recap! https://selfh.st/weekly/2026-04-17 #selfhost #selfhosted #opensource #foss #homelab #devos #sysadmin #fediverse #newsletter #privacy #smarthome #development #allbirds #ai #photos #software #app #apps #nextcloud #cloudflare
11
2
13
@mwl@io.mwl.io · Apr 15, 2026
The big problem with my hip keyboard is that I have to reach up and away to touch the mouse. Annoying. Solution? My mouse rings have finally arrived. #sysadmin nerd diagnosis: terminal. (ETA: https://proloring.com/ -- not yet recommending because I haven't yet played with them much, but folks are asking so there you go.)
25
10
6
@Larvitz@burningboard.net · Apr 14, 2026
Funny deadlock situation... I’ve reached peak security on my remote MikroTik Router (AS201379). By "peak security," I mean I’ve successfully locked everyone out - including myself. SSH, WWW, and WinBox are dark. Even the Hypervisor management is trapped behind the router's new, very effective, accidental firewall rules. The data plane is running perfectly, which is the ultimate taunt. See you tomorrow for the 80-mile "Serial Cable Walk of Shame" to the datacenter. This is a brutal reminder that the "Safe Mode" button in WinBox isn't just a feature. It’s a lifeline. #sysadmin #mikrotik #networking #fail #AS201379 #PacketPushers
50
4
12
@Larvitz@mastodon.bsd.cafe · Apr 14, 2026

Latest quarterly FreeBSD package upgrade broke my Nextcloud 😮‍💨

Post mortem: The new version of php85-pdo_pgsql is now compiled against PostgreSQL 18, not 17. So pkg upgrade removed postgresql17-server, leaving Nextcloud dysfunctional without a database.

Solution:

  • Reinstalled postgresql17-server
  • Dumped the db with pg_dump
  • Installed postgresql18-server & php85-pdo_pgsql
  • Copied over pg_hba.conf & postgresql.conf
  • Created empty db/user in PG18
  • Imported the db dump
  • Ran occ maintenance:data-fingerprint

Restarted php-fpm & nginx

All fine again. But that was unpleasant 🙂

#SysAdmin #SelfHosted #FreeBSD #Nextcloud #Postgresql

21
4
14
@Andi@acn.social · Apr 13, 2026
I am testing out / researching bundle packages for VPS deployment and I realized I haven't looked into Backup solutions in a while. What free open source backup software would you recommend and what newer ones have you heard about? If portable even better. #backup #server #sysadmin #opensource #vps #cyberSecurity #infoSec #cloud #homelab
0
0
0
@stefano@mastodon.bsd.cafe · Apr 13, 2026
My week starts with a request: "I need a server to deploy to production, but the devs have no idea how to do it. They don't know how to use the terminal, they don’t know how to handle certificates, nothing. They need to be able to click a few buttons and deploy directly to production. They're Vibe Coding experts." Welcome to 2026. #SysAdmin #IT
307
24
202
@Larvitz@burningboard.net · Apr 12, 2026
3-2-1-1-1 Backup Rule (Apocalypse Edition) 3 Backups 2 Different media 1 Offsite backup 1 Backup in an Arctic vault 1 Extra-planetary backup Because if your data doesn't survive a meteor strike, did you even have a backup strategy? #SysAdmin #BackupRule #DataHoarding #DisasterRecovery #InfoSec
17
2
7
@Larvitz@burningboard.net · Apr 12, 2026
A FreeBSD jail should be small. Installing Python into every jail just so your config management can run is the tail wagging the dog. I wrote two tiny wrappers to plug cdist directly into jexec on the host. The result? Full configuration management that asks for nothing but POSIX sh inside the jail itself. Zero daemons. Zero agents. https://blog.hofstede.it/automating-freebsd-jails-with-cdist-zero-dependencies-inside-the-jail/ My cdist-jexec connection plugin scripts: https://codeberg.org/Larvitz/jexec-cdist #FreeBSD #Jails #Unix #SysAdmin #cdist #DevOps
18
3
13
@pheonix@hachyderm.io · Apr 12, 2026
Is this something IT people deal with regularly? Or is this an outlier? 🤔 #askfedi #sysadmin #it #technology #email #techsupport #linux #windows
47
13
23
@Larvitz@burningboard.net · Mar 28, 2026

I wrote up my entire backup strategy for my across FreeBSD and Linux:

  • ZFS snapshots with sanoid
  • Off-site replication via syncoid to rsync.net (encrypted at rest)
  • Proxmox Backup Server fronting Backblaze B2 for VMs
  • A Podman trick for backing up RHEL hosts without native packages
  • Dead man’s switch monitoring
  • Quarterly restore tests recorded with asciinema

Real configs included.

https://blog.hofstede.it/my-multi-stage-backup-strategy-zfs-proxmox-and-paranoia/

#backup #zfs #freebsd #linux #proxmox #sysadmin #selfhosted

27
0
17
Boosted by Charlie Stross @cstross@wandering.shop
@stefano@mastodon.bsd.cafe · Mar 18, 2026
I just finished an amazing call. The person I was talking to was trying to explain to me that Docker is an entire operating system, so he doesn’t want Linux or any of the BSDs, but Docker. I explained that, in order to run Docker, you need a kernel. "No, you don't. Docker does everything on its own. If you think that, then you don’t really understand operating systems." I told the guy that I couldn’t help him, since I'm not experienced enough with operating systems. He was a bit disappointed, but we said goodbye on friendly terms. I'm used to recognizing when I'm too ignorant for the person I'm talking to, and I'm happy to step aside. #IT #SysAdmin
377
0
109
In reply to
@wendythedruid@thistlenfern.org · Mar 09, 2026
@dfx@techhub.social It shocks me that there are groups of #sysadmin that still have to administer to #windows #311 machines, and manage them (mainly point of sale machines from my understanding), but still. Blows the mind.
0
0
0
@musicmatze@social.linux.pizza · Mar 06, 2026

Okay, this is weird.

I am seeing tailscaled spiking up to 250% CPU usage every other minute, with up to 60 MBit/s outgoing traffic on the tailscale0 interface… and on the wg0 interface I see the same amount of traffic during that period.

I now disabled wireguard and the issue is gone.

But I have absolutely NO idea why this is happening, what causes it, and why it (seemingly) suddenly started - I did not have this issue earlier today. All I did in between was update the unstable channel, but all packages involved here (tailscale, wireguard) are from stable. So… 🤔 I am at loss…

#tailscale #wireguard #linux #linuxnetworking #networking #sysadmin #nixos

0
0
0