J'avais loupé cette news mais il est désormais possible de lancer des VM ARM64 sur la Freebox Delta.

Pas encore testé mais c'est super interressant pour qui veut s'autohéberger sans s'équiper d'un serveur @home et dispose d'une connexion suffisante (pas mon cas malheureusement, j'attend avec impatience le jour ou la fibre sera disponible chez moi...).

Quelques limitations connus:

• ARM64 uniquement
• 2 VM maximum
• 2 CPU et 1GB dispo pour les VM

Quel est l'intérêt par rapport à un Raspberry Pi pour une utilisation de type server @home?

• Pas d'hardware supplémentaire
• Pas de problème d'alimentation tatillone
• Pas de problème de corruption de carte SD pour le stockage
• Meilleures perfs disque
• Meilleures perfs CPU (entre 30% et 80% d'après l'article)
• Meilleures perfs réseau

Des bonnes pratiques sécurités pour sysadmin présentées par Aeris:

1. choisir un OS stable (Debian, FreeBSD, CentOS ou RedHat par ex)
2. Reinstaller soit même l'OS quand on est chez un hébergeur (OVH, Online, ...)
3. N'installer que le script nécessaire
4. Chiffrer le disque sur un desktop/laptop, pas nécessaire sur un serveur
5. Suiver les alertes de sécurité et les appliquer
6. Filtrer le traffic avec Iptables, y compris à l'intérieur du réseau local (exemples de conf)
7. Sécuriser SSH (exemples de conf)
8. Activer 2FA (Yubico est recommandé)
9. Installer Fail2Ban
10. Automatiser les mises à jours de sécurité
11. Sécuriser la pile réseau avec sysctl (exemples de conf)
12. Sécuriser DNS, Apache/Nginx et smtP/IMAPS/Submission
13. Préférer l'isolation avec LXC plutôt que Docker et attention aux nouvelles techno en vogue qui ne sont pas pensé sécurité.
14. Utiliser HPKP & Dane/TLSA pour palier les problèmes de sécurité des autorités de certifications

La version audio de la conférence (3H12) est ici: https://confs.imirhil.fr/20170513_root66_securite-admin-sys.ogg

Sous Firefox, utiliser l'extension RefControl (https://addons.mozilla.org/fr/firefox/addon/refcontrol/) pour masquer l'url de provenance quand on arrive sur une page web.
Utile lorsque l'on héberge son aggrégateur RSS sur son propre nom de domaine pour éviter de divulger son identité au cite cible quand on clique sur un lien.