Le 04/02/2023 à 12:37, Olivier Back my spare a écrit :

Bonjour

Mon vm.swapiness est en vm.swapiness = 40
Je pensais avoir fait un bon compromis en le mettant à 40 mais sur une
doc de hardening Debian, l'auteur a mis la valeur "1".

Tant que tu nous met pas le lien vers la doc en question, on peut pas
aller voir. Pour ce que j'en sais une valeur de 1 va faire que le
système va commencer a swapper quand il ne restera plus que 1 % de RAM disponible. Si le gars qui a fait ce réglage a 64 G de RAM, son ordi va commencer a swapper quand il n'y aura plus que 640 M disponible…
pourquoi pas.

Je voulais durcir ma debian (à la maison) mais là...

J'avoue avoir un peu de mal a voir le rapport entre le niveau de
swappiness et le durcissement. Peut-etre que plus on swappe tard, moins
on met d'infos sur un support pérenne donc moins on a d'infos qui
pourront etres relues par quelqu'un mal intentionné ?

Qu'en pensez vous? Je laisse vm.swapiness = 40 ?

J'ai tendence a trouver que plus la RAM est grosse, plus il faut mettre
un chiffre petit.

Avec le réglage par défaut de debian (a savoir 60) si on a un tout petit
ordi avec 1 G de RAM, ca va commencer a swapper quand il n'y aura plus
que 600 M de libre, donc quand il y aura 400 M occupés, donc tout de
suite dès le démarrage. Sur un ordi aussi petit, ca peut avoir du sens,
mais ca ralentit énormément le fonctionnement de l'ordi.

Personnellement j'ai 8 G de RAM, avec le réglage par défaut ca
commencerait a swapper alors qu'il y a encore 4,8 G de libre. Je ne vois
pas l'interet de commencer a ralentir fortement le fonctionnement de
l'ordi en swappant alors qu'il y a encore autant de mémoire vide. J'ai
donc mis 20 au lieu de 60.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour

Mon vm.swapiness est en vm.swapiness = 40
Je pensais avoir fait un bon compromis en le mettant à 40 mais sur une
doc de hardening Debian, l'auteur a mis la valeur "1".
Je voulais durcir ma debian (à la maison) mais là...
Qu'en pensez vous? Je laisse vm.swapiness = 40 ?

Cdt

--
"It is possible to commit no errors and still lose. That is not a
weakness. That is life."
– Captain Jean-Luc Picard to Data

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 04/02/2023 à 13:19, Olivier Back my spare a écrit :

Le 04/02/2023 à 12:37, Olivier Back my spare a écrit :

Bonjour

Mon vm.swapiness est en vm.swapiness = 40
Je pensais avoir fait un bon compromis en le mettant à 40 mais sur une
doc de hardening Debian, l'auteur a mis la valeur "1".
Je voulais durcir ma debian (à la maison) mais là...
Qu'en pensez vous? Je laisse vm.swapiness = 40 ?

Cdt

Je suis parti de ces deux docs https://chrisapproved.com/blog/raspberry-pi-hardening.html https://www.arch13.com/security-setup-hardening-of-raspberry-pi-os-buster/
En suivant les liens dans les docs, je suis tombé sur le github de cet auteur https://github.com/divergentdave/raspberry-pi-configuration
Et c'est là que le vm-swapiness = 1 m'a interpellé.

Attention, ca cause de raspberry pi. Sur ces trucs, le système est sur
une carte SD, qui s'use en fonction du nombre d'ecritures. Il y a donc
un fort besoin de réduire au maximum le nombres d'écritures sur la carte
SD, et donc de faire en sorte qu'il ne swappe pas sauf vraiment en
dernier recours. Je pense que c'est de la que viens le réglage du
swappiness a 1, et pas de considérations sur le durcissement.

Si ton ordi est un raspi ou autre trucs avec le systeme sur une carte
SD, met 1. Sinon met la valeur qui t'arrange a l'usage.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour

Si il y a un lien entre durcir un système et le swap, je ne pense pas qu'il faille jouer sur le swapiness. Cela influe sur la probabilité d'une copie
sur disque de données provenant de la RAM.

En revanche j'ai déjà vu des configurations où le volume swap est chiffré avec cryptsetup, il est peut être possible de prévoir une clé de
chiffrement aléatoire a chaque boot. Cela me parait être une approche plus sûre pour éviter une fuite de données sensibles.

Le sam. 4 févr. 2023 à 13:07, hamster <[email protected]> a écrit :

Le 04/02/2023 à 12:37, Olivier Back my spare a écrit :

Bonjour

Mon vm.swapiness est en vm.swapiness = 40
Je pensais avoir fait un bon compromis en le mettant à 40 mais sur une
doc de hardening Debian, l'auteur a mis la valeur "1".

Tant que tu nous met pas le lien vers la doc en question, on peut pas
aller voir. Pour ce que j'en sais une valeur de 1 va faire que le
système va commencer a swapper quand il ne restera plus que 1 % de RAM disponible. Si le gars qui a fait ce réglage a 64 G de RAM, son ordi va commencer a swapper quand il n'y aura plus que 640 M disponible…
pourquoi pas.

Je voulais durcir ma debian (à la maison) mais là...

J'avoue avoir un peu de mal a voir le rapport entre le niveau de
swappiness et le durcissement. Peut-etre que plus on swappe tard, moins
on met d'infos sur un support pérenne donc moins on a d'infos qui
pourront etres relues par quelqu'un mal intentionné ?

Qu'en pensez vous? Je laisse vm.swapiness = 40 ?

J'ai tendence a trouver que plus la RAM est grosse, plus il faut mettre
un chiffre petit.

Avec le réglage par défaut de debian (a savoir 60) si on a un tout petit ordi avec 1 G de RAM, ca va commencer a swapper quand il n'y aura plus
que 600 M de libre, donc quand il y aura 400 M occupés, donc tout de
suite dès le démarrage. Sur un ordi aussi petit, ca peut avoir du sens, mais ca ralentit énormément le fonctionnement de l'ordi.

Personnellement j'ai 8 G de RAM, avec le réglage par défaut ca
commencerait a swapper alors qu'il y a encore 4,8 G de libre. Je ne vois
pas l'interet de commencer a ralentir fortement le fonctionnement de
l'ordi en swappant alors qu'il y a encore autant de mémoire vide. J'ai
donc mis 20 au lieu de 60.

<div dir="auto">Bonjour<div dir="auto"><br></div><div dir="auto">Si il y a un lien entre durcir un système et le swap, je ne pense pas qu&#39;il faille jouer sur le swapiness. Cela influe sur la probabilité d&#39;une copie sur disque de données
provenant de la RAM. </div><div dir="auto"><br></div><div dir="auto">En revanche j&#39;ai déjà vu des configurations où le volume swap est chiffré avec cryptsetup, il est peut être possible de prévoir une clé de chiffrement aléatoire a chaque
boot. Cela me parait être une approche plus sûre pour éviter une fuite de données sensibles. </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le sam. 4 févr. 2023 à 13:07, hamster &lt;<a href="mailto:[email protected]">
[email protected]</a>&gt; a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le 04/02/2023 à 12:37, Olivier Back my spare a écrit :<br>
&gt; Bonjour<br>
&gt; <br>
&gt; Mon vm.swapiness est en vm.swapiness = 40<br>
&gt; Je pensais avoir fait un bon compromis en le mettant à 40 mais sur une <br>
&gt; doc de hardening Debian, l&#39;auteur a mis la valeur &quot;1&quot;.<br>

Tant que tu nous met pas le lien vers la doc en question, on peut pas <br> aller voir. Pour ce que j&#39;en sais une valeur de 1 va faire que le <br> système va commencer a swapper quand il ne restera plus que 1 % de RAM <br> disponible. Si le gars qui a fait ce réglage a 64 G de RAM, son ordi va <br> commencer a swapper quand il n&#39;y aura plus que 640 M disponible… <br> pourquoi pas.<br>

&gt; Je voulais durcir ma debian (à la maison) mais là...<br>

J&#39;avoue avoir un peu de mal a voir le rapport entre le niveau de <br> swappiness et le durcissement. Peut-etre que plus on swappe tard, moins <br>
on met d&#39;infos sur un support pérenne donc moins on a d&#39;infos qui <br> pourront etres relues par quelqu&#39;un mal intentionné ?<br>

&gt; Qu&#39;en pensez vous? Je laisse vm.swapiness = 40 ?<br>

J&#39;ai tendence a trouver que plus la RAM est grosse, plus il faut mettre <br>
un chiffre petit.<br>

Avec le réglage par défaut de debian (a savoir 60) si on a un tout petit <br> ordi avec 1 G de RAM, ca va commencer a swapper quand il n&#39;y aura plus <br>
que 600 M de libre, donc quand il y aura 400 M occupés, donc tout de <br> suite dès le démarrage. Sur un ordi aussi petit, ca peut avoir du sens, <br> mais ca ralentit énormément le fonctionnement de l&#39;ordi.<br>

Personnellement j&#39;ai 8 G de RAM, avec le réglage par défaut ca <br> commencerait a swapper alors qu&#39;il y a encore 4,8 G de libre. Je ne vois <br>
pas l&#39;interet de commencer a ralentir fortement le fonctionnement de <br> l&#39;ordi en swappant alors qu&#39;il y a encore autant de mémoire vide. J&#39;ai <br>
donc mis 20 au lieu de 60.<br>

</blockquote></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 04/02/2023 à 12:37, Olivier Back my spare a écrit :

Bonjour

Mon vm.swapiness est en vm.swapiness = 40
Je pensais avoir fait un bon compromis en le mettant à 40 mais sur une
doc de hardening Debian, l'auteur a mis la valeur "1".
Je voulais durcir ma debian (à la maison) mais là...
Qu'en pensez vous? Je laisse vm.swapiness = 40 ?

Cdt

Je suis parti de ces deux docs https://chrisapproved.com/blog/raspberry-pi-hardening.html https://www.arch13.com/security-setup-hardening-of-raspberry-pi-os-buster/
En suivant les liens dans les docs, je suis tombé sur le github de cet
auteur https://github.com/divergentdave/raspberry-pi-configuration
Et c'est là que le vm-swapiness = 1 m'a interpellé.


--
Gestionnaire d'infrastructure/ Gestionnaire de parc informatique
"It is possible to commit no errors and still lose. That is not a
weakness. That is life."
– Captain Jean-Luc Picard to Data

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)