Sommaire
Guide détaillé
Étape 1
Stabiliser avant de nettoyer
Si l’incident est actif, limitez l’exposition réseau ou basculez le trafic. Ne supprimez pas les traces dans la précipitation.
Observer la machine avant de changer quoi que ce soit
Ces commandes affichent la distribution, le nom de la machine, les interfaces réseau, les routes, la mémoire et l’espace disque. Elles ne modifient rien.
cat /etc/os-release
hostnamectl
ip -br addr
ip route
free -h
df -hCe que font les commandes
- `cat /etc/os-release` affiche la distribution et sa version exacte.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip -br addr` liste les interfaces et adresses IP sous une forme courte.
- `ip route` montre la passerelle utilisée et les routes connues.
- `free -h` affiche RAM et swap dans une unité lisible.
- `df -h` indique l’espace disque libre par point de montage.
Appliquer cette étape avec une trace simple
Pour ce conteneur LXC, on écrit ce que l’on va faire, on exécute les vérifications, puis on garde une note datée.
mkdir -p ~/newscloud-notes
printf '%s\n' "Stabiliser avant de nettoyer" > ~/newscloud-notes/etape.txt
systemctl --failed
journalctl -p warning -n 50 --no-pager
cat ~/newscloud-notes/etape.txtCe que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `printf` écrit une note ou un fichier de contrôle avec un format prévisible.
- `systemctl --failed` liste les services en échec pour repérer un problème global.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
- `cat ~/newscloud-notes/etape.txt` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
Collecter les traces avant correction
En incident, ne nettoyez pas trop vite. Ces commandes figent un premier état exploitable.
sudo mkdir -p /root/incident-$(date +%F-%H%M)
sudo ss -tulpn > /root/incident-$(date +%F-%H%M)/sockets.txt
sudo ps auxf > /root/incident-$(date +%F-%H%M)/processes.txt
sudo journalctl --since "24 hours ago" > /root/incident-$(date +%F-%H%M)/journal.txt
sudo find /etc /srv /var/www -mtime -2 -type f > /root/incident-$(date +%F-%H%M)/recent-files.txtCe que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `ss -tulpn` liste les ports ouverts et les processus qui écoutent.
- `ps` affiche les processus pour repérer ceux qui consomment le plus.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
- `find` recherche des fichiers selon des critères comme taille ou date de modification.
Base outils Debian / Ubuntu
apt installe les utilitaires utiles, puis systemctl et journalctl vérifient que la machine reste saine.
sudo apt update
sudo apt install -y curl vim rsync
systemctl --failed
journalctl -p warning -n 50 --no-pagerCe que font les commandes
- `apt update` recharge la liste des paquets Debian/Ubuntu disponibles.
- `apt install` installe les paquets indiqués depuis les dépôts configurés.
- `systemctl --failed` liste les services en échec pour repérer un problème global.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
Tracer le changement pour audit
Pour un guide expert, gardez une preuve simple de l’état avant/après et du moment exact de l’intervention.
mkdir -p ~/change-log
{
date -Iseconds
hostnamectl
ip route
df -h
free -h
} > ~/change-log/avant-$(date +%F-%H%M).txt
# Après intervention, relancez le même bloc en remplaçant avant par apres.Ce que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `date -Iseconds` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip route` montre la passerelle utilisée et les routes connues.
- `df -h` indique l’espace disque libre par point de montage.
- `free -h` affiche RAM et swap dans une unité lisible.
- Après intervention, relancez le même bloc en remplaçant avant par apres..
Variantes et attention
- Les commandes de ce guide sont adaptées pour Debian / Ubuntu. Si votre image est une autre famille Linux, gardez la logique mais remplacez le gestionnaire de paquets et les noms de services.
- En LXC, certaines actions noyau, modules kernel, Docker imbriqué ou montages spéciaux peuvent dépendre de la configuration de l’hôte. Si une commande touche au noyau, vérifiez d’abord que le conteneur le permet.
- Niveau expert : mesurez avant/après, conservez les traces, et préparez un rollback. Une commande correcte hors contexte peut rester dangereuse si elle est lancée au mauvais endroit.
Vérifications
- La commande `systemctl --failed` ne doit pas afficher de service critique en échec.
- La commande `df -h` doit montrer assez d’espace libre sur `/`, `/var` et les volumes applicatifs.
- Les traces doivent être copiées avant nettoyage.
- Les secrets exposés doivent être renouvelés après restauration.
Étape 2
Capturer l’état utile
Processus, connexions, journaux, fichiers modifiés et comptes actifs donnent la chronologie. Conservez-les avant toute réparation lourde.
Observer la machine avant de changer quoi que ce soit
Ces commandes affichent la distribution, le nom de la machine, les interfaces réseau, les routes, la mémoire et l’espace disque. Elles ne modifient rien.
cat /etc/os-release
hostnamectl
ip -br addr
ip route
free -h
df -hCe que font les commandes
- `cat /etc/os-release` affiche la distribution et sa version exacte.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip -br addr` liste les interfaces et adresses IP sous une forme courte.
- `ip route` montre la passerelle utilisée et les routes connues.
- `free -h` affiche RAM et swap dans une unité lisible.
- `df -h` indique l’espace disque libre par point de montage.
Appliquer cette étape avec une trace simple
Pour ce conteneur LXC, on écrit ce que l’on va faire, on exécute les vérifications, puis on garde une note datée.
mkdir -p ~/newscloud-notes
printf '%s\n' "Capturer l’état utile" > ~/newscloud-notes/etape.txt
systemctl --failed
journalctl -p warning -n 50 --no-pager
cat ~/newscloud-notes/etape.txtCe que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `printf` écrit une note ou un fichier de contrôle avec un format prévisible.
- `systemctl --failed` liste les services en échec pour repérer un problème global.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
- `cat ~/newscloud-notes/etape.txt` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
Collecter les traces avant correction
En incident, ne nettoyez pas trop vite. Ces commandes figent un premier état exploitable.
sudo mkdir -p /root/incident-$(date +%F-%H%M)
sudo ss -tulpn > /root/incident-$(date +%F-%H%M)/sockets.txt
sudo ps auxf > /root/incident-$(date +%F-%H%M)/processes.txt
sudo journalctl --since "24 hours ago" > /root/incident-$(date +%F-%H%M)/journal.txt
sudo find /etc /srv /var/www -mtime -2 -type f > /root/incident-$(date +%F-%H%M)/recent-files.txtCe que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `ss -tulpn` liste les ports ouverts et les processus qui écoutent.
- `ps` affiche les processus pour repérer ceux qui consomment le plus.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
- `find` recherche des fichiers selon des critères comme taille ou date de modification.
Base outils Debian / Ubuntu
apt installe les utilitaires utiles, puis systemctl et journalctl vérifient que la machine reste saine.
sudo apt update
sudo apt install -y curl vim rsync
systemctl --failed
journalctl -p warning -n 50 --no-pagerCe que font les commandes
- `apt update` recharge la liste des paquets Debian/Ubuntu disponibles.
- `apt install` installe les paquets indiqués depuis les dépôts configurés.
- `systemctl --failed` liste les services en échec pour repérer un problème global.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
Tracer le changement pour audit
Pour un guide expert, gardez une preuve simple de l’état avant/après et du moment exact de l’intervention.
mkdir -p ~/change-log
{
date -Iseconds
hostnamectl
ip route
df -h
free -h
} > ~/change-log/avant-$(date +%F-%H%M).txt
# Après intervention, relancez le même bloc en remplaçant avant par apres.Ce que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `date -Iseconds` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip route` montre la passerelle utilisée et les routes connues.
- `df -h` indique l’espace disque libre par point de montage.
- `free -h` affiche RAM et swap dans une unité lisible.
- Après intervention, relancez le même bloc en remplaçant avant par apres..
Variantes et attention
- Les commandes de ce guide sont adaptées pour Debian / Ubuntu. Si votre image est une autre famille Linux, gardez la logique mais remplacez le gestionnaire de paquets et les noms de services.
- En LXC, certaines actions noyau, modules kernel, Docker imbriqué ou montages spéciaux peuvent dépendre de la configuration de l’hôte. Si une commande touche au noyau, vérifiez d’abord que le conteneur le permet.
- Niveau expert : mesurez avant/après, conservez les traces, et préparez un rollback. Une commande correcte hors contexte peut rester dangereuse si elle est lancée au mauvais endroit.
Vérifications
- La commande `systemctl --failed` ne doit pas afficher de service critique en échec.
- La commande `df -h` doit montrer assez d’espace libre sur `/`, `/var` et les volumes applicatifs.
- Les traces doivent être copiées avant nettoyage.
- Les secrets exposés doivent être renouvelés après restauration.
Étape 3
Décider réparer ou reconstruire
Quand l’intégrité est douteuse, reconstruire un conteneur sain est souvent plus sûr que corriger à chaud.
Observer la machine avant de changer quoi que ce soit
Ces commandes affichent la distribution, le nom de la machine, les interfaces réseau, les routes, la mémoire et l’espace disque. Elles ne modifient rien.
cat /etc/os-release
hostnamectl
ip -br addr
ip route
free -h
df -hCe que font les commandes
- `cat /etc/os-release` affiche la distribution et sa version exacte.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip -br addr` liste les interfaces et adresses IP sous une forme courte.
- `ip route` montre la passerelle utilisée et les routes connues.
- `free -h` affiche RAM et swap dans une unité lisible.
- `df -h` indique l’espace disque libre par point de montage.
Appliquer cette étape avec une trace simple
Pour ce conteneur LXC, on écrit ce que l’on va faire, on exécute les vérifications, puis on garde une note datée.
mkdir -p ~/newscloud-notes
printf '%s\n' "Décider réparer ou reconstruire" > ~/newscloud-notes/etape.txt
systemctl --failed
journalctl -p warning -n 50 --no-pager
cat ~/newscloud-notes/etape.txtCe que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `printf` écrit une note ou un fichier de contrôle avec un format prévisible.
- `systemctl --failed` liste les services en échec pour repérer un problème global.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
- `cat ~/newscloud-notes/etape.txt` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
Collecter les traces avant correction
En incident, ne nettoyez pas trop vite. Ces commandes figent un premier état exploitable.
sudo mkdir -p /root/incident-$(date +%F-%H%M)
sudo ss -tulpn > /root/incident-$(date +%F-%H%M)/sockets.txt
sudo ps auxf > /root/incident-$(date +%F-%H%M)/processes.txt
sudo journalctl --since "24 hours ago" > /root/incident-$(date +%F-%H%M)/journal.txt
sudo find /etc /srv /var/www -mtime -2 -type f > /root/incident-$(date +%F-%H%M)/recent-files.txtCe que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `ss -tulpn` liste les ports ouverts et les processus qui écoutent.
- `ps` affiche les processus pour repérer ceux qui consomment le plus.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
- `find` recherche des fichiers selon des critères comme taille ou date de modification.
Base outils Debian / Ubuntu
apt installe les utilitaires utiles, puis systemctl et journalctl vérifient que la machine reste saine.
sudo apt update
sudo apt install -y curl vim rsync
systemctl --failed
journalctl -p warning -n 50 --no-pagerCe que font les commandes
- `apt update` recharge la liste des paquets Debian/Ubuntu disponibles.
- `apt install` installe les paquets indiqués depuis les dépôts configurés.
- `systemctl --failed` liste les services en échec pour repérer un problème global.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
Tracer le changement pour audit
Pour un guide expert, gardez une preuve simple de l’état avant/après et du moment exact de l’intervention.
mkdir -p ~/change-log
{
date -Iseconds
hostnamectl
ip route
df -h
free -h
} > ~/change-log/avant-$(date +%F-%H%M).txt
# Après intervention, relancez le même bloc en remplaçant avant par apres.Ce que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `date -Iseconds` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip route` montre la passerelle utilisée et les routes connues.
- `df -h` indique l’espace disque libre par point de montage.
- `free -h` affiche RAM et swap dans une unité lisible.
- Après intervention, relancez le même bloc en remplaçant avant par apres..
Variantes et attention
- Les commandes de ce guide sont adaptées pour Debian / Ubuntu. Si votre image est une autre famille Linux, gardez la logique mais remplacez le gestionnaire de paquets et les noms de services.
- En LXC, certaines actions noyau, modules kernel, Docker imbriqué ou montages spéciaux peuvent dépendre de la configuration de l’hôte. Si une commande touche au noyau, vérifiez d’abord que le conteneur le permet.
- Niveau expert : mesurez avant/après, conservez les traces, et préparez un rollback. Une commande correcte hors contexte peut rester dangereuse si elle est lancée au mauvais endroit.
Vérifications
- La commande `systemctl --failed` ne doit pas afficher de service critique en échec.
- La commande `df -h` doit montrer assez d’espace libre sur `/`, `/var` et les volumes applicatifs.
- Les traces doivent être copiées avant nettoyage.
- Les secrets exposés doivent être renouvelés après restauration.
Étape 4
Changer les secrets compromis
Tokens, mots de passe, clés SSH et accès API doivent être renouvelés après suspicion. Restaurer sans rotation laisse la porte ouverte.
Observer la machine avant de changer quoi que ce soit
Ces commandes affichent la distribution, le nom de la machine, les interfaces réseau, les routes, la mémoire et l’espace disque. Elles ne modifient rien.
cat /etc/os-release
hostnamectl
ip -br addr
ip route
free -h
df -hCe que font les commandes
- `cat /etc/os-release` affiche la distribution et sa version exacte.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip -br addr` liste les interfaces et adresses IP sous une forme courte.
- `ip route` montre la passerelle utilisée et les routes connues.
- `free -h` affiche RAM et swap dans une unité lisible.
- `df -h` indique l’espace disque libre par point de montage.
Inventorier puis renouveler les secrets
Après restauration ou incident, les secrets exposés doivent être changés. Ne les stockez pas dans une note visible client.
sudo grep -R "PASSWORD\|TOKEN\|SECRET" -n /etc /srv 2>/dev/null | head -50
openssl rand -base64 32
sudo systemctl restart app.service
journalctl -u app.service -n 60 --no-pagerCe que font les commandes
- `grep` cherche un motif dans des fichiers ; vérifiez les résultats avant toute modification.
- `openssl rand -base64 32` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
- `sudo systemctl restart app.service` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
Collecter les traces avant correction
En incident, ne nettoyez pas trop vite. Ces commandes figent un premier état exploitable.
sudo mkdir -p /root/incident-$(date +%F-%H%M)
sudo ss -tulpn > /root/incident-$(date +%F-%H%M)/sockets.txt
sudo ps auxf > /root/incident-$(date +%F-%H%M)/processes.txt
sudo journalctl --since "24 hours ago" > /root/incident-$(date +%F-%H%M)/journal.txt
sudo find /etc /srv /var/www -mtime -2 -type f > /root/incident-$(date +%F-%H%M)/recent-files.txtCe que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `ss -tulpn` liste les ports ouverts et les processus qui écoutent.
- `ps` affiche les processus pour repérer ceux qui consomment le plus.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
- `find` recherche des fichiers selon des critères comme taille ou date de modification.
Base outils Debian / Ubuntu
apt installe les utilitaires utiles, puis systemctl et journalctl vérifient que la machine reste saine.
sudo apt update
sudo apt install -y curl vim rsync
systemctl --failed
journalctl -p warning -n 50 --no-pagerCe que font les commandes
- `apt update` recharge la liste des paquets Debian/Ubuntu disponibles.
- `apt install` installe les paquets indiqués depuis les dépôts configurés.
- `systemctl --failed` liste les services en échec pour repérer un problème global.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
Tracer le changement pour audit
Pour un guide expert, gardez une preuve simple de l’état avant/après et du moment exact de l’intervention.
mkdir -p ~/change-log
{
date -Iseconds
hostnamectl
ip route
df -h
free -h
} > ~/change-log/avant-$(date +%F-%H%M).txt
# Après intervention, relancez le même bloc en remplaçant avant par apres.Ce que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `date -Iseconds` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip route` montre la passerelle utilisée et les routes connues.
- `df -h` indique l’espace disque libre par point de montage.
- `free -h` affiche RAM et swap dans une unité lisible.
- Après intervention, relancez le même bloc en remplaçant avant par apres..
Variantes et attention
- Les commandes de ce guide sont adaptées pour Debian / Ubuntu. Si votre image est une autre famille Linux, gardez la logique mais remplacez le gestionnaire de paquets et les noms de services.
- En LXC, certaines actions noyau, modules kernel, Docker imbriqué ou montages spéciaux peuvent dépendre de la configuration de l’hôte. Si une commande touche au noyau, vérifiez d’abord que le conteneur le permet.
- Niveau expert : mesurez avant/après, conservez les traces, et préparez un rollback. Une commande correcte hors contexte peut rester dangereuse si elle est lancée au mauvais endroit.
Vérifications
- La commande `systemctl --failed` ne doit pas afficher de service critique en échec.
- La commande `df -h` doit montrer assez d’espace libre sur `/`, `/var` et les volumes applicatifs.
- Les traces doivent être copiées avant nettoyage.
- Les secrets exposés doivent être renouvelés après restauration.
Étape 5
Écrire le retour d’expérience
La cause probable, l’impact, la correction et la prévention doivent être notés. C’est ce qui transforme l’incident en amélioration.
Observer la machine avant de changer quoi que ce soit
Ces commandes affichent la distribution, le nom de la machine, les interfaces réseau, les routes, la mémoire et l’espace disque. Elles ne modifient rien.
cat /etc/os-release
hostnamectl
ip -br addr
ip route
free -h
df -hCe que font les commandes
- `cat /etc/os-release` affiche la distribution et sa version exacte.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip -br addr` liste les interfaces et adresses IP sous une forme courte.
- `ip route` montre la passerelle utilisée et les routes connues.
- `free -h` affiche RAM et swap dans une unité lisible.
- `df -h` indique l’espace disque libre par point de montage.
Appliquer cette étape avec une trace simple
Pour ce conteneur LXC, on écrit ce que l’on va faire, on exécute les vérifications, puis on garde une note datée.
mkdir -p ~/newscloud-notes
printf '%s\n' "Écrire le retour d’expérience" > ~/newscloud-notes/etape.txt
systemctl --failed
journalctl -p warning -n 50 --no-pager
cat ~/newscloud-notes/etape.txtCe que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `printf` écrit une note ou un fichier de contrôle avec un format prévisible.
- `systemctl --failed` liste les services en échec pour repérer un problème global.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
- `cat ~/newscloud-notes/etape.txt` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
Collecter les traces avant correction
En incident, ne nettoyez pas trop vite. Ces commandes figent un premier état exploitable.
sudo mkdir -p /root/incident-$(date +%F-%H%M)
sudo ss -tulpn > /root/incident-$(date +%F-%H%M)/sockets.txt
sudo ps auxf > /root/incident-$(date +%F-%H%M)/processes.txt
sudo journalctl --since "24 hours ago" > /root/incident-$(date +%F-%H%M)/journal.txt
sudo find /etc /srv /var/www -mtime -2 -type f > /root/incident-$(date +%F-%H%M)/recent-files.txtCe que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `ss -tulpn` liste les ports ouverts et les processus qui écoutent.
- `ps` affiche les processus pour repérer ceux qui consomment le plus.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
- `find` recherche des fichiers selon des critères comme taille ou date de modification.
Base outils Debian / Ubuntu
apt installe les utilitaires utiles, puis systemctl et journalctl vérifient que la machine reste saine.
sudo apt update
sudo apt install -y curl vim rsync
systemctl --failed
journalctl -p warning -n 50 --no-pagerCe que font les commandes
- `apt update` recharge la liste des paquets Debian/Ubuntu disponibles.
- `apt install` installe les paquets indiqués depuis les dépôts configurés.
- `systemctl --failed` liste les services en échec pour repérer un problème global.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
Tracer le changement pour audit
Pour un guide expert, gardez une preuve simple de l’état avant/après et du moment exact de l’intervention.
mkdir -p ~/change-log
{
date -Iseconds
hostnamectl
ip route
df -h
free -h
} > ~/change-log/avant-$(date +%F-%H%M).txt
# Après intervention, relancez le même bloc en remplaçant avant par apres.Ce que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `date -Iseconds` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip route` montre la passerelle utilisée et les routes connues.
- `df -h` indique l’espace disque libre par point de montage.
- `free -h` affiche RAM et swap dans une unité lisible.
- Après intervention, relancez le même bloc en remplaçant avant par apres..
Variantes et attention
- Les commandes de ce guide sont adaptées pour Debian / Ubuntu. Si votre image est une autre famille Linux, gardez la logique mais remplacez le gestionnaire de paquets et les noms de services.
- En LXC, certaines actions noyau, modules kernel, Docker imbriqué ou montages spéciaux peuvent dépendre de la configuration de l’hôte. Si une commande touche au noyau, vérifiez d’abord que le conteneur le permet.
- Niveau expert : mesurez avant/après, conservez les traces, et préparez un rollback. Une commande correcte hors contexte peut rester dangereuse si elle est lancée au mauvais endroit.
Vérifications
- La commande `systemctl --failed` ne doit pas afficher de service critique en échec.
- La commande `df -h` doit montrer assez d’espace libre sur `/`, `/var` et les volumes applicatifs.
- Les traces doivent être copiées avant nettoyage.
- Les secrets exposés doivent être renouvelés après restauration.
Étape 6
Planifier la correction durable
Un contournement d’urgence n’est pas une fin. Ajoutez la correction profonde au backlog avec une date.
Observer la machine avant de changer quoi que ce soit
Ces commandes affichent la distribution, le nom de la machine, les interfaces réseau, les routes, la mémoire et l’espace disque. Elles ne modifient rien.
cat /etc/os-release
hostnamectl
ip -br addr
ip route
free -h
df -hCe que font les commandes
- `cat /etc/os-release` affiche la distribution et sa version exacte.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip -br addr` liste les interfaces et adresses IP sous une forme courte.
- `ip route` montre la passerelle utilisée et les routes connues.
- `free -h` affiche RAM et swap dans une unité lisible.
- `df -h` indique l’espace disque libre par point de montage.
Tester l’isolation réseau
On teste la passerelle autorisée, puis une cible LAN qui doit rester bloquée. Remplacez les IP par votre plan réseau.
ip route
ping -c 3 10.31.254.254
ping -c 3 192.168.4.8
curl -m 3 http://192.168.4.8:8006
sudo nft list rulesetCe que font les commandes
- `ip route` montre la passerelle utilisée et les routes connues.
- `ping -c 3 10.31.254.254` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
- `ping -c 3 192.168.4.8` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
- `curl` teste une URL depuis la machine elle-même.
- `nft list ruleset` affiche les règles nftables réellement chargées.
Collecter les traces avant correction
En incident, ne nettoyez pas trop vite. Ces commandes figent un premier état exploitable.
sudo mkdir -p /root/incident-$(date +%F-%H%M)
sudo ss -tulpn > /root/incident-$(date +%F-%H%M)/sockets.txt
sudo ps auxf > /root/incident-$(date +%F-%H%M)/processes.txt
sudo journalctl --since "24 hours ago" > /root/incident-$(date +%F-%H%M)/journal.txt
sudo find /etc /srv /var/www -mtime -2 -type f > /root/incident-$(date +%F-%H%M)/recent-files.txtCe que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `ss -tulpn` liste les ports ouverts et les processus qui écoutent.
- `ps` affiche les processus pour repérer ceux qui consomment le plus.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
- `find` recherche des fichiers selon des critères comme taille ou date de modification.
Base outils Debian / Ubuntu
apt installe les utilitaires utiles, puis systemctl et journalctl vérifient que la machine reste saine.
sudo apt update
sudo apt install -y curl vim rsync
systemctl --failed
journalctl -p warning -n 50 --no-pagerCe que font les commandes
- `apt update` recharge la liste des paquets Debian/Ubuntu disponibles.
- `apt install` installe les paquets indiqués depuis les dépôts configurés.
- `systemctl --failed` liste les services en échec pour repérer un problème global.
- `journalctl` lit les journaux systemd ; l’option `--no-pager` évite un affichage interactif.
Tracer le changement pour audit
Pour un guide expert, gardez une preuve simple de l’état avant/après et du moment exact de l’intervention.
mkdir -p ~/change-log
{
date -Iseconds
hostnamectl
ip route
df -h
free -h
} > ~/change-log/avant-$(date +%F-%H%M).txt
# Après intervention, relancez le même bloc en remplaçant avant par apres.Ce que font les commandes
- `mkdir -p` crée le dossier demandé sans erreur s’il existe déjà.
- `date -Iseconds` exécute l’action indiquée ; lisez la sortie avant de passer à la commande suivante.
- `hostnamectl` affiche le nom, le type de machine et quelques informations système.
- `ip route` montre la passerelle utilisée et les routes connues.
- `df -h` indique l’espace disque libre par point de montage.
- `free -h` affiche RAM et swap dans une unité lisible.
- Après intervention, relancez le même bloc en remplaçant avant par apres..
Variantes et attention
- Les commandes de ce guide sont adaptées pour Debian / Ubuntu. Si votre image est une autre famille Linux, gardez la logique mais remplacez le gestionnaire de paquets et les noms de services.
- En LXC, certaines actions noyau, modules kernel, Docker imbriqué ou montages spéciaux peuvent dépendre de la configuration de l’hôte. Si une commande touche au noyau, vérifiez d’abord que le conteneur le permet.
- Niveau expert : mesurez avant/après, conservez les traces, et préparez un rollback. Une commande correcte hors contexte peut rester dangereuse si elle est lancée au mauvais endroit.
Vérifications
- La commande `systemctl --failed` ne doit pas afficher de service critique en échec.
- La commande `df -h` doit montrer assez d’espace libre sur `/`, `/var` et les volumes applicatifs.
- Les traces doivent être copiées avant nettoyage.
- Les secrets exposés doivent être renouvelés après restauration.
Checklist finale
- Service isolé
- Preuves conservées
- Secrets renouvelés