Administration

Gerer Debian comme un systeme de production.

Gestion des paquets, services, demarrage, stockage, users et reseau. Toutes les commandes utiles pour administrer au quotidien.

APT systemd Kernel Stockage Utilisateurs Reseau DNS Btrfs/ZFS Sauvegarde

Paquets

APT et gestion propre des dependances

Routines de maintenance

sudo apt update
sudo apt upgrade
sudo apt full-upgrade
sudo apt autoremove
sudo apt clean

Un cycle d'upgrade propre evite les conflits. Verifier les changements critiques via les notes de release.

Inspection de paquets

apt-cache policy nginx
apt-cache depends nginx
dpkg -L nginx
apt list --upgradable

Comprendre les dependances et les versions installees est la base pour depanner un environnement complexe.

Services

systemd, units, journaux

Gestion de services

sudo systemctl status nginx
sudo systemctl enable nginx
sudo systemctl restart nginx
sudo systemctl is-failed --all

Les units systemd sont declaratives. Toujours lire la definition et les overrides avant modification.

Overrides propres

sudo systemctl edit nginx
sudo systemctl cat nginx
systemd-analyze blame

Utiliser drop-ins pour eviter d'ecraser les fichiers d'origine.

Journal et logs

journalctl -u nginx -S "today"
journalctl -p err -b
journalctl --disk-usage

Le journal systemd est une source fiable, centralisee et horodatee.

Kernel

Modules, params et initramfs

Modules et diagnostic

uname -r
lsmod | head
modprobe -r i915
modinfo i915

Les modules actives dictent souvent les performances et la compatibilite materielle.

Initramfs et boot

sudo update-initramfs -u
cat /etc/initramfs-tools/modules
sudo update-grub

L'initramfs charge les modules critiques. Toujours mettre a jour apres une modification du kernel.

Stockage

Disques, LVM, systemes de fichiers

Analyse disque

lsblk -f
blkid
df -hT
mount | column -t

Verifier type, UUID, et points de montage avant toute operation.

LVM

pvs
vgs
lvs
lvextend -r -L +20G /dev/vg0/data

LVM permet d'etendre a chaud. Toujours valider l'espace libre.

FS et checks

tune2fs -l /dev/sda2
xfs_info /dev/sdb1
btrfs filesystem show

Comprendre la couche FS permet de diagnostiquer rapidement.

Stockage avance

Btrfs et ZFS en production

Btrfs

Btrfs offre snapshots, checksums et subvolumes. Adapter la strategie de snapshots et de scrub selon la criticite. 

sudo btrfs filesystem show
sudo btrfs subvolume list /
sudo btrfs scrub start -Bd /
sudo btrfs balance start -dusage=75 /

ZFS

ZFS apporte l'integrite bout-a-bout, le pooling et des snapshots efficaces. Sur Debian, utiliser zfsutils-linux. 

sudo zpool status
sudo zpool list
sudo zfs list
sudo zfs snapshot tank/data@daily

Utilisateurs

Comptes, groupes, sudo

Gestion quotidienne

adduser dev
usermod -aG sudo dev
getent passwd dev
id dev

Centraliser les groupes et ne pas multiplier les privileges.

sudoers

sudo visudo
sudo -l
cat /etc/sudoers.d/custom

Utiliser des fichiers /etc/sudoers.d pour les exceptions propres.

Reseau

Configuration et diagnostic

Interfaces

ip a
ip r
ip neigh
ethtool eth0

Toujours verifier lien physique, MTU et voisinage ARP.

Ports et sockets

ss -tulpen
lsof -i :443
nft list ruleset

Identifier les services exposes pour securiser le perimetre.

SSH avance

ssh -vvv user@host
ssh -L 8080:localhost:80 user@host
ssh -J bastion user@host

Tunnels et jump hosts simplifient les architectures segmentees.

DNS

Resolution fiable et caches locaux

Verifier la resolution

resolvectl status
dig debian.org
dig +trace debian.org
getent hosts debian.org

Combiner resolvectl et dig permet de voir la chaine complete.

Cache local

Un cache DNS local reduit la latence et stabilise les services. 

sudo apt install unbound
sudo systemctl enable --now unbound
sudo ss -tulpen | grep 53

Journalisation

Logs, rotation, retention

systemd-journald

journalctl --disk-usage
sudo nano /etc/systemd/journald.conf
sudo systemctl restart systemd-journald

Limiter l'espace et definir une retention claire evite les disques pleins.

logrotate

sudo logrotate -d /etc/logrotate.conf
cat /etc/logrotate.d/nginx
sudo logrotate -f /etc/logrotate.conf

logrotate reste la base pour garder des logs exploitables.

Configuration

Templates et automatisation

fichiers critiques

/etc/hosts
/etc/fstab
/etc/ssh/sshd_config

Documenter chaque modification et garder un historique.

Configuration distante

ansible-playbook site.yml
salt-call state.apply
puppet agent -t

Automatiser evite les differences entre environnements.

Secrets

sudo install -m 600 secret.env /etc/app/secret.env
gpg -c secret.env

Ne jamais stocker de secrets en clair dans un depot.

Temps

Synchronisation et horodatage fiable

systemd-timesyncd

timedatectl status
sudo timedatectl set-ntp true
sudo nano /etc/systemd/timesyncd.conf

Un temps precis est crucial pour les logs et la securite.

chrony

sudo apt install chrony
chronyc sources -v
chronyc tracking

chrony est plus robuste en environnement instable ou isole.

Reseau avance

Bridges, VLAN, routage

Bridges

ip link add br0 type bridge
ip link set br0 up
ip link set eth0 master br0

Les bridges servent a connecter VMs ou conteneurs au reseau.

VLAN

ip link add link eth0 name eth0.10 type vlan id 10
ip addr add 192.168.10.2/24 dev eth0.10
ip link set eth0.10 up

Les VLAN segmentent le trafic pour limiter les risques.

Routage

ip route show
ip rule show
sysctl net.ipv4.ip_forward

Le routage policy-based est utile pour les environnements multi-WAN.

Sauvegarde

Backups fiables et restauration testee

restic pragmatique

restic -r /mnt/backup init
restic -r /mnt/backup backup /etc /var/lib
restic -r /mnt/backup snapshots
restic -r /mnt/backup restore latest --target /tmp/restore

Tester une restauration valide autant que la sauvegarde.

borg + retention

borg init --encryption=repokey /mnt/borg
borg create /mnt/borg::daily-{now} /etc /home
borg prune -v --keep-daily=7 --keep-weekly=4 /mnt/borg
borg list /mnt/borg

Garder une retention claire et un plan de rotation documente.

Mise a jour quotidienne

Ajout du 2025-12-23

Kubernetes poste dev

Cette section est ajoutee automatiquement et vise un public confirme.

  • Cluster local via kind ou minikube
  • Namespaces par projet
  • Monitoring via metrics-server

Commandes

kind create cluster --name dev
kubectl get nodes
kubectl top pods -A

Mise a jour quotidienne

Ajout du 2025-12-24

Depannage: check rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Lire journalctl en priorite
  • Verifier systemctl --failed
  • Identifier les saturations disque

Commandes

journalctl -p err -S "today"
systemctl --failed
df -hT

Mise a jour quotidienne

Ajout du 2025-12-25

Commandes utiles

Cette section est ajoutee automatiquement et vise un public confirme.

  • Chaines pipeline claires
  • Utiliser awk pour les rapports
  • Preferer rg pour les recherches

Commandes

rg -n "error" /var/log
ps aux | awk '{print ,,}' | head
sort | uniq -c | sort -nr

Mise a jour quotidienne

Ajout du 2025-12-26

DNS: resolution fiable et debug

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier la chaine avec dig +trace
  • Observer resolvectl et cache local
  • Documenter les resolvers critiques

Commandes

dig +trace debian.org
resolvectl status
sudo systemctl restart systemd-resolved

Mise a jour quotidienne

Ajout du 2025-12-27

Audit securite rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Inventorier les ports exposes
  • Verifier les comptes privilegiés
  • Controler les binaires SUID

Commandes

ss -tulpen
sudo awk -F: '==0 {print }' /etc/passwd
sudo find / -perm -4000 -type f 2>/dev/null

Mise a jour quotidienne

Ajout du 2025-12-28

Btrfs/ZFS: integrite et snapshots

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier l etat des pools
  • Lancer un scrub regulier
  • Creer des snapshots horodates

Commandes

sudo btrfs scrub start -Bd /
sudo zpool status
sudo zfs snapshot tank/data

Mise a jour quotidienne

Ajout du 2025-12-29

Observabilite avancee

Cette section est ajoutee automatiquement et vise un public confirme.

  • Mesurer CPU, memoire, I/O
  • Identifier les hotspots avec perf
  • Tracer les appels systeme critiques

Commandes

htop
sudo perf top
sudo strace -fp 1234

Mise a jour quotidienne

Ajout du 2025-12-30

Conteneurs: hygiene de prod

Cette section est ajoutee automatiquement et vise un public confirme.

  • Isoler reseaux internes
  • Executer en non-root
  • Limiter les capabilities

Commandes

docker ps -a
docker run --read-only --cap-drop ALL app:latest
docker network ls

Mise a jour quotidienne

Ajout du 2025-12-31

Kubernetes poste dev

Cette section est ajoutee automatiquement et vise un public confirme.

  • Cluster local via kind ou minikube
  • Namespaces par projet
  • Monitoring via metrics-server

Commandes

kind create cluster --name dev
kubectl get nodes
kubectl top pods -A

Mise a jour quotidienne

Ajout du 2026-01-01

Audit securite rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Inventorier les ports exposes
  • Verifier les comptes privilegiés
  • Controler les binaires SUID

Commandes

ss -tulpen
sudo awk -F: '==0 {print }' /etc/passwd
sudo find / -perm -4000 -type f 2>/dev/null

Mise a jour quotidienne

Ajout du 2026-01-02

Btrfs/ZFS: integrite et snapshots

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier l etat des pools
  • Lancer un scrub regulier
  • Creer des snapshots horodates

Commandes

sudo btrfs scrub start -Bd /
sudo zpool status
sudo zfs snapshot tank/data

Mise a jour quotidienne

Ajout du 2026-01-03

Observabilite avancee

Cette section est ajoutee automatiquement et vise un public confirme.

  • Mesurer CPU, memoire, I/O
  • Identifier les hotspots avec perf
  • Tracer les appels systeme critiques

Commandes

htop
sudo perf top
sudo strace -fp 1234

Mise a jour quotidienne

Ajout du 2026-01-04

Conteneurs: hygiene de prod

Cette section est ajoutee automatiquement et vise un public confirme.

  • Isoler reseaux internes
  • Executer en non-root
  • Limiter les capabilities

Commandes

docker ps -a
docker run --read-only --cap-drop ALL app:latest
docker network ls

Mise a jour quotidienne

Ajout du 2026-01-05

Kubernetes poste dev

Cette section est ajoutee automatiquement et vise un public confirme.

  • Cluster local via kind ou minikube
  • Namespaces par projet
  • Monitoring via metrics-server

Commandes

kind create cluster --name dev
kubectl get nodes
kubectl top pods -A

Mise a jour quotidienne

Ajout du 2026-01-06

Depannage: check rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Lire journalctl en priorite
  • Verifier systemctl --failed
  • Identifier les saturations disque

Commandes

journalctl -p err -S "today"
systemctl --failed
df -hT

Mise a jour quotidienne

Ajout du 2026-01-07

Commandes utiles

Cette section est ajoutee automatiquement et vise un public confirme.

  • Chaines pipeline claires
  • Utiliser awk pour les rapports
  • Preferer rg pour les recherches

Commandes

rg -n "error" /var/log
ps aux | awk '{print ,,}' | head
sort | uniq -c | sort -nr

Mise a jour quotidienne

Ajout du 2026-01-08

DNS: resolution fiable et debug

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier la chaine avec dig +trace
  • Observer resolvectl et cache local
  • Documenter les resolvers critiques

Commandes

dig +trace debian.org
resolvectl status
sudo systemctl restart systemd-resolved

Mise a jour quotidienne

Ajout du 2026-01-09

Audit securite rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Inventorier les ports exposes
  • Verifier les comptes privilegiés
  • Controler les binaires SUID

Commandes

ss -tulpen
sudo awk -F: '==0 {print }' /etc/passwd
sudo find / -perm -4000 -type f 2>/dev/null

Mise a jour quotidienne

Ajout du 2026-01-10

Btrfs/ZFS: integrite et snapshots

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier l etat des pools
  • Lancer un scrub regulier
  • Creer des snapshots horodates

Commandes

sudo btrfs scrub start -Bd /
sudo zpool status
sudo zfs snapshot tank/data

Mise a jour quotidienne

Ajout du 2026-01-11

Observabilite avancee

Cette section est ajoutee automatiquement et vise un public confirme.

  • Mesurer CPU, memoire, I/O
  • Identifier les hotspots avec perf
  • Tracer les appels systeme critiques

Commandes

htop
sudo perf top
sudo strace -fp 1234

Mise a jour quotidienne

Ajout du 2026-01-12

Conteneurs: hygiene de prod

Cette section est ajoutee automatiquement et vise un public confirme.

  • Isoler reseaux internes
  • Executer en non-root
  • Limiter les capabilities

Commandes

docker ps -a
docker run --read-only --cap-drop ALL app:latest
docker network ls

Mise a jour quotidienne

Ajout du 2026-01-13

Kubernetes poste dev

Cette section est ajoutee automatiquement et vise un public confirme.

  • Cluster local via kind ou minikube
  • Namespaces par projet
  • Monitoring via metrics-server

Commandes

kind create cluster --name dev
kubectl get nodes
kubectl top pods -A

Mise a jour quotidienne

Ajout du 2026-01-14

Depannage: check rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Lire journalctl en priorite
  • Verifier systemctl --failed
  • Identifier les saturations disque

Commandes

journalctl -p err -S "today"
systemctl --failed
df -hT

Mise a jour quotidienne

Ajout du 2026-01-15

Commandes utiles

Cette section est ajoutee automatiquement et vise un public confirme.

  • Chaines pipeline claires
  • Utiliser awk pour les rapports
  • Preferer rg pour les recherches

Commandes

rg -n "error" /var/log
ps aux | awk '{print ,,}' | head
sort | uniq -c | sort -nr

Mise a jour quotidienne

Ajout du 2026-01-16

DNS: resolution fiable et debug

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier la chaine avec dig +trace
  • Observer resolvectl et cache local
  • Documenter les resolvers critiques

Commandes

dig +trace debian.org
resolvectl status
sudo systemctl restart systemd-resolved

Mise a jour quotidienne

Ajout du 2026-01-17

Audit securite rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Inventorier les ports exposes
  • Verifier les comptes privilegiés
  • Controler les binaires SUID

Commandes

ss -tulpen
sudo awk -F: '==0 {print }' /etc/passwd
sudo find / -perm -4000 -type f 2>/dev/null

Mise a jour quotidienne

Ajout du 2026-01-18

Btrfs/ZFS: integrite et snapshots

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier l etat des pools
  • Lancer un scrub regulier
  • Creer des snapshots horodates

Commandes

sudo btrfs scrub start -Bd /
sudo zpool status
sudo zfs snapshot tank/data

Mise a jour quotidienne

Ajout du 2026-01-19

Observabilite avancee

Cette section est ajoutee automatiquement et vise un public confirme.

  • Mesurer CPU, memoire, I/O
  • Identifier les hotspots avec perf
  • Tracer les appels systeme critiques

Commandes

htop
sudo perf top
sudo strace -fp 1234

Mise a jour quotidienne

Ajout du 2026-01-20

Conteneurs: hygiene de prod

Cette section est ajoutee automatiquement et vise un public confirme.

  • Isoler reseaux internes
  • Executer en non-root
  • Limiter les capabilities

Commandes

docker ps -a
docker run --read-only --cap-drop ALL app:latest
docker network ls

Mise a jour quotidienne

Ajout du 2026-01-21

Kubernetes poste dev

Cette section est ajoutee automatiquement et vise un public confirme.

  • Cluster local via kind ou minikube
  • Namespaces par projet
  • Monitoring via metrics-server

Commandes

kind create cluster --name dev
kubectl get nodes
kubectl top pods -A

Mise a jour quotidienne

Ajout du 2026-01-22

Depannage: check rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Lire journalctl en priorite
  • Verifier systemctl --failed
  • Identifier les saturations disque

Commandes

journalctl -p err -S "today"
systemctl --failed
df -hT

Mise a jour quotidienne

Ajout du 2026-01-23

Commandes utiles

Cette section est ajoutee automatiquement et vise un public confirme.

  • Chaines pipeline claires
  • Utiliser awk pour les rapports
  • Preferer rg pour les recherches

Commandes

rg -n "error" /var/log
ps aux | awk '{print ,,}' | head
sort | uniq -c | sort -nr

Mise a jour quotidienne

Ajout du 2026-01-24

DNS: resolution fiable et debug

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier la chaine avec dig +trace
  • Observer resolvectl et cache local
  • Documenter les resolvers critiques

Commandes

dig +trace debian.org
resolvectl status
sudo systemctl restart systemd-resolved

Mise a jour quotidienne

Ajout du 2026-01-25

Audit securite rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Inventorier les ports exposes
  • Verifier les comptes privilegiés
  • Controler les binaires SUID

Commandes

ss -tulpen
sudo awk -F: '==0 {print }' /etc/passwd
sudo find / -perm -4000 -type f 2>/dev/null

Mise a jour quotidienne

Ajout du 2026-01-26

Btrfs/ZFS: integrite et snapshots

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier l etat des pools
  • Lancer un scrub regulier
  • Creer des snapshots horodates

Commandes

sudo btrfs scrub start -Bd /
sudo zpool status
sudo zfs snapshot tank/data

Mise a jour quotidienne

Ajout du 2026-01-27

Observabilite avancee

Cette section est ajoutee automatiquement et vise un public confirme.

  • Mesurer CPU, memoire, I/O
  • Identifier les hotspots avec perf
  • Tracer les appels systeme critiques

Commandes

htop
sudo perf top
sudo strace -fp 1234

Mise a jour quotidienne

Ajout du 2026-01-28

Conteneurs: hygiene de prod

Cette section est ajoutee automatiquement et vise un public confirme.

  • Isoler reseaux internes
  • Executer en non-root
  • Limiter les capabilities

Commandes

docker ps -a
docker run --read-only --cap-drop ALL app:latest
docker network ls

Mise a jour quotidienne

Ajout du 2026-01-29

Kubernetes poste dev

Cette section est ajoutee automatiquement et vise un public confirme.

  • Cluster local via kind ou minikube
  • Namespaces par projet
  • Monitoring via metrics-server

Commandes

kind create cluster --name dev
kubectl get nodes
kubectl top pods -A

Mise a jour quotidienne

Ajout du 2026-01-30

Depannage: check rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Lire journalctl en priorite
  • Verifier systemctl --failed
  • Identifier les saturations disque

Commandes

journalctl -p err -S "today"
systemctl --failed
df -hT

Mise a jour quotidienne

Ajout du 2026-01-31

Commandes utiles

Cette section est ajoutee automatiquement et vise un public confirme.

  • Chaines pipeline claires
  • Utiliser awk pour les rapports
  • Preferer rg pour les recherches

Commandes

rg -n "error" /var/log
ps aux | awk '{print ,,}' | head
sort | uniq -c | sort -nr

Mise a jour quotidienne

Ajout du 2026-02-01

DNS: resolution fiable et debug

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier la chaine avec dig +trace
  • Observer resolvectl et cache local
  • Documenter les resolvers critiques

Commandes

dig +trace debian.org
resolvectl status
sudo systemctl restart systemd-resolved

Mise a jour quotidienne

Ajout du 2026-02-02

Audit securite rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Inventorier les ports exposes
  • Verifier les comptes privilegiés
  • Controler les binaires SUID

Commandes

ss -tulpen
sudo awk -F: '==0 {print }' /etc/passwd
sudo find / -perm -4000 -type f 2>/dev/null

Mise a jour quotidienne

Ajout du 2026-02-03

Btrfs/ZFS: integrite et snapshots

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier l etat des pools
  • Lancer un scrub regulier
  • Creer des snapshots horodates

Commandes

sudo btrfs scrub start -Bd /
sudo zpool status
sudo zfs snapshot tank/data

Mise a jour quotidienne

Ajout du 2026-02-04

Observabilite avancee

Cette section est ajoutee automatiquement et vise un public confirme.

  • Mesurer CPU, memoire, I/O
  • Identifier les hotspots avec perf
  • Tracer les appels systeme critiques

Commandes

htop
sudo perf top
sudo strace -fp 1234

Mise a jour quotidienne

Ajout du 2026-02-05

Conteneurs: hygiene de prod

Cette section est ajoutee automatiquement et vise un public confirme.

  • Isoler reseaux internes
  • Executer en non-root
  • Limiter les capabilities

Commandes

docker ps -a
docker run --read-only --cap-drop ALL app:latest
docker network ls

Mise a jour quotidienne

Ajout du 2026-02-06

Kubernetes poste dev

Cette section est ajoutee automatiquement et vise un public confirme.

  • Cluster local via kind ou minikube
  • Namespaces par projet
  • Monitoring via metrics-server

Commandes

kind create cluster --name dev
kubectl get nodes
kubectl top pods -A

Mise a jour quotidienne

Ajout du 2026-02-07

Depannage: check rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Lire journalctl en priorite
  • Verifier systemctl --failed
  • Identifier les saturations disque

Commandes

journalctl -p err -S "today"
systemctl --failed
df -hT

Mise a jour quotidienne

Ajout du 2026-02-08

Commandes utiles

Cette section est ajoutee automatiquement et vise un public confirme.

  • Chaines pipeline claires
  • Utiliser awk pour les rapports
  • Preferer rg pour les recherches

Commandes

rg -n "error" /var/log
ps aux | awk '{print ,,}' | head
sort | uniq -c | sort -nr

Mise a jour quotidienne

Ajout du 2026-02-09

DNS: resolution fiable et debug

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier la chaine avec dig +trace
  • Observer resolvectl et cache local
  • Documenter les resolvers critiques

Commandes

dig +trace debian.org
resolvectl status
sudo systemctl restart systemd-resolved

Mise a jour quotidienne

Ajout du 2026-02-10

Audit securite rapide

Cette section est ajoutee automatiquement et vise un public confirme.

  • Inventorier les ports exposes
  • Verifier les comptes privilegiés
  • Controler les binaires SUID

Commandes

ss -tulpen
sudo awk -F: '==0 {print }' /etc/passwd
sudo find / -perm -4000 -type f 2>/dev/null

Mise a jour quotidienne

Ajout du 2026-02-11

Btrfs/ZFS: integrite et snapshots

Cette section est ajoutee automatiquement et vise un public confirme.

  • Verifier l etat des pools
  • Lancer un scrub regulier
  • Creer des snapshots horodates

Commandes

sudo btrfs scrub start -Bd /
sudo zpool status
sudo zfs snapshot tank/data