Montée en version vers Bullseye - Fail2ban KO

[G2PC]

Bonjour,

Votre montée en version vers Bullseye et avec Fail2ban ce passe t'elle
tranquillement ?

De mon côté, j'observe que quelques règles ne fonctionnent plus, lié à
la montée en version de Fail2ban.

Avez vous eu également cette problématique de règles Fail2ban à mettre à
jour de votre côté ?

Re: Truc louche avec ssh

[G2PC]

A tout hasard, tu as assez de ram ?
Si le fichier est trop lourd, ça peut jouer ?
Sinon, tu peux tenter de gérer les tailles des fichiers de logs pour
n'avoir que 1 ou 5Mo max par fichier ?
Le tail pourrait alors peut être ne plus tuer la connexion ?

Re: Linux Debian avec un NAS WDMyCloud

[G2PC]

Quelques notes suite à la réin stallation de mon NAS, pour compléter le
sujet :
https://wiki.visionduweb.fr/index.php?title=NAS_WD_My_Cloud

Re: Outils d'analyse de logs centralisés

[G2PC]

Quelques noms de paquets dédiés à la gestion des logs :
https://wiki.visionduweb.fr/index.php?title=Gestion_des_logs

Le 16/02/2021 à 13:31, JUPIN Alain a écrit :
> Bonjour,
>
> Ayant plusieurs serveur et vps à administrer, je souhaite mutualiser les
> logs sur un seul serveur.
> Alors non, je ne vais pas vous demander comment faire, çà j'ai réussi,
> avec rsyslog, c'est assez basique.
>
> J'ai donc un vps, qui reçoit les logs de tous mes serveurs et autres vps.
> Sur ce VPS tourne aussi une interface web qui heberge une instance de
> LogAnalyzer.
>
> Le problème c'est que la quantité de données assez importante rend
> l'utilisation de cet outils ... incroyablement lent et en pratique
> "impossible" !
> Du coup je suis surtout à la recherche de vos retours concernant les
> divers outils de gestion centralisée de LOGS (qui sont stockés pour
> l'heure dans une base MariaDB).
>
> Merci à vous par avance
>

Re: machine en qwerty après démarrage systématiquement

[G2PC]

 Changer de clavier qwerty pour azerty

dpkg-reconfigure keyboard-configuration
service keyboard-setup restart

# Sinon :
# Menu / Application / paramètres / clavier
Décocher  paramètre par défaut.
Choisir modèle de clavier.
Changer l'option de disposition. (Ne rien faire.)
Touche composer (Ne rien faire.)
Disposition du clavier.(Ajouter le français et le placer en premier.) On peut 
cliquer deux fois pour choisir la disposition du clavier (AZERTY).

# Redémarrer la machine semble nécessaire pour appliquer la nouvelle 
configuration du clavier !

# Sinon, on peut appliquer de façon temporaire :
setxkbmap fr

Source :https://wiki.debian.org/fr/Keyboard  


Source 
:https://wiki.visionduweb.fr/index.php?title=Utiliser_des_commandes_shell_avec_le_terminal#Changer_de_clavier_qwerty_pour_azerty
  

Re: Linux Debian avec un NAS WDMyCloud

[G2PC]

Bonjour Jérémy

J'ai bien réussi à récupérer l'adresse du NAS ( ce que j'avais déjà su
faire )
Ensuite, avec l'adresse IP, j'arrive dans l'espace administration du
NAS, ce que j'avais également pu faire.

Par contre, je n'arrivais pas à consulter mes fichiers ...

En cherchant, j'ai pu identifier la nouvelle adresse qui permet de
naviguer sur son NAS à distance : https://files.mycloud.com
Malgré tout, impossible de s'identifier au NAS.

En cherchant dans l'administration du NAS, j'ai désactivé la connexion
par SSH.
Grâce à ça, j'ai enfin pu récupérer l'accès à mon NAS pour consulter les
fichiers.

https://files.mycloud.com me permet maintenant de me connecter.
Je peux également me connecter depuis mon linux, directement sur le NAS,
par le biais du réseau local.


J'ai encore deux questions qui sont en suspens :

1- Depuis l'admin, ça me dit que j'ai 2To de libre ( mais que 3.7 Go
sont occupés ) Je ne retrouve pas les 3.7 Go en fichiers, mon NAS semble
vide.
Est ce qu'il pourrait s'agir de logiciels en interne ( Firmware intégrés ? )

2- Comment fait on pour donner des accès à de nouvelles personnes,
maintenant que le site de WDMyCloud est mort ?
( WDMyCloud.com )

> Bonjour,
> Le 29/11/2020 à 02:15, G2PC a écrit :
>> Salut et merci Samuel
>>
>> Donc si je comprend bien, je dois récupérer l'adresse IP du nas depuis
>> l'administration de la BOX.
> oui
>> Ensuite, comment utilises tu l'adresse IP pour communiquer avec le NAS ?
> en http, par ton navigateur.
> http://192.168.1.x
>> Ce qui est étonnant c'est qu'il est identifié dans le réseau, mais, si
>> je double clic sur l'icone, il ne se passe rien.
> parce qu'il doit pas avoir de partage configuré

Re: Linux Debian avec un NAS WDMyCloud

[G2PC]

Salut et merci Samuel

Donc si je comprend bien, je dois récupérer l'adresse IP du nas depuis
l'administration de la BOX.
Ensuite, comment utilises tu l'adresse IP pour communiquer avec le NAS ?

Ce qui est étonnant c'est qu'il est identifié dans le réseau, mais, si
je double clic sur l'icone, il ne se passe rien.


Le 27/11/2020 à 09:22, Samuel Cifuentes a écrit :
> Salut
>
> j'ai un de ces appareils, un truc blanc muni d'un seul disque 1To
> format 3.5
>
> sur le mien en tout cas, c'est une interface web qui sert à
> l'administrer et pas une interface proprietaire
>
> donc c'est complètement agnostique par rapport au système
> d'exploitation utilisé pour le configurer
>
> il est capable de proposer des partages NFS donc directement
> utilisables via un Linux
>
> pour savoir quelle est son adresse ip, je pense que tu dois pouvoir te
> débrouiller en te rendant sur l'interface du routeur(box) sur le
> réseau duquel il est connecté
>
> A+
>
>
>
> Le 26/11/2020 à 13:30, G2PC a écrit :
>> Bonjour,
>>
>> J'ai un " vieux " NAS WDMyCloud que je souhaite réutiliser.
>> Un logiciel propriétaire est proposé pour son utilisation avec Windows.
>>
>> Pensez vous qu'il soit possible de l'utiliser avec Debian ?
>>
>> Pour le moment, je rencontre des difficultés à le mettre en fonction,
>> depuis Windows, car il n'est pas reconnu sur le réseau.
>> Étonnamment il est reconnu sur le réseau Debian. Par contre, pas
>> utilisable, vu que je n'ai pas le logiciel propriétaire qui n'existe pas
>> pour Linux.
>>
>> Peut être que l'un d'entre vous à déjà pu utiliser un NAS WDMyCloud.
>>
>> Merci,
>>
>

Linux Debian avec un NAS WDMyCloud

[G2PC]

Bonjour,

J'ai un " vieux " NAS WDMyCloud que je souhaite réutiliser.
Un logiciel propriétaire est proposé pour son utilisation avec Windows.

Pensez vous qu'il soit possible de l'utiliser avec Debian ?

Pour le moment, je rencontre des difficultés à le mettre en fonction,
depuis Windows, car il n'est pas reconnu sur le réseau.
Étonnamment il est reconnu sur le réseau Debian. Par contre, pas
utilisable, vu que je n'ai pas le logiciel propriétaire qui n'existe pas
pour Linux.

Peut être que l'un d'entre vous à déjà pu utiliser un NAS WDMyCloud.

Merci,

Re: Export de base de données utf8mb4

[G2PC]

Le 21/09/2020 à 16:44, Daniel Caillibaud a écrit :
> Le 21/09/20 à 13:09, G2PC  a écrit :
>> J'exporte ainsi la base de données :
>>
>> |mysqldump -u UTILISATEUR -pPASSWORD -h HOTE Nom_de_la_base_de_données >
>> base_exportee.sql|
> ok (sans le | de fin je suppose…)

Je ne sais pas d'ou viens le | en début et fin, je ne l'ai pas vu lors
de ma publication.
Je ne les vois que lors de ta réponse. Étrange !

>
>> Comme mentionné, si je la réimporte directement, je ne note aucun
>> disfonctionnement.
>> Ainsi, j'en conclus que l'export fonctionne, tout comme l'import.
>>
>> Par contre, si je récupère le fichier .sql obtenu, de diverses façons :
>> - Directement en le chargement en https par le site,
>> - Directement en le chargeant par FTP,
>> - Par téléchargement en tant que archive .zip ou tar.gz,
>> ...
>> Alors, le fichier ne pourra pas être ouvert avec mon éditeur de texte,
>> ou, aucun de mes IDE ( Eclipse, Aptana, Bluefish, Emacs ... )
>> Il va bloquer ( Fenêtre figée ) dès 25% d'ouverture environ.
> Ah, mais ça c'est l'éditeur choisi qui ne parvient pas à éditer un fichier 
> aussi gros, mais
> c'est pas forcément un pb du fichier.

Sauf que si je l'exporte avec PhpMyAdmin, j'arrive bien à éditer le
fichier en entier.

> Et si tu l'ouvre en console avec un 
>   less base_exportee.sql
> tu vois bien l'ensemble du contenu ?
> (touche fin pour aller à la fin du fichier)

Si j'édite le fichier, directement sur le serveur, oui.
Si j'édite le fichier localement après l'avoir récupéré par un mysqldump
il me semble que non.
>
>> Si je sauvegarde cette base de données en passant par PhpMyAdmin, alors,
>> le fichier sera bien lisible avec mes IDE ou éditeur de texte.
> Et tu es sûr que l'export est complet ?
> Il fait la même taille que l'autre ?

Je ne l'ai pas sous les yeux, mais, je pense qu'ils ont la même taille,
à peu de chose près.
C'est bien un problème d'encodage, d'après moi.
Comme je l'ai mentionné, mon export avec mysqldump peut être réimporté
sur le serveur, sans perte.

Ensuite, je récupère ce fichier dans une archive zip ou tar.gz
J'ai bien récupéré la totalité de l'archive et j'arrive bien à la
décompresser.
Pour moi, ce n'est pas un problème de corruption, je ne pense pas.

Quoi qu'il en soit, c'est très étrange.

Re: Export de base de données utf8mb4

[G2PC]

J'exporte ainsi la base de données :

|mysqldump -u UTILISATEUR -pPASSWORD -h HOTE Nom_de_la_base_de_données >
base_exportee.sql|


Comme mentionné, si je la réimporte directement, je ne note aucun
disfonctionnement.
Ainsi, j'en conclus que l'export fonctionne, tout comme l'import.

Par contre, si je récupère le fichier .sql obtenu, de diverses façons :
- Directement en le chargement en https par le site,
- Directement en le chargeant par FTP,
- Par téléchargement en tant que archive .zip ou tar.gz,
...
Alors, le fichier ne pourra pas être ouvert avec mon éditeur de texte,
ou, aucun de mes IDE ( Eclipse, Aptana, Bluefish, Emacs ... )
Il va bloquer ( Fenêtre figée ) dès 25% d'ouverture environ.


Si je sauvegarde cette base de données en passant par PhpMyAdmin, alors,
le fichier sera bien lisible avec mes IDE ou éditeur de texte.


Comme je le disais, je ne rencontre ce genre de problème sur aucune
autre de mes bases de données.


>> Par contre, si je récupère le fichier vers ma machine locale, de
>> différentes façons, rien ne va plus, le fichier se bloque lors de son
>> ouverture.
> Le fichier a été obtenu comment ?
> "se bloque", mais encore ?

Export de base de données utf8mb4

[G2PC]

Bonjour,

Je rencontre un drôle de problème avec mon mediawiki, et, l'export de la
base de données depuis Mariadb.
Cela fait maintenant plusieurs mois que mon problème perdure.

Le fichier est bien fonctionnel, si une fois exporté sur le serveur, je
le réimporte directement, tout va bien.

Par contre, si je récupère le fichier vers ma machine locale, de
différentes façons, rien ne va plus, le fichier se bloque lors de son
ouverture.

Si j'exporte la base de données à l'aide de phpmyadmin, le fichier peut
être consulté en local.

C'est certainement un problème d'encodage du fichier final, mais,
comment y remédier ?
L'export de mes autres bases de données se déroulent très bien.

Re: Comment interdire certains sites web à un utilisateur donné ou limiter le temps d'utilisation ?

[G2PC]

Le 25/08/2020 à 12:03, Michel Memeteau - EKIMIA a écrit :
>
>
> Le lun. 24 août 2020 à 16:22, Olivier  > a écrit :
>
>
> Le lun. 24 août 2020 à 14:51, Michel Memeteau - EKIMIA
> mailto:m...@ekimia.fr>> a écrit :
>
> Pour le temps d'utilisation
> : https://doc.ubuntu-fr.org/timekpr  ( version next ) 
>
>
> timekpr-next n'est empaqueté que pour Bullseyes
> Ses dépendances telles qu'elles sont listées dans Bulleyes,
> existent dans des versions "très proches" dans Buster.
>
>
> La version pour Focal fonctionnera très bien sur
> buster 
> https://launchpad.net/~mjasnik/+archive/ubuntu/ppa?field.series_filter=focal 
>


Les 3 liens suivants devraient te permettre de faire pas mal de choses
pour commencer :

https://wiki.visionduweb.fr/index.php?title=Sommaire_S%C3%A9curit%C3%A9#Limiter_le_temps_de_connexion_.C3.A0_internet

https://wiki.visionduweb.fr/index.php?title=Sommaire_S%C3%A9curit%C3%A9#Configurer_le_fichier_.2Fetc.2Fhosts

https://wiki.visionduweb.fr/index.php?title=Sommaire_S%C3%A9curit%C3%A9#.2Fetc.2Fhosts.deny

Re: Modification user 1000

[G2PC]

Le 24/08/2020 à 13:07, hamster a écrit :
> Le 24/08/2020 à 13:06, hamster a écrit :
>> Le 24/08/2020 à 11:20, Patrick ZAJDA a écrit :
>>> Quant à modifier le répertoire home et le login, au lieu de modifier
>>> des fichiers à la main, je ferais plus ça :
>>> sudo usermod --home nouveau_home --move-home --login titi toto
>> Merci pour cette commande que je ne connaissait pas. J'aurais aussi
>> rajouté l'option -m :
>> -m, --move-home
> Bon, faut que je retourne apprendre a lire un man…

Du coup, c'est fiable ou pas, de changer le nom d'utilisateur, son
dossier, son mot de passe ... Ou, ça nous explose à la gueule ?

Je reste sur l'avis précédent, à la rigueur, le modifier juste après sa
création, sinon, ne pas toucher ?

Re: Captation flux audio ET vidéo

[G2PC]

Le 17/06/2020 à 22:20, Yannick a écrit :
> Bonsoir,
>
> Je suis amener à faire une intervention lors d'un salon virtuel en ligne.
> Je cherche un outil graphique qui me permette de récupérer le signal
> vidéo et le son que je vais émettre.
> J'utiliserais une plateforme Jitsi pour faire la conférence.
>
> Le but est d'avoir une copie de cette intervention. On me propose de
> passer par FB mais bon j'en suis parti ce n'est pas pour y revenir.
>
> Amitiés

J'ai testé OBS mais est ce que ça répond à tes besoins, je ne sais pas ?

https://wiki.visionduweb.fr/index.php?title=Sommaire_des_tutoriels_pour_multimedia#Applications_vid.C3.A9o

Re: Effacer les fichiers qui ne sont contenus dans aucun paquet

[G2PC]

>     J'ai réussi à faire redémarrer le système, mais je me retrouve
> maintenant avec des fichiers surnuméraires. Existe-t-il un moyen
> d'effacer tous les fichiers d'un répertoire qui ne sont pas dans l'un
> des paquets installé sur le système (autre que l'algo trivial qui doit
> être en n² consistant à chercher pour tous les fichiers du répertoire
> s'ils apparaissent dans l'une des sorties de dpkg-query -L xx) ?
>
> Bien cordialement,
>
> JKB

Aucune idée, mais, des fois que tu saurais adapter une des possibilités
suivantes, c'est tout ce que j'ai pu lister, concernant le nettoyage de
Debian :
https://wiki.visionduweb.fr/index.php?title=Nettoyer_Debian

Debian Buster - Exim - exim-gencert - Can't load /root/.rnd into RNG

[G2PC]

# Générer un certificat :
sudo bash /usr/share/doc/exim4-base/examples/exim-gencert
[*] Creating a self signed SSL certificate for Exim!
This may be sufficient to establish encrypted connections but for
secure identification you need to buy a real certificate!

Please enter the hostname of your MTA at the Common Name (CN) prompt!

*Can't load /root/.rnd into RNG*

Source : 
https://wiki.visionduweb.fr/index.php?title=Installer_un_serveur_mail#G.C3.A9n.C3.A9rer_un_certificat_pour_Exim


# Pour ne plus rencontrer l'erreur "Can't load /root/.rnd into RNG", éditer le 
script proposé par Exim pour générer le certificat :
sudo nano /usr/share/doc/exim4-base/examples/exim-gencert
*# Commenter la ligne suivante pourrait être suffisant ?*
RANDFILE = $HOME/.rnd


# Malgré cette erreur rencontrée avec le script de génération de certificat 
proposé par Exim, une clé privée RSA de 2048 bits sera bien générée.
# Le fichier /root/.rnd n'a pas besoin d'exister initialement car le fichier 
/usr/share/doc/exim4-base/examples/exim-gencert va le créer puisqu'il n'existe 
pas.
# Le fichier /root/.rnd existera effectivement par après :
-rw---  1 root root  1024 juin   6 18:41 .rnd
# Il faudrait remonter ce manque de clarté au projet Exim, pour que le message 
d'erreur soit moins ambigu : non, le fichier n'existe pas, mais, oui, il va 
être créé.

# Le système d'exploitation fournit automatiquement ce fichier de hash en 
utilisant son propre RNG via /dev/urandom ou via des appels système tels que 
getentropy() ou CryptGenRandom().
# Le fichier .rnd est un résidu du temps où le système d'exploitation manquait 
d'un bon CSPRNG, peut-être lorsque le Linux /dev/urandom était considéré comme 
de mauvaise qualité et que /dev/random produisait des données trop lentement en 
raison de problématiques d'entropie. Ce n'est plus le cas à ce jour.
# S'appuyer entièrement sur un fichier de hash stocké dans votre homedir serait 
en fait moins sûr.


# Suite à ce message, j'ouvre une issue à but d'information, sur le bogue 
tracker de Exim.
# On me répondra que ce n'est pas un problème de Exim mais de Debian, qui 
fournit le script.
Source : https://bugs.exim.org/show_bug.cgi?id=2591
Source : 
https://salsa.debian.org/exim-team/exim4/-/blob/master/debian/exim-gencert


A suivre, pour vos avis, et, éventuelle maintenance à proposer ?

Re: iptables ou nftables ?

[G2PC]

>> Comment appréhender la phrase : " Iptables n'est plus qu'une façade ? "
>> Je dois crépir ou décrépir mes configurations Iptables ?
> Depuis Debian Buster, iptables (+ip6tables+arptables+ebtables) utilise 
> nftables comme back-end.
> C'est le module kernel nftables qui est utilisé pour filtrer ton trafic.
> Même si tu utilises iptables.
> Cf. https://wiki.debian.org/nftables
>
> Dans un futur plus ou moins proche, iptables disparaîtra.
>
> Pour info, iptables et nftables sont tout les deux développés et maintenus 
> par le projet netfilter (cf. https://www.netfilter.org/).
>
> Et pour ceux que ça intéresse, la page du wiki indique un lien pour 
> transformer ses règles iptables vers nftables.
>
> Il existe aussi un outil en ligne de commande que je n'ai jamais utilisé qui 
> s'appelle iptables-translate.
>
> Je rappelle que je ne suis pas un spécialiste.
>
> Merci de vérifier ces infos et de ne pas les prendre pour argent comptant.

Merci de tes explications, je comprend mieux.
J'en ai profité pour mettre à jour ma section Nfstables.
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#Iptables_vs_nftables

Re: iptables ou nftables ?

[G2PC]

> nftables est le nouveau standard de contrôle du traffic réseau.
> Sur une Debian Testing, iptables n'est plus qu'une façade pour nftables.
> C'est le cas depuis Debian Buster (stable actuelle).

Comment appréhender la phrase : " Iptables n'est plus qu'une façade ? "
Je dois crépir ou décrépir mes configurations Iptables ?

Re: Comment transformer un script sans paramètre en appli web

[G2PC]

> Obligation à chaque lecture de répondre à une fenêtre qui s'ouvre :
> "valider" ou "annuler", c'est horripilant.
>
> Et puis, ça sert à quoi sur une ML ?
> (ça se fait dans une contexte privé pour être sûr que c'est bien l'autre).
>
> Si tel était le cas, je me dédis de toutes les ML.
Fais comme moi, tu les ajoutes quand tu clic trop vite, et, tu les
supprimes une fois par an, ou pas.

Recherche de fainéant pour recommander Iptables / Netfilter au SILL

[G2PC]

Recherche de fainéant pour recommander Iptables / Netfilter au SILL

( Fainéant / Référent )

J'ai testé le dépôt du SILL hier, pour une recherche sur Iptables /
Firewall / pare-feu, car je cherchais un outil d'analyse de log, et, je
n'ai rien trouvé.
J'ai constaté que une seule réponse est retournée.

J'ai envoyé un mail pour demander si il était possible de rajouter
Iptables, et, suite à la réponse du SILL, j'ai ouvert une issue sur le
Github du SILL.

Seulement, il faut être un fainéant officiel, pour être reconnu, et,
être en droit d'être référent d'un logiciel libre proposé.

Moi, étant un fainéant chômeur et handicapé, je n'ai pas la liberté pour
être référent.

Vous pouvez passer le mot aux fainéants.

https://github.com/DISIC/sill/issues/114

Merci.

analog est t'il encore utilisé ?

[G2PC]

Bonjour, j'ai remarqué que le paquet analog est installé sur mon serveur.

Est t'il encore utilisé ?
Je ne trouve pas beaucoup d'informations à son sujet.

J'ai vu que fwanalog utiliserait ce paquet, pour générer un rapport sur
les logs de iptables.

Il me semble que ce sont des paquets assez poussiéreux.

Quoi de neuf à utiliser, pour générer une synthèse des paquets bloqués
par Iptables ?

Exim et Rsyslog : Mon fichier de log mail.log reste vide.

[G2PC]

Bonjour,

Je cherche à loguer les mails que j'envoie depuis le terminal, avec la
commande mail.

J'utilise Exim et Rsyslog.

Mon fichier de log mail.log reste vide.


Je suppose que les droits propriétaires sont les bons sur mon fichier
mail.log ( root:adm ).


Si quelqu'un a une configuration fonctionnelle, ou, pourrait tester Exim
+ Rsyslog + Envoie d'un mail distant à l'aide du terminal, et, observer
si il arrive à loguer des traces de l'envoi.

Merci

Re: Cherche un testeur pour installer DenyHosts sur Debian Stable

[G2PC]

Le 20/05/2020 à 14:17, G2PC a écrit :
> Cherche un testeur pour installer DenyHosts sur Debian Stable
>
> J'ai rédigé cette documentation pour installer DenyHosts sur Debian
> Buster Stable.
>
> https://github.com/denyhosts/denyhosts/commit/98d2bb9ffd4c0bb4af91a9d4332b4a7566296376#diff-d396f81f39f45168d5772b9c65688525
>
> Pouvez vous tester ?
>
> Noter qu'il faut également avoir installé rsyslog pour renseigner le
> fichier auth.log
>
> Merci de vos retours.
Concernant l'issue 144 : https://github.com/denyhosts/denyhosts/issues/144

Je lis le message suivant, et, je me demande si il est normal de voir
affiché "tart" et non pas "start..." ?
Le message est t'il tronqué par Debian ?

|systemd[1]: denyhosts.service: Failed with result 'exit-code'.
tart-stop-daemon: unable to start /usr/share/denyhosts/denyhosts_ctl.py|

Cherche un testeur pour installer DenyHosts sur Debian Stable

[G2PC]

Cherche un testeur pour installer DenyHosts sur Debian Stable

J'ai rédigé cette documentation pour installer DenyHosts sur Debian
Buster Stable.

https://github.com/denyhosts/denyhosts/commit/98d2bb9ffd4c0bb4af91a9d4332b4a7566296376#diff-d396f81f39f45168d5772b9c65688525

Pouvez vous tester ?

Noter qu'il faut également avoir installé rsyslog pour renseigner le
fichier auth.log

Merci de vos retours.

Re: phpmyadmin : difficultés d'installation

[G2PC]

> Ma question = que faire ?

Bonne question :/

Mais, éventuellement, passe par le site, et, installe la dernière
version, par toi même.
C'est plus simple, tu auras une version bien à jour.
Tu as d'avantage la main, pour configurer rapidement le nom du
répertoire qui stock PHPMyAdmin, pour y ajouter un fichier .htaccess ...
... ...
Mais, si tu trouves, tiens nous informé.

https://wiki.visionduweb.fr/index.php?title=Installer_PHPMyAdmin#Installer_PHPMyAdmin_depuis_les_sources

Rsyslog ou autre chose ?

[G2PC]

Bonjour, Est ce que rsyslog est toujours le démon syslog par défaut sur
debian Buster ?

Sur un VPS OVH j'ai bien le fichier auth.log de renseigné, et le paquet
rsyslog d'installé par défaut.

Sur un VPS LWS le fichier n'existe pas et le paquet rsyslog n'est pas
installé.

Re: Debian Denyhost Bogue 128

[G2PC]

Le 14/05/2020 à 12:21, Alban Vidal a écrit :
> Bonjour,
>
> Le 14/05/2020 à 09:08, G2PC a écrit :
>> Comment faire pour que le dépôt SID puisse proposer une version au
>> minimum en 2.6 et de préférence en 3.1 , car, il serait sûrement
>> intéressant de pouvoir profiter des derniers correctifs.
> Un bogue est déjà ouvert depuis 2016 pour demander la mise à jour en 3.1
> [1], donc à part proposer de l'aide au Mainteneur, je ne vois pas trop
> quoi faire.
>
> Sachant que si il n'est pas mis à jour il ne sera jamais présent dans
> testing, voir le bogue bloquant concernant Python2 sur ce paquet [2].
>
> Alban
>
> [1] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=833884
> [2] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=936385

Ok, ceci explique cela. Merci de ta réponse.

Il me semble que la personne ayant repris le projet, a justement pris en
compte les bogues Debian, suite au fait de la remontée du bogue que j'ai
rencontré, qui m'éjectait lors de l'installation.

Il faudrait pouvoir tester sa proposition de correctif, concernant
l'ajout de l'ip client de l'admin installant le paquet, dans le allow.hosts

Je vais voir à suivre l'évolution des 2 bogues que tu as mentionné, et,
des autres bogues reportés par le dev qui suit le projet :
https://github.com/denyhosts/denyhosts/issues?q=is%3Aissue+is%3Aopen+label%3A%22Debian+Bug%22

Re: Debian Denyhost Bogue 128

[G2PC]

> Bonjour,
>
> Quelqu'un pour tester la version Denyhost branche bug_128 ?
>
> Il s'agirait de vérifier la nouvelle fonctionnalité, sur un serveur VPS
> / Dédié, que votre IP publique ( box à la maison ), soit bien ajoutée
> dans le fichier hosts.allow
> Merci de vos retours.
>
>
> Bogue : https://github.com/denyhosts/denyhosts/issues/128
>
> Branche : https://github.com/denyhosts/denyhosts/tree/bug_128
>
> Tutoriel Denyhost :
> https://wiki.visionduweb.fr/index.php?title=Sommaire_S%C3%A9curit%C3%A9#Prot.C3.A9ger_son_serveur_avec_DenyHosts


Question complémentaire,

La version Denyhosts sur Buster Stable n'est pas disponible.

Il faut monter sur SID pour une version 2.0.2

Sur SourceForge, est disponible une version 2.6, dernière maintenue par
le développeur, qui ne maintient plus cette extension.

Sur Github, le projet a été repris et propose maintenant une 3.1 stable.


Comment faire pour que le dépôt SID puisse proposer une version au
minimum en 2.6 et de préférence en 3.1 , car, il serait sûrement
intéressant de pouvoir profiter des derniers correctifs.

Debian Denyhost Bogue 128

[G2PC]

Bonjour,

Quelqu'un pour tester la version Denyhost branche bug_128 ?

Il s'agirait de vérifier la nouvelle fonctionnalité, sur un serveur VPS
/ Dédié, que votre IP publique ( box à la maison ), soit bien ajoutée
dans le fichier hosts.allow
Merci de vos retours.


Bogue : https://github.com/denyhosts/denyhosts/issues/128

Branche : https://github.com/denyhosts/denyhosts/tree/bug_128

Tutoriel Denyhost :
https://wiki.visionduweb.fr/index.php?title=Sommaire_S%C3%A9curit%C3%A9#Prot.C3.A9ger_son_serveur_avec_DenyHosts

Re: Cron toutes les 75 h

[G2PC]

> J’essaierai avec un sleep ou quelque chose comme ça.

Quel intérêt de faire une tâche tous les 3 jours avec 3h de décalage sur
une plage horaire aussi large ?

Peut être faire un script qui s’exécute tous les jours à ce moment la,
voir même, toutes les heures.

Le script devra écrire un token quelque part, à vérifier. Si le token
existe, y mettre la date et l'heure voulue pour exécuter le script.

Une fois le script exécuté, supprimer le token.

Lors de la nouvelle tâche cron, si le token n'existe pas, recréer le
token pour dans 3 jours, avec une création aléatoire en ce qui concerne
l'heure, qui sera saisie dans le token.

Un truc dans le genre, non ?

Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

[G2PC]

> Je n'ai pas regardé en détail la différence entre les deux, mais je pense
> que tu fais fausse route. Peu importe la façon dont il va être lancé, il
> est préférable de n'avoir qu'un seul script (qui pourra éventuellement
> s'adapter à son contexte d'exécution).
>
> Là encore, il arrivera sûrement un jour où tu feras une modification dans
> l'un et que tu oublieras de reporter dans l'autre et ce sera le drame.
>
> Sébastien

Oui je me dis la même, faut que je revois ça, sans les nausées et les
migraines.

Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

[G2PC]

> Je privilégierais ça :
>
>     sudo cp /etc/hosts.deny /etc/hosts.deny.bak
>
> Tu devrais interrompre ici si wget n'aboutit pas :
>
>     wget https://hosts.ubuntu101.co.za/superhosts.deny -P /tmp || exit 1
>
>>  cat /tmp/superhosts.deny > /etc/hosts.deny
>
> Chevron simple (">") plutôt non ? tu veux remplacer le contenu plutôt que
> l'ajouter à la suite (si j'ai bien suivi)…

Point 1 et 2 ok. Point 3, effectivement, initialement, je déplaçais le
fichier hosts.deny et il n'existait plus un court instant.
Ce qui nous donne, pour le moment, deux script différents, un que
j'utilise manuellement, un second qui serait à lancer via la crontab de
root.
Je me trompe, ou, ils ne seront pas pareil, du fait de l'approche avec
root, qui serait différente que dans le cas d'un utilisateur normal mais
en sudoers ?

En fait, je pense me tromper, car, même dans le script que je pense
comme " normal ", il est lancé par sudoers, donc, je dois également
définir le moment ou il faut utiliser le simple utilisateur pour
télécharger.

Par contre, j'ai un gros doute sur la fin du deuxième script, j'ai mis
deux fois exit, la première fois pour quitter l'utilisateur sur lequel
j'ai basculé, la deuxième fois pour quitter le script totalement.

# Proposition pour créer manuellement le nouveau fichier hosts.deny depuis un 
script lancé par sudo :

# Utiliser le lien direct vers le fichier superhosts.deny (Plus de 15Mo) : 
https://hosts.ubuntu101.co.za/superhosts.deny
sudo cp /etc/hosts.deny /etc/hosts.deny.bak
# On peut télécharger le fichier dans le répertoire /tmp en tant que simple 
utilisateur.
# Arrêter le script si le fichier ne peut pas être téléchargé.
wget https://hosts.ubuntu101.co.za/superhosts.deny -P /tmp || exit 1
sudo -s
cat /tmp/superhosts.deny > /etc/hosts.deny
exit
rm /tmp/superhosts.deny


# Proposition pour créer le nouveau fichier hosts.deny depuis une tâche cron 
lancée avec la crontab de root :

# Utiliser le lien direct vers le fichier superhosts.deny (Plus de 15Mo) : 
https://hosts.ubuntu101.co.za/superhosts.deny
cp /etc/hosts.deny /etc/hosts.deny.bak
# On peut télécharger le fichier dans le répertoire /tmp en tant que simple 
utilisateur.
# Arrêter le script si le fichier ne peut pas être téléchargé.
sudo - utilisateur_normal
wget https://hosts.ubuntu101.co.za/superhosts.deny -P /tmp || exit 1
# On quitte le simple utilisateur pour copier le contenu du fichier temporaire 
vers le fichier appartenant à root:root
exit
cat /tmp/superhosts.deny > /etc/hosts.deny
# On supprime le fichier temporaire avec le simple utilisateur :
sudo - utilisateur_normal
rm /tmp/superhosts.deny
# On quitte, deux fois (?)
exit
exit

Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

[G2PC]

> echo "X"
> echo "Y"
> echo "Z"
>
> en :
>
> cat <<'EOF'
> X
> Y
> Z
> EOF
J'ai pris note.

Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

[G2PC]

> En fait, si d'aventure il y avait une tentative d'exploiter une
> vulnérabilité dans wget(1), alors cela n'affecterait que le
> compte qui aura lancé la commande.
Pasque wget a des vulnérabilités aussi. Nom d'un gruyère !
>> De plus si on utilise ce script via crontab de root, le sudo ne sera pas
>> utilisé, et, éventuellement, on récupèrera le fichier directement via le
>> script lancé depuis la crontab de root, donc, en root.
> Il est possible de céder ses drois de super utilisateur, avec
> su(8) ou sudo(8) depuis un crontab(1) appartenant à root, en se
> rabaissant aux droits d'un utilisateur normal, par exemple au
> hasard nobody:
Je ne sais pas ou tu a copier l'explication mais droits prend un " t " ;)
>
>   su - nobody -c 'wget https://example.org/index.html -P /tmp'
>   sudo -u nobody wget https://example.org/index.html -P /tmp
>
> Un détail auquel je n'ai pas pensé précédemment, la commande
> mv(1) conserve les utilisateurs et groupes, donc il faudra
> penser attribuer le fichier à root et au groupe root avec
> chown(1) avant de déplacer le fichier ou bien lancer à nouveau
> une commande cp(1).
" il faudra penser A attribuer " -> Les traductions ont des failles ;)

Vu,
Je suis passé de 4 à 7/10 lignes.
Si ça me semble correcte pour un lancement à la main, je ne sais plus
trop ou j'en suis pour un lancement du même script depuis la crontab de
root.
Mon script tel que proposé ici utilise sudo cp et par la suite sudo -s

Lors d'une tache administrative lancée depuis la crontab de root, puis
je laisser le script ainsi, ou, faudrait t'il faire disparaître les sudo
et les sudo -s
Je pense que cela fonctionnerait avec les sudo comme ci-dessous, mais,
par contre, est ce qu'ils ont encore du sens dans un script lancé par root .
Noter que j'ai bien lu ton explication, su ou sudo pourraient /
devraient être utilisés pour changer d'utilisateur avec su - ou sudo -
utilisateur.


 # Proposition pour une copie manuelle
 # Utiliser le lien direct vers le fichier superhosts.deny (Plus de
15Mo) : https://hosts.ubuntu101.co.za/superhosts.deny
 cd /etc
 *sudo cp* hosts.deny hosts.deny.bak
 # On peut télécharger le fichier dans le répertoire /tmp en tant que
simple utilisateur :
 wget https://hosts.ubuntu101.co.za/superhosts.deny -P /tmp
* sudo -s*
 cat /tmp/superhosts.deny >> /etc/hosts.deny
 *exit*
 rm /tmp/superhosts.deny


# Proposition pour un script lancé depuis une tâche cron avec la crontab
de root
# Utiliser le lien direct vers le fichier superhosts.deny (Plus de 15Mo)
: https://hosts.ubuntu101.co.za/superhosts.deny
 cd /etc
cp hosts.deny hosts.deny.bak
 # On peut télécharger le fichier dans le répertoire /tmp en tant que
simple utilisateur :
* sudo - utilisateur_normal*
 wget https://hosts.ubuntu101.co.za/superhosts.deny -P /tmp
# On quitte le simple utilisateur pour copier le contenu du fichier
temporaire vers le fichier appartenant à root:root
 *exit*
 cat /tmp/superhosts.deny >> /etc/hosts.deny
 # On supprime le fichier temporaire avec le simple utilisateur :
 sudo utilisateur_normal
 rm /tmp/superhosts.deny
 # On quitte, deux fois (?) Une fois pour revenir à root, une seconde
pour quitter la fin du script (?)
 exit
 exit

> Comme quoi, en quatre ligne, il y a tout de même des choses à
> dire...  :)
Effectivement.
>>> Tout cela suppose que vous faites confiance au service délivré
>>> par hosts.ubuntu101.co.za pour ne pas mettre n'importe quoi dans
>>> votre /etc/hosts.deny, cat ils seraient en position de rendre
>>> votre machine inaccessible en mettant l'Internet complet dans ce
>>> fichier.
>> C'est certain et effectivement, il me faut ici faire confiance au
>> contenu, ce qui peut être affiné, je suppose avec des contrôles de
>> certificats, ou, une politique de controle de /md5sum, ou les deux, et,
>> peut être encore d'autres choses./
> md5sum(1) permet de vérifier l'intégrité du fichier, pour
> s'assurer qu'il n'y a pas eu de morceaux perdus ou corrompus
> pendant le transfert.  Mais oui, il y a d'autres possibilités:
> j'utilise gpg(1) pour vérifier à la fois l'intégrité et
> l'autenticité de certains fichiers, pour m'assurer qu'ils ont
> bien été construits par la personne qui a signé l'archive ;
> sachant que même avec cette technique, il peut y avoir des
> ratés.  Lisez plutôt la page suivante pour un cas rencontré dans
> la vie réelle :
>
>   https://www.kernel.org/category/signatures.html
>
> Le gestionnaire de paquets APT utilise d'ailleurs cette méthode
> pour s'assurer que le dépôt ou les paquets ont bien été
> construits par les développeurs Debian, et pas quelqu'un autre ;
> d'où les questions de configuration de GPG apparaissant dans le
> fil de discussion « reprepro » lancé par Marc Chantreux.  Malgré
> la mise en place de cette technique, ça n'a pas empêché un
> incident fâcheux avec apt l'an dernier :
>
>   https://www.debian.org/security/2019/dsa-4371
Effectivement j'ai déjà pu constater ça, avec le paquet secure ou
équivalent, qui demande à être installé, pour sécu

Re: créer son propre dépot

[G2PC]

Le 08/05/2020 à 19:30, Marc Chantreux a écrit :
> salut,
>
> merci pour la proposition mais j'ai mon propre site si besoin. je trouve
> plus intelligent de contribuer à la mise à jour des pages officielles et
> à leurs tradductions éventuelles.

C'était surtout pour ne pas polluer le wiki avec de nouvelles
expérimentations, puisque, pour le moment, il semble déjà pollué avec
des informations obsolètes.

Re: [HS] Re: Coup de gueule - Bannissement du wiki et du forum debian-fr.xyz

[G2PC]

> Pour info Debian est passé à nftables depuis Buster.
>

Oui comme je disais, Denyhosts semble utiliser par défaut Iptables,
alors que les anciens tutoriels indiquent que par défaut DenyHosts
n'utilise pas Iptables.

De mon côté, il me semble bien que j'utilise Iptables par défaut, sur
Buster, donc, j'ai du mal à voir l'évolution avec nftables.
J'ai pu faire quelques recherches à ce sujet, mais, c'est assez pénible,
de tout faire, de tous les côtés.

Je laisse les spécialistes des firewall faire leur expérimentations et
proposer leurs documentations.

https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables

J'ai vraiment peu d'informations concernant nftables :


Le futur de Iptables

Linux remplacerait dans l'avenir iptables par nftables.
La technologie eBPF semble aussi très prometteuse.


Tutoriels pour nftables

nftables : https://wiki.debian.org/nftables
Installer nftables depuis les sources sur Debian : 
https://dev.to/isabelcmdcosta/installing-nftables-from-sources-ondebian--4ic

Re: créer son propre dépot

[G2PC]

Le 08/05/2020 à 10:47, Marc Chantreux a écrit :
> salut les gens,
>
> # version courte:
>
> * je pense que https://wiki.debian.org/DebianRepository/SetupWithReprepro
>   a besoin d'être raffraichie ou supprimée. je suis prêt a donner un
>   coup de main pour ça.
> * même en ayant déjoué quelques erreurs, je ne suis pas arrivé à créer
>   un dépot: j'aimerais bien arriver au bout de la démarche.
>
> # trois questions:
>
> * je ne ne vois pas proposer une correction sur le wiki alors que je ne
>   suis pas foutu d'utiliser moi-même reprepo. qui contacter dans ces
>   cas là pour proposer mon aide?
> * j'aimerais arriver au bout de ma démarche. idéalement je ne voulais
>   que signer
> * idéalement, j'aurais aimé continuer à utiliser un simple dépot sans
>   arborescence comme avec dpkg-scanpackages. existe-t'il des scripts
>   simples pour générer Contents et Translation (ou indiquer
>   qu'ils ne sont pas disponibles dans le depot)?

ça serait intéressant de remettre la documentation à jour !

Si jamais tu veux proposer quelque chose, sur un wiki non officiel, je
t'invite à venir partager tes avancées sur mon wiki, dans l'espace
discussion :

->
https://wiki.visionduweb.fr/index.php?title=Discussion:Cr%C3%A9er_son_propre_d%C3%A9p%C3%B4t_Debian_en_local

Ensuite, si tu aboutis le truc, rien n'empêchera de copier coller toute
la page Discussion, pour mettre à jour le wiki officiel.

J'ai tenté de relever quelques informations, mais, très loin de ce que
tu as pu mettre en place de ton côté :
https://wiki.visionduweb.fr/index.php?title=Cr%C3%A9er_son_propre_d%C3%A9p%C3%B4t_Debian_en_local

Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

[G2PC]

> Pour revenir au débat initial:  *Pourquoi ne pas installer le paquet
> Debian **etckeeper **?* Il permet de gérer sous git les fichiers de
> configuration sous /etc
>

C'était pas forcément le débat initial, qui portait d'avantage sur les
bonnes pratiques pour les tâches administratives, avec root, ou, un
utilisateur aux droits spécifiques.

Par contre, c'est une excellente information qui répond totalement à
d'autres interrogations que je me posais !

Je conserve précieusement cette référence, je vais voir ce qu'il est
possible de faire.


Je ne sais pas ou tu es aller chercher tes références, mais, ta dernière
réponse est digne d'une synthèse de conférence, avec de nombreuses
ressources.

Difficile de tout consulter, mais, très instructif.

Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

[G2PC]

>>   Concernant le script, ce serait celui la, il n'est pas spécialement
>> problématique, bon, tout de même QUATRE lignes.
>>  Je suppose que je peux de ce faire le lancer directement depuis le
>> crontab de root, mais, un script de 4 lignes ce sera mieux. 
>>
>>
>> cd /etc
>>  sudo mv hosts.deny hosts.deny.bak
>>  sudo wget > https://hosts.ubuntu101.co.za/superhosts.deny>  
>>  sudo mv superhosts.deny hosts.deny
> A ma connaissance, si tu pars sur la piste d'un script setuidé root ou d'une 
> crontab root, tu peux virer les "sudo".
> Si tu pars plutôt sur un utilisateur sudoer, alors je pense que sauf 
> directive "NOPASSWD" dans le fichier /etc/sudoers tu vas perdre toute 
> possibilité de programmation laissée sans surveillance (type crontab user) à 
> cause de l'interactivité requise pour sudo (demande du mot de passe).
>
> Bien cordialement,
> l0f4r0

Effectivement, j'ai copié à la va vite le script qui, en ce qui concerne
hosts.deny, a été partagé sur mon wiki pour le lancer manuellement.
Il faut effectivement, dans le cas d'une crontab sous root, enlever les
sudo, ce serait plus propre.
Je crois que ça fonctionnerait tout de même sans saisie de mot de passe,
sauf si je change d'utilisateur en route.

# Utiliser le lien direct vers le fichier host.deny (Moins de 3Mo) : 
https://hosts.ubuntu101.co.za/hosts.deny
cd /etc
sudo cp hosts.deny hosts.deny.bak
# On peut télécharger le fichier dans le répertoire /tmp en tant que simple 
utilisateur :
wget https://hosts.ubuntu101.co.za/hosts.deny -P /tmp
sudo mv /tmp/hosts.deny /etc/hosts.deny

# Utiliser le lien direct vers le fichier superhosts.deny (Plus de 15Mo) : 
https://hosts.ubuntu101.co.za/superhosts.deny
cd /etc
sudo cp hosts.deny hosts.deny.bak
# On peut télécharger le fichier dans le répertoire /tmp en tant que simple 
utilisateur :
wget https://hosts.ubuntu101.co.za/superhosts.deny -P /tmp
sudo mv /tmp/superhosts.deny /etc/hosts.deny


https://wiki.visionduweb.fr/index.php?title=Sommaire_S%C3%A9curit%C3%A9#T.C3.A9l.C3.A9charger_une_version_.C3.A0_jour_du_fichier_hosts.deny


Concernant la réécriture du fichier hosts, par contre, ce script semble
prêt à une utilisation dans la crontab de root.
Un détail tout de même, j'ai supprimé des lignes en double entre ma
propre configuration et la configuration téléchargée, en utilisation sed
pour supprimer des lignes en fonction du numéro de ligne.
Il serait préférable d'identifier un modèle qui supprimera la zone de
texte que je veux supprimer, plutôt que de supprimer un numéro de ligne.
Si la configuration de mon hôte change, les lignes à supprimer ne seront
plus au même endroit.

https://wiki.visionduweb.fr/index.php?title=Sommaire_S%C3%A9curit%C3%A9#Mettre_.C3.A0_jour_le_fichier_.2Fetc.2Fhosts_automatiquement_tous_les_mois

Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

[G2PC]

> Peut-être que ce serait bien de remplacer la commande:
>> sudo mv hosts.deny hosts.deny.bak
>^^
> par:
>
>   $ sudo cp hosts.deny hosts.deny.bak
>  ^^
> Sinon le fichier /etc/hosts.deny n'existe plus sur la machine
> pendant le temps du téléchargement, ce qui pourrait laisser les
> portes ouvertes aux vils pirates de tout poils pendant cet
> interval de temps, fut-il juste de quelque millisecondes.


Très juste ! Je l'avais fais pour le hosts et effectivement pour le
hosts.deny utiliser mv c'est moins bien.
Voilà qui est corrigé. Merci.

>> sudo wget https://hosts.ubuntu101.co.za/superhosts.deny
> Éventuellement, si vous ne faites pas confiance à wget, parce
> que cette commande intéragit avec l'extérieur, il est possible
> de récupérer le fichier en tant qu'un utilisateur normal,
> éventuellement créé spécifiquement pour cette tâche ; ça fait
> partie d'un éventuelle stratégie qui consisterait à « affiner
> les droits »  :)
>
>   $ wget https://hosts.ubuntu101.co.za/superhosts.deny -P /tmp
>
> Du coup la commande suivante
>> sudo mv superhosts.deny hosts.deny
> deviendrait :
>
>   $ sudo mv /tmp/superhosts.deny hosts.deny


J'entends la proposition d'utiliser un utilisateur normal pour récupérer
le fichier.
mais ensuite, on utilise sudo ( manuellement ) pour déplacer le fichier
du /tmp vers /etc

De plus si on utilise ce script via crontab de root, le sudo ne sera pas
utilisé, et, éventuellement, on récupèrera le fichier directement via le
script lancé depuis la crontab de root, donc, en root.

J'entends que au niveau de la politique des droits, on gagne une
commande en tant que utilisateur normal, au lieu de root, ce qui à ce
niveau semble mieux géré,
Par contre, je ne vois pas forcément ce qu'on gagne au niveau de la
sécurité, au niveau d'un risque éventuel, puisque au final, le fichier
sera chargé dans /etc/hosts.deny


> Tout cela suppose que vous faites confiance au service délivré
> par hosts.ubuntu101.co.za pour ne pas mettre n'importe quoi dans
> votre /etc/hosts.deny, cat ils seraient en position de rendre
> votre machine inaccessible en mettant l'Internet complet dans ce
> fichier.

C'est certain et effectivement, il me faut ici faire confiance au
contenu, ce qui peut être affiné, je suppose avec des contrôles de
certificats, ou, une politique de controle de /md5sum, ou les deux, et,
peut être encore d'autres choses./

> Amicalement,

Merci

Re: [HS] Re: Coup de gueule - Bannissement du wiki et du forum debian-fr.xyz

[G2PC]

>>
>> La prochaine publication sur le wiki de debian sera certainement un
>> exemple de configuration en français, sur le même principe, pour le
>> programme DenyHosts.
>
> Merci d'avance

J'y travail, bien que je rencontre quelques informations contradictoires
sur DenyHosts.
Source :
https://wiki.visionduweb.fr/index.php?title=Sommaire_S%C3%A9curit%C3%A9#Configurer_DenyHosts

Sur d'anciens tutoriels, on peut lire que DenyHost n'utilise pas
Iptables par défaut, hors, il semble que même la version en retard de
Debian SID denyhosts_2.10-2_all.deb utilise actuellement Iptables par
défaut.
Du coup, j'ai lu que l'intérêt de DenyHost serait d'utiliser les TCP
Wrappers ce qui est différent du mode de fonctionnement de Fail2ban, et,
pourrait rendre les deux outils complémentaires.

Par contre, je pense avoir identifié ce qui pour moi est un bogue.
Ce n'est pas normal que l'administrateur se fasse blacklister lors de
l'installation.
J'ai ouvert une issue dans ce sens :
https://github.com/denyhosts/denyhosts/issues/128

Suite à mon installation :
https://wiki.visionduweb.fr/index.php?title=Sommaire_S%C3%A9curit%C3%A9#Installer_DenyHosts_depuis_le_paquet_.deb_de_la_version_SID_de_Debian

Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

[G2PC]

> Effectivement, il y a des questions à se poser quand on utiliser
> l’utilisateur « root ». Mais là, dans ce cas, si je comprends bien
> tu cherche à modifier un fichier « système » qui appartient
> effectivement à … « root » avec un script que tu lanceras de ce même
> serveur à partir d’un appel système géré par … « root » (cron) pour
> contraindre les accès à ton serveur.
> Donc, dans ce cas précis et si ton script est bien écrit et n’ouvre
> pas trop les vannes (umask, droits d’exécution, …) je ne vois aucune
> contre-indication à le lancer « root ».
> Si tu veux mettre ceinture et bretelles, test dans ton script que
> c’est bien le processus de gestion des CRON qui appelle ton script…
>
> Donc, pour résumer, voici ce que je ferais :
> - script ayant les droits de root soit par héritage sudo, soit
>   directement sur l’ID appelant. Vérification que le père d’appel
>   du script est bien « cron ».
> - exécution du script dans le /etc/cron.d avec les droits de root
>
> Bonne soirée
>
> --
> Pierre Malard
>
>   « Les utopies ne sont souvent que des vérités prématurées »
>   Alphonse de 
> Lamartine
>|\  _,,,---,,_
>/,`.-'`'-.  ;-;;,_
>   |,4-  ) )-,_. ,\ (  `'-'
>  '---''(_/--'  `-'\_)   πr

Merci pour les détails, bon, j'ai un peu de mal à comprendre " soit par
héritage sudo, soit directement sur l’ID appelant  "
Un héritage sudo, je ne connais pas l'expression, mais, si c'est
utiliser un sudoers, il me faudra donner le mot de passe, ce qui n'est
pas sécure. Si c'est autre chose, il faut que je regarde.
Idem pour l'ID appelant, pas forcément à l'aise avec cette formulation,
si tu peux reformuler.

Pour les droits d’exécution, ça va, je comprend.
Pour Umask également, je défriche mais je ne les utilises que très peu
pour le moment.

Concernant le script, ce serait celui la, il n'est pas spécialement
problématique, bon, tout de même QUATRE lignes.
Je suppose que je peux de ce faire le lancer directement depuis le
crontab de root, mais, un script de 4 lignes ce sera mieux.

cd /etc
sudo mv hosts.deny hosts.deny.bak
sudo wget https://hosts.ubuntu101.co.za/superhosts.deny
sudo mv superhosts.deny hosts.deny

Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

[G2PC]

> Bsr,
> Si tout appartient à root, je pense que le plus simple est d'utiliser
> simplement la crontab root.
> Mais ce n'est que mon avis... Mais pourquoi faire simple quand on peut
> faire compliqué Ou l'inverse, je ne sais plus trop... ;)
> Cdt
> Cyrille
Vu. Pour le moment c'est la solution retenue.

Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

[G2PC]

> Je lirais d'abord /Advanced Linux Programming/
> , la section 2
>  des pages de man en commençant
> par intro(2)  et
> syscalls(2) 
> puis execve(2)  et
> aussi credentials(7)
> 
>
> La page wikipedia sur Setuid 
> est très instructive et importante et elle complète utilement les
> lectures précédentes.
>
> Il peut aussi être utile de lire un cours sur les systèmes
> d'exploitation. Celui-ci  est
> en ligne, mais en anglais. Je le trouve excellent.
>
>> Je pourrais le faire en utilisant une tache cron, avec l'utilisateur root.
>> Je ne sais pas si c'est la meilleure façon de faire, utiliser root pour
>> lancer une tache cron, pour télécharger un fichier qui appartiendra à
>> root:root par défaut.

Super ta réponse, tu m'aurais dit de lire google.fr, c'était tout aussi
pertinent.


> *Ça veut dire quoi, **/meilleure façon de faire?/*
>
> Tu as oublié encore une fois d'expliciter en français le principal:
> *quels sont tes critères?* Le coût? Le temps que tu y passes? La
> cybersécurité?
>
> (c'est la même critique que sur l'envoi de SMS gratuitement: rien
> n'est gratuit sur terre, si tu comptes ton temps et tes compétences et
> ton envie d'apprendre).
>
> En particulier, *que se passe-t-il si ça merde d'une manière ou d'une
> autre?* Une guerre nucléaire? Une pandémie mondiale? Une catastrophe
> boursière? cent personnes qui perdent leur emploi? Ou juste toi qui
> perds une demi-heure de ton temps?
>
> A combien de kiloeuros estimes tu la perte de ce fichier?
>

Et la perde de sa santé, d'un orteil, ou, d'une jambe, tu l'estimes à
combien ? 4 euros ? 4000 euros ? 40 000 euros ? 400 000 euros ? 4
millions d'euros ?

Je pense avoir été très claire, bien suffisamment, et, encore une fois,
ta réponse ne m'a réellement rien apportée.

J'ai proposé dans ma question, d'utiliser crontab en root. J'ai lu que
les tâches administratives peuvent se faire avec la crontab de root.

Maintenant, j'ai lu d'autres commentaires de personnes qui disent qu'on
peut mieux faire, avec un utilisateur ayant des droits spécifiques,
mais, sans jamais donner d'exemples.

Je remarque la même chose, sur différentes communautés, plein de
personnes disent qu'on peut faire autrement, en affinant les droits mais
pas un est capable de l'expliquer.

Alors oui, à mon niveau d'études, je peux aussi affirmer, et, passer
pour un professionnel incompétent comme d'autres le font, en affirmant
qu'on peut >> affiner les droits <<, mais, sans savoir le faire.

Si je suis venu poser la question, c'est justement pour qu'une personne
qui sait faire puisse partager un exemple, autre que celui de la crontab
de root, puis il semble que tant de professionnels proposent de faire
autrement et beaucoup mieux, en étant incapables de l'expliquer.

Si tu me parles des setuid ok c'est une piste, évidemment, j'y ait déjà
pensé, cela répond que peu à ma question.

Clairement, on retrouvera dans de nombreuses documentations que
l'utilisation de crontab en root est cohérent pour les tâches
administratives.
Je cherche donc à savoir si il y a une alternative correctement
expliquée, dans le cas d'une tâche cron qui devrait mettre à jour un
fichier appartenant à root, sans pour autant utiliser la crontab de root
ou être sudoers.

En sommes, je ne te demandes pas de liens vers une documentation, mais,
si tu sais le faire, et, comment tu le ferais.
Si tu sais le faire, je pense que tu peux synthétiser 3 phrases.
Si tu ne sais pas, ne perd pas de temps à me répondre.

Merci.

Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

[G2PC]

Comment mettre à jour un fichier appartenant à l'utilisateur root avec
cron ?

Bonjour, je cherche à mettre à jour le fichier deny.hosts proposé par
securityinfo, chaque semaine.

Je pourrais le faire en utilisant une tache cron, avec l'utilisateur root.
Je ne sais pas si c'est la meilleur façon de faire, utiliser root pour
lancer une tache cron, pour télécharger un fichier qui appartiendra à
root:root par défaut.

Faudrait t'il utiliser un autre utilisateur, sudoers ?

Ou encore, un simple utilisateur, avec des droits particuliers pouvant
écrire ce fichier deny.hosts (qui appartient à root:root par défaut ?


Comment feriez vous ?

Au plus simple, utiliser une tâche cron avec l'utilisateur root semble
rapide et fonctionnel, mais, est ce le plus adapté en ce qui concerne la
sécurité et les bonnes pratiques ?

Re: [HS] Re: Coup de gueule - Bannissement du wiki et du forum debian-fr.xyz

[G2PC]

> Petite nuance hors-sujet de ce fil: si on aide une équipe, la règle de
> l'ancienneté reste appliquée, donc il est vrai que si un nouveau vient
> avec un refus d'admettre que d'autres le corrigent, ça clash vite.
> Mais ça c'est juste logique: on se moule d'abord à l'existant avant de
> le faire évoluer en douceur dans le dialogue, donc au début, on
> accepte ce que dit un ancien car il le fait dans la bienveillance et
> dans un souci de cohérence entre l'ensemble de ce que gère l'équipe.
>
> Désolé c'est long, mais je trouvais utile de rappeler laphilosophie de
> contribution à Debian, quoiqu'en fassent ses communautés satellites,
> car ça valorise l'intérêt qu'on contribue au projet originel.

Je comprend bien, et, je n'impose rien via mon égo surdimensionné ;)
Pour te l'assurer, je peux te garantir que j'avais il y a plusieurs
mois, initié un message sur le forum, pour demander à participer sur le
wiki, pour corriger certaines erreurs de mise en forme, et, pour
contribuer au contenu.

Je ne suis donc pas venu avec de gros sabots, pour mettre en place des
publicités commerciales et polluer le wiki de debian-fr.xyz
Lors de ce problème de censure, il m'a été reproché de contribuer en
sourçant l'apport vers une page plus complète que le wiki debian-fr.xyz.
Pourtant, c'est bien car je suis conscient que le wiki debian-fr.xyz est
consulté, que j'ai souhaité améliorer le contenu, pour proposer un
exemple, au plus complet, d'un serveur SSH.
Il est dommage qu'une communauté en place, se prive d'un tel apport,
comme je l'ai déjà justifié. Je ne pense pas être le seul "
administrateur " qui doive faire de nombreuses recherches, pour obtenir
du contenu pertinent.
Ma démarche consistait à apporter de la pertinence à l'information
partagée sur le wiki de debian-fr.xyz

Je ne m'attendais pas à une médaille en chocolat ni à une prime de Noël
en contribuant, en ajoutant un exemple de configuration de serveur SSH,
avec un commentaire de une ligne (synthétique) par directive configurée.
Je ne m'attendais pas non plus à un bannissement, du fait de ma
contribution.

Quoi qu'il en soit, j'ai maintenant bien partagé cette proposition
d'exemple pour un serveur SSH, sur l'un des wiki officiel de la
communauté Debian.
Je remercie les personnes qui m'ont répondu avec bienveillance.

La prochaine publication sur le wiki de debian sera certainement un
exemple de configuration en français, sur le même principe, pour le
programme DenyHosts.
Bonne fin de journée.

Re: [HS] Re: Coup de gueule - Bannissement du wiki et du forum debian-fr.xyz

[G2PC]

> Bonjour,
>
> Je n'ai rien suivi au sujet, déjà pris par des sujets sociaux internes
> à Debian. Je dirais juste une opinion parfaitement personnelle: si tu
> es déçu de ces forums & wiki, tu peux te rabattre sur les ressources
> internes à Debian ou gérées par des proches du projet. Je pense ainsi
> que contribuer à wiki.debian.org, ou au wiki debian-facile, à cette
> mailing, à forum.debian.net, qui reste un cercle rapproché de Debian,
> te garantit audience, un process de gestion des conflits plus global
> (par Debian, par une asso, etc). J'ai en mémoire, mais ça n'a rien à
> voir avec ça j'espère, un canal IRC #debian-fr, qui plusieurs années
> durant, a été animé par des gens peu recommandables avant une
> fermeture par freenode manu militari, à la demande de Debian, pour
> faire cesser le lien debian - cette communauté affreuse.
>
> DOnc pour moi, mais ça va avec mon aversion à la dispersion dans le
> libre, plus on bosse près de la source, plus on est soudé, protégé par
> la communauté, par des procédures, et plus son travail est visible. Ca
> n'xonère pas des conflits, mais le mécanisme de résolution est plus
> partagé, le respect plus fondé sur la do-cratie, et l'impression
> d'arbitraire moins présent.
>
> Amicalement,


Merci pour les liens proposés : wiki.debian.org, le wiki debian-facile,
le forum.debian.net

J'ai déjà pu partager un article, sur le wiki.debian.org et faires
quelques propositions rudimentaires.
Voilà l'article complet que j'ai proposé sur Mod Evasive, qui est un
total copier coller de l'article que j'ai rédigé sur mon propre wiki :
https://wiki.debian.org/fr/Apache/mod_evasive

Comme dit, mon coup de gueule est surtout du au fait que la ressource
que j'ai partagée ne pouvait que répondre aux besoins des
administrateurs lecteurs.
Le fait de justifier qu'une source dans la bibliographie est un backlink
sauvage, c'est de la mauvaise fois.
J'aurais pu partager le contenu, effectivement, sur de nombreuses autres
communautés.

Cette censure est méprisante, pour mon partage, le temps de recherche,
le travail effectué, et ma volonté d'améliorer une page du wiki de cette
communauté debian-fr.xyz

J'estime que c'est bien d'avantage méprisant pour la centaine et les
milliers d'administrateurs francophones qui suivront, et, qui devront
perdre du temps pour trouver la bonne information, voir, qui devront à
leur tour, tout comme moi, reconstruire l'information car l'information
est dispersée, et qui devront, de ce fait, effectuer de très nombreuses
lectures complémentaires, pour arriver au même résultat.

Je le sais parfaitement, que mon contenu est pertinent, ce n'est pas de
la prétention.
En faisant mes recherches, j'ai bien pu me faire une idée de l'état des
lieux des tutoriels que l'ont retrouve sur la toile, et, je sais de ce
fait, que mon contenu, en français, apportait bien une valeur ajoutée.

C'est bien ça, qui me met en colère, cette fausse excuse de censurer un
contenu en parlant de backlink, alors qu'ils pointent vers un contenu
pertinent qui économisera du temps à d'autres !
Je n'ai jamais compté, à un seul moment, les backlink que je met en
place vers d'autres communautés, dont la communauté en question, qui
m'exclue pour avoir sourcé un partage.

J'ai donc suivi ton conseil, et, je suis allé compléter la page
concernant SSH, sur le wiki officiel wiki.debian.org
En espérant, cette fois, que le travail francophone ne sera pas sabordé
de l'intérieur.

Exemple de configuration SSH :
https://wiki.debian.org/fr/SSH#Exemple_fonctionnel_et_comment.2BAOk_pour_configurer_un_Serveur_SSH

Re: [HS] Re: Coup de gueule - Bannissement du wiki et du forum debian-fr.xyz

[G2PC]

> J'imagine que tu dois être énervé de t'être fait ban quelques jours de
> debian-fr.xyz mais est-ce si grave ? Essaye de te mettre à la place
> des admins du wiki.
> Allez, respire un coup, mets un [HS] devant le sujet car il ne
> concerne pas des problèmes techniques sur debian. Et pour le reste,
> t'emballes pas.
>
> J'en ai profité pour aller voir ton wiki. Il y a plein d'infos
> intéressantes dedans. Merci de partager ça avec tous.

Merci,
Je suppose que tu as pu constater également, que je n'ai aucun système
financier lié à mon site, et, aucun virus.
Je n'ai donc aucun intérêt à placer des backlink, hormis le fait de
sourcer la provenance du travail de recherches, et, de mentionner sur
mon propre wiki, les liens qui ont été utilisés.
C'est d'autant plus ridicule de la part de l'administrateur de
debian-fr.xyz que je mentionne à maintes reprises leur wiki, mais, qui
est malheureusement, souvent obsolète, avec de très vieux contenu.

Dès lors, les attaques de la part de certains admins qui pratiquent la
censure et le harcèlement sont de réels abus, et, de la totale
malveillance !
Je vais voir, moi aussi, a faire le ménage dans mes backlink en ce qui
concerne cette communauté, car j'avais partagé de nombreux liens vers
leurs ressources.

Il semble qu'il soit malvenu de partager sur debian-fr, dès lors, il est
tout autant mal venu que de partager vers debian-fr.

Oui, je suis en colère, et, j'ai toutes mes raisons de l'être.
Vous êtes nombreux à savoir que cela va bien au delà de ce petit incident !

Re: Coup de gueule - Bannissement du wiki et du forum debian-fr.xyz

[G2PC]

> La raison est parfaitement celle que j'ai cité.
> J'ai copié le contenu intégrale de nos échanges, et, c'est très
> claire, OLIVIER LANGE, tout comme ta mauvaise fois.
> https://wiki.visionduweb.fr/index.php?title=Coup_de_gueule
>
> J'ai été exclus car j'ai partagé la configuration du serveur SSH
> dans le wiki de debian-fr.xyz  avec UN LIEN
> VERS MON TUTORIEL dans la bibliographie du wiki ce qui a entraîné
> la suppression de mon apport et le bannissement de mon compte.
>
>
> C'est bien clair dans la réponse de l...@debian-fr.xyz
> , la raison n'était pas le partage de la
> configuration, mais du lien. Et visiblement ce n'était pas la première
> fois que t'y as mis un lien vers ton wiki.
> --
> Hai-Nam Nguyen

C'est bien claire, c'est mentionné dans dans ce post, que, sur mon coup
de gueule.

Le contenu de qualité c'est vu supprimé, sans aucun avertissement, du
fait que j'ai sourcé la provenance du contenu, vers mon wiki, puisque
sur mon wiki, je mentionne les articles qui m'ont servi a créé la
documentation en français.

A aucun moment je n'ai omis cette information. Tu aurais du lire
justement en entier, plutôt que de te baser sur deux phrases.

Lors d'un travail de recherche, on mentionne les sources.

Ici, le fait de mentionner la source, et, d'avoir partagé du contenu, de
qualité, entraîne un ban.

Comme je le disais précédemment, ce n'est effectivement pas la première
fois, que les administrateurs abusent de leurs pouvoirs !

Quant à Olivier, qui estime que j'ai la capacité de pourrir les réseaux,
je lui assure qu'il n'a encore rien vu, je ne suis pas encore à leur
niveau, en ce qui concerne le pourrissement !

Bonne soirée.

Re: Coup de gueule - Bannissement du wiki et du forum debian-fr.xyz

[G2PC]

La raison est parfaitement celle que j'ai cité.
J'ai copié le contenu intégrale de nos échanges, et, c'est très claire,
OLIVIER LANGE, tout comme ta mauvaise fois.
https://wiki.visionduweb.fr/index.php?title=Coup_de_gueule

J'ai été exclus car j'ai partagé la configuration du serveur SSH dans le
wiki de debian-fr.xyz avec UN LIEN VERS MON TUTORIEL dans la
bibliographie du wiki ce qui a entraîné la suppression de mon apport et
le bannissement de mon compte.

Des personnes comme toi, Olivier, complices de ce genre de méthodes,
viennent donner leur avis en disant que ce que je dis est faux, pour
justifier la censure et le harcèlement !
Ça suffit ! J'ai dupliqué la conversation, alors, je ne te permet tout
simplement pas de dire que la raison n'est pas celle que j'ai mentionnée.
Contrairement à vous, je suis honnête ! Je suis venu partager un coup de
gueule, pas une fake news !

*Consulte ma ressource sur le wiki, et, dis moi si mon partage était de
mauvaise qualité ! La réponse est NON, le partage est de bonne qualité !*

*Justifie le fait que je n'ai pas à mentionner la source du partage, et,
que ce serait malvenue que de mentionner la source, dans la bibliographie ?*
*Tu va à l'encontre des règles de recherches scientifiques que l'on nous
apprend à l'université, lorsque l'on fait un partage, on mentionne la
provenance !*

*Cette censure, et, ce harcèlement, ça suffit !*

Blacklist moi je m'en tamponne le coquillage mais à un point si tu savais !
Ça se permet de justifier un bannissement d'une communauté, du fait d'un
backlink, on croit rêver, en bon français, on appel ça " mentionner une
source " , OLIVIER LANGE, de développez !


>>>
<https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=2ahUKEwjI2ODNu53pAhULtRoKHfmSCMsQFjAAegQIAhAB&url=ftp%3A%2F%2Fdeveloppez.com%2Folange%2Ftutorial%2Finstallation-debian-base%2Ftest.pdf&usg=AOvVaw2Xtr2_oCOlwAnNentqgCYa>

developpez.com› tutorial › installation-debian-base › test
<https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=2ahUKEwjI2ODNu53pAhULtRoKHfmSCMsQFjAAegQIAhAB&url=ftp%3A%2F%2Fdeveloppez.com%2Folange%2Ftutorial%2Finstallation-debian-base%2Ftest.pdf&usg=AOvVaw2Xtr2_oCOlwAnNentqgCYa>
<https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=2ahUKEwjI2ODNu53pAhULtRoKHfmSCMsQFjAAegQIAhAB&url=ftp%3A%2F%2Fdeveloppez.com%2Folange%2Ftutorial%2Finstallation-debian-base%2Ftest.pdf&usg=AOvVaw2Xtr2_oCOlwAnNentqgCYa>

PDF -Installation de base d'un serveur web sous /Debian/ par /Olivier Lange
<< La raison n'est pas celle que tu site... Par contre, tu as une
> capacité a polluer les ml assez importante. Donc fait une
> introspection, essaie d'écouter, et tu sera peut-être accepté.
>
> Mais la, je suis plus à te Blacklist ton email qu'autre chose, et
> c'est une action très rare me concernant...
>
> Olivier
>
> Le mar. 5 mai 2020 à 13:49, G2PC  <mailto:g...@visionduweb.com>> a écrit :
>
> Coup de gueule partagé sur mon wiki concernant l'administration de
> debian-fr.xyz <http://debian-fr.xyz> :
> https://wiki.visionduweb.fr/index.php?title=Coup_de_gueule
>
> La raison du coup de gueule est la suppression de ma contribution,
> et, mon bannissement du wiki et du forum, pour avoir partagé ceci
> sur le wiki de debian-fr.xyz <http://debian-fr.xyz> :
>
>
> La configuration du serveur SSH
>
> Un exemple complet et commenté pour configurer un serveur SSH :
>
> 
> # Configuration du Serveur SSH #
> 
> # Le Protocole 2 est mieux sécurisé :
> Protocol 2
> # Port à utiliser :
> Port 22
> # Clé publique du serveur à utiliser pour identifier le serveur :
> # HostKey /etc/ssh/ssh_host_rsa_key
> HostKey /etc/ssh/ssh_host_ed25519_key
> ##
> ##
> # Oblige l'authentification par clé SSH :
> # Valeur commentée par défaut !
> AuthenticationMethods publickey
> # Interdire l'authentification par mot de passe :
> PasswordAuthentication no
> # Interdire les mots de passe vide :
> PermitEmptyPasswords no
> # Autoriser la connexion pour les utilisateurs suivants :
> AllowUsers user1 user2 user3 user4
> # Choix de connexion pour l'utilisateur root sur le serveur SSH :
> PermitRootLogin no
> # Interdire certains utilisateurs :
> DenyUsers root
> ##

Coup de gueule - Bannissement du wiki et du forum debian-fr.xyz

[G2PC]

Coup de gueule partagé sur mon wiki concernant l'administration de
debian-fr.xyz : https://wiki.visionduweb.fr/index.php?title=Coup_de_gueule

La raison du coup de gueule est la suppression de ma contribution, et,
mon bannissement du wiki et du forum, pour avoir partagé ceci sur le
wiki de debian-fr.xyz :


La configuration du serveur SSH

Un exemple complet et commenté pour configurer un serveur SSH :


# Configuration du Serveur SSH #

# Le Protocole 2 est mieux sécurisé :
Protocol 2
# Port à utiliser :
Port 22
# Clé publique du serveur à utiliser pour identifier le serveur :
# HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
##
##
# Oblige l'authentification par clé SSH :
# Valeur commentée par défaut !
AuthenticationMethods publickey
# Interdire l'authentification par mot de passe :
PasswordAuthentication no
# Interdire les mots de passe vide :
PermitEmptyPasswords no
# Autoriser la connexion pour les utilisateurs suivants :
AllowUsers user1 user2 user3 user4
# Choix de connexion pour l'utilisateur root sur le serveur SSH :
PermitRootLogin no
# Interdire certains utilisateurs :
DenyUsers root
##
##
# Durée maximum autorisée pour établir la connexion :
LoginGraceTime 25s
# Limiter a un nombre maximum les tentatives de connexions SSH non authentifiée 
:
MaxStartups 3:50:5
# Maximum de 3 essais pour renseigner la passe phrase :
MaxAuthTries 3
# Maximum de 3 sessions ouvertes en même temps :
MaxSessions 3
# Autorise l'authentification par clé SSH :
PubkeyAuthentication yes
# Clés publiques autorisées pour établir une connexion :
AuthorizedKeysFile  .ssh/authorized_keys .ssh/authorized_keys2
# Interdire la prise en compte des fichiers de configuration des commandes r 
avec SSH :
IgnoreRhosts yes
# Le serveur d'authentification challenge-response PAM n'est pas configuré par 
défaut :
ChallengeResponseAuthentication no
# PAM fournit la gestion des sessions et des comptes !
UsePAM yes
# Refuser l'export display :
X11Forwarding no
# La valeur no désactive complètement l'impression de motd.
PrintMotd yes
# Refuser l'authentification basée sur les DNS :
UseDNS no
# Refuser l'authentification basée sur l'hôte :
HostbasedAuthentication no
# Permet au client de définir des variables d'environnement dès l'établissement 
de la connexion :
AcceptEnv LANG LC_*
# Loguer les tentatives de connexions dans /var/log/auth.log en ajoutant la 
ligne suivante :
SyslogFacility AUTH
# Permet d'avoir une trace d'audit claire de la clé utilisée pour se connecter :
LogLevel VERBOSE
# Journaliser les accès aux fichiers de niveau sftp qui ne seraient pas 
journalisés autrement :
# Subsystem sftp/usr/lib/openssh/sftp-server
Subsystem sftp /usr/lib/openssh/sftp-server -f AUTHPRIV -l INFO
# Définir un temps limite d'inactivité pour forcer la déconnexion :
ClientAliveInterval 900
# Concerne le nombre maximal de requêtes :
ClientAliveCountMax 0
# Vérifie les modes et le propriétaire des fichiers et du répertoire home de 
l'utilisateur avant de se connecter :
StrictModes yes
# La mort de la connexion ou le crash de la machines sera remarqué pour mettre 
fin à la connexion :
TCPKeepAlive yes
# Afficher un message pour l'utilisateur suite à une demande de connexion :
Banner /etc/issue

# En règle général les entreprises préfèrent désactiver le Port Forwarding pour 
éviter la fuite d'informations :
AllowTcpForwarding no
# Spécifie si le transfert de sockets de domaine Unix est autorisé :
AllowStreamLocalForwarding no
# Spécifie si les hôtes distants sont autorisés à se connecter aux ports 
transférés pour le client :
GatewayPorts no
# Spécifie si le transfert de périphérique est autorisé :
PermitTunnel no
# Spécifie les destinations vers lesquelles le transfert de port TCP est 
autorisé :
PermitOpen any

# Spécifier les algorithmes KEX (échange de clés) disponibles :
KexAlgorithms 
curve25519-sha...@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
# Spécifier les ciphers autorisés :
Ciphers 
chacha20-poly1...@openssh.com,aes256-...@openssh.com,aes128-...@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
# Spécifier les algorithmes MAC (Message authentication code) :
MACs 
hmac-sha2-512-...@openssh.com,hmac-sha2-256-...@openssh.com,umac-128-...@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-...@openssh.com


Ainsi que la référence vers mon wiki, dans la bibliographie : 
https://wiki.visionduweb.fr/index.php?title=SSH

Re: fail2ban regex

[G2PC]

> > Un outil de bannissement « définitif » pour ceux qui insistent
> > lourdement « multiban » répétés, basé sur l’analyse des logs de
> > Fail2ban. Vous pouvez le trouver sur l’URL suivante :
> >
> https://www.cybernaute.ch/bannir-definitivement-ip-bannies-frequemment-fail2ban/
>
> >  Mais cela ne suffisant pas car les réseaux servant à beaucoup
> > d’attaques permettent le changement d’IP, nous ajoutons des règles
> > « ipset » nourries par des RBL qui bloquent même certains réseaux
> > connus pour leurs pratiques douteuses. La solution simple est basée
> > sur 3 ou 4 sites (https://blognote32.net/iptables-ip-blacklist/)
> > Vous pouvez aussi aller voir sur
> > https://iplists.firehol.org/#aboutCollapseThree…
>
>
>     Intéressant. Je note pour plus tard.
+1

Re: SMS

[G2PC]

> Tu vas insister jusqu'à ce qu'on te donne une solution gratuite ?
> Qu'est-ce que tu ne comprends pas dans nos réponses ? On n'en a pas !

Tu as du louper mon mail, où je répondais à ceux que ça pourrait
intéresser, apparemment, toi, ça ne t'intéresse pas, et dans lequel je
partageais des solutions gratuites.

>> Solutions gratuites >>

L'application Server & Website Monitor suffit amplement, sur Android,
et, est gratuite.

Elle émet une musique, si le serveur est down.
On peut régler la fréquence du ping sur le site ou le serveur.
Toutes les 30 secondes, ou, toutes les 12 heures, ça, c'est à toi de voir.
Un graphique permet de suivre l'historique pour connaître les plages
horaires d'indisponibilité.
Tout ça, sans avoir besoin d'investir d'avantage, que le téléphone et
l'abonnement téléphonique.


Donc, non, il n'y avait pas besoin de passer par un prestataire tierce,
pour envoyer des SMS.

Initialement, j'aurais voulu savoir forger par moi même des, et, je suis
quasiment sur que de la documentation était disponible à l'époque, ce
qui n'obligeait pas forcément à passer par un prestataire.
En tout cas, on pouvait envoyer des SMS, sans sur coût, puisque il était
possible notamment chez bouygues, d'envoyer des sms par mail.
De ce fait, une solution d'envoi de mail vers un numéro de téléphone
portable aurait été gratuit.
Et, ça fonctionne certainement encore, il suffit d'avoir la documentation.


Sinon, voilà pour les quelques exemples d'applications android qui
feront l'affaire pour avoir une alerte via android, donc, pas besoin
d'attendre 3h ou 3j avant d'être informé que le service est down.

 Server & Website Monitor : 
https://play.google.com/store/apps/details?id=com.luckyxmobile.servermonitor&hl=en_US

 Monyt, le monitoring serveur de base sur Android : 
https://www.spawnrider.net/2017/08/15/monyt-le-monitoring-serveur-de-base-sur-android/

 Liste de logiciels de monitoring réseau et serveur : 
https://www.getapp.fr/directory/652/it-server-network-monitoring/software
 How to monitor your servers and desktops from Android with this free app : 
https://www.techrepublic.com/article/how-to-monitor-your-servers-and-desktops-from-android-with-this-free-app/
 Surveiller son serveur depuis un téléphone mobile grâce à l'application 
ISPConfig Monitor : 
https://blog.lws-hosting.com/serveur-dedie/application-android-monitoring-serveur
 Free Server Health Monitor - Android App : 
https://www.manageengine.com/free-tools/server-health-monitor-android/index.html
 Web & Server Monitor Site24x7 : 
https://play.google.com/store/apps/details?id=com.adventnet.webmon.android&hl=fr
 Webroot : https://www.getapp.fr/software/1641/webroot


Source :
https://wiki.visionduweb.fr/index.php?title=Installer_Configurer_Utiliser_des_logiciels_sur_GNU_Linux#Liste_d.27applications_Android_pour_monitorer_votre_serveur

Re: fail2ban regex

[G2PC]

> Je n'en sais rien et c'est piégeux.

-> https://github.com/fail2ban/fail2ban/issues

Re: fail2ban regex

[G2PC]

> J'ai naturellement modifié le fichier de configuration de fail2ban et
> cette règle est chargée.


Si ta règle match des résultats dans les logs, je suppose que la règle
est correcte !
Logique ?

Par contre, personnellement, je me trompe peut être, j'ai peu confiance
en la commande reload.


Si tu redémarres totalement Fail2ban, que ce passerait t'il ?
sudo service fail2ban restart


N'aurais tu pas, par hasard, une panne au démarrage, si tu consultais
alors les logs en direct de Fail2ban, qui t'indiquerait que Fail2ban n'a
pas redémarré, pour X ou Y raison ?
tail -f -n 30 /var/log/fail2ban.log


Si tu arrives à résoudre ce problème, j'aimerais bien pouvoir ajouter ta
règle, à mon tutoriel, n'hésite pas à redonner la règle fonctionnelle,
par la suite. ( Prison + Filtre )
Installer et utiliser Fail2ban :
https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban

Re: SMS

[G2PC]

> Il y a cependant un truc qui m'échappe. Je pensais au tout début
> utiliser un seul numéro de téléphone (celui de mon portable de tous
> les jours) avec des envoi de message entre signal-cli de mon serveur
> et le compte "note à mon intention" de mon tel android. Donc, quand je
> me suis enregistré avec signal-cli, j'ai utilisé le mon numéro de
> portable. L'enregistrement s'est fait correctement ainsi que l'envoi
> du code de vérification. Mais lorsque j'ai voulu utiliser Signal
> depuis mon portable, il me dit que je me suis enregistré avec un autre
> appareil (mon serveur) sur ce numéro. Il m'a donc fallu utilisé un
> autre téléphone (qui peut recevoir des sms), juste pour faire
> l'enregistrement depuis mon signal-cli du serveur. Ensuite, les envois
> ont roulé.
> Pour utiliser un seul numéro de tel, je pense qu'il faudrait "lié"
> signal-desktop de mon serveur (qui est lui rattaché au compte signal
> sur mon tel android) au programme signal-cli du même serveur. Mais je
> n'ai pas cherché comment faire.
>
> Je ne sais pas si je suis bien clair ;) Mais, bref, ça marche!
>
> a+

Ah que j'ai presque rien compris, mais, un jour peut être.

J'ai bien noté les liens que tu as partagé, et, je me suis permis de
noter également ton retour sur expérimentation, si cela ne te dérange pas.

https://wiki.visionduweb.fr/index.php?title=Sommaire_We_make_Hack#Alternative_aux_SMS_avec_Signal

Re: SMS

[G2PC]

Non mais sérieusement, tu as des actions chez les télécoms ? Moi non.

L'application Server & Website Monitor suffit amplement, sur Android,
et, est gratuite.

Elle émet une musique, si le serveur est down.
On peut régler la fréquence du ping sur le site ou le serveur.
Toutes les 30 secondes, ou, toutes les 12 heures, ça, c'est à toi de voir.
Un graphique permet de suivre l'historique pour connaître les plages
horaires d'indisponibilité.
Tout ça, sans avoir besoin d'investir d'avantage, que le téléphone et
l'abonnement téléphonique.

Donc, non, il n'y avait pas besoin de passer par un prestataire tierce,
pour envoyer des SMS.

Initialement, j'aurais voulu savoir forger par moi même des, et, je suis
quasiment sur que de la documentation était disponible à l'époque, ce
qui n'obligeait pas forcément à passer par un prestataire.
En tout cas, on pouvait envoyer des SMS, sans sur coût, puisque il était
possible notamment chez bouygues, d'envoyer des sms par mail.
De ce fait, une solution d'envoi de mail vers un numéro de téléphone
portable aurait été gratuit.
Et, ça fonctionne certainement encore, il suffit d'avoir la documentation.


> La solution est alors simple, mais pas gratuite. Acheter (sur
> Internet) un RaspberryPi (qui tourne sous Linux), brancher son
> téléphone Android (en USB) sur ce RaspBerryPi, et coder la petite
> application (en Kotlin) sur Android pour envoyer le SMS.
>
>
> Fais au pif le calcul. Ca te coûterait une centaine d'euros (en
> comptant le téléphone; et sans compter le prix de l'abonnement de ce
> téléphone).
>
>
> Le besoin initial exprimé est de recevoir un SMS (à 3h du matin) quand
> un serveur Internet distant an.example.com tombe en rade.
>
>
> Je trouve bien moins cher de louer un deuxième serveur Internet B qui
> surveille le premier et envoie un mél.
>
>
> Il suffit d'utiliser crontab (pour lancer un script toutes les cinq
> minutes qui fait un wgethttp://an.example.com/ suivi d'un mail
> g...@visionduweb.com) sur ce serveur B.
>
>
> Et c'est comme Google: il est gratuit, pas libre. Google échange la
> faculté de répondre à des requêtes de recherche sur le web en échange
> de publicité. C'est le même modèle économique que TF1 (dont le PDG
> disait: on vend des secondes de cerveaux des téléspectateurs voyant la
> publicité aux entreprises achetant des spots publicitaires).
>
>
> J'ai fait ce calcul moi-même: louer deux VPS me coûte en ce moment
> même 25€ par mois environ.
>
>
> La solution avec un RaspBerryPi + téléphone Android + temps de codage
> de l'application Android me coûterait un peu plus cher.
>
>
> Les offres payantes de SMS (ou "gratuites" https://www.mestextos.com/ 
> ...) https://www.esendex.fr/service-envoi-sms-par-internet
> https://www.smsenvoi.com/tarifs/  sont peu chères (17€ pour 200SMS par
> exemple).
>
>
> Si j'y compte mon temps, elles sont bien moins chères que
> l'alternative bricolée avec un RaspBerryPi et un téléphone mobile
> dédié, ou même un RaspBerryPi avec par exemple une clef 3G comme
> https://www.materiel.net/produit/201403270027.html ou 4G comme
> https://www.materiel.net/produit/201609120042.html (il faudra toujours
> acheter la carte SIM et payer l'abonnement).
>
>
> Et tout ça pour le besoin initial de recevoir à 3 heures du matin un
> SMS signalant la chute d'un serveur Web non critique :-) :-)
>
>
> D'après mes calculs, louer deux VPS coûtent moins cher Surtout si
> on passe par des solutions associatives (genre
> https://degooglisons-internet.org/fr/list/ - auquel je cotise).
>
>
> Sur l'économie du numérique, voir
> https://laurentbloch.net/MySpip3/L-informatique-premiere-industrie-mondiale
> et sur l'économie de l'open source, https://www.nber.org/papers/w7600
>
>
> Pour le numérique en région parisienne:
> https://systematic-paris-region.org/fr/ ou https://www.capdigital.com/
> et mon employeur http://www-list.cea.fr/ (géographiquement sur le même
> site que Systematic, plateau de Saclay).
> https://codesource.hypotheses.org/ (à Jussieu), et
> http://www.leti-cea.fr (mon employeur, à Grenoble).
>
> Pour le logiciel libre associatif: https://www.april.org/ et
> https://aful.org/ (je cotise aux deux)
>
> Pour l'IA en France: https://afia.asso.fr/ (j'y cotise aussi)
>
> Attention, /systematic/ comme /capdigital/ sont payants aussi. Tout
> comme l'adhésion à https://syntec-numerique.fr/
>
>
> -- 
> Basile STARYNKEVITCH   == http://starynkevitch.net/Basile
> opinions are mine only - les opinions sont seulement miennes
> Bourg La Reine, France; 
> (mobile phone: cf my web page / voir ma page web...)

Re: SMS - la solution gratuite

[G2PC]

> Je propose *une solution réellement gratuite*:
>
> Publier sur https://www.visionduweb.fr/ ton numéro de téléphone
> portable, avec la mention en français: si vous constatez que ce
> serveur tombe en panne, envoyez moi un SMS au +33 6 / // /
>
> où bien évidemment tu remplaces / / par le numéro qui
> convient.
>
Stop les trolls. Si le serveur est en panne, le message n'est pas
lisible ...

Re: SMS

[G2PC]

> L'abonnement à Free n'est pas gratuit, et le service vendu avec un box
> Free inclus la possibilité d'envoyer des SMS.
>
> La clef 3G n'est pas gratuite. L'abonnement et la carte SIM non plus.
>
> Le téléphone requis pour l'application Android n'est pas gratuit, et
> l'abonnement pour utiliser ce téléphone non plus.

Et sinon, tu es rémunéré pour polluer le fil ? Toujours pas de nouvelle
proposition technique, et, toujours encore sur cette question du coût ...

Malheureusement, on a tous un abonnement de téléphonie, trop cher, et,
trop intrusif.

C'est pour cela que ajouter des frais de sms supplémentaires, via tel ou
tel service, en plus des abonnements déjà existant, n'a AUCUN sens !

Re: SMS

[G2PC]

Le 27/04/2020 à 12:35, Sébastien NOBILI a écrit :
> Bonjour,
>
> Le 2020-04-27 04:41, G2PC a écrit :
>> Pour ma part la demande est claire, je cherche une solution gratuite,
>> car, clairement, je n'ai pas les moyens financiers pour investir dans
>> des solutions payantes à droite à gauche.
>
> La réponse est claire et elle t'a déjà été donnée : il n'y en a pas.
>
> Sébastien

Je ne comprend pas cette réponse.

On a pas du lire les mêmes informations.

Il a été question de free, gratuit, pour les abonnées.

Il a été question d'une clé 3g avec carte sim et abonnement illimité.

Il a été question d'utiliser une application Android, gratuitement, la
encore.

Et, il en reste sûrement bien d'autres.

Re: SMS

[G2PC]

> C'est ton droit de refuser de payer, mais
> dans ce cas ne reproche pas aux autres de parler d'argent. Quant à
> valoriser ou dévaloriser le travail des autres, exiger un service
> gratuit c'est exactement du même niveau (il y a des gens qui
> travaillent dans les télécoms - et comme tu sembles assez enclin à
> faire des procès d'intention, je précise que je n'en fais pas partie)
> et exiger de bénéficier de leurs services gratuitement, c'est
> dévaloriser leur travail.
>
> bonne journée
>
> Éric Dégenètais

Pour ma part la demande est claire, je cherche une solution gratuite,
car, clairement, je n'ai pas les moyens financiers pour investir dans
des solutions payantes à droite à gauche.

En plus de ne pas vouloir comprendre que je n'ai pas de revenu, tu
expliques que le travail peut être mis hors ligne et que ce n'est pas un
problème, c'est TON point de vue.

En ce qui concerne les pertes humaines, je crois qu'en travaillant
bénévolement, il y a déjà des pertes humaines dans la communauté, ce
serait dommage d'y ajouter de la perte d'accessibilité.

Pour ce qui est des procès d'intention, je crois avoir à faire à un
sophiste spécialiste.
Si ma question porte sur la façon de monter son serveur, ou, de trouver
une alternative gratuite, il faut comprendre que dès le départ, les
autres solutions ne m'intéressent pas, car, surtout, elles ne me sont
pas accessibles.

Re: SMS

[G2PC]

J'ajoute les quelques possibilités que j'avais listé :

Avec Raspberry : https://milillicuti.com/raspberry-pi-et-sms/

Envoyer, gérer et recevoir des SMS avec la Raspberry Pi :
https://raspberry-pi.fr/envoyer-sms-raspberry-pi/

Alertes SMS avec free pour Fail2ban :
https://medspx.fr/blog/Sysadmin/configurer_fail2ban/#alertes-par-sms


Utiliser des outils payants pour monitorer l'état du serveur.

www.pingdom.com  ( Payant )

www.serviceuptime.com/free_monitoring.php
 ( Payant + sms )


uptimerobot.com  ( Payant + sms ) 5min
d'intervalle de contrôle.

Domotique et SMS via Jeedom : https://jeedom.com/fr/soft.html (payant)


Sinon, voir à créer un serveur asterisk voip pour ceux qui connaissent ?

Re: SMS

[G2PC]

Réellement, je ne vois que des considérations personnelles, qui te sont
propre, et, des avis qui te sont propre, mais, aucune information
technique dans ta réponse, pour répondre à la question technique
initialement posée.

Finalement, que tu considère ou non mon besoin comme important, il
s'agit la du but recherché, de plus, je n'ai pas initié ce message à
l'origine, nous sommes donc au minimum deux à vouloir en savoir plus sur
l'envoie de SMS, ou, monitoring via application android à défaut, mais,
nous n'avons pas besoin de flood sur des considérations qui sont d'ordre
personnelle ou philosophique.

Si tu n'as pas besoin des sms, ne les utilise pas, mais, ne cherche pas
à tout prix à convaincre que les autres n'ont pas à les utiliser et que
leur travail, vain, peut être mis hors ligne, car en somme, il ne sert à
rien.

J'ai relancé la demande car ce sujet m'intéresse, c'est à dire,
initialement, l'envoie de sms, gratuitement, puis, l'envoie de sms pour
être alerté de la non disponibilité de mon serveur, pas pour que le
sujet se fasse flooder.
Cela ne concerne pas que mon serveur, mais, pour d'autres personnes que
je côtoie également, qui m'ont demandées de pouvoir être informées de la
mise hors ligne du serveur, via SMS.


Tu me dis :

Je ne comprends pas non plus la motivation de ta question.

Explique nous en bon français pourquoi une telle solution ne te conviens
pas. Pour un serveur bénévole!


En réalité, les deux questions que tu poses ici ne méritent aucune
réponse, car, je suis venu participer à un échange technique, pas à un
échange philosophique avec un personne qui estime que mon travail,
bénévole ( qui me coûte le prix de ma vie ) ainsi que le travail
d'autres personnes, devrait être considéré comme valeur pouvant être
déconnectée du réseau et rendue inaccessible, comme si cela était un
produit de mauvaise qualité ou encore de valeur nulle.

Sur de nombreux sujets, j'ai réalisé seul, ce que des équipe complètes
n'ont pas réalisées, c'est à dire, de la documentation à jour, et,
lisible, parfois.
Sur de nombreux sujets, mes tutoriels, ou le contenu de certains
collaborateurs, sont placés au top 3 des moteurs de recherche, et,
méritent donc de rester disponible à ceux qui voudraient les consulter
pour construire leurs outils et avancer leurs recherches à l'aide de ce
travail, fusse t'il bénévole.

Quel est le *problème concret* à résoudre ?

De ne pas dévier du besoin initialement évoqué, et, de ne pas rentrer
dans des considérations personnelles.

1- Comment utiliser ( de préférence gratuitement ) un envoie de sms pour
alerter de l'indisponibilité d'un serveur.
2- A défaut, utiliser une application Android, mais alors, laquelle, si
celle ci existe déjà.

Il y a longtemps j'avais fais des recherches la dessus, mais, via
Windows, et, j'avais vu alors que depuis Windows, il n'existait aucune
solution non payantes, mais, qu'il était possible de mettre en place un
serveur, et d'utiliser des API, ou, d'autres solutions, mais,
évidemment, les sujets sont peu disponibles, et, dès que les gens
s'approprient ce savoir, ils le verrouillent, pour créer des outils
commerciaux.


Le 21/04/2020 à 23:01, Basile Starynkevitch a écrit :
>
>
> On 4/21/20 9:55 PM, G2PC wrote:
>> Désolé Basile mais je ne comprend pas pourquoi tu me renvoies vers ton
>> projet Covid.
>
>
> Simplement parce que c'est un logiciel libre GPLv3+ fournissant un
> service HTTP. Comme ton serveur Web.
>
>> Je ne comprend pas pourquoi tu parles de développer une application
>> Android, tout le monde n'utilise pas Android.
>
>
> Je ne comprends pas non plus la motivation de ta question.
>
>
> Si le serveur est réellement important (càd que la panne coûte cher,
> en vies humaines et/ou en mega€) envoyer un SMS est d'un coût négligeable.
>
> Si c'est un serveur pour une passion, quelle importance qu'il tombe en
> panne pendant une demi journée par an?
>
> Moi je loue deux VPS à titre perso. Ils sont de temps en temps HS. Et
> alors?
>
> Et la machine sur laquelle je tape cette réponse est allumée 24h/24,
> avec un onduleur. Elle est connectée à Internet via une FreeBox
> revolution (sur ce même onduleur).
>
> En principe, elle est accessible par ssh tout le temps. En pratique,
> elle plante de temps à autre. Mais ça me suffit!
>
>
> Quel est le *problème concret* à résoudre?
>
> Te rendre compte, en une journée, que ton serveur a planté? Si oui,
> pas besoin d'envoyer un SMS. Il suffit par exemple (si la machine
> tourne un service HTTP) de faire une requête HTTP toutes les dix
> minutes. Un crontab lançant wget fait l'affaire.
>
> Et à supposer que tu puisses automatiquement envoyer un SMS, vas tu le
> lire à 3 heu

Re: SMS

[G2PC]

Le 21/04/2020 à 22:27, Sébastien Dinot a écrit :
> Bonsoir,
>
> Si je comprends bien ton problème, ton besoin est moins d'envoyer des
> SMS que d'être prévenu de la défaillance de ton serveur.
>
> Pour que tu puisses être informé de la défaillance de ce serveur, il
> faut déjà qu'une application le supervise depuis une autre machine.
> Ensuite, il faut que cette machine puisse t'envoyer des messages sur le
> téléphone que tu as probablement toujours avec toi. Selon ce que tu
> utilises comme téléphone et comme applications sur ledit téléphone, les
> vecteurs peuvent être variés : SMS, message via une application telle
> que Signal, mail, message vocal.
>
> Ensuite, il faut que tu puisses intervenir sur le serveur défaillant. Là
> encore, selon le contexte (lieu d'hébergement du serveur, capacité
> à y accéder à distance, à effectuer un reboot hard à distance, à obtenir
> une console virtuelle sur le serveur pour suivre les étapes du boot,
> à booter sur un système et/ou un noyau alternatif, etc.), tu auras plus
> ou moins de moyens d'intervenir immédiatement sur le serveur.
>
> Bref, je pense que la question du vecteur d'alerte est presque la
> dernière question à se poser. :)
>
> Mais peut-être as-tu déjà réfléchi à ces autres questions et que tu as
> des réponses.
>
> Par exemple, si tu utilises l'application Signal sur un smartphone, tu
> dois pouvoir utiliser une application telle que celle-ci pour t'envoyer
> un message d'alerte sans passer par un SMS :
>
> https://github.com/AsamK/signal-cli
>
> Sébastien

Bonsoir Sébastien, effectivement, le but est au delà de l'usage des SMS,
bien que très intéressant malgré tout à pouvoir maîtriser sur cette
question de l'envoi.

J'ai pu effectivement faire le tour rapidement, en ce qui concerne le
monitoring,

https://wiki.visionduweb.fr/index.php?title=Installer_Configurer_Utiliser_des_logiciels_sur_GNU_Linux#Monitorer_un_serveur

https://wiki.visionduweb.fr/index.php?title=Sommaire_S%C3%A9curit%C3%A9


Ton alternative est intéressante, de passer par une appli mobile mais,
ça me semble un peu complexe  tout de même, et, même si le code est
ouvert, ça semble un peu lourd à assimiler.
Avec une 50 aine de watch, ça laisse présumer moins de 50 contributeurs
réellement actifs ou en capacité de participer au code, par contre, il
semble y avoir d'avantage de fork et 1000 personnes auraient aimé cette
source.

Tu n'aurais pas la même chose, en beaucoup plus accessible ?

Re: SMS

[G2PC]

Le 21/04/2020 à 22:23, Eric Degenetais a écrit :
> Mais en même temps, 
> si le serveur ne génère pas particulièrement de revenu, et n'a pas
> d'enjeux vitaux (au sens propre) quel est l'intérêt de notification
> par SMS qui sont généralement mises en œuvre dans le cadre de
> programmes d'astreintes destinés à réduire au maximum le temps de
> réponse pour, justement, minimiser les pertes d'exploitation ou le
> risque de dommages humains ? 
> Dans le cas d'un serveur à but non lucratif, une notification par
> e-mail, qu'on peut obtenir, pour le coup, sans payer des coûts
> supplémentaires par rapport à l'hébergement, semble largement suffisante.
>
> Éric Dégenètais


C'est un jugement de valeur personnel, que tu nous rends la, donc,
j'aimerais dire, totalement hors sujet de la question technique
initialement partagée à des techniciens.

De plus, le serveur ne génère aucun revenu, que des frais,
effectivement, avec de nombreux tutoriels inutiles, qui parlent de
Debian, et, des logiciels libre, notamment, donc, finalement, aucune
valeur, n'est ce pas ?

Re: SMS

[G2PC]

Désolé Basile mais je ne comprend pas pourquoi tu me renvoies vers ton
projet Covid.

Je ne comprend pas pourquoi tu parles de développer une application
Android, tout le monde n'utilise pas Android.

Aucune de tes réponses ne permet de répondre au sujet initiale qui est
très précis, l'envoi d'un SMS, gratuitement, pour effectuer une ou
plusieurs alertes.

Les contournements proposés ne semblent par répondre aux attentes.

>> Tout simplement car je ne tire aucun bénéfice de mon TRAVAIL qui
>> consiste à rédiger des tutoriels qui sont mis librement à la disposition
>> de tous.
>> De ce fait, il me faut malgré tout administrer mon serveur, et, pouvoir
>> savoir autrement que par l'envoi d'un mail, si mon serveur est
>> disponible ou tombé.

Re: SMS

[G2PC]

>
> J'ai un peu du mal à comprendre pourquoi on veut envoyer un SMS
> gratuitement.
>
> Pourquoi les services payants de SMS ne conviennent pas? C'est peu cher!
>
> Ou bien, pourquoi ne pas acheter ou louer un matériel / un logiciel /
> un service qui envoie des SMS

Tout simplement car je ne tire aucun bénéfice de mon TRAVAIL qui
consiste à rédiger des tutoriels qui sont mis librement à la disposition
de tous.
De ce fait, il me faut malgré tout administrer mon serveur, et, pouvoir
savoir autrement que par l'envoi d'un mail, si mon serveur est
disponible ou tombé.

De ce fait, non, je n'ai plus d'argent à investir.

Je fais énormément de publicité, à de très nombreux produits, services,
communautés, professionnels ou passionnés, sur mon wiki.
Je ne peux pas investir toujours plus, gérer toujours plus de d'outils
payant, ici et la.
De plus, avec les systèmes par sms, on a toujours le risque de ne pas
maitriser certains aspects, qu'on ne découvrira que à l'usage, admettons
une problématique de SPAM qui n'aurait pas été identifiée, et, qu'on
doive payer l'envoie de 100 sms, simplement car le service ne
correspondait pas à nos attentes ... Non merci.

Par contre, si il existe des services payants, c'est qu'ils ont bien sur
mettre en place un système capable d'envoyer des SMS, en collaboration
ou non, avec les opérateurs.
Je pense que les personnes ici présentes sont dans la grande majorité
des administrateurs qui devraient eux aussi, pouvoir bénéficier de ses
informations, pour leur permettre de mettre un place un tel système pour
recevoir des alertes sur l'état de leur services en ligne, en mettant en
place eux même le service, ou, en passant par un service communautaire,
libre et gratuit, comme il en existe de nombreux dans le logiciel libre.

Re: SMS

[G2PC]

Je veux bien avoir vos avis complémentaires, pour toute possibilité
d'envoi de sms, gratuitement, depuis debian.

J'aimerais mettre en place un système d'envoi de SMS en cas
d'indisponibilité du serveur.

Il faudrait donc monitorer un serveur, depuis un autre serveur,

ou, faire un ping sur IP,

ou, lire le code renvoyé, suite à la consultation d'une page ( solution
préférée, en cas de code 200, le serveur répond )


Par contre, je ne tiens pas à passer par une offre payante, j'ai vu des
sites qui offrent les 10 premiers SMS gratuitement, ça ne correspond pas
à mon besoin.


J'ai vu que google avait mis en place ce système pour google agenda il
me semble et qu'il était intelligemment détourné pour répondre au besoin
des admins.
Par contre, je crois que ce système n'est plus disponible, je ne le vois
pas depuis Google Agenda.


N'hésitez pas à remonter des infos, ou, de partager des notes complètes
sur votre façon de procéder, pour qu'on puisse nous aussi mettre ça en
place facilement.

Re: Installer manuellement pastebinit sur Debian

[G2PC]

Je relance, des fois que quelqu'un saurait m'aider à installer
pastebinit via ce dépôt sur une debian stable ?

Le 31/03/2020 à 20:16, G2PC a écrit :
> L'un de vous saurait t'il installer ce dépôt manuellement, sur une
> Buster Stable ?*
> Je n'ai même pas tenté, car, je ne suis pas sur de bien savoir si il y a
> une procédure particulière.
> Je n'ai même pas vraiment consulter le contenu du dépôt.
> https://salsa.debian.org/debian/pastebinit
>
> Faut t'il utiliser un make, ou, y'a t'il une procédure propre aux
> programmes déposés sur Salsa ?
> La personne qui gère le dépôt Github m'a renvoyé sur le lien précédent,
> sans plus d'explication.
>
> Ce serait pour ajouter cette méthode à la page suivante, que j'ai créée
> suite au bogue que j'ai rencontré sur pastebinit.
> https://wiki.visionduweb.fr/index.php?title=Exporter_un_fichier_texte_vers_un_service_en_ligne_de_type_pastebin

Re: Exim4 et paniclog

[G2PC]

Bonjour Ludovic,

Je pense que tu as identifié le problème.

Je suppose que c'est le who comme tu l'indiques, qui est peut être
responsable.

Mon script fonctionne si je me connecte la première fois.
Si mon terminal reste ouvert, et, que j'ouvre un second terminal, il ne
fonctionne plus.

Si j'ai 2 terminal ouvert, avec le même utilisateur SSH, se peut t'il
que la valeur de who ne corresponde plus, et, fasse boguer mon script ?
Je vais immédiatement vérifier.

Première connexion
who
debian   pts/0    2020-04-10 19:48 (IP)

Deuxième connexion
mail: impossible d'expédier le message : Processus terminé avec un état
de sortie non nul
who
debian   pts/0    2020-04-10 19:48 (IP)
debian   pts/1    2020-04-10 19:49 (IP)



Le 08/04/2020 à 02:31, Ludovic a écrit :
> Bonjour G2PC,
>
>     plusieurs axes de recherche:
>
> 1) Il faut débuger ton script shell
>
> echo "Connexion au terminal du serveur le `date` `who`" | mail -s
> "Accès au Shell du Serveur `hostname` par `who` depuis `who | cut
> -d"(" -f2 | cut -d")" -f1`"m...@moderateur.com
>
> Visiblement ce script ne fonctionne pas toujours, plutôt qu'envoyer un
> mail tu peux rediriger vers un fichier, puis regarder son contenu. Tu
> peux aussi vérifier les variables d'environnement définies à ce moment
> (env >> ). Ton script shell alterne beaucoup
> de double quotes et de simple quote, c'est facile de se tromper... Tu
> peux avantageusement remplacer un `date` par $(date), ce sera moins
> source d'erreur.
>
> 2) La commande who te renvoit la **liste** de toutes les personnes
> connectées, à ta première connexion, elle pourrait renvoyer une seule
> ligne, et à la seconde renvoyer deux lignes. Avec who renvoyant
> plusieurs lignes, ton script n'est pas robuste...
>
> 3) Tu peux vérifier que ta configuration mail fonctionne correctement
> en faisant des tests d'envoi avec la commande mail et en surveillant
> les logs exim
>
> 4) Ton but semble être d'envoyer un mail pour toute connexion SSH,
> dans ce cas une bonne solution est d'utiliser /etc/ssh/sshrc, cf [1]
> et man sshd. C'est ce que j'utilise pour monitorer les connexions SSH
> externes.
>
> [1]
> http://blog.uggy.org/?post/2009/06/05/Execution-de-commande-lors-d-une-connexion-SSH
>
> Ludovic
>
> Le 03/04/2020 à 17:18, G2PC a écrit :
>>
>>
>>   Exim4 et paniclog
>>
>> # L'erreur suivante serait présente à chaque fois que exim4 démarre
>> et que le fichier paniclog ne serait pas vide sur un système Debian /
>> Ubuntu.
>> exim paniclog /var/log/exim4/paniclog has non-zero size error
>> # L'origine de ce message d'erreur est généré lorsque je me connecte
>> deux fois au serveur SSH, depuis deux consoles différentes.
>> #*Le premier mail suite à une connexion réussie m'est bien envoyé*,
>> avec ce script :Alerte mail lors du login root ou d'un utilisateur 
>> <https://wiki.visionduweb.fr/index.php?title=Le_fichier_.bashrc#Alerte_mail_lors_du_login_root_ou_d.27un_utilisateur>.
>>
>>
>> # ALERTE MAIL SUITE A UNE CONNEXION SSH :
>> *sudo nano /home/utilisateur/.bashrc echo "Connexion au terminal du
>> serveur le `date` `who`" | mail -s "Accès au Shell du Serveur
>> `hostname` par `who` depuis `who | cut -d"(" -f2 | cut -d")" -f1`"
>> m...@moderateur.com*
>>
>>
>> #*Lors d'une seconde connexion*  avec*un nouveau terminal*  et*le
>> même utilisateur*, j'obtiens un mail en*erreur renvoyée au compte
>> administrateur*  :
>> Mail failure - no recipient addresses
>> A message that you sent contained no recipient addresses, and
>> therefore no delivery could be attempted.
>> # En consultant le fichier paniclog on observe l'ajout des lignes
>> suivantes :
>> nano /var/log/exim4/paniclog
>> 1jJnQp-0006r4-KL 1jJnQp-0006r4-KL no recipients found in headers
>> 1jJnRH-0006rh-6j 1jJnRH-0006rh-6j no recipients found in headers
>> # La solution proposée est de supprimer ce fichier pour qu'il soit
>> recréé :
>> sudo rm /var/log/exim4/paniclog
>> # Ou encore de vider le fichier :
>> sudo bash
>> echo "" > /var/log/exim4/paniclog
>> # Redémarrer Exim4 :
>> /etc/init.d/exim4 restart
>>
>>
>> >>
>> *# Pour réellement résoudre le problème de ce message exim paniclog
>> /var/log/exim4/paniclog has non-zero size error il faudrait
>> comprendre pourquoi suite à une double connexion SSH, le second mail
>> n'est pas envoyé.*
>>
>> #*Lors d'une seconde connexion*  avec*un nouveau terminal*  et*le
>> même utilisateur*, j'obtiens un mail en*erreur renvoyée au compte
>> administrateur*.
>>
>> C'est cela qui génère le paniclog.
>> Une idée ?
>

Exim4 et paniclog

[G2PC]

  Exim4 et paniclog

# L'erreur suivante serait présente à chaque fois que exim4 démarre et que le 
fichier paniclog ne serait pas vide sur un système Debian / Ubuntu.
exim paniclog /var/log/exim4/paniclog has non-zero size error

# L'origine de ce message d'erreur est généré lorsque je me connecte deux fois 
au serveur SSH, depuis deux consoles différentes.
# *Le premier mail suite à une connexion réussie m'est bien envoyé*, avec ce 
script : Alerte mail lors du login root ou d'un utilisateur 
.


# ALERTE MAIL SUITE A UNE CONNEXION SSH :
*sudo nano /home/utilisateur/.bashrc echo "Connexion au terminal du
serveur le `date` `who`" | mail -s "Accès au Shell du Serveur `hostname`
par `who` depuis `who | cut -d"(" -f2 | cut -d")" -f1`" m...@moderateur.com*


# *Lors d'une seconde connexion* avec *un nouveau terminal* et *le même 
utilisateur*, j'obtiens un mail en *erreur renvoyée au compte administrateur* :
Mail failure - no recipient addresses
A message that you sent contained no recipient addresses, and therefore no 
delivery could be attempted.

# En consultant le fichier paniclog on observe l'ajout des lignes suivantes :
nano /var/log/exim4/paniclog
1jJnQp-0006r4-KL 1jJnQp-0006r4-KL no recipients found in headers
1jJnRH-0006rh-6j 1jJnRH-0006rh-6j no recipients found in headers

# La solution proposée est de supprimer ce fichier pour qu'il soit recréé :
sudo rm /var/log/exim4/paniclog

# Ou encore de vider le fichier :
sudo bash
echo "" > /var/log/exim4/paniclog

# Redémarrer Exim4 :
/etc/init.d/exim4 restart


>>
*# Pour réellement résoudre le problème de ce message exim paniclog
/var/log/exim4/paniclog has non-zero size error il faudrait comprendre
pourquoi suite à une double connexion SSH, le second mail n'est pas envoyé.*

# *Lors d'une seconde connexion* avec *un nouveau terminal* et *le même 
utilisateur*, j'obtiens un mail en *erreur renvoyée au compte administrateur*.

C'est cela qui génère le paniclog.
Une idée ?

Installer manuellement pastebinit sur Debian

[G2PC]

L'un de vous saurait t'il installer ce dépôt manuellement, sur une
Buster Stable ?*
Je n'ai même pas tenté, car, je ne suis pas sur de bien savoir si il y a
une procédure particulière.
Je n'ai même pas vraiment consulter le contenu du dépôt.
https://salsa.debian.org/debian/pastebinit

Faut t'il utiliser un make, ou, y'a t'il une procédure propre aux
programmes déposés sur Salsa ?
La personne qui gère le dépôt Github m'a renvoyé sur le lien précédent,
sans plus d'explication.

Ce serait pour ajouter cette méthode à la page suivante, que j'ai créée
suite au bogue que j'ai rencontré sur pastebinit.
https://wiki.visionduweb.fr/index.php?title=Exporter_un_fichier_texte_vers_un_service_en_ligne_de_type_pastebin

Re: Envoyer un mail suite à une connexion shell sur son serveur

[G2PC]

Merci Cyrille, effectivement, je peux tricher avec les mots clés, mais,
disons que résoudre le problème d'encodage serait quand même mieux.

Je regarde ton lien dans la journée, merci pour la ressource.

Le 17/03/2020 à 12:37, Cyrille BIOT a écrit :
> Bonjour,
> contourne le problème en mettant connexion à la place de accès ;)
>
> Sinon voici un lien avec aussi notif par sms si ça t'interesse
>
> https://cbiot.fr/dokuwiki/ssh-fail2ban#gerer_les_notifications
>
>
> G2PC  a écrit :
>
>> Le 16/03/2020 à 17:15, Erwann Le Bras a écrit :
>>>
>>> je suppose que c'est la commande "mail"
>>>
>>> il doit prendre comme sujet uniquement le premier item 'hostname' et
>>> les autres items sont considérés comme des destinataires locaux
>>>
>>> protège tout le sujet et ça devrait passer comme attendu
>>>
>>
>> Effectivement !
>> Plus de problème avec ses 4 adresses fantômes.
>>
>> echo "Accès Shell Serveur le `date` `who`" | mail -s "Accès au Shell du
>> Serveur `hostname` par `who` depuis `who | cut -d"(" -f2 | cut -d")"
>> -f1`" m...@domaine.com
>>
>>
>> Il me resterait un problème, si tu as une idée, la partie qui s'affiche
>> dans le contenu : " Accès Shell Serveur le .. " est affichée avec des
>> caractères spéciaux :
>>
>> Accès Shell Serveur le mardi
>>
>>
>> Pourtant, le titre du message, lui, affiche l'accent.
>>
>>
>> J'ai fais quelques recherches mais je n'ai pas encore avancé d'avantage
>> que :
>>
>>  # Le mail reçu sous Thunderbird ne va pas afficher les accents (
>> d'autres clients mail les affichent )
>>  # Il serait préférable de rajouter le choix de l'encodage lors de
>> l'envoie du mail.
>>  # Sinon, le réglage peut également être effectué depuis Thunderbird :
>> Affichage / Encodage du texte / Unicode ( Ce n'est pas un réglage
>> permanent. )
>
>
>

Re: [HS] Informatique & corona :

[G2PC]

Le 17/03/2020 à 12:15, Philippe a écrit :
> Bonjour la liste !
>
> Il est midi et j'ai déjà des envies de camping…
>
> J'ouvre ce sujet d'actualité hors sujet pour éventuellement partager ce qui 
> nous arrive personnellement
> en ce moment IRL, et ce serait cool si des abonnés vivant hors de France nous 
> donnent aussi quelques
> infos personnelles inédites dans la presse en ligne.
>
> Bienvenue en URSS !
>
> Ph. Gras

Mardi 17 Mars 2020 - Jour I de l'occupation.

Le monde entier occupé par l'armée de Corée du Nord.
Victoire écrasante de la Corée du Nord contre l'armée Française écrasée
sans combattre.
La Ripoublique c'est pliée au régime dictatorial, régime de la
propagande par la peur en faisant confiner toute la population.

Ici John pas con qui garde le Nord.

Si vous lisez ce message, vous êtes la résistance !

Re: Envoyer un mail suite à une connexion shell sur son serveur

[G2PC]

Le 16/03/2020 à 17:15, Erwann Le Bras a écrit :
>
> je suppose que c'est la commande "mail"
>
> il doit prendre comme sujet uniquement le premier item 'hostname' et
> les autres items sont considérés comme des destinataires locaux
>
> protège tout le sujet et ça devrait passer comme attendu
>

Effectivement !
Plus de problème avec ses 4 adresses fantômes.

echo "Accès Shell Serveur le `date` `who`" | mail -s "Accès au Shell du
Serveur `hostname` par `who` depuis `who | cut -d"(" -f2 | cut -d")"
-f1`" m...@domaine.com


Il me resterait un problème, si tu as une idée, la partie qui s'affiche
dans le contenu : " Accès Shell Serveur le .. " est affichée avec des
caractères spéciaux :

Accès Shell Serveur le mardi 


Pourtant, le titre du message, lui, affiche l'accent.


J'ai fais quelques recherches mais je n'ai pas encore avancé d'avantage
que :

 # Le mail reçu sous Thunderbird ne va pas afficher les accents (
d'autres clients mail les affichent )
 # Il serait préférable de rajouter le choix de l'encodage lors de
l'envoie du mail.
 # Sinon, le réglage peut également être effectué depuis Thunderbird :
Affichage / Encodage du texte / Unicode ( Ce n'est pas un réglage
permanent. )

Envoyer un mail suite à une connexion shell sur son serveur

[G2PC]

Bonjour, j'ai mis en place la ligne suivante sur mon serveur web, dans
le fichier .bashrc
Aucun soucis, le mail est bien envoyé.

# ALERTE MAIL SUITE A LA CONNEXION SSH
echo 'Accès Shell Serveur le ' `date` `who` | mail -s `hostname` Shell
Serveur de `who | cut -d"(" -f2 | cut -d")" -f1` m...@domain.com

Par contre, quand le mail ne sortait pas, car les réglages de Exim4
n'étaient pas encore aboutis, je recevais le mail en local, mais, avec 5
destinataires moi, et 4 autres.
Ma question porte sur ce point, car, dans les messages non délivrés, je
pouvais lire ceci :


# Des mails non transmis apparaissent dans la boîte relevée avec la
commande mailx.
# Je ne sais pas d'où proviennent ces adresses :
*Shell*@vps123.vps.ovh.ca
 Unrouteable address
*Serveur*@vps123.vps.ovh.ca
 Unrouteable address
*de*@vps123.vps.ovh.ca
 Unrouteable address
*ip_de_ma_box_orange*@vps123.vps.ovh.ca
 Unrouteable address


Ma question est la suivante :
D'où proviennent ses 4 adresses ?
Sont t'elles des adresses standard liées au système ou un effet de bord
de ma commande, car, nulle part je spécifie ses 4 adresses :
echo 'Accès Shell Serveur le ' `date` `who` | mail -s `hostname` Shell
Serveur de `who | cut -d"(" -f2 | cut -d")" -f1` m...@domain.com

Je suis d'ailleurs également surpris de voir ce mail :
*ip_de_ma_box_orange*@vps123.vps.ovh.ca
En effet, je ne vois pas du tout ce que vient faire l'ip de ma box dans
l'envoie de ce mail, car, hormis avoir ajouté l'ip de ma box en liste
blanche de ma connexion SSH, je ne l'utilise pas.

Je n'ai rien trouvé dans ma configuration EXIM4 qui puisse m'informer
sur la provenance de ses 4 mails.

Pour ne pas recevoir cette alerte de mails non délivrés, j'ai renseigné
les 4 adresses dans le fichier /etc/aliases
Par contre, je ne reçois que 1 seul fois le mail, ce qui est tant mieux,
mais, étrange à la fois.

# Je rajoute les lignes suivantes dans le fichier aliases :
sudo nano /etc/aliases
# Noter que en cas de configuration séparée, les redirections peuvent
également être ajoutées à cet endroit, plutôt que dans le fichier
aliases par défaut :
sudo nano /etc/exim4/conf.d/rewrite/00_exim4-config_header

# Permet à mon alerte de connexion SSH dans .bashrc de ne pas être en
erreur sur les 4 adresses suivantes.
# Avec l'ajout de ces lignes, je n'ai plus d'alerte de mail non délivré
depuis mailx.
# Par contre je ne reçois qu'une seule fois le mail dans ma boîte mail.
Shell:m...@domain.com
Serveur:m...@domain.com
de:m...@domain.com
ip_de_ma_box_orange:m...@domain.com

Re: sources ses telechargements

[G2PC]

> Est-ce que vous avez une solution qui marche a me proposer ?

Utiliser un wiki, pour gérer ses notes, en privé ou publique.
L'avantage avec une page wiki c'est que tu peux facilement lui passer un
analyseur de liens morts, pour savoir au bout d'un certain temps quels
sont les liens encore valides.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

C'est résolu.
En fait, mon problème semble être lié au fait que mon Vhost qui servait
à configurer l'adresse ip du serveur, était nommé 139.xx.xxx.xx.conf
Je pensais judicieux qu'il soit nommé ainsi, car il était alors le tout
premier VHost a être écouté.

En fait, à l'usage, je me suis rendu compte que cela posait des
problèmes, lorsque j'ai changé les DNS d'un de mes domaines pour ceux de
Cloudflare.
En effet, j'étais arrivé à une configuration satisfaisante, pour mon VPS
OVH et les domaines OVH. J'avais bien réussi à redirigé le port 80 vers
une erreur 403 et le port 443 vers une erreur 403.
Par contre, je n'arrivais toujours pas à rediriger le port 443 vers le
domaine de mon choix, avec une erreur qui me disait que le certificat ne
matchait pas.

C'est quand j'ai changé les DNS d'un des domaines pour cloudflare, et,
que ce domaine en question est devenu inaccessible que j'ai vraiment du
creuser pour comprendre.

En fait, en renommant mon VHost en xyz-139.xx.xxx.xx.conf ce qui
possitionne mon VHost à la fin de la liste, je n'ai plus de soucis.
Les domaines sont bien redirigés vers les VHosts à l'écoute des noms de
domaines, puis, par défaut, c'est ce dernier VHost qui travail, sans
créer de panne.

Après avoir renommé ce Vhost en xyz-139.xx.xxx.xx.conf j'ai pu ajouter
la redirection dans le VirtualHost à l'écoute du port 443, vers le
domaine de mon choix, sans rencontrer de problème de certificat.
Cette fois, j'arrive bien, ET à bloquer en 403 une consultation depuis
l'IP, si je le souhaite, ET, rediriger vers le domaine de mon choix.

J'ai même pu faire les deux, je bloque sur une 403 puis je redirige,
mais, pour un visiteur, on ne voit que la redirection.
Par contre, au niveau des logs, je suppose qu'on a un message concernant
l'erreur 403 ( pas certain ).
En tout cas, ma page erreur 403 forbidden.php m'envoie un mail tout de
même, donc, je suppose que oui, la page 403 match, les logs tracent la
consultation comme une erreur 403, puis je vois directement mon domaine
choisi pour être affiché.

Ainsi, ça me permet d'utiliser Fail2ban sur les IP en provenance de
l'adresse IP du serveur, en considérant cette provenance comme
illégitime mais en déservant malgré tout un contenu, tant que le
visiteur n'est pas bloqué.



> Le 15/02/2020 à 12:39, Maxime G. a écrit :
>> Tu n'as pas de virtualhost pour ton 139.99.173.195:443, il est
>> possible que apache serve soit le default soit le premier virtualhost
>> par ordre alphabetique.
>> Tu as juste a reprendre ton virtualhost du 139.99.173.195:80 pour
>> 139.99.173.195:443 en lui rajoutant un certificat ssl dans la conf
>> (qui ne matchera pas pour le client CAR c'est un appel par IP et non
>> par domaine).
>
> Le bout du tunnel ?
> Alors, ok, ça m'intéresse, mais, je ne comprend pas bien.
>
> Ce certificat, je ne peux pas le créer avec let's encrypt, on est bien
> d'accord ? Let's encrypt est conçu pour les noms de domaines, je me
> trompe ?
> Dès lors, tu me conseillerais de faire comment ?
>
> Je ne comprend pas quand tu me dis que le certificat ne va pas
> matcher, alors, comment je dois comprendre l'utilité de ce certificat,
> et, sa mise en place, si ça ne match de toute façon pas.
> C'est un peu obscur mais je crois qu'on avance.

Re: Des compliments !

[G2PC]

> Le 11/03/2020 à 13:00, ptilou a écrit :
>
>> Moi j'aurai dit ...
>
> tiens aller voir la page
> https://www.cert.ssi.gouv.fr/2020/

Je ne comprend pas bien que Debian soit en tête de liste, alors que
Ubuntu semble en bas de la liste.
Je croyais pourtant que Ubuntu est basé sur Debian, et, qui plus est,
avec le support propriétaire d'avantage présent, il me semblait qu'il
était d'avantage soumis aux risques.

Module mod_ctrls manquant pour ProFTPd sur Debian Buster ?

[G2PC]

Le module mod_ctrls est manquant dans la version 1.3.6 de ProFTPd.
Ce module de peut s'obtenir que par compilation de ProFTPd.

Ce module est contenu dans les fichiers mod_ctrls.c et mod_ctrls.h pour
ProFTPD 1.2 et n'est pas compilé par défaut.
Il ne semble également pas compilé par défaut pour ma version actuelle
1.3.6 de ProFTPD installée sur Debian Buster 10.

Dans le module mod_ctrls il y a l'option controlsocket.
Cela pourrait correspond à un bogue que je rencontre :

sudo proftpd --configtest
Checking syntax of configuration file
*mod_ctrls/0.9.5: error: unable to bind to local socket: Address already
in use*
processing configuration directory '/etc/proftpd/conf.d/'
Syntax check complete.

Le problème pourrait avoir été résolu dans la nouvelle version de ProFTPd
Pourtant, il est dit plus haut que le module n'est pas compilé par défaut.

1- Est ce que oui ou non Debian me permet d'avoir ce module de compilé,
en utilisant le paquet proftpd-basic ?
2- Suis je obligé de passer par les sources officielles de proftpd pour
avoir une compilation complète ?
3- Est ce que le paquet proftpd-basic proposé dans la version de Debian
Buster pourrait être patché manuellement, pour ajouter la prise en
compte du module manquant ?
C'est peut être autrement plus complexe ?

*mod_ctrls est manquant*.
mod_ctrls_admin est présent ( faire une recherche sur cette page, vous
trouverez la correspondance ci-dessous.

Mon idée première serrait de savoir si il est possible de coller un
scotch mouillé dans le paquet .deb de debian pour obtenir ce module.
Si ce n'est pas possible, cela m'obligera à passer par les sources
officielles de ProFTPd ou d'attendre la mise à niveau de ProFTPd sur
Debian, et, que le module mod_ctrls soit compilé.

La commande proftpd -V m'indique que l'installation qui est effectuée
est la suivante :

sudo proftpd -V

Compile-time Settings:
  Version: 1.3.6 (stable)
  Platform: LINUX [Linux 4.19.0-6-amd64 x86_64]
  Built: Tue Feb 25 2020 21:23:14 UTC
  Built With:
    *configure  '--build=x86_64-linux-gnu'
'--includedir=${prefix}/include' '--mandir=${prefix}/share/man'
'--infodir=${prefix}/share/info' '--sysconfdir=/etc'
'--localstatedir=/var' '--disable-silent-rules'
'--libdir=${prefix}/lib/x86_64-linux-gnu'
'--libexecdir=${prefix}/lib/x86_64-linux-gnu'
'--disable-maintainer-mode' '--disable-dependency-tracking'
'--prefix=/usr'
'--with-includes=/usr/include/postgresql:/usr/include/mariadb:/usr/include/mariadb/mysql'
'--mandir=/usr/share/man' '--sysconfdir=/etc/proftpd'
'--localstatedir=/run' '--libexecdir=/usr/lib/proftpd'
'--enable-sendfile' '--enable-facl' '--enable-dso' '--enable-autoshadow'
'--enable-ctrls' '--enable-ipv6' '--enable-nls' '--enable-memcache'
'--with-lastlog=/var/log/lastlog' '--enable-pcre' '--disable-strip'
'--enable-redis' '--build' 'x86_64-linux-gnu'
'--with-shared=mod_unique_id:mod_site_misc:mod_load:mod_ban:mod_quotatab:mod_sql:mod_sql_mysql:mod_sql_postgres:mod_sql_sqlite:mod_sql_odbc:mod_dynmasq:mod_quotatab_sql:mod_ldap:mod_quotatab_ldap:mod_ratio:mod_tls:mod_rewrite:mod_radius:mod_wrap:mod_wrap2:mod_wrap2_file:mod_wrap2_sql:mod_quotatab_file:mod_quotatab_radius:mod_facl:mod_ctrls_admin:mod_copy:mod_deflate:mod_ifversion:mod_geoip:mod_exec:mod_sftp:mod_sftp_pam:mod_sftp_sql:mod_shaper:mod_sql_passwd:mod_ifsession:mod_auth_otp:mod_tls_redis:mod_wrap2_redis:mod_redis:mod_memcache:mod_tls_memcache:mod_readme:mod_snmp'
'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2
-fdebug-prefix-map=/build/proftpd-dfsg-h285Mw/proftpd-dfsg-1.3.6=.
-fstack-protector-strong -Wformat -Werror=format-security'
'LDFLAGS=-Wl,-z,relro' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2'
'CXXFLAGS=-g -O2
-fdebug-prefix-map=/build/proftpd-dfsg-h285Mw/proftpd-dfsg-1.3.6=.
-fstack-protector-strong -Wformat -Werror=format-security'*

  CFLAGS: -g2 -g -O2
-fdebug-prefix-map=/build/proftpd-dfsg-h285Mw/proftpd-dfsg-1.3.6=.
-fstack-protector-strong -Wformat -Werror=format-security -Wall
-fno-omit-frame-pointer -Werror=implicit-function-declaration
  LDFLAGS: -L$(top_srcdir)/lib -Wl,-z,relro -rdynamic 
-L/usr/lib/x86_64-linux-gnu/ -L/usr/lib/x86_64-linux-gnu
  LIBS: -lacl  -lpcreposix -lpcre -lssl -lcrypto -lcap  -lpam -lsupp
-lattr -lnsl -lresolv -lresolv -lcrypt -ldl -lhiredis -lmemcachedutil
-lmemcached  -pthread

  Files:
    Configuration File:
  /etc/proftpd/proftpd.conf
    Pid File:
  /run/proftpd.pid
    Scoreboard File:
  /run/proftpd.scoreboard
    Header Directory:
  /usr/include/proftpd
    Shared Module Directory:
  /usr/lib/proftpd

  Info:
    + Max supported UID: 4294967295
    + Max supported GID: 4294967295

  Features:
    + Autoshadow support
    + Controls support
    + curses support
    - Developer support
    + DSO support
    + IPv6 support
    + Largefile support
    + Lastlog support
    + Memcache support
    + ncursesw support
    + NLS support
    + Redis support
    - Sodium support
    + OpenSSL support
    + PCRE support
    + POSIX ACL support
    + Shadow file support
   

Re: [1/2HS] Mysql et le symbole Euro €

[G2PC]

>> https://wiki.visionduweb.fr/index.php?title=Installer_PHPMyAdmin
>> Une fois fait, est ce que tu rencontres le même problème d'encodage ?
> Merci de ton soucis sur le problème.
>
> Dans mon sources.list, j'ai ajouté les paquets non-free.
> J'ai installé phpmyadmin par "apt-get install phpmyadmin".
> Version: 4:4.6.6-4
> Attention, il dépend de mysql et apache2.
> En réinstallant, je voudrais pas créer un désastre avec mysql et apache2 
> (site web en action).

Peux tu tester ma proposition, stp, tu as simplement à télécharger le
PHPMyAdmin depuis le site officiel, et, copier coller le contenu des
fichier dans un dossier nommé de ton choix.

Tu n'as aucune installation à faire.
Merci de consulter le lien plus haut, qui explique la méthode, en
quelques lignes.

Tester adminer cpourquoi pas, mais, ici, il était question de
PhpMyAdmin, pas de tester tous les outils qui existent ;)
Si tu pouvais suivre ma proposition, ça permettrait d'exclure un
problème d'encodage de l'outil lui même, si avec ma méthode, le symbole
euro s'affiche, car cela voudrait dire que PhpMyAdmin permet bien
d'afficher le symbole.

Le lien exact :
https://wiki.visionduweb.fr/index.php?title=Installer_PHPMyAdmin#Installer_PHPMyAdmin_depuis_les_sources

1.1 Installer PHPMyAdmin depuis les sources



  * 1.1.1 Téléchargement et installation


  * 1.1.2 Configurer MySQL


  * 1.1.3 Paramétrage manuel

Re: [1/2HS] Mysql et le symbole Euro €

[G2PC]

>> Ça vient de phpmyadmin, si UTF-8 ou iso europe-ouest, toujours ¤
> Tu pourrais essayer avec une autre application d'administration de base de
> données qui utilise du html, si ça existe. Pour voir si il y a une
> différence dans le rendu de la valeur. Je vois dans les dépôts qu'il existe
> "adminer". Sous Testing, tout du moins.

J'ai quand même une question bête, mais, je viens de réaliser un truc !
Jean Michel parle de dépôts Debian, et, évidemment, on est sous le
groupe Debian ...

Perso, je n'ai pas installé PhpMyAdmin depuis le dépôt !
D'ailleurs, je ne comprend pas bien, pourquoi le faire ?
C'est comme si j'installais un Joomla ou un WordPress depuis le dépôt
Debian !?! D'ailleurs, est ce possible ?
Un sudo apt-get install joomla ? Je tombe de ma chaise si cela est possible.

Donc, finalement, le plus simple serait peut être de tester PhpMyAdmin
depuis le paquet officiel ?

https://wiki.visionduweb.fr/index.php?title=Installer_PHPMyAdmin

Une fois fait, est ce que tu rencontres le même problème d'encodage ?

Re: Problèmes avec Mozilla ??

[G2PC]

Je ne l'ai jamais eu depuis Mint 18.1 à Mint 19.3

Depuis Debian 8, je n'ai pas vu passer ce comportement.

Ton Thunderbird de Ubuntu serrait contaminé par de la publicité ? C'est
le moment de formater Ubuntu.

>> 68.5.4.0
>>
>> c'est bizarre je l'ai sur ubuntu 20.04 mais pas sur debian SID ?
> Ubuntu 20.04 n'est pas encore publiée (prévue le 23/04/2020), tu
> serais donc en préversion, ce pourrait être l'explication. Thunderbird
> sous Ubuntu 18.04 n'a pas ce soucis, ni sous Debian comme tu l'as noté.
>>
>> J'y pense s'ils me pompent trop l'air c'est ce qui va arriver !
>>
>> Quoique je ne suis pas pressé et pour les faire chier je vais
>> attendre ! lol
>>
>>
>> Le 28/02/2020 à 21:08, G2PC a écrit :
>>>> thunderbird bloque l'entrée environ 1 ou 2 minutes pour passer leur
>>>> annonce de don !
>>> Vraiment ?
>>> Tu as quoi comme Thunderbird car heureusement, je n'ai pas ça moi ! Je
>>> l'aurais déjà jeté.
>>>
>

Re: Problèmes avec Mozilla ??

[G2PC]

> thunderbird bloque l'entrée environ 1 ou 2 minutes pour passer leur
> annonce de don !

Vraiment ?
Tu as quoi comme Thunderbird car heureusement, je n'ai pas ça moi ! Je
l'aurais déjà jeté.

Re: Problèmes avec Mozilla ??

[G2PC]

Rien vu passer de tel pour ma part, ni sur le groupe de news, ni sur
d'autres plateformes.
Est ce possible que les disques soient sur leur fin de vie ( tous en
même temps ) ?
Possibilité de sabotage / attaques ?

Concernant Firefox, tu as la possibilité de synchroniser en ligne les
profiles et favoris.
Pour Thunderbird, je ne sais pas.

Le 28/02/2020 à 11:39, François Poulain a écrit :
> Bonjour,
>
> Je travaille dans une petite coopérative et nous administrons quelques
> dizaines de postes de travail sous Debian, dispersés ça et là sur du
> matériel hétérogène et essentiellement en Stretch et Buster.
>
> Ces dernières semaines, on constate une quantité anormale de problèmes
> de profiles avec Mozilla sous Debian. Sous Firefox et sous Thunderbird.
> On a des pertes de profiles et des pertes de bookmarks.
>
> Ça ne semble pas toujours être identique. Nous n'avons en général
> aucune information qui explique quoi que ce soit. Donc c'est pas
> aisé d'ouvrir un bug utile. On restaure depuis les backups.
>
> A t'on été marabouté ou bien nous ne sommes pas seuls dans la galaxie
> Debian à constater ça ?
>
> Bien cordialement.
> François

Re: [1/2HS] Mysql et le symbole Euro €

[G2PC]

>> Il aurait converti le caractère & en son code html & ?
>> Si tu bidouilles le source dans le débogueur et que tu vires le "amp;", ça
>> fait quoi ? :
> ça fait ¤
>
> mysql en mode console+commandes m'affiche bien "€" et pas "€"
>
> Ça vient de phpmyadmin, si UTF-8 ou iso europe-ouest, toujours ¤
>
> Bonne nuit à tous.

C'est louche ça, PHPMyAdmin devrait comme dit afficher correctement les
caractères spéciaux.

Et si tu crées un fichier vide test.html et que tu l'édites en mode
texte, pour y ajouter € et que tu enregistre ce fichier vide, tu le
vois bien, l'euro, ou pas ?

ProFTPd : error: unable to bind to local socket: Address already in use

[G2PC]

ProFTPd :error: unable to bind to local socket: Address already in use

Debian 10.

Issue réouverte pour ProFTPd : https://github.com/proftpd/proftpd/issues/914


Le copié collé du problème rencontré :

sudo dpkg -l| grep proftpd
ii proftpd-basic 1.3.6-6 amd64 Versatile, virtual-hosting FTP daemon -
binaries

More info :
I manage to connect to my FTP from my internet box from home.
I have an error from the wifi of my mobile phone (with the operator SFR)
The investigation brings me back to this issue:


  From FileZilla :

|Statut : Connexion à 139.99.173.195:21... Statut : Connexion établie,
attente du message d'accueil... Réponse : 220 ProFTPD Server (Debian)
[:::139.99.173.195] Commande : AUTH TLS Réponse : 502 AUTH TLS
exécuté avec succès Commande : AUTH SSL Erreur : Impossible de lire
depuis le socket : ECONNRESET - Connexion réinitialisée par un pair
Erreur : Impossible d'établir une connexion au serveur |

*Impossible de lire depuis le socket : ECONNRESET*


  Erreur from log file :

|2020-02-26 16:18:10,383 mod_tls/2.7[6537]: TLS/TLS-C requested,
starting TLS handshake 2020-02-26 16:18:10,753 mod_tls/2.7[6537]: unable
to accept TLS connection: system call error: [104] Connexion
ré-initialisée par le correspondant 2020-02-26 16:18:10,753
mod_tls/2.7[6537]: TLS/TLS-C negotiation failed on control channel |

|# This socket error raised me to this previously reported error: sudo
proftpd --configtest Checking syntax of configuration file
proftpd[16691]: mod_ctrls/0.9.5: error: unable to bind to local socket:
Address already in use |

*mod_ctrls/0.9.5: error: unable to bind to local socket: Address already
in use*

|# The following folder is supposed to contain the proftpd.sock file
according to the configuration of ProFTPd from the conf file. # It is
currently empty when I consult it. # I manually create the file but that
does not change this error: cd /var/run/proftpd sudo touch proftpd.sock
# A proftpd.sock file already exists in the directory /run/ # A
proftpd.sock file already exists in the directory /run/proftpd/ |

|# I am trying to display the list of ProFTPd modules: sudo ftpdctl
lsmod ftpdctl: error contacting server using '/run/proftpd.sock':
Connection refused |

*sudo ftpdctl lsmod
ftpdctl: error contacting server using '/run/proftpd.sock': Connection
refused*

|# I am trying to trace the order for more information. sudo apt install
strace strace -e open,unlink,bind,close /usr/sbin/proftpd --configtest
close(1022) = -1 EBADF (Mauvais descripteur de fichier) close(1023) = -1
EBADF (Mauvais descripteur de fichier) close(-1) = -1 EBADF (Mauvais
descripteur de fichier) Checking syntax of configuration file close(-1)
= -1 EBADF (Mauvais descripteur de fichier) close(3) = 0 ... close(4) =
0 bind(4, {sa_family=AF_UNIX, sun_path="/run/test.sock"}, 110) = -1
EACCES (Permission non accordée) close(4) = 0 unlink("/run/test.sock") =
-1 ENOENT (Aucun fichier ou dossier de ce type) bind(4,
{sa_family=AF_UNIX, sun_path="/run/proftpd.sock"}, 110) = -1 EADDRINUSE
(Adresse déjà utilisée) close(4) = 0 2020-02-26 22:51:48,094 vps178370
proftpd[22647]: mod_ctrls/0.9.5: error: unable to bind to local socket:
Address already in use close(4) = 0 close(6) = 0 ... close(5) = 0
2020-02-26 22:51:48,231 vps178370 proftpd[22647]: mod_ctrls/0.9.5:
unable to open ControlsLog '/var/log/proftpd/controls.log': Permission
non accordée 2020-02-26 22:51:48,231 vps178370 proftpd[22647]: fatal:
ControlsLog: unable to open '/var/log/proftpd/controls.log': Aucun
fichier ou dossier de ce type on line 126 of '/etc/proftpd/proftpd.conf'
+++ exited with 1 +++ |

Still researching to figure out what's wrong.

Re: utilisation de Debian dans l'informatique en zone Euro (cloud, serveurs Internet et Web)

[G2PC]

Le 17/02/2020 à 10:05, ajh.val...@free.fr a écrit :
> On Monday 17 February 2020 07:48:12 Basile Starynkevitch wrote:
>> Qui sait quelle est la proportion de Debian installés sur les serveurs 
>> informatiques en zone Euro connectés à l'internet ?
>> www.quora.com/Which-Linux-distribution-is-the-most-used-on-servers
> Attention aux statistiques,
> Malraux disait : 
> "les statistiques, on peut leur faire dire tout et son contraire".
>
> Dans le monde professionnel, tout dépend de l'organisme,
> Privé : Redhat, IBM-Linux, CentOS,
> Public : Debian, Ubuntu,
> Associations, Fondations : Debian, Ubuntu.
>
> Ministère des finances : CentOS.
>
> Pompiers de Paris : Windows (avec l'aide financière de la mairie de Paris).
>
> Les notaires : souvent IBM.
>
> Entreprises privées : souvent Redhat.
>
> Le groupe PSA : SUSE
>
> Les particuliers : Ubuntu (en tête), Debian...

Intéressant ta réponse, mais, tu ne l'a pas sourcée.

Dans mon cas, utilisation, 60% Debian, 35% Mint, 5% Windows.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Le 15/02/2020 à 12:39, Maxime G. a écrit :
> Tu n'as pas de virtualhost pour ton 139.99.173.195:443, il est
> possible que apache serve soit le default soit le premier virtualhost
> par ordre alphabetique.
> Tu as juste a reprendre ton virtualhost du 139.99.173.195:80 pour
> 139.99.173.195:443 en lui rajoutant un certificat ssl dans la conf
> (qui ne matchera pas pour le client CAR c'est un appel par IP et non
> par domaine).

Le bout du tunnel ?
Alors, ok, ça m'intéresse, mais, je ne comprend pas bien.

Ce certificat, je ne peux pas le créer avec let's encrypt, on est bien
d'accord ? Let's encrypt est conçu pour les noms de domaines, je me trompe ?
Dès lors, tu me conseillerais de faire comment ?

Je ne comprend pas quand tu me dis que le certificat ne va pas matcher,
alors, comment je dois comprendre l'utilité de ce certificat, et, sa
mise en place, si ça ne match de toute façon pas.
C'est un peu obscur mais je crois qu'on avance.

Merci.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> Iptables
> Tu cron un script (20min par exemple) qui vide et reinsert tes règles
> "--src ton.noip.ddns.net " ACCEPT sur ta
> table "INDYNAMIC" par exemple.
> Le reste est DROP

Alors la, j'ai pas compris ton langage.
A quel moment il est question d’empêcher la consultation de IP:443 ? Et,
comment je met ça en place.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Le 14/02/2020 à 15:19, Maxime G. a écrit :
> Incompréhensible bazar !
>
> De plus http://139.99.173.195/ ou https://139.99.173.195/ ne donnent
> plus aucun résultats à présent, l'host ferme le port immédiatement
> sans que le client puisse envoyer d'instructions et sans raison...
>
>

Bah, normal, tu t'es fais ban, après 3 tentatives ;)
C'est la règle apache-auth de fail2ban qui identifie l'erreur 403.


> Expliques-nous simplement ce que tu veux faire, rediriger ton IP vers
> un domaine ou l'envoyer sur une page d'erreur personnalisée ou
> répondre un 403 ??
>
> Un truc simple.

J'ai bien rééxpliqué précédemment.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> Par contre, je viens de constater quelque chose avec ma configuration
> actuelle :
> https://139.99.173.195/ renvoie actuellement, sur
> https://ethernium.fun ( + les images du site sont remplacées par la
> protection anti hotlinking, ça n'a pas trop de sens pour moi, puisque
> l'on est bien sur ethernium.fun, hors, si on appel directement
> ethernium.fun, les images s'affichent. Il y a donc un probleme de
> redirection ! )
>

Oups, non.
https://139.99.173.195/ ne renvoie pas sur le domaine
https://ethernium.fun mais uniquement sur le contenu du domaine
ethernium.fun

C'est toujours https://139.99.173.195/ qui est affichée dans la barre
URL. Cela explique le problème de hotlinking. Cela n'explique pas
pourquoi, par défaut, https://139.99.173.195/ pointe vers le contenu de
ethernium.fun


> alors que
> (http://) 139.99.173.195:443/ renvoie sur Bad Request
>
> Le 14/02/2020 à 14:23, Maxime G. a écrit :
>> Comme expliqué par Apache, le port 443 est dedié à TLS, tu fais
>> porter à ton virtualhost un certificat, quel qu'il soit, soit le
>> signé de letsencrypt soit un autosigné, dans tous les cas ça ne
>> matchera pas et il y aura une erreur côté client, après bypass de
>> l'erreur le client se prendra soit le redirect en HTTP soit le
>> redirect HTML comme proposé précédemment.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Désolé, je n'ai pas du être assez précis et ma demande prête peut être à
confusion.

Actuellement, j'ai verrouillé la redirection IP:80 qui renvoie bien
effectivement vers une page 403.

Alors, effectivement, j'ai bien ici un DocumentRoot de renseigné.
Est ce que c'est nécessaire ? Je suppose que ça l'est, pour renseigner
le dossier qui contient le fichier 403-forbidden.php, l'image
403-forbidden.jpg et le favicon.ico ( 3 fichiers donc, qui eux ont été
autorisés. )

Voilà bien la configuration appliquée actuellement :



DocumentRoot /var/www/139.99.173.195

# Erreur 403 - Forbidden. FICHIERS AUTORISES POUR LA PAGE 403-FORBIDDEN.PHP

Require all granted


Require all granted


 # INTERDICTION POUR LA RACINE
Require all denied

 # INTERDICTION POUR TOUT LE SITE ( L'ip :80 
)
Require all denied


# Rediriger l'adresse IP vers le domaine par défaut en https. # REDIRECTION 
vers le site principale désactivée actuellement.
#
#RewriteEngine On
#RewriteCond %{HTTP_HOST} ^139.99.173.195$
#RewriteRule ^(.*)$ https://www.visionduweb.fr$1 [QSA,L,R=301]
#

ErrorDocument 403 /403-forbidden.php # ERRORDOCUMENT QUI POINTE VERS 
403-FORBIDDEN.PHP




Par contre, je viens de constater quelque chose avec ma configuration
actuelle :
https://139.99.173.195/ renvoie actuellement, sur https://ethernium.fun
( + les images du site sont remplacées par la protection anti
hotlinking, ça n'a pas trop de sens pour moi, puisque l'on est bien sur
ethernium.fun, hors, si on appel directement ethernium.fun, les images
s'affichent. Il y a donc un probleme de redirection ! )
alors que
(http://) 139.99.173.195:443/ renvoie sur Bad Request

Le 14/02/2020 à 14:23, Maxime G. a écrit :
> Comme expliqué par Apache, le port 443 est dedié à TLS, tu fais porter
> à ton virtualhost un certificat, quel qu'il soit, soit le signé de
> letsencrypt soit un autosigné, dans tous les cas ça ne matchera pas et
> il y aura une erreur côté client, après bypass de l'erreur le client
> se prendra soit le redirect en HTTP soit le redirect HTML comme
> proposé précédemment.


Je n'ai pas bien compris ton approche.
Pourquoi " ça ne matchera pas " ?

Déjà, concernant mon IP, je ne pense pas pouvoir lui créer un certificat
let's encrypt, qui est je crois, réservé pour les noms de domaines, je
me trompe ?

Tu dis que le client va prendre la redirection HTTP, soit, HTML, ok,
c'est donc la situation que j'avais déjà pu réalisée.

Je suis toujours désireux de comprendre comment traiter une redirection
pour :
https://139.99.173.195 -> https://www.visionduweb.fr
(http://) 139.99.173.195:443/ -> https://www.visionduweb.fr

>
> Je ne reçois aucun redirect http sur mes tests de ton IP.
> Par contre il sert bien ta page d'erreur personnalisée, c'est que t'as
> du spécifier inutilement un root document quelque part en doublon de conf.
>
> Pour ton rewrite en 80, essayes ça:
>
> RewriteCond %{HTTP_HOST} ^139\.99\.173\.195$
> RewriteRule ^(.*)$ https://www.visionduweb.fr/$1 [L,R=301]
>
>
>
>
> 14 février 2020 14:02 "G2PC"  <mailto:g...@visionduweb.com?to=%22G2PC%22%20>>
> a écrit:
>
> Merci de vos retours, c'est sympa de tenter de m'aider à avancer ça.
> Magré tout, je crois qu'on est sur un autre type de problème.
>
> Encore une fois, je n'ai pas de difficulté pour mettre en place
> une redirection HTTP, dès lors ou l'adresse ip de mon serveur est
> consultée sur le port 80.
>
> C'est bien la redirection IP:443 qui me fait m'interroger, sur la
> façon de la gérer, puisque pour commencer, je n'ai pas de
> certificat let's encrypt pour mon ip, mais bien uniquement pour
> mes domaines.
> Est ce que le problème ne vient pas tout simplement de la ?
>
>  # Rediriger l'adresse IP vers le domaine 
> par défaut en https.  RewriteEngine On RewriteCond 
> %{HTTP_HOST} ^139.99.173.195$ RewriteRule ^(.*)$ https://www.visionduweb.fr$1 
> <https://www.visionduweb.fr%241> [QSA,L,R=301]  
>
>
> Par exemple, actuellement (Sans aucune règle VHost pour IP:443),
> si je tente d'accéder à IP:443 j'ai le message suivant sur Firefox :
>
> http://139.99.173.195:443/
>
>
>   Bad Request
>
> Your browser sent a request that this server could not understand.
> Reason: You're speaking plain HTTP to an SSL-enabled server port.
> Instead use the HTTPS scheme to access this URL, please.
>
> En même temps, je n'ai aucune règle actuellement, pour
> 
> Si je tente de mettre la règle précédente pour le port 80, en
> place pour le port 443, alors 139.99.173.195:443 ne va pas me
> rediriger vers https://www.visionduweb.fr mais vers mon premier
>

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

?title=VirtualHosts_des_domaines_enregistr%C3%A9s#ftp.visionduweb.fr_.C3.A9coute_du_port_SSL_443>

... ... ...

1.19 visionduweb.fr
<https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#visionduweb.fr>


  * 1.19.1 visionduweb.fr écoute du port HTTP 80

<https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#visionduweb.fr_.C3.A9coute_du_port_HTTP_80>
  * 1.19.2 visionduweb.fr écoute du port SSL 443  et, il me semble
alors que le site visionduweb.fr ne soit plus navigable (Erreur de
longueur de certificat, de mémoire. )

<https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#visionduweb.fr_.C3.A9coute_du_port_SSL_443>


Personnellement, je dis, on formate tout, et, on va planter des tomates.

Source :
https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#visionduweb.fr_.C3.A9coute_du_port_SSL_443


> Exactement ou bien dans la vhost:
>
>   
>        Redirect / https://cible.com
>
>> Et en mettant un fichier index.html qui redirige automatiquement le 
>> visiteur vers le site de ton choix... 
>> ici, content="0 pour dire que c'est au bout de 0 seconde... 
>> url= pour le site vers lequel le visiteur sera automatiquement redirigé. 
>> À coller à l'emplacement de ton site par défaut. 
>>
>>
>>  
>>  
>>  
>>      
>>      
>>     https://www.visionduweb.fr/"; /> 
>>     Vision du web 
>>  
>>  
>>
>>  
>>  
>>
>>
>>
>> Le 12/02/2020 à 14:46, G2PC a écrit : 
>>> Donc, la navigation doit se faire via le domaine, et, non pas par l'ip 
>>> depuis le navigateur. 

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Le 13/02/2020 à 17:54, max...@mxgo.fr a écrit :
> Une requête sur IP:443 doit renvoyer sur un default vhost qui porte un 
> certificat.

J'avais tenté de rediriger IP:443 vers mon site https://www.visionduweb.fr
J'ai du mal configurer ça car je n'y arrive pas.

Tu n'aurais pas un exemple de règle, fonctionnelle pour Apache, pour que
je tente à nouveau ?

> Ce même certificat est soit autosigné soit signé, dans tous les cas il ne 
> matchera jamais avec l'IP, ce qui provoquera une erreur dans le navigateur.
>
> Si il y a contournement de l'erreur, il chargera le site default.

Si j'arrive à faire charger un site par défaut, de IP:443 vers
https://site.ext alors effectivement, je pourrais me passer de la règle
de Fail2ban sur l'IP.

> Le fonctionnement de fail2ban comme décrit me semble plus bloquant qu'autre 
> chose, sauf si le service est sensible et réglementé.
Pour le moment, cette règle que je voudrais mettre en place pour l'IP,
avec Fail2ban, et, qui devrait vérifier acces.log pour bloquer les
tentatives de connexion vers IP:80 ( qui du fait de la configuration
actuelle du VHost, renvoie une erreur 403, interdit à la consultation
par l'administrateur ), n'a pas été mise en place, mais, la règle
apache-auth prend le relais, puisque mon Vhost retourne donc une erreur
403 actuellement, vu que j'ai interdit la consultation à IP:80.

Comme dit, j'ai fais cela car je ne suis pas arrivé à rediriger IP:443
vers mon site https://site.ext

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> Si quelqu'un vient get / sur IP sans précédence domaine il aura la page par 
> défaut de ton choix.

C'est le cas, j'avais déjà une redirection vers mon site principale,
mais, comme je disais, elle ne fonctionnait que pour le protocole 80,
et, pas en 443, et, si je tentais d'utiliser IP:443 alors j'arrivais sur
un autre de mes sites.
Redirection normale IP:80 -> visionduweb.fr
Redirection anormale IP:443 -> ethernium.fun ( et consultation de
visionduweb.fr rendue il me semble impossible. )

Ce ce fait, j'ai opté pour bloquer la consultation en IP:80 depuis un
navigateur, pour ne pas entrer dans un schema ou, si IP:80 est
consultable, IP:443 le serait aussi, puisque ce n'est pas le cas.
J'ai donc créé une redirection 403 en cas de consultation IP:80 et la
règle de fail2ban apache-auth bloque le client après 3 échecs.

> Si quelqu'un vient get / sur IP avec précédence il sera envoyé vers le 
> repertoire du vhost domaine qui va lui charger le bon site.
>
> Fail2ban les IP sources qui viennent sur ton serveur est une très mauvaise 
> idée.
> Si iptables vient à missmatch sur le domaine réclamé il va ban le visiteur ou 
> +, car avec les réseaux NATés tu risques de bannir plusieurs centaines de 
> clients en trafic (réseaux mobiles par exemple)
Oui mais normalement, seul les clients qui créent des erreurs sont ban,
et, les clients ne devraient pas finir en 403, 3 fois de suite,
Tout comme, les clients ne devraient pas avoir à consulter les pages de
login pour l'administration,

Donc, normalement, les clients ban le sont car ils ont tenté une action
interdite par l'admin.


Concrètement, j'ai pu avancer un peu avec fail2ban et mettre en place de
nouvelles règles complémentaires.
Je n'ai toujours pas réussi à faire fonctionner ma propre règle qui me
permet de ban tout ce qui arrive sur IP:80 , je suppose que c'est la
regex qui ne correspond pas, ou que la regex existe déjà dans
apache-auth et fait double emploi.

Concrètement, j'ai encore cette problématique de IP:80 qui fonctionne à
la consultation, mais, IP:443 qui me renvoie vers un autre de mes sites,
et, je ne vois pas comment aborder l'identification de ce problème la.

Re: Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> Remplace ta page html par une page php et envois l'adresse IP à fail2ban.

Intéressant, je n'avais pas pensé à coupler PHP pour relever les IP et
travailler avec Fail2ban.
Je vais y penser, voir si cela peut être fait ainsi.
Enfin, j'aurais préféré que Fail2ban récupère les erreurs dans les logs,
dès lors ou une demande sur le vhost à l'écoute de l'ip se fait rejetée.
C'est déjà le cas actuellement avec la règle apache-auth !
J'ai voulu paramétrer ma propre règle, pour surcharger les paramètres,
mais, ma règle ne semble pas travailler, c'était la le problème.

> Je trouve toutefois cette demande très curieuse d'autant que
> visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors
> pourquoi ne pas adopter le même comportement pour un accès via IP ...

Comme je le disais, j'ai plusieurs domaines, donc, il faudrait alors
définir un site principale, hors, peut être que je ne souhaite pas
définir un site principale.
Quelques lectures m'ont laissées penser que ce n'était pas forcément si
judicieux et qu'il serrait intéressant de verrouiller la consultation
lorsque c'est l'adresse IP qui est saisie.

J'utilisais bien une redirection il y a peu, de l'ip:80 vers le site
principale, mais, la redirection de l'ip:443 vers le site principale ne
fonctionne pas et je n'ai pas trouvé comment faire.
Dès lors, je me suis dis qu'il serait peut être plus judicieux de
verrouiller la consultation sur le navigateur, pour l'ip:80

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> C'est au niveau du protocole HTTP/1.1 ou mieux qu'on peut agir (le
> champ Host: de la requête GET ou POST ...). Voir la wikipage anglaise
> (Wikipedia) sur HTTP
> <https://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol> puis
> l'entête Host: de HTTP/1.1 (voir
> https://en.wikipedia.org/wiki/List_of_HTTP_header_fields et bien
> évidemment la RFC7231 <https://tools.ietf.org/html/rfc7231> ... Pour
> HTTP2 ça devient plus compliqué.
>
> A mon humble avis, "G2PC"   devrait se plonger
> dans la documentation de son logiciel serveur Web. Aussi bien lighttpd
> <http://www.lighttpd.net/> que Apache <https://httpd.apache.org/>
> peuvent être configurés pour ça.
>
> Et si G2PC utilise une librarie serveur Web comme libonion
> <http://coralbits.com/static/onion/>, c'est faisable aussi.
>
> Cordialement


Je ne comprend pas le renvoie vers HTTP et la RFC que tu mentionnes.
Je parlais initialement de Fail2ban et tu me renvoies vers le protocole
HTTP.

Tu me conseils de lire la documentation de Apache...
Un peu comme le compte rendu que j'ai fais de mes lectures, ici, je
suppose :
https://wiki.visionduweb.fr/index.php?title=Installer_Apache2_sur_Debian

Donc, évidemment, si je pose une question sur Fail2ban et Apache, c'est
pour avoir une piste de recherche, un conseil, un tutoriel, au moins un
ensemble de mots clés complémentaires à ceux déjà évoqués, et, pas pour
que l'on me renvoie sur la page principale de Apache pour y lire toute
la documentation de Apache, sans savoir quoi chercher, alors que la
question initiale portait tout de même sur Fail2ban.

Par contre, si des experts veulent relire ma synthèse, pour identifier
des erreurs ou des fautes d'orthographe, libre à vous.

https://wiki.visionduweb.fr/index.php?title=Installer_Apache2_sur_Debian


En attendant, je vais donc continuer mes lectures sur Fail2ban à ce
moment la, et, laisser tomber ma règle personnalisée, pour me concentrer
sur la règle apache-auth.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> C'est quoi le but ???
>
> Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
> à mémoriser les adresses IP… Quand tu tapes une URL dans ton navigateur, ton
> système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à 
> ladite adresse IP.
>
> Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
> navigateur ne fait rien de mal en soi…
>
> Sébastien

Certes, sauf que, les noms de domaines permettent de pointer vers le bon
dossier du serveur web hébergeant plusieurs sites.

Chercher à consulter via un navigateur, l'ip du serveur, n'a pas de sens
dans mon cas.
Quel est le site qui va être affiché ?
Mon site principale, mon wiki, mon rendu FTP, mon site de jeu, mon
redmine, mon site écolo, ou autre ?

Donc, la navigation doit se faire via le domaine, et, non pas par l'ip
depuis le navigateur.

Re: Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Le 12/02/2020 à 09:18, k6dedi...@free.fr a écrit :
> Bonjour,
> Tout dépend de ce que tu veux interdire.
> Si tu veux un accès seulement aux personnes autorisées sans avoir à gérer 
> l'endroit d'où ces personnes se connectent, il faut tout simplement filtrer 
> sur ta page : index.html
> Seules les personnes à qui tu auras communiqué le mot de passe pourront se 
> connecter.
>
> En espérant que c'est ce type de contrôle que tu cherches.
> Cassis
Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
voudraient demander une lecture http via l'ip directement, au lieu du
nom de domaine.
En somme, bloquer tout ce qui ne passe pas par un domaine.