Re: Bloquer une plage d'adresses IP avec Fail2ban et Nftables

[NoSpam]

Bonjour. Pour signaler une appli qui remplace parfaitement fail2ban: 
reaction https://framagit.org/ppom/reaction


https://blog.ppom.me/fr-reaction/

Le 30/09/2024 à 18:15, Pierre Malard a écrit :

Bonjour,

J’avais réagit trop vite en lisant « mail », désolé. Il s’agissait 
d’Apache qui était touché.


Ceci étant, Fail2Ban est une très bonne solution pour tous les 
services ouverts. La limite à 2 ou 3 récidives est paramétrable selon 
le service.


Le principe de Fail2Ban est d’y aller petit à petit :

  * 3 récidives : blocage de 15 mn
  * 3 nouvelles après la levée du blocage : blocage 30 mn
  * Et ainsi de suite…

Pour ceux qui insistent la solution « ban-them » qui est définitive 
sur un IP fonctionne bien mais, à mon sens, ne suffit pas pour ceux 
qui insistent.


On a alors la possibilité d’utiliser les serveurs de black lists, RBL 
ou DSNBL et une liste personnelle pour exclure ces mauvais joueurs. 
Mais il est préférable de le faire « à la racine » sur toute nouvelle 
connexion sur le service. Il existe des logiciels vendus pour ça mais 
le principe était exposé dans ma réponse.


A+




Le 30 sept. 2024 à 11:24, Bernard Bass  
a écrit :


Bonjour,

Merci Pierre pour ta réponse très précise, comme toujours, je vais 
consulter les références indiquées.


NB : Je n'utilise pas Postfix/Dovecot, mais, cela doit pouvoir 
s'adapter pour EXIM4.


A défaut, je vais tenter d'avancer avec Nftables avec les 
informations qui ont été partagées pour bloquer cette plage IP.


Cordialement,

Bernard Bass

Le 30/09/2024 à 07:46, Pierre Malard a écrit :

Bonjour,

C’est une plaie récurrente mais tu peux avoir une aide via des 
listes d’IP/réseaux connus comme sur :


  * https://www.openbl.org/lists/all.txt
  * https://lists.blocklist.de/lists/all.txt
  * https://rules.emergingthreats.net/blockrules/compromised-ips.txt
  * https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
  * …

(liste non exhaustive)

Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un 
service amazon sur un masque de réseau classe B (47.128.0.0/16) 
qu’il faudrait blacklister. Il est vrai que ces gros fournisseurs 
d’accès sont peu regardants sur ce que tu fais derrière… Mais il 
faut savoir qu’il y a peut-être des bons dans ces mauvais.


Le principe c’est de concatérer les listes d’IP/Net de ces listes et 
les bloquer via « ipset ». ce qui bloque ces IPs au dessus de 
Fail2Ban en les bloquant définitivement.


Il y a aussi un petit Python très bien sur 
https://github.com/egrisel/ban-them. Il tient une petite base de 
données des IP à bloquer définitivement en se basant sur les 
récidives enregistrée par Fail2Ban (seuil basé sur 10 par défaut). 
C’est très bien sauf que maintenant les « pirates » sont plus malins 
en changeant régulièrement d’IP…


Et/ou s’appuyer sur des sites de RBL 
(https://www.dnsbl.info/dnsbl-list.php) en faisant référence à ces 
sites dans ta configuration SMTP. Le bloc du Debugo 
(https://blog.debugo.f) fourni une très bonne documentation sur la 
façon de configurer une service Postfix/Dovecot et ça peux t’aider 
(https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/)


Courage


--
Pierre Malard

   « /La vérité ne triomphe jamais, mais ses ennemis finissent/
/ toujours par mourir./.. »
                            Max Placnk (1858-1947)
   |\      _,,,---,,_
   /,`.-'`'    -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
 '---''(_/--'  `-'\_)   πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A- 
 ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'

- --> Ce message n’engage que son auteur <--



--
Pierre Malard
Responsable architectures système CDS DINAMIS/THEIA Montpellier
IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra
Maison de la Télédétection
500 rue Jean-François Breton
34093 Montpellier Cx 5
France

Tél : +33 626 89 22 68

   «/Tous les Français ambitionnent pour la France un grand rôle/
/   dans le monde. Ce n'est point par des aventures guerrières qu'elle/
/   le trouvera, c'est en donnant aux peuples l'exemple et le signal/
/   de justice./»
      Jean Jaures - "L'idéal de justice" - 1889
   |\      _,,,---,,_
   /,`.-'`'    -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
 '---''(_/--'  `-'\_)   πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) 
)-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'

- --> Ce message n’engage que son auteur <--

[HS] ANSSI valide nftables/Debian

[NoSpam]

https://cyber.gouv.fr/produits-certifies/nftables-sous-systeme-du-noyau-linux-version-debian-121-noyau-linux-6155-1

Re: [HS] Panne informatique mondiale

[NoSpam]

De ce que j'ai compris,la démission a eu lieu lors de l'attaque sur 
Kaspersky qui elle a eu lieu en 2023


Le 31/07/2024 à 19:33, Dethegeek a écrit :
Il n'a pas daté la démission, et franchement j'ai pas cherché à 
vérifier cette info. Car même si ça a eu lieu, c'est un peu juste pour 
démontrer cette légende urbaine qui court depuis au moins 25 ans


Le mer. 31 juil. 2024 à 19:31, NoSpam  a écrit :

Euh .. Mac Afee aurait démissionné suite à une rumeur et ce en
2023 ? Ce
n'est pas vraiment le genre du personnage d'autant qu'il est
décédé en
2021. Ou alors j'ai pas tout compris.

Le 31/07/2024 à 19:13, ajh-valmer a écrit :
> John McAfee (anti-virus connu) a démissionné, suite à ces rumeurs,
> sur le motif de ne pas en être mêlés.
> Ce qui ne fait que faire grandir le soupçon...
>
> On Wednesday 31 July 2024 19:06:31 Dethegeek wrote:
>> Le second article m'était inconnu.
>> On y parle d'une tentative de piratage de Kaspersky. C'est
difficile de
>> s'en servir pour dire que Kaspersky mène des activités hostiles.
>> Par contre il est probable que ce soit les USA qui aient
organisé cette
>> attaque, vu sa qualité et vu le contexte. J'insiste sur le fait
que ce
>> n'est qu'un soupçon et pas une affirmation.

Re: [HS] Panne informatique mondiale

[NoSpam]

Euh .. Mac Afee aurait démissionné suite à une rumeur et ce en 2023 ? Ce 
n'est pas vraiment le genre du personnage d'autant qu'il est décédé en 
2021. Ou alors j'ai pas tout compris.


Le 31/07/2024 à 19:13, ajh-valmer a écrit :

John McAfee (anti-virus connu) a démissionné, suite à ces rumeurs,
sur le motif de ne pas en être mêlés.
Ce qui ne fait que faire grandir le soupçon...

On Wednesday 31 July 2024 19:06:31 Dethegeek wrote:

Le second article m'était inconnu.
On y parle d'une tentative de piratage de Kaspersky. C'est difficile de
s'en servir pour dire que Kaspersky mène des activités hostiles.
Par contre il est probable que ce soit les USA qui aient organisé cette
attaque, vu sa qualité et vu le contexte. J'insiste sur le fait que ce
n'est qu'un soupçon et pas une affirmation.

Re: Port utilisé mais PID/Program name vide

[NoSpam]

Le 27/07/2024 à 16:02, ajh-valmer a écrit :

On Saturday 27 July 2024 12:34:15 Charles wrote:

C'est peut-être une communication via RPC, que donne la commande :
# rpcinfo :

# apt-cache search rpcinfo
ne donne rien...


# apt-cache search rpcbind

Re: Port utilisé mais PID/Program name vide

[NoSpam]

Le 27/07/2024 à 12:34, Charles a écrit :

Le 22/07/2024 à 09:45, NoSpam a écrit :

Bonjour

Le 22/07/2024 à 00:18, Charles a écrit :
ls -l /proc/*/fd/* 2>/dev/null | grep 36398 


Pas plus efficace, aucune sortie.

De mes tests, si netstat n'affiche aucun PID/nom de programme et que 
l'on ne sait pas par quel demon/application ce/ces ports sont 
ouverts, aucune chance de libérer le/les ports. C'est par ex. le cas 
avec des applications docker/proxy docker




C'est peut-être une communication via RPC, que donne la commande :
# rpcinfo

Aucun retour intéressant


C'est le cas par exemple pour NFS, un netstat ne donnera aucun 
programme/PID associé car géré par le noyau.

Exact


Tu peux tenter de chercher l'inode :

# find / -inum 36398

Voir ci dessous


Peut-être tenter un nmap voir s'il te trouve un nom de service :

# nmap -6 -v -A ::1 -p 50005


Cette cmd est très intéressante. Je cherche le port 2049 qui est NFS

# nmap -4 -v -A 192.168.10.250 -p 2049

PORT STATE SERVICE VERSION
2049/tcp open  nfs 3-4 (RPC #13)

netstat -tapen|grep 2049
tcp    0  0 0.0.0.0:2049 0.0.0.0:*   LISTEN  
0  34659 -
tcp6   0  0 :::2049 :::*    LISTEN  
0  37193  -


J'ai donc l'inode 34659, je tente

# find / -inum 34659
/usr/share/doc/usrmerge/README.Debian
/sys/module/ip_tables/sections/.static_call_sites

? La je en comprends pas.

J'ai également un port 33921, inode 37199. Je recommence les tests

# nmap -4 -v -A 192.168.10.250 -p 33921

PORT  STATE SERVICE  VERSION
33921/tcp open  nlockmgr 1-4 (RPC #100021)

# find / -inum 37199
/sys/module/acpi_power_meter/sections/.rodata

Idem, quel est le lien entre le port et l'inode ? Bref ...

[...]

Re: Port utilisé mais PID/Program name vide

[NoSpam]

Le 27/07/2024 à 12:34, Charles a écrit :

[...]
Après un redémarrage le port est toujours en écoute ?


Non et c'est ce qui m'a permis de libérer ce port mais d'autres sont 
dans le même cas après redémarrage.


Merci pour tes idées, je continue à creuser car redémarrer n'est pas une 
solution.

Re: Re : Re: DEBIAN 12 : Plus d'ouverture de session graphique

[NoSpam]

Bonjour

je dis ca et ca et je ne dis rien, en pro une interface graphique n'a 
PAS à être installée.


Je persiste et signe, de toutes les distributions testées et installées 
depuis RH3, Debian est de loin la plus stable sur les serveurs y compris 
par rapport à Ubuntu server.


Le 21/07/2024 à 22:27, Halbrante a écrit :


Effectivement, j'ai pensé à Cent-OS qui était assez utilisée fut un 
temps pour des usages professionnels mais je ne sais pas si sa 
réputation est encore solide.


Revenir a Windows est un étrange retournement de l'histoire car dans 
mon métier, Windows était alors considéré comme parfaitement inapte à 
nos usages industriels en premier lieu en raison de  son instabilité 
chronique 🙂. Seul W7 a commencé à faire son apparition pour des 
usages périphériques.
On travaillait alors sous Solaris sur des stations SUN Sparc. le 
coût n'était pas le même non plus mais c'était ce qui satisfaisait au 
besoin. Ça date un peu !!!


Alors que choisir aujourd'hui ? J'étais parti sur la dernière Debian 
mais après cet épisode, le doute s'est installé.


Merci en tout cas de vos avis

Le 21/07/2024 à 20:40, Frederic Zulian a écrit :

Hmm, plus stable que Debian stable ?
Il y avait bien centos qui était assez utilisé  il y a quelques 
années en pro.
Sinon  avec X sous Debian, quelque chose de plus léger comme Lxqt 
devrait limiter d'éventuels bugs et interactions.


A voir, mais cela a déjà été proposé,   de tenter une reinstall de 
gdm3 ou carrément de passer à lightdm, ...


[HS] Sinon, au pro, au fur et à  mesure des années  nos  nouveaux 
serveurs HP   basculent sous Windows.
Franchement  à  l'usage je ne recommande pas. Active Directory, entre 
autre chose,   donne tout son sens au terme "instable".




Le dim. 21 juil. 2024, 20:22, Halbrante  a écrit :

En effet, au vu des dernières constatations et de la chronologie, il
semble que c'est bien ce qui s'est passé

Maintenant, ce qui est inquiétant quand même est qu'une installation
fraîche de moins d'un mois suivie d'opérations tout à fait
régulières
car il n'y a pas eu de bricolage entre temps, se traduise par cette
situation.
Je continue de m'interroger sur la pertinence à conserver la
Debian 12
car je n'ai nullement envie de me confronter à nouveau à cette
situation
: j'attends un OS fiable.

Je reste encore dans cette situation boiteuse mais à la prochaine
incartade, je passerais à autre chose réputé plus stable.

Merci à tous de vos interventions, idées et suggestion

Un bel été à vous ... lorsqu'il arrivera :-D

Le 21/07/2024 à 19:42, Jean Bernon a écrit :
> À la lecture de l'historique du problème, il semble que
l'installation de Samba a introduit Gnome et qu'à l'installation
du nouveau noyau Linux, xfce a été carrément remplacé par Gnome.
Donc ton idée de réinstaller xfce semble judicieuse et je ne vois
pas d'objection à le tenter.
> Jean

Re: Port utilisé mais PID/Program name vide

[NoSpam]

Bonjour

Le 22/07/2024 à 00:18, Charles a écrit :
ls -l /proc/*/fd/* 2>/dev/null | grep 36398 


Pas plus efficace, aucune sortie.

De mes tests, si netstat n'affiche aucun PID/nom de programme et que 
l'on ne sait pas par quel demon/application ce/ces ports sont ouverts, 
aucune chance de libérer le/les ports. C'est par ex. le cas avec des 
applications docker/proxy docker

Re: DEBIAN 12 : Plus d'ouverture de session graphique

[NoSpam]

Lors de la connexion d'un utilisateur il est possible de choisir quel 
environnement utiliser si plusieurs DM sont installés


Envoyé d'une Debian12 xfce4 ou Cinnamon sous Asahi Linux/Macbook Air

Le 21/07/2024 à 16:24, Halbrante a écrit :
L'environnement graphique de l'utilisateur créé à l'installation était 
Xfce4.
Lorsque j'ai créé un second puis un troisième utilisateur ( par 
adduser), il était sous Gnome !!! ... Pourquoi ?


Y aurait-il une incompatibilité entre les deux ?


Le 21/07/2024 à 15:02, Jean-Michel OLTRA a écrit :

 Bonjour,


Le dimanche 21 juillet 2024, Halbrante a écrit...


Je pense que je me suis trompé de distribution : j'ai besoin d'un 
système
stable et malheureusement la Debian 12 ne l'est pas puisqu'elle ne 
l'est

restée qu'un mois 
La 2eme ou 3eme mise à jour lui a été fatale :-((
C'est ton interprétation. Je suis sous Debian depuis 24 ans, depuis 
Potato,

et quasiment en testing depuis le début. Et je ne serais pas aussi
affirmatif que toi. Sans compter mes serveurs pro, toujours sous Debian
stable et qui ne bronchent pas.

Je dis souvent, à moi même et à mes collaborateurs, que l'erreur est 
entre
la chaise et le clavier. Cf l'erreur gdm3 après installation de fuse 
pour

faire fonctionner un truc qui s'appelle Ostara sous Ubuntu.

Quand on a trouvé l'origine de la panne (la mise à jour), et qu'on a
corrigé, c'est reparti comme avant.


Merci à tous de de vos conseils, je jette l'éponge ..
C'est toujours dommage d'abandonner. Un de mes potes dit toujours 
"faut que

ça vienne ou que ça dise pourquoi..."

Tu peux toujours essayer un autre DM avant de tout casser, ça ne 
coûte rien

d'essayer et ça peut t'apporter des logs exploitables.

Re: Port utilisé mais PID/Program name vide

[NoSpam]

Le 19/07/2024 à 18:31, Jean-Marc a écrit :

Le 19/07/24 à 16:29, NoSpam a écrit :

Bonjour


salut,


sur une debian12 à jour j'ai

netstat -6aupenl

Proto Recv-Q Send-Q Adresse locale Adresse dist. Etat Util Inode PID/Pro
udp6   0  0 :::50005   :::*   0    36398 -

mais lsof -i -P -n | grep 50005 n'affiche aucune sortie

Bien évidemment un progr utilise les ports 5:50010 et ne se lance 
pas


Comment supprimer une tâche par son inode?


Essaye toujours la commande suivante :

sudo ss -ulp src :50005
State Recv-Q    Send-Q Local 
Address:Port  Peer Address:Port    Process
UNCONN    0 0  [::]:50005 
    [::]:*


Avec un peu de chance, tu auras le pid du process qui écoute.


Raté :( Cela dit netstat aurait également du l'afficher

Merci pour l'idée

--
Daniel

Re: DEBIAN 12 : Plus d'ouverture de session graphique

[NoSpam]

Si tu arrives à te connecter en ssh sous l'utilisateur qui a installé 
(jeff je suppose):


sudo passwd

saisie du mot de passe puis une seconde fois pour validation

Vérifie aussi que le clavier est bien configuré dans la langue que tu 
désires et profites de la connexion en ssh pour faire un


cd /home/jeff

chown -R jeff:jeff *

puis redémarre

Les autres utilisateurs fonctionnent très bien en mode graphique et 
ils s'identifient parfaitement.


Il n'y a que celui qui a été créé à l'installation pour qui 
l'ouverture de session ne fonctionne pas.
En premier abord cela ressemble à une erreur dans l'identifiant 
d'utilisateur et/ou le mot de passe.


Le 19/07/2024 à 19:16, ajh-valmer a écrit :

Pilote carte graphique plus reconnu suite au passage vers
le dernier noyau ?
Donc boot en mode sans Xorg.

On Friday 19 July 2024 19:00:57 Halbrante wrote:

J'ai installé la Debian 12 sur un mini PC HP Prodesk et tout se passait
bien jusqu'à un reboot suite auquel, il m'était impossible d'ouvrir une
session graphique de l’utilisateur créé à l'installation du système :
après avoir donné l'id et le mot de passe, l'écran revenait au début
après un bref passage par un écran noir et me représentait à nouveau la
fenêtre de saisie Id + password.
Lorsque j'ouvre un terminal via ssh à partir d'une autre machine, je
peux me connecter sans problème: l'Id et passwd sont reconnus.
J'ai une autre utilisateur créé à l’installation qui lui, ne pose 
pas de

problème : je peux m'identifier et ouvrir une session graphique;
J'ai pu créer un troisième utilisateur sans problème. Il peut aussi
ouvrir une session graphique.
Opérations précédant l'apparition du problème :
- le 16/07 -23h15 : une installation de Wireshark suivi d'un autoremove
d'apache 2 que j'ai supprimé au profit de lighttpd
- le 16/07 -23h17 le système me propose d'installer une nouvelle image
(6.1.0-23) ainsi qu'une nouvelle librairie (Linux-libc-dev)
- Le 17/07 - 22h10 le système me propose de faire un autoremove de
l'image la plus ancienne car il est passé des versions 21/22 à 22/23
Le 17/07 à 22h47 je procède à un reboot et c'est à ce moment que je
constate l'impossibilité d'ouvrir une session graphique sur
l'utilisateur créé à l'installation
J'ai quelques fichiers de log à proposer mais j'ignore s'il est 
possible

de les passer sur la liste vu leur taille : 118 et 82 ko
J'ai bien entendu Googled et Binged sur ce problème mais n'ai rien
trouvé qui soit suffisamment ressemblant à ce cas de figure et j'hésite
à me lancer dans des opérations scabreuses de crainte de tout planter.
D'avance merci de vos avis, je peux fournir les logs si la liste le 
permet.

Port utilisé mais PID/Program name vide

[NoSpam]

Bonjour

sur une debian12 à jour j'ai

netstat -6aupenl

Proto Recv-Q Send-Q Adresse locale Adresse dist. Etat Util Inode PID/Pro
udp6   0  0 :::50005   :::*   036398 -

mais lsof -i -P -n | grep 50005 n'affiche aucune sortie

Bien évidemment un progr utilise les ports 5:50010 et ne se lance pas

Comment supprimer une tâche par son inode?

Merci pour toute idée
--
Daniel

Re: dyndns

[NoSpam]

Bonjour

oui, script bash + bdd sqlite3

Le 17/07/2024 à 11:23, RogerT a écrit :

Bonjour,
Avez-vous une expérience réussie pour monter un service dyndns sur un serveur 
debian ?
(J’ai trop de problèmes de connexion aux services gratuits comme no-ip.com)

Merci. Bonne journée.

Re: Matériel et système pour faire tourner des VM en HA/haute disponibilité ?

[NoSpam]

Le 14/06/2024 à 11:21, RogerT a écrit :



Le 14/06/2024 à 10:07, RogerT a écrit :

[...]
J’ai cherché longtemps et sans doute mal mais n’ai pas trouvé. Je note que 
c’est possible. Et qu’il faut une licence MacOS.

Non

C’est un choix personnel de payer ou non une licence.
Par ailleurs, même en ayant payé une licence à Apple, je ne crois pas 
qu’ils autorisent d’installer sur un matériel non Apple. À vérifier.


On n'achète pas de licence MacOS, elle est livrée avec le matériel. Pour 
le reste ...


[...]


Un serveur hébergé, avec un contrôle limité, en somme.
Pardon ? Vous pouvez soit déposer votre/vos propres serveurs dans un 
DC soit vous louez votre/vos serveurs *dédiés* à votre hébergeur. 
Vous en avez 100% le contrôle.

Oui, avec un contrôle limité puisque :
- il faut demander l’autorisation pour accéder à son propre serveur

Non, pour pénétrer dans le DC, ce n'est pas la même chose
- le serveur est généralement physiquement accessible, ce qui pose 
problème en cas de paranoïa (et surtout d’exigence contractuelle 
extrême qui stipule « aucun fichier hébergé chez un tiers ») ; il 
reste la solution de louer une cage dont on a seul la clef.


Il sera toujours dans un rack -fermé à clé donc- je n'ai jamais 
rencontré de serveur accessible par les passants dans un DC


[...]


Je vais solliciter Proxmox puisqui’ils sont capables de dire quelle 
configuration matérielle et logicielle il faut.
Vous pouvez mais ils ne pourront vous en dire plus que ce qui a déjà 
été dit. Avez vous de votre côté identifié très exactement vos 
besoins ? (logiciel-s à installer, données à stocker et conserver, si 
DB laquelle, combien d'accès simultanés, etc) Une fois que vous aurez 
fait cela vous pourrez tout seul calculer vos besoins en matériel

Oui. Le système visé doit pouvoir :
- donner accès à 5 (mini) et 10 (maxi) VM (linux, Win10 ; et peut-être 
1 ou 2 MacOS, puisque c’est _techniquement_ accessible)
- hébergeur quelques applications web métiers qui ont peu de trafic 
(tournent actuellement sur des ordinosaures ; avec postgresql)
Ce n’est pas un système à grande échelle pour des millions de requêtes 
par mois ou par jour.

Ce qui compte c’est la disponibilité.


Vous n'avez toujours pas évaluer le volume de données nécessaire par VM ...

[...]


Avec un lien FO + 5G en dualwan ou/et failover.
Connaissez vous la BP nécessaire afin d'accepter tous les clients ? 
Comment imaginez vous que se passera le basculement vers la 5G si la 
fibre tombe ? Il vous faut donc déjà rajouté un routeur en amont (ou 
en VM) afin de gérer cela.
Oui, la BP requise fonctionne en 5G voire en 4G (mode dégradé : lien 
FO déconnecté volontairement).
J’utilise un appareil qui gère différents liens (FO ou ADSL + 5G + 
éventuel Wifi disponible).
La vous parlez du serveur chez vous, donc l'hébergeur. L'appareil 
s'appelle un routeur. Et comment se feront les accès à distance si le 
lien FO ou les autres tombe en panne? Ils devront revoir leur manière de 
se connecter (adresse IP, VPN, ...)

[...]

Re: Matériel et système pour faire tourner des VM en HA/haute disponibilité ?

[NoSpam]

Le 14/06/2024 à 10:07, RogerT a écrit :

[...]
J’ai cherché longtemps et sans doute mal mais n’ai pas trouvé. Je note que 
c’est possible. Et qu’il faut une licence MacOS.

Non

As-tu un pointeur vers une info fiable ?

Moteur de recherche => "install macos on proxmox"

Solution 1 : avoir des VM « workstation ». J’ai déjà fait ça, sous synology et 
sous qemu/KVM.
Solution 2 : utiliser Windows server -> voir ma question ci-dessus sur sa mise 
en oeuvre avec ma petite et ancienne expérience.

Aucune de ces deux solutions n'apportent du HA

Solution 1 : à ma connaissance, synology permet du HA avec son VMM/Virtual 
Machine Manager, mais il faut un cluster de 2x2 machines (!). Et là il n’y a 
pas de down time ou alors de quelques secondes. Avec un cluster HA de 2 
machines, il faut attendre quelques mn pour que les VM soient à nouveau 
disponibles.
Avec qemu/KVM : je ne sais pas.
Solution 2 : Tu dis qu’il n’est pas possible d’avoir des VM Win sur Win server 
avec de la HA. Ça me semble incroyable, non ?
HA pour moi est Haute disponibilité. Que ce soit avec qemu/KVM ou Win 
Server, il faut 2 machines tout comme avec les NAS.

Mais là, lon besoin est d’héberger mes machines personnelles et pros et celles 
de quelques personnes d’un groupe de travail (+ applis web). Elles doivent être 
toujours accessibles, sans besoin de la bande passante d’un data center (d’où 
deux liens internet FO +5G avec gestion automatique du failover).
J’ai besoin de cette « haute disponibilité ».

Ce serait quoi être accompagné : souscrire chez Proxmox ?

Pour une aide Proxmox avec 
éventuellementhttps://pve.proxmox.com/wiki/High_Availability. L'achat de 
matériel reste toutefois nécessaire si pas de DC

DC ?

Datacenter = Centre de données = hébergement en nuage

Un serveur hébergé, avec un contrôle limité, en somme.
Pardon ? Vous pouvez soit déposer votre/vos propres serveurs dans un DC 
soit vous louez votre/vos serveurs *dédiés* à votre hébergeur. Vous en 
avez 100% le contrôle.

Pour LXC, existe-t-il une solution de support similaire ?

Je ne pense pas, à vérifier

Oui. À vérifier. Sans doute un prestataire compétent à trouver.

Ce n'est pas la même chose que le support proxmox qui est réalisé par l'équipe 
elle même, ce qui serait mon choix!

Je vais solliciter Proxmox puisqui’ils sont capables de dire quelle 
configuration matérielle et logicielle il faut.
Vous pouvez mais ils ne pourront vous en dire plus que ce qui a déjà été 
dit. Avez vous de votre côté identifié très exactement vos besoins ? 
(logiciel-s à installer, données à stocker et conserver, si DB laquelle, 
combien d'accès simultanés, etc) Une fois que vous aurez fait cela vous 
pourrez tout seul calculer vos besoins en matériel

  Sinon, ma configuration Proxmox sera un prototype dont je découvrirai la 
fiabilité dans la douleur. Et donc, je ne peux pas héberger les machines d’un 
groupe d’utilisateurs (en tant qu’hébergeur).
Proxmox ne fournit pas de serveurs clés en main. Peut être l'un de leur 
partenaire. Cela revient à faire vous même la démarche de louer les 
serveurs et de prendre un abonnement entreprise chez Proxmox

De manière générale je ne comprends pas la démarche: faire du HA à domicile -ce 
qui je suppose serait posé sur un lien fibre GP- avec des clients qui accèdent 
via d'autres liens fibre GP, n'est en aucun cas comparable avec un serveur en 
DC: en effet, celui ci sera *toujours* joignable et en cas de panne 
*rapidement* remis en état.

La sécurité optimale , peut-être ?

Avec une fibre GP ? Non.

Avec un lien FO + 5G en dualwan ou/et failover.
Connaissez vous la BP nécessaire afin d'accepter tous les clients ? 
Comment imaginez vous que se passera le basculement vers la 5G si la 
fibre tombe ? Il vous faut donc déjà rajouté un routeur en amont (ou en 
VM) afin de gérer cela.
  
Je sais comment chiffrer depuis le client des fichiers d’un utilisateur et les stocker chiffrées sur une machine hébergée.

Mais je ne sais pas comment faire tourner une application web avec BD sur un 
serveur chez un hébergeur. Ou alors, il faut tout chiffrer côté client et alors 
le serveur manipule de la bouillie chiffrée et stockée en BD, ce qui va 
peut-être anéantir les bénéfices de l’indexation (ou pas - là, c’est expert).
Que vient faire ici ce discours? Pourquoi chiffrer si le serveur est le 
vôtre (encore que c'est possible si vous le souhaitez)? Avez vous 
entendu parler de VPN ? Un wireguard sur chaque client et l'accès est 
protégé

On voit bien dans cette discussion que je me pose des questions d’architecture 
qui nécessitent de connaître techniquement les possibilités des différentes 
architectures disponibles.


Je pense surtout que vous ne devriez pas emmener vos clients dans votre 
démarche telle que vous la présentez sans avoir au préalable 
parfaitement analysé les besoins. Sinon c'est la catastrophe.

Re: Matériel et système pour faire tourner des VM en HA/haute disponibilité ?

[NoSpam]

Le 13/06/2024 à 20:01, RogerT a écrit :

Le 13/06/2024 à 16:35, RogerT a écrit :

[...]

J’ai déjà travaillé avec un synology. Il suffit d’acheter, de 
brancher et de cliquer, puis viennent les problèmes et alors c’est 
du temps perdu avec le support technique sans trop jamais savoir la 
cause.

Pour du HA c'est top ;)

Vraiment ? Alors je n’ai pas eu de chance.


C´était de l'humour !

[...]

Proxmox : j’avais essayé mais avec un trop petit budget et du 
matériel ridicule, et finalement abandonné.
Avec un simple Dell T130 32Go Ram et 1 To HDD en Raid1 et Proxmox, je 
fais tourner q4OS, MacOs Sonoma, Win server 2022 qui lui même fait 
tourner un Windows 10.

Super.
À propos, tu fais comment pour faire tourner MacOS ?
Comme tout OS avec ses spécificités. Voyage sur le net tu trouveras 
pléthore d'informations

Win server : j’ai utilisé, il y a très longtemps.
Aujourd’hui, une fois la licence acquise, est-ce simple ou piégeux à 
mettre en oeuvre ?
Comme tout OS avec ses spécificités. Windows Server de base ne vient 
qu'avec 2 licences VM

Partenaire MS recommandé ?…


Pourquoi en aurai je besoin ? Ou peut être la réponse devrait être "moi" :D

[...]

Solution 1 : avoir des VM « workstation ». J’ai déjà fait ça, sous 
synology et sous qemu/KVM.
Solution 2 : utiliser Windows server -> voir ma question ci-dessus sur 
sa mise en oeuvre avec ma petite et ancienne expérience.

Aucune de ces deux solutions n'apportent du HA


Mais là, lon besoin est d’héberger mes machines personnelles et pros 
et celles de quelques personnes d’un groupe de travail (+ applis 
web). Elles doivent être toujours accessibles, sans besoin de la 
bande passante d’un data center (d’où deux liens internet FO +5G 
avec gestion automatique du failover).

J’ai besoin de cette « haute disponibilité ».

Ce serait quoi être accompagné : souscrire chez Proxmox ?
Pour une aide Proxmox avec éventuellement 
https://pve.proxmox.com/wiki/High_Availability. L'achat de matériel 
reste toutefois nécessaire si pas de DC

DC ?

Datacenter = Centre de données = hébergement en nuage



Pour LXC, existe-t-il une solution de support similaire ?

Je ne pense pas, à vérifier

Oui. À vérifier. Sans doute un prestataire compétent à trouver.


Ce n'est pas la même chose que le support proxmox qui est réalisé par 
l'équipe elle même, ce qui serait mon choix!


De manière générale je ne comprends pas la démarche: faire du HA à 
domicile -ce qui je suppose serait posé sur un lien fibre GP- avec des 
clients qui accèdent via d'autres liens fibre GP, n'est en aucun cas 
comparable avec un serveur en DC: en effet, celui ci sera *toujours* 
joignable et en cas de panne *rapidement* remis en état.

Re: Matériel et système pour faire tourner des VM en HA/haute disponibilité ?

[NoSpam]

Le 13/06/2024 à 16:35, RogerT a écrit :

[...]

J’ai déjà travaillé avec un synology. Il suffit d’acheter, de brancher 
et de cliquer, puis viennent les problèmes et alors c’est du temps 
perdu avec le support technique sans trop jamais savoir la cause.

Pour du HA c'est top ;)
Proxmox : j’avais essayé mais avec un trop petit budget et du matériel 
ridicule, et finalement abandonné.
Avec un simple Dell T130 32Go Ram et 1 To HDD en Raid1 et Proxmox, je 
fais tourner q4OS, MacOs Sonoma, Win server 2022 qui lui même fait 
tourner un Windows 10.



Quelle configuration matérielle faut-il envisager ? Pour 2/5/10 VM.


J'aimerai voir un synology avec 10 VM !Faire tourner 2~3 VM ou 10 ce 
n'est pas du tout la même chose. Pour chaque OS que vous voulez 
installer, vous connaissez le minimum nécessaire en HDD et RAM puis 
vous rajoutez les besoins de vos applications.


Ex: pour être à l'aise avec un W10 je prendrai 8Go RAM et 40Go HDD 
pour le système. Pour une Debian12 sans graphique qui fait du routage 
4Go RAM et 15Go HDD devraient suffirent. Il faut aussi choisir le/les 
disques pour du RAID (SATA, SSD, NVMe ...) et le type de RAID (1, 5, 6)




Je vois bien qu’il faut additionner les ressources requises par chaque 
système. Et du coup, juste pour 5 VM Windows, il faut déjà 40 Go de 
RAM et un sérieux CPU.
A ce propos, je crois qu’un windows server ou terminal server ou autre 
doit peut-être permettre de mutualiser des ressources OS au lieu de 
multiplier des OS Windows. Un peu comme avec LXC. Mais là, je suis 
incompétent en Windows ou autre pour savoir comment faire.


Windows Server est l'équivalent d'un Proxmox. Si vous êtes incompétent 
en Windows pourquoi vouloir faire des VMs Windows ? Il faudra savoir les 
gérer !


[...]

Mais là, lon besoin est d’héberger mes machines personnelles et pros 
et celles de quelques personnes d’un groupe de travail (+ applis web). 
Elles doivent être toujours accessibles, sans besoin de la bande 
passante d’un data center (d’où deux liens internet FO +5G avec 
gestion automatique du failover).

J’ai besoin de cette « haute disponibilité ».

Ce serait quoi être accompagné : souscrire chez Proxmox ?
Pour une aide Proxmox avec éventuellement 
https://pve.proxmox.com/wiki/High_Availability. L'achat de matériel 
reste toutefois nécessaire si pas de DC

Pour LXC, existe-t-il une solution de support similaire ?

Je ne pense pas, à vérifier

Re: Matériel et système pour faire tourner des VM en HA/haute disponibilité ?

[NoSpam]

Bonjour

Le 13/06/2024 à 14:23, RogerT a écrit :

Bonjour,

J’ai besoin de faire tourner des VM linux et win de manière fiable et avec de 
la haute disponibilité , c’est-à-dire avec la redondance, du failover, etc.
Pour permettre à plusieurs utilisateurs de s’y connecter en 
RDP/ssh/x2go/VNCviewer.

Je pourrais choisir une « bonne tour » d’un constructeur et y faire du RAID et 
y mettre une deuxième carte réseau.

Cela s'appelle un serveur, il peut être au format tour ou xU

Mais je Je pense que cela revient tout simplement à vouloir disposer d’un 
serveur.

Lapalice n'aurait pas dit mieux ;)


Et je ne suis pas compétent pour choisir un serveur/matériel.

J’ai étudié un peu Proxmox et compris qu’à moins d’être un expert il vaut mieux 
demander du support à Proxmox !

J’avais envisagé un synology mais renoncé car il y a beaucoup de limitations 
censées être apporter de la sécurité, et c’est un debian qui a perdu sa liberté.
Là je ne comprend plus: vous voulez du HA et de la redondance et Proxmox 
est compliqué ? Vous envisagiez cela sur un synology ?

Quelle configuration matérielle faut-il envisager ? Pour 2/5/10 VM.


J'aimerai voir un synology avec 10 VM !Faire tourner 2~3 VM ou 10 ce 
n'est pas du tout la même chose. Pour chaque OS que vous voulez 
installer, vous connaissez le minimum nécessaire en HDD et RAM puis vous 
rajoutez les besoins de vos applications.


Ex: pour être à l'aise avec un W10 je prendrai 8Go RAM et 40Go HDD pour 
le système. Pour une Debian12 sans graphique qui fait du routage 4Go RAM 
et 15Go HDD devraient suffirent. Il faut aussi choisir le/les disques 
pour du RAID (SATA, SSD, NVMe ...) et le type de RAID (1, 5, 6)



Quelle configuration système/logicielle faut-il choisir ?


Donc Proxmox ou qemu/kvm (Proxmox est basé dessus). Suivant les besoins 
on peut aussi envisager LXC.


Note personnelle: des questions que vous posez je pense que vous feriez 
bien de faire faire (ou vous faire seconder) et surtout de prendre le 
temps d'apprendre.

Re: Mise à jour protégée par un pare-feu avec nftables

[NoSpam]

Le 01/06/2024 à 14:03, Marc Chantreux a écrit :


[...]peux-tu expliquer l'interet d'un
outils supplémentaire ?

Me simplifier la vie

Re: Mise à jour protégée par un pare-feu avec nftables

[NoSpam]

Bonjour

j'ai développé sfw, firewall basé sur nftables si cela intéresse

https://framagit.org/tootai/sfw


Le 31/05/2024 à 22:35, firenze...@orange.fr a écrit :

Bonjour tout le monde,

https://www.debian.org/doc/manuals/securing-debian-manual/fw-security-update.fr.html 



La page web ci-dessus semble quelque peu obsolète. N'est-ce pas un peu 
contre-productif d'obliger la réinstallation de iptables sur une 
Debian bookworm fraîchement installée, alors que nftables est depuis 
buster le pare-feu par défaut ?


Pourquoi ne pas publier également un exemple de configuration de 
nftables sur cette même page ? Ça arrangerait beaucoup de monde en 
plus de moi.


Qu'est-ce que vous en pensez ?

Librement,

Firenze

Re: Erreurs tracker-extract: Could not connect to filesystem miner endpoint: Le délai d’attente est dépassé

[NoSpam]

Bonjour

il s'agit d'un programme d'indexation de fichiers sous gnome. Sous 
Ubuntu il s'agit du paquet tracker-miner-fs


Le 15/05/2024 à 11:03, Charles Plessy a écrit :

Bonjour à tous,

j'ai des tonnes de ceci dans mes logs système:

 mai 15 17:51:18 bubu tracker-extract[1711]: Could not connect to 
filesystem miner endpoint: Le délai d’attente est dépassé

Il y a aussy d'autres messages du type:

 mai 15 17:58:49 bubu tracker-miner-f[4486]: Error opening readwrite 
database: database disk image is malformed

Un systemctl status avec ou sans sudo ne montre pas de services avec
tracker dans le nom.  Je vois cependant les fichiers suivants:

 /lib/systemd/user/tracker-miner-fs-3.service
 /lib/systemd/user/tracker-extract-3.service
 /lib/systemd/user/tracker-miner-fs-control-3.service
 /lib/systemd/user/tracker-xdg-portal-3.service
 /lib/systemd/user/tracker-writeback-3.service

Mais toute tentative d'arrêter, redémarrer, etc., ces services se
soldent par des erreurs du genre:

 Failed to restart tracker-miner-fs-3.service: Unit 
tracker-miner-fs-3.service not found.

Je voudrais vraiment enlever ces messages de mes logs, car j'ai un
problème plus important à cerner, et ces messages me brouillent la vue…

Une suggestion?

Librement,

Charles

Re: [HS]

[NoSpam]

Bonjour

Le 07/05/2024 à 14:25, David Martin a écrit :
je voulais dire niveau tarifs, selon vous, quel est le meilleur choix 
s'il vous plait ?
Debian ou autre, peu importe. Dell HP Microcomputer Lenovo etc. Ma 
préférence va a Dell



Le mar. 7 mai 2024 à 14:17, David Martin  a 
écrit :


Bonjour,

Savez vous quelle est la meilleure solution aujourd'hui pour un
serveur dédié sous Debian Linux ?

-- 
david martin




--
david martin

Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

[NoSpam]

Le 04/05/2024 à 23:14, François TOURDE a écrit :

Le 19846ième jour après Epoch,
NoSpam écrivait:


Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel
est mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND
avec sa vue local

Perso, je connecterai tous les postes en VPN et ne ferait écouter le
serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de
sécurité

Sauf que là, l'OP parle de "téléphones IP", donc difficile de faire le
tri. En plus, opérer un VPN "ouvert aux 4 vents", ou un DNS "ouvert
pareil", je choisirais la version DNS plutôt que VPN :)


Un poste IP n'a besoin de connaitre que son registrar: si donc un VPN 
est monté, on se passe de DNS et on utilise l'adresse IP. Si l'on veut 
tout de même un DNS, dans ce même cas de figure dnsmasq sur le pabx est 
suffisant pour renvoyer l'IP du pabx et plus si nécessaire. Pas ouvert 
aux 4 vents.

Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

[NoSpam]

Bonjour

Le 03/05/2024 à 17:37, Olivier a écrit :

Bonjour,

J'envisage de mettre en place un serveur DNS dont le rôle serait de
résoudre des requêtes sur un de mes domaines.
Imaginons que je possède le domaine masociete.com
Le serveur recevra des requètes d'Internet sur des sous-domaines comme
client12345.masociete.com en provenance d'appareils (téléphones IP)
qui peuvent assez rustiques au niveau réseau.

Mes exigences sont :

1- je puisse "facilement" ajouter-retirer-modifier des sous-domaines

2- personne ne puisse énumérer mes sous-domaines ie savoir que les
sous-domaines client1.masociete.com et client2.masociete.com
existent et le les sous-domaine client3.masociete.com n'existe pas
(encore),

3- le serveur soit protégée-protégeable contre les attaques par Déni de Service

Mes questions :

1. Une VM (sous Debian) louée chez un prestataire vous parait-elle suffisante ?
2. Quel logiciel recommandez-vous ?
3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
"ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?


Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel est 
mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND avec sa 
vue local


Perso, je connecterai tous les postes en VPN et ne ferait écouter le 
serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de sécurité

Re: Installation de VirtualBox par les dépots Debian?

[NoSpam]

Bonjour

Le 27/03/2024 à 11:41, Gaëtan Perrier a écrit :

Bonjour,

Est-ce que l'on peut utiliser des vm vmware ou virtualbox pré faites 
avec cette solution ?


Oui, il faut les transformer avec qemu-img. VMware avec leur nouvelle 
politique, vaut mieux les éviter !


https://docs.openstack.org/image-guide/convert-images.html



Gaëtan

Le 27 mars 2024 10:45:15 GMT+01:00, NoSpam  a écrit :
>Bonjour
>
>Le 27/03/2024 à 10:29, Alex PADOLY a écrit :
>>
>> Bonsoir à tous,
>>
>>
>> Peut-on installer VirtualBox par les dépôts Debian, en effet 
l'installation à partir du paquet Debian sur le site d'Oracle génère 
des erreurs difficiles à résoudre.

>>
>> Enfin, d'une façon générale, comment doit-on aborder la 
virtualisation sous LINUX

>>
>kvm/qemu est inclut dans le noyau Linux et rempli parfaitement son 
rôle. Cela fait des années que nos VMs tournent ainsi. Proxmox est 
basé sur kvm et lxc et peut être une solution.

>

--
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez 
excuser ma brièveté.

--
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez 
excuser ma brièveté.

Re: Installation de VirtualBox par les dépots Debian?

[NoSpam]

Bonjour

Le 27/03/2024 à 10:29, Alex PADOLY a écrit :


Bonsoir à tous,


Peut-on installer VirtualBox par les dépôts Debian, en effet 
l'installation à partir du paquet Debian sur le site d'Oracle génère 
des erreurs difficiles à résoudre.


Enfin, d'une façon générale, comment doit-on aborder la virtualisation 
sous LINUX


kvm/qemu est inclut dans le noyau Linux et rempli parfaitement son rôle. 
Cela fait des années que nos VMs tournent ainsi. Proxmox est basé sur 
kvm et lxc et peut être une solution.

Re: Reverse ftp proxy

[NoSpam]

Bonsoir

Le 26/03/2024 à 18:13, BERTRAND Joël a écrit :

[...]

Deuxième question : le serveur FTP est un OS un peu spécial qui ne
comprend pas IPv6. Est-il possible de rediriger IPv6 sur du V4 de
manière transparente ?


Oui avec socat

# socat
#
iface ens1 inet static
  address 172.16.30.4/32

nohup socat UDP-LISTEN:53,bind=172.16.30.4,reuseaddr,fork,su=nobody 
UDP6:[fd77:1234:5678:90ab::4]:53


--

Daniel

Re: DoS protection pour Serveurs Debian ?

[NoSpam]

Bonjour

Le 13/03/2024 à 19:45, Basile Starynkevitch a écrit :


On 3/13/24 19:39, Jean-François Bachelet wrote:

Hello folks :)

qu'utiliseriez vous si l'un de vos serveurs Debian était la cible 
d'attaques style Denial of Service (DoS)?


vu le nombre croissant d'attaques en tous genre sur les serveurs de 
la planête par tout un tas de hackers, muscler la protection de 
serveurs (pros ou privés) est devenu indispensable.


des idées de solutions efficaces à partager ?



Sans être spécialiste, je commencerais par installer (et configurer si 
besoin) le paquet fail2ban de Debian.


Fail2ban ne protège en rien du DDOS.

Les bons hébergeurs ont tous les outils en place pour protéger leur 
clientèle de ces attaques, tout ou en partie en fonction de l'intensité. 
Pour le grand public -hébergement perso- par ex- cela dépend du FAI


[...]

Re: IPV6+mac

[NoSpam]

Bonjour

Le 12/03/2024 à 09:30, jc gucci a écrit :
option pour desactiver la generation de l'adresse ipv6 base sur 
l'adresse mac : pour stretch + version superieur.
j'ai fait des recherche et je n'ai pas trouve pouvez-vous eclaircir le 
sujet ?

Vous n'avez pas trop creuser ... ;)

(ordinateur individuel-portable) merci.

|sudo sysctl -w net.ipv6.conf.all.autoconf=0|

|sudo sysctl -w net.ipv6.conf.all.accept_ra=0|

|
|

Re: Pb routage NAT suite update/reboot

[NoSpam]

Bonsoir


Le 26/02/2024 à 18:11, Erwann Le Bras a écrit :
[...]


*ip route*
default via 192.168.2.1 dev eth0 proto static
default via 192.168.1.254 dev eth1 proto dhcp src 192.168.1.1 metric 1024
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1 metric 
1024

192.168.1.1 dev eth1 proto dhcp scope host src 192.168.1.1 metric 1024
192.168.1.254 dev eth1 proto dhcp scope link src 192.168.1.1 metric 1024
192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.1
192.168.3.0/24 dev tun0 proto kernel scope link src 192.168.3.1

(192.168.1.254 : Freebox)


2 routes par défaut est une erreur. Supprime la première

Une fois réalisé, un ping vers la Frebox est OK ?


[...]

Les services fonctionnent bien, j'y ai accès depuis le réseau de la 
Freebox (192.168.1.0) mais pas depuis l'adresse externe (qui n'a pas 
changé).


Donc un ping depuis la Freebox vers le réseau 192.168.2.0 est 
fonctionnel ? As tu rajouté une route pour que cela fonctionne car de 
mémoire la route par défaut doit être l'interface WAN de la FB ?



J'exclus un dysfonctionnement de la Freebox, elle vient d'être changé.

De ce que tu écris, la Freebox est en mode routeur. Si elle a été 
remplacée, vérifie dans ses réglages que les règles auxquelles tu 
t'attends soient encore en place et que la topologie est bien celle que 
tu veux.

[...]

Re: Re : Comment remplacer l'utilisateur root pour utiliser le service cron ?

[NoSpam]

Bonjour

Le 20/02/2024 à 05:54, k6dedi...@free.fr a écrit :

Bonjour,
Je découvre ce fil de discussion.
Je ne comprends pas que l'on puisse encore travailler avec CRON.
Alors que ANACRON est indépendant de la période de fonctionnement du PC.
Si on se place d'un point de vue poste de travail. Pour les serveurs, 
aucun intérêt !

Re: Mise à jours et Update Stretch - Problème de dépôt

[NoSpam]

Bonsoir

Le 12/01/2024 à 18:12, Hugues MORIN-TRENEULE a écrit :

Salut

Bon ... Un peu beaucoup de temps est passé mais j'ai enfin pu faire 
cet upgrade.


J'ai tout d'abord vérifié les dépôts enregistrés dans mon source.list 
afin de savoir quel paquet dépend d'eux.
Il en résulte que le dépôt volatile n'a effectivement aucune utilité 
(sur mon système).


J'ai ensuite checker les dépôt archive.debian. org afin de vérifier 
s'il contenait des mises à jour mais il n'y en avait pas.


J'ai poursuivi avec les dépôts ELTS que cite Daniel en suivant la 
procédure qu'il a donné.


Mon Stretch étant alors à jour j'ai commencé l'upgrade vers Buster.

La mise à niveau minimale du système avec  apt-get upgrade s'est 
déroulé sans probleme


J'ai alors lancé dans la foulée la mise à niveau complète avec apt 
full-upgrade...
Il fallait -je pense- au préalable lancé un apt-get update && apt-get 
upgrade si effectivement il n'y a eu que la mise à niveau minimale. Et 
redámarrer ...


Et la ... c'est le drame, au environ de 45% il y a eu des erreurs (une 
histoire de suppression de /etc/init)

Mon système ne fonctionne plus depuis, il bloque au démarrage.
Pas de menu de démarrage grub ? Si oui, on doit pouvoir démarrer sur le 
noyau précédent


J'ai suivi pas à pas la méthode du site Debian: 
https://www.debian.org/releases/buster/amd64/release-notes/ch-upgrading.fr.html


Je ne pense pas que l'erreur soit liée aux mises à jours faites par le 
dépôt ELTS.
A moins que l'un d'entre vous voit une corrélation entre les mises à 
jours faites avec le dépôt ELTS et le crash de mon update, je pense 
que ce sujet peut-être clôturé.


Par contre, je dois avouer mon incompétence totale pour réparer et 
remettre en route mon système.
Sortir le disque, le connecter à un autre PC puis y faire un chroot pour 
réparer
Je vais faire quelques recherches pour trouver une solution mais mon 
niveau risque de ne pas être suffisant pour comprendre ce que je lis.
Après avoir réunir mes fichiers de log et l'enregistrement de mon 
upgrade, il y a de forte chance que j'ouvre un nouveau sujet pour 
avoir un peu d'aide pour réparer


[...]



Le jeu. 31 août 2023, 16:18, Daniel SAUVARD  
a écrit :


Bonjour.

Depuis l'année dernière, Debian n'assure plus le support de
Stretch (fin
du support LTS). Un support partiel reste possible via le projet
Extended Long Term Support (ELTS,
https://wiki.debian.org/LTS/Extended ;
pour 5 ans, soit jusqu'au 2027-06-30). Il faut supprimer les dépôts
Debian (qui ne sont à priori plus accessibles) et les remplacer
par ceux
de Freexian).

En pratique :
- Éditer le fichier source.list et désactiver les dépôts Debian.
- Ajouter la clé de l'archive Freexian.
     # wget

https://deb.freexian.com/extended-lts/pool/main/f/freexian-archive-keyring/freexian-archive-keyring_2022.06.08_all.deb

&& dpkg -i freexian-archive-keyring_2022.06.08_all.deb
   Contrôler la clé avec « # apt-key finger | less », en comparant
l'empreinte avec celle indiquée sur la page
https://www.freexian.com/lts/extended/docs/how-to-use-extended-lts/.
- Activer les dépôts Freexian, par exemple en créant le fichier
/etc/apt/sources.list.d/extended-lts.list, contenant :
     # ELTS archive
     deb http://deb.freexian.com/extended-lts stretch-lts main
   Nota Le serveur n'utilise pas les dépôts contrib et non-free.
- Mettre à jour du système :
     # apt update
     # apt upgrade
   Redémarrer le système si le noyau a été mis à jour.

Cordialement,
Daniel Sauvard



Le 29/08/2023 à 13:53, Hugues MORIN-TRENEULE a écrit :
> Salut à tous
>
> J'ai fait une boulette, je n'ai pas upgradé .
> A force de me procrastiner l'upgrade d'une machine sous Stretch
dont je
> me sers occasionnellement, je me trouve un peu embêter aujourd'hui.
>
> En voulant faire un petit check des mises à jour, je me suis
aperçu que
> les dépôts Stretch enregistrés dans mon source.list n'existe plus:
> # deb cdrom:[Debian GNU/Linux 9.2.1 _Stretch_ - Official amd64
NETINST
> 20171013-13:07]/ stretch main
>
> #deb cdrom:[Debian GNU/Linux 9.2.1 _Stretch_ - Official amd64
NETINST
> 20171013-13:07]/ stretch main
>
> deb http://ftp.fr.debian.org/debian/

> stretch main contrib non-free
> deb-src http://ftp.fr.debian.org/debian/
>  stretch main contrib non-free
>
> deb http://security.debian.org/debian-security
>  stretch/updates main
> contrib non-free
> deb-src http://security.debian.org/debian-security
>  stretch/updates main
> contrib non-free
>
> # stretch-updates, previously known as 'volatile'
> deb http://ftp.fr.debian.org/debian/

> stretch-

Re: [HS] LINUX ENTREPRISE

[NoSpam]

Le 02/01/2024 à 12:23, ajh-valmer a écrit :

On Tuesday 02 January 2024 04:37:05 Alex PADOLY wrote:

Bonjour et bonne année 2024 à tous !
Je vais me former dans le but d'élargir mon savoir et mes compétences
concernant LINUX en entreprise.
En complément d'un usage quotidien de DEBIAN en poste de travail et
serveur, je souhaiterais installer une distribution
LINUX orientée entreprise sur un poste informatique puis sur serveur
pour y faire un serveur FTP et un serveur de messagerie.
ORACLE LINUX, Red Hat Enterprise Linux, ou autres, que me
conseillez-vous ?

Pour un projet Linux en entreprise,
je te conseille la distribution CentOS,
la version opensource et Libre de RedHat Enterprise Linux,
sans ses composantes non Libres.
CentOS est la seule distribution qui est taillée pour être serveur Linux
Elle s'installe et s'upgrade facilement grâce à une
bibliothèque de nombreuses applications,
dont tous les rôles serveurs.


CentOS n'existe plus telle que connue et a été remplacée par CentOS 
stream, ce depuis 2021.


Pour remplacer CentOS on peut se pencher sur Rocky Linux créée pour 
reprendre le flambeau de CentOS. Ou Oracle Linux.

Re: Re : Re: Connexion réseau impossible pour certains logiciels

[NoSpam]

Ce pourrait il que ipv6 soit actif et privilégié ?

Le 22/12/2023 à 19:06, benoit a écrit :

Le vendredi 22 décembre 2023 à 09:39, Michel Verdier  a écrit :



Le 21 décembre 2023 benoit a écrit :


En fait, c'est l'inverse de ce que j'avais dit en testant avec un autre 
utilisateur, j’ai lancé gnome...
Si je crée un utilisateur et que je lance un environnement de bureau par 
défaut, genre gnome, tout fonctionne normalement.
C’est gnome qui fait quelque chose qui fait que ça fonctionne, mais quoi ?

Mais si j’utilise openbox (ma config), ça ne fonctionne pas…


Déjà pour voir ce qui se passe au niveau réseau donne-nous dans les 2 cas :
ip -N route
mtr -n -r -c 1 www.google.com

sous GNOME :
ip -N route >> outputGNOME.txt
mtr -n -r -c 1 www.google.com >> outputGNOME.txt

default via 192.168.8.1 dev enx0c5b8f279a64 proto 16 src 192.168.8.100 metric 
100
169.254.0.0/16 dev enx0c5b8f279a64 scope 253 metric 1000
192.168.8.0/24 dev enx0c5b8f279a64 proto 2 scope 253 src 192.168.8.100 metric 
100
Start: 2023-12-22T17:29:26+
HOST: localhost   Loss%   Snt   Last   Avg  Best  Wrst StDev
   1.|-- 192.168.8.10.0% 1   25.4  25.4  25.4  25.4   0.0
   2.|-- ???   100.0 10.0   0.0   0.0   0.0   0.0
   3.|-- ???   100.0 10.0   0.0   0.0   0.0   0.0
   4.|-- ???   100.0 10.0   0.0   0.0   0.0   0.0
   5.|-- 172.16.188.85  0.0% 1   41.0  41.0  41.0  41.0   0.0
   6.|-- ???   100.0 10.0   0.0   0.0   0.0   0.0
   7.|-- 172.16.188.44  0.0% 1   39.9  39.9  39.9  39.9   0.0
   8.|-- 81.52.186.121  0.0% 1   50.0  50.0  50.0  50.0   0.0
   9.|-- 193.251.241.2220.0% 1   53.3  53.3  53.3  53.3   0.0
  10.|-- ???   100.0 10.0   0.0   0.0   0.0   0.0
  11.|-- 108.170.241.1290.0% 1   83.1  83.1  83.1  83.1   0.0
  12.|-- 209.85.252.245 0.0% 1   63.2  63.2  63.2  63.2   0.0
  13.|-- 172.217.168.2280.0% 1   62.6  62.6  62.6  62.6   0.0


sous Openbox
ip -N route >> outputOpenBox.txt
mtr -n -r -c 1 www.google.com >>  outputOpenBox.txt

default via 192.168.8.1 dev enx0c5b8f279a64 proto 16 src 192.168.8.100 metric 
100
169.254.0.0/16 dev enx0c5b8f279a64 scope 253 metric 1000
192.168.8.0/24 dev enx0c5b8f279a64 proto 2 scope 253 src 192.168.8.100 metric 
100
Start: 2023-12-22T17:39:36+
HOST: localhost   Loss%   Snt   Last   Avg  Best  Wrst StDev
   1.|-- 192.168.8.10.0% 1   35.6  35.6  35.6  35.6   0.0
   2.|-- ???   100.0 10.0   0.0   0.0   0.0   0.0
   3.|-- ???   100.0 10.0   0.0   0.0   0.0   0.0
   4.|-- ???   100.0 10.0   0.0   0.0   0.0   0.0
   5.|-- 172.16.188.85  0.0% 1   61.4  61.4  61.4  61.4   0.0
   6.|-- ???   100.0 10.0   0.0   0.0   0.0   0.0
   7.|-- 172.16.188.44  0.0% 1   93.2  93.2  93.2  93.2   0.0
   8.|-- 81.52.186.121  0.0% 1   50.3  50.3  50.3  50.3   0.0
   9.|-- 193.251.241.2220.0% 1   57.7  57.7  57.7  57.7   0.0
  10.|-- ???   100.0 10.0   0.0   0.0   0.0   0.0
  11.|-- 108.170.241.1930.0% 1   68.2  68.2  68.2  68.2   0.0
  12.|-- 142.250.224.1310.0% 1   67.8  67.8  67.8  67.8   0.0
  13.|-- 216.58.214.4   0.0% 1   69.4  69.4  69.4  69.4   0.0


Ils se ressemblent, ce qui ne m’étonne pas dans la mesure ou tout passe 
normalement en ligne de commande, dans les trois cas : en mode console, dans un 
terminal sous GNOME ou Openbox, si je fais :

ping kde.org

Ca passe normalement.

C’est libreoffice, firefox(sauf après une longue attente) ou evolution posent 
problème sous openbox.


Merci d'avance,

--
Benoît

Re: Connexion réseau impossible pour certains logiciels

[NoSpam]

Bonjour

Le 21/12/2023 à 13:19, benoit a écrit :


Bonjour,

J’ai réinstallé mon système et les logiciels tels que evolution, 
libreoffice, firefox-esr, ne parviennent pas à se connecter à internet.


Chose bizarre, la version de firefox téléchargée sur le site de 
mozilla se connecte sans problème…


Comme si des logiciels en paquet debian ne prenaient pas le même 
chemin pour se connecter à internet .


Comment diagnostiquer ça ?


tcpdump


apt se connecte sans problème

Je ne sais pas si c’est à case de ça, durant la procédure 
d’installation ma clé 4G n’était jamais détectée, j’ai dû utiliser un 
DVD et installer network-manager pour avoir du réseau.


Merci d’avance

--

Benoît



Envoyé avec la messagerie sécurisée Proton Mail. 

Re: Écran noir avec Intel UHD Alder-Lake sur Bookworm+Backports

[NoSpam]

Essayez de mettre modeset=0 dans la ligne de commande grub comme par ex 
i915.modeset=0


Le 21/12/2023 à 12:26, Olivier a écrit :

Bonjour,

J'ai une nouvelle machine UN305 de Minis Forum.
J'y ai installé Bullseye puis Bookworm et le noyau 6.5 du dépôt
bookworm-backports.

Quand la machine démarre, elle affiche quelques secondes le menu de
boot (celui qui permet par exemple d'accéder à l'UEFI) puis son écran
reste noir.

Par SSH, je peux me connecter à la machine.

J'ai:
# lspci -k | grep -EA3 'VGA|3D|Display'
00:02.0 VGA compatible controller: Intel Corporation Alder Lake-N [UHD Graphics]
 Subsystem: IP3 Tech (HK) Limited Alder Lake-N [UHD Graphics]
 Kernel driver in use: i915
 Kernel modules: i915

1. Existe-t-il un moyen avec le menu de boot, pour basculer
l'affichage dans un mode dégradé (au cas où SSH ne devait plus
fonctionner) ?

2. Quels mots clés utiliser pour retrouver des rapports de bogues
similaires au mien ?

3. Comment corriger ?

Slts

Re: Debian-installer gèle pendant l'installation sur Minis Forum UN305 [RESOLU]

[NoSpam]

Le noyau 6.5 est dans bookworm-backport

Le 19/12/2023 à 17:14, Olivier a écrit :

Pour X (mauvaises) raisons, j'ai préféré essayer d'installer Bullseye
sur la machine UN305 et tout s'est passé normalement !

À l'évidence, il y a une anomalie sur cette configuration (Alder
Lake/Bookworm) mais au moins, j'ai l'assurance qu'il n'est pas
impossible d'installer Debian sur cette machine.

Merci, infiniment, Sébastien de m'avoir mis sur la bonne voie.

L'intérêt principal de l'achat de cette machine était de me permettre
de migrer sans stress de Bullseye à Bookworm.
Il va falloir revoir tous mes plans.

Je ne suis pas très rassuré d'utiliser testing sur sa machine de tous
les jours mais c'est une autre histoire ...

Re: [HS] installer Signal sous Debian sans smartphone

[NoSpam]

Bonjour

voici la méthode utilisant un numéro de poste fixe

Pour créer un compte pour une ligne fixe

. créer un captcha https://signalcaptchas.org/registration/generate
. copier la partie après ://
. signal-cli -u +3336800 register --captcha signal-... ; ceci créé 
un compte avec envoi SMS, peu importe

. créer un nouveau captcha https://signalcaptchas.org/registration/generate
. copier la partie après ://
. signal-cli -u +3336800 register --voice --captcha signal-...
. un appel téléphonique est réceptionné lisant le code de validation (6 
chiffres à date de document)

. signal-cli -a +3336800 verify 
. signal-cli -a +3336800 send -m "Texte" +3368400
. si OK le mobile a réceptionné le message.

Le 29/11/2023 à 16:07, Jean Louis Giraud Desrondiers a écrit :

bonjour la liste,
résumé des épisodes précédents : j'ai une amie (qui n'a pas de
smartphone) et dont le portable est sous Mint et qui souhaite installer
dessus  un logiciel de chat pour pouvoir suivre les discussions de la
quinzaine de personnes (toutes sous Windaube et utilisant toutes
Signal) habitant comme elle dans une résidence à habitat partagé. Dans
un premier temps j'ai cherché une alternative à Signal mais il s'avère
qu'il est quasi impossible de convaincre ses co-habitants de changer de
logiciel de chat (en gros leur position c'est : tu as fait le choix de
ne pas avoir de smartphone donc débrouille toi pour gérer) donc je
cherche maintenant à installer Signal sur son portable et à
lui configurer un compte Signal.
J'ai réussi l'installation de Signal via extrepo (merci Sebastien) mais
pour ouvrir un compte je bloque : lorsque je démarre Signal, il ouvre
une fenêtre avec un QR code que nous avons décodé avec QtQR et nous
obtenons une longue suite alphanumérique à la place mais ensuite ? je
ne sais pas quoi faire de ça ?
Par ailleurs j'ai vu ce tuto
https://kemenaran.winosx.com/posts/signal-sans-smartphone
mais je bloque sur l'étape 1 pour installer Signal-cli :
que faire de ceci :
  # Sous Linux, suivre les instruction ici :
  # https://github.com/AsamK/signal-cli/wiki/Quickstart
  

Re: [HS] alternative à Signal sous Debian et SANS smartphone

[NoSpam]

Bonjour. Je n'ai rien de plus à ajouter, il s'agit d'une manipulation 
basique d'un rajout de dépôt sous Debian.


Ce qui par contre pourrait aider est de donner un sens compréhensif à

"j'ai tenté sans succès ce matin d'appliquer la procédure"

Le 20/11/2023 à 14:28, Jean Louis Giraud Desrondiers a écrit :

Salut,
j'ai tenté sans succès ce matin d'appliquer la procédure que tu as
indiquée ci-dessous :

cat /etc/apt/sources.list.d/signal-xenial.list

deb [arch=amd64
signed-by=/usr/share/keyrings/signal-desktop-keyring.gpg]
https://updates.signal.org/desktop/apt xenial main

sudo apt update

sudo apt install signal-desktop


Est-ce que tu pourrais détailler les différentes étapes de la procédure
stp ?
D'avance merci

Re: le bluez de la doc de bluez (+wireplumber)

[NoSpam]

Debian bookworm également

Le 17/11/2023 à 20:03, NoSpam a écrit :

Ubuntu 22.04 pas de soucis avec bluetoothctl --help et les man

ii  bluez  5.64-0ubuntu1 amd64    Bluetooth tools and daemons

Le 17/11/2023 à 19:49, Marc Chantreux a écrit :

salut à tous,

Je tente de connecter un casque USB. Pour le moment, j'ai réussi
à enregistrer le périphérique

# bluetoothctl devices |grep W
Device 14:XX:XX:XX:XX:XX WH-XB900N

et il me faut maintenant le pairer. Et là surprise: toutes ces
commandes ne servent à peu pret à rien:

man bluetoothctl
bluetoothctl --help
apropos bluetoothctl
apropos bluez
info

"il me manque un paquet de doc", me dis-je, mais

# aptitude search '~nbluez ~ndoc'
libkf5bluezqt-doc - documentation files for bluez-qt

bon ... je me résigne:

apt-cache show bluez |
sed '/^Homepage: /!d;s///;q' |
xargs chromium

ce qui me fait visiter http://www.bluez.org. Sauf que même ici

* pas d'onglet doc.
* la FAQ est moins longue que celle de la WTFPL 
(http://www.wtfpl.net/faq/)


dans la page download, je trouve "User Space BlueZ Package". Cool!

curl http://www.kernel.org/pub/linux/bluetooth/bluez-5.66.tar.xz |
tar xz
grep -F bluetoothctl blu*/doc

et là encore je ne trouve rien (ou plutôt une ligne).

Y'a pas de docs ou c'est moi qui ne sais plut chercher?

cordialement,
marc

Re: le bluez de la doc de bluez (+wireplumber)

[NoSpam]

Ubuntu 22.04 pas de soucis avec bluetoothctl --help et les man

ii  bluez  5.64-0ubuntu1 amd64    Bluetooth tools and daemons

Le 17/11/2023 à 19:49, Marc Chantreux a écrit :

salut à tous,

Je tente de connecter un casque USB. Pour le moment, j'ai réussi
à enregistrer le périphérique

# bluetoothctl devices |grep W
Device 14:XX:XX:XX:XX:XX WH-XB900N

et il me faut maintenant le pairer. Et là surprise: toutes ces
commandes ne servent à peu pret à rien:

man bluetoothctl
bluetoothctl --help
apropos bluetoothctl
apropos bluez
info

"il me manque un paquet de doc", me dis-je, mais

# aptitude search '~nbluez ~ndoc'
libkf5bluezqt-doc - documentation files for bluez-qt

bon ... je me résigne:

apt-cache show bluez |
sed '/^Homepage: /!d;s///;q' |
xargs chromium

ce qui me fait visiter http://www.bluez.org. Sauf que même ici

* pas d'onglet doc.
* la FAQ est moins longue que celle de la WTFPL (http://www.wtfpl.net/faq/)

dans la page download, je trouve "User Space BlueZ Package". Cool!

curl http://www.kernel.org/pub/linux/bluetooth/bluez-5.66.tar.xz |
tar xz
grep -F bluetoothctl blu*/doc

et là encore je ne trouve rien (ou plutôt une ligne).

Y'a pas de docs ou c'est moi qui ne sais plut chercher?

cordialement,
marc

Re: Délai de 25 secondes

[NoSpam]

Bonjour

Le 10/11/2023 à 22:19, Jose CHARTERS a écrit :

Le 10/11/2023 à 08:43, Seb a écrit :

Il y a 6 mois (Debian 11), je n'avais aucun problème de ce type.

Il y a 3 mois (Debian 11), j'ai remarqué ce souci avec un Firefox que 
je venais de mettre à jour.


Aujourd'hui (Debian 12), j'ai le problème avec Firefox, Pavucontrol 
et Xdaliclock.


Le problème est croissant et menace de devenir handicapant en Debian 13.
Je ne pense pas qu'il soit lié spécifiquement à Pavucontrol.

Quelque chose qui rend mon installation peu courante, c'est que 
pendant l'install je décoche toutes les cases liées à des 
gestionnaires de fenêtres, et une fois l'install terminée j'installe 
le minimum (fvwm et ses dépendances). D'habitude, quand on décoche 
toutes ces cases, c'est pour un serveur (qui ne lancera jamais 
xdaliclock, donc on ne verra pas apparaître ce délai de 25 secondes).


De la sorte, il est probable que je n'installe pas un package qui est 
standard chez les autres utilisateurs et qui s'avère utile pour 
certains logiciels graphiques (quoique pas indispensable puisque ces 
logiciels finissent par se lancer).


Sinon, un rapport de bogue sur 
https://gitlab.freedesktop.org/pulseaudio/pavucontrol/-/issues 
pourrait être utile.


C'est vrai qu'un rapport de bug pourrait servir.
Peut-être plus avec reportbug toutefois, si c'est bien un package qui 
me manque ; il n'y aurait alors qu'une simple dépendance à ajouter.



Si tu as la flemme de débugger, j'imagine que tu as actuellement
pulseaudio d'installé. Tu pourrais le retirer au profit de
pipewire-pulse et voir si ça fonctionne mieux.


À vrai dire, j'utilise très peu pavucontrol ; c'est la multiplication 
des endroits où le délai se manifeste qui m'inquiète.


En tout état de cause, vu que tu as le fd et 25 secondes pour agir, 
un ls -al /proc/XXX/fd/YYY est sans doute utile pour savoir quelle 
socket/autre il poll.


Ben ça donne ça:
~> ls -l /proc/$(pidof pavucontrol)/fd/11
lrwx-- 1 seb seb 64 Nov 10 10:42 /proc/135045/fd/11 -> 
'anon_inode:[eventfd]'


Bonsoir,

Je n'avais pas le lien jusqu'à présent, mais j'ai le même type de 
soucis sur ma debian 12.


Pour moi, cela se manifeste lors du lancement de Firefox et lorsque je 
retire certaines clés USB. Je m'en accommodais.


Sur Debian 11, cela se manifestait uniquement lors du lancement de 
Firefox.


Peux-tu me rappeler la commande pour voir le délai de 25 s. Je l'ai vu 
passé dans les mails précédents, mais je n'avais pas percuter que 
c'était valable pour moi également.



https://lists.debian.org/debian-user-french/

Re: [HS] alternative à Signal sous Debian et SANS smartphone

[NoSpam]

Bonjour

Le 11/11/2023 à 10:53, Jean Louis Giraud Desrondiers a écrit :

bonjour ,
J'essaie d'aider une amie qui souhaite installer sur son portable (sous
Mint) une appli de chat : on a bien trouvé un tuto pour installer
Signal mais je n'ai pas réussi l'installation.

cat /etc/apt/sources.list.d/signal-xenial.list

deb [arch=amd64 
signed-by=/usr/share/keyrings/signal-desktop-keyring.gpg] 
https://updates.signal.org/desktop/apt xenial main


sudo apt update

sudo apt install signal-desktop


  Donc nous essayons de
trouver une appli de chat sous Debian mais qui doit aussi fonctionner
sous Windows ou Mac.

Telegram

Après quelques recherches nous avons trouvé Jami
et Discord mais d'après ce que je lis sur ces deux applis je ne suis
pas sûr qu'on puisse les utiliser sans smartphone.
Merci pour vos réponses.

Re: Retard au boot

[NoSpam]

Il le dit: il s'attend à redémarrer à partir d'un espace d'hibernation 
qu'il ne trouve pas


Le 03/11/2023 à 10:32, Norbert Ponce a écrit :
Lors du démarrage de l'ordi, les 2 premières lignes concernent la 
vérification du disque "windows", puis il y a une longue pause suivie de:

/Gave up waiting for suspend / resume device
/Il en a marre d'attend/re, /moi//aussi. Comment puis-je savoir ce 
qu'il attend./

/Merci/
/ 

Re: CUPS, Bullseye et Apple

[NoSpam]

https://fr.wikipedia.org/wiki/Common_Unix_Printing_System

Le 21/10/2023 à 16:05, Thierry a écrit :

Bonjour,

Incidemment, sur l'interface d'administration CUPS sur une Debian 
Bullseye pur jus, j'ai remarqué cette petite note en bas de page:


" CUPS et le logo CUPS sont des marques déposée de Apple Inc. CUPS est 
sous copyright 2017-2019 Apple Inc. Tous droits réservés".


Pour moi qui suis un tenant du libre et allergique à Apple, de quoi 
s'inquiéter?


Qu'est-ce que cela signifie?
Merci

Re: imposer une IP à une seconde carte réseau

[NoSpam]

Bonjour

soit utiliser le fichier rc.local si le système est activé via systemd 
soit utiliser la commande up du fichier interfaces


Le 17/10/2023 à 15:34, Alex PADOLY a écrit :


Bonsoir à tous,


Cela fonctionne, le problème, c'est que l'on doit ressaisir cette 
commande à chaque redémarrage du serveur.


Le serveur ltsp nécessite une seconde carte réseau ayant une adresse 
IP spécifique.


Avez-vous une idée pour imposer cette adresse fixe à chaque 
redémarrage du serveur.



Merci beaucoup!





Le 2023-10-14 20:47, NoSpam a écrit :


Bonsoir

sudo ip a add  dev 

sudo ip a -6 add  dev  # pour une ipv6

L'interface doit être up

sudo ip link set  up


Le 14/10/2023 à 19:42, Alex PADOLY a écrit :


Bonsoir à tous,


La dernière fois que j'ai configuré des cartes réseau sur un système 
Debian, celles-ci s'appelaient eth0 , eth1, eth2.



Aujourd'hui, je commence la configuration d'un serveur LTSP et je 
souhaiterais imposer une adresse réseau à la seconde carte réseau 
reliée au switch pour les différents clients.


Le système d'adressage IP des cartes réseau sous Debian a-t-il 
fondamentalement changé.


Comment aujourd'hui imposer une adresse IP fixe à la seconde carte 
réseau?


Merci pour vos réponses et éclairages.

Alex PADOLY

Re: imposer une IP à une seconde carte réseau

[NoSpam]

Bonsoir

sudo ip a add  dev 

sudo ip a -6 add  dev  # pour une ipv6

L'interface doit être up

sudo ip link set  up


Le 14/10/2023 à 19:42, Alex PADOLY a écrit :


Bonsoir à tous,


La dernière fois que j'ai configuré des cartes réseau sur un système 
Debian, celles-ci s'appelaient eth0 , eth1, eth2.



Aujourd'hui, je commence la configuration d'un serveur LTSP et je 
souhaiterais imposer une adresse réseau à la seconde carte réseau 
reliée au switch pour les différents clients.


Le système d'adressage IP des cartes réseau sous Debian a-t-il 
fondamentalement changé.


Comment aujourd'hui imposer une adresse IP fixe à la seconde carte réseau?

Merci pour vos réponses et éclairages.

Alex PADOLY

Re: Problèmes à l'installation si je ne veux pas refaire les partitions de swap

[NoSpam]

Le 29/09/2023 à 16:56, Eric DEGENETAIS a écrit :

Si les machines utilisent toutes LVM y compris la swap *et* que vous
Je ne suis pas sûr de saisir le rapport avec LVM. Ça facilite la
modification des partitions, mais je ne vois rien qui interdise de
réutiliser une partition de swap taillée à même le disque physique.
Vous pouvez développer ?
J'avais cru comprendre que vous utilisiez un espace swap par OS installé 
d'où vos problèmes...

n'hibernez pas vous pouvez partager une même partition swap pour toutes

[...] je le fais dans le mode que j'appelle "suspend
to RAM".
Cela suffit pour ne pas pouvoir partager la swap avec un autre OS car 
celle ci contient toujours des données d'avant hibernation.

Re: Problèmes à l'installation si je ne veux pas refaire les partitions de swap

[NoSpam]

Bonjour

Le 29/09/2023 à 16:00, Eric DEGENETAIS a écrit :

[...]

Ma question : faut-il me résoudre à refaire les swap et corriger mon
OS debian préexistant, ou quelqu'un connaît-il un moyen de réutiliser
telles quelles les partitions de swap existantes ?
Si les machines utilisent toutes LVM y compris la swap *et* que vous 
n'hibernez pas vous pouvez partager une même partition swap pour toutes 
les versions d'OS

Re: crash probablement lié à amdgpu

[NoSpam]

Bonjour

Le 27/09/2023 à 13:03, LECOQ Vincent a écrit :
[...]
Depuis mon dernier apt full-upgrade hier, je constate un crash assez 
rapide de ma session gnome wayland.

[...]
Linux b550 6.5.0-1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.5.3-1 
(2023-09-13) x86_64 GNU/Linux

oktail@b550:~$ cat /etc/debian_version
trixie/sid


[...]

Les plaisirs de SID :) Ouvrir un ticket de bug est la solution et 
revenir aux versions antérieurs des paquets concernés.

Re: Perte de souris USB

[NoSpam]

Le 13/09/2023 à 11:35, Daniel Caillibaud a écrit :

Bonjour,

Bonjour


Sur ma bookworm je "perd" régulièrement ma souris USB (3~4 fois / j), le 
pointeur se fige à l'écran.

La débrancher / rebrancher règle le pb. J'ai échangé les branchements usb 
clavier / souris et le pb persiste,
souris HS ou pb de controleur USB ?

J'utilise le DM cinnamon (avec gdm3) sans personnalisation particulière de 
xorg/wayland.

kern.log juste avant de perdre la souris

2023-09-13T11:03:50.433634+02:00 ldlc17 kernel: [787895.633231] usb 1-1: USB 
disconnect, device number 85
2023-09-13T11:03:50.761647+02:00 ldlc17 kernel: [787895.961281] usb 1-1: new 
low-speed USB device number 86 using xhci_hcd
2023-09-13T11:03:50.889646+02:00 ldlc17 kernel: [787896.089303] usb 1-1: device 
descriptor read/64, error -71

dh@feijoa [~] $ errno 71

EPROTO 71 Erreur de protocole

[...]


Je vais fouiller mes placards pour trouver une autre souris, pour voir si le pb 
disparaît, mais si vous avez une idée…


Bonne idée ;)

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

[NoSpam]

Le 08/09/2023 à 09:11, NoSpam a écrit :


Bonjour


J'ai trouvé cela

https://community.ovh.com/t/proxmox-ip-failover-probleme-reseau-vers-orange/36874/13

La 10.200.2.73 est une IP OVH


Le 07/09/2023 à 23:38, Romain a écrit :
Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient 
pas à envoyer la réponse à mon réseau.


35 9.862648672 IP_PUBLIQUE_MAISON → 54.38.38.159 ICMP 78 Echo (ping) 
request  id=0x4b30, seq=33150/32385, ttl=1
36 9.862704895 54.38.38.159 → IP_PUBLIQUE_MAISON ICMP 106 Destination 
unreachable (Port unreachable)


MTR du serveur OVH vers chez moi :
Start: 2023-09-07T23:30:08+0200
HOST: rbx                         Loss%   Snt   Last   Avg  Best 
 Wrst StDev
  1.|-- 54.38.38.252               0.0%    10    0.6   0.5 0.3   0.7 
  0.1
  2.|-- 10.162.250.98              0.0%    10    0.9   0.5 0.4   0.9 
  0.1
  3.|-- 10.72.52.32                0.0%    10    0.5   0.5 0.4   0.7 
  0.1
  4.|-- 10.73.17.42                0.0%    10    0.2   0.2 0.1   0.3 
  0.0
  5.|-- 10.95.64.152               0.0%    10    1.1   1.2 1.1   1.5 
  0.1
  6.|-- 54.36.50.226               0.0%    10    4.4   4.4 4.2   4.7 
  0.2
  7.|-- 10.200.2.73                0.0%    10   78.0  11.6 4.1  78.0 
 23.4
  8.|-- ???                       100.0    10    0.0   0.0   0.0   
0.0   0.0


Dubitatif: réseau interne OVH - Sortie OVH public - retour réseau 
interne de ???


La 10.200.2.73 te dit quelque chose ?



Le jeu. 7 sept. 2023 à 14:17, Michel Verdier  a écrit :

Le 7 septembre 2023 Thomas Trupel a écrit :

> Pour compléter la réponse de Michel, un "ip route get 54.38.38.159"
> lancé sur rpi4 à la survenance du problème permettrait de
détecter un
> éventuel problème de routage sur rpi4.

Moi je pensais au bon vieux "route -n" mais on se refait pas :)
Sinon un "arp -n", "ip neighbour" pour être au goût du jour, peut
être
bien aussi pour voir les devices connus dans le voisinage et qui
devrait
être cohérent avec le routage.

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

[NoSpam]

Bonjour

Le 07/09/2023 à 23:38, Romain a écrit :
Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient 
pas à envoyer la réponse à mon réseau.


35 9.862648672 IP_PUBLIQUE_MAISON → 54.38.38.159 ICMP 78 Echo (ping) 
request  id=0x4b30, seq=33150/32385, ttl=1
36 9.862704895 54.38.38.159 → IP_PUBLIQUE_MAISON ICMP 106 Destination 
unreachable (Port unreachable)


MTR du serveur OVH vers chez moi :
Start: 2023-09-07T23:30:08+0200
HOST: rbx                         Loss%   Snt   Last   Avg  Best  Wrst 
StDev

  1.|-- 54.38.38.252               0.0%    10    0.6   0.5 0.3   0.7   0.1
  2.|-- 10.162.250.98              0.0%    10    0.9   0.5 0.4   0.9   0.1
  3.|-- 10.72.52.32                0.0%    10    0.5   0.5 0.4   0.7   0.1
  4.|-- 10.73.17.42                0.0%    10    0.2   0.2 0.1   0.3   0.0
  5.|-- 10.95.64.152               0.0%    10    1.1   1.2 1.1   1.5   0.1
  6.|-- 54.36.50.226               0.0%    10    4.4   4.4 4.2   4.7   0.2
  7.|-- 10.200.2.73                0.0%    10   78.0  11.6 4.1  78.0  23.4
  8.|-- ???                       100.0    10    0.0   0.0 0.0   0.0   0.0


Dubitatif: réseau interne OVH - Sortie OVH public - retour réseau 
interne de ???


La 10.200.2.73 te dit quelque chose ?



Le jeu. 7 sept. 2023 à 14:17, Michel Verdier  a écrit :

Le 7 septembre 2023 Thomas Trupel a écrit :

> Pour compléter la réponse de Michel, un "ip route get 54.38.38.159"
> lancé sur rpi4 à la survenance du problème permettrait de
détecter un
> éventuel problème de routage sur rpi4.

Moi je pensais au bon vieux "route -n" mais on se refait pas :)
Sinon un "arp -n", "ip neighbour" pour être au goût du jour, peut être
bien aussi pour voir les devices connus dans le voisinage et qui
devrait
être cohérent avec le routage.

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

[NoSpam]

Le 07/09/2023 à 11:47, Michel Verdier a écrit :

Le 7 septembre 2023 Romain a écrit :


Oui, rpi4.home est chez moi. J'essaie de reproduire avec le -n, mais ma
compréhension est-elle bonne, à savoir qu'un équipement sur la route vers
mon serveur met fin au routage ? Ca pourrait être "l'anti-ddos" d'OVH ?

L'option -n évite le dns mais ça n'apporte rien de plus.
Bein si, on aurait vu de suite une IP privée de rpi4.home, pas besoin de 
poser la question ...

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

[NoSpam]

rpi4.home c'est chez toi ? Avec le -n on aurait eu les IP ...

Le 07/09/2023 à 09:30, Romain a écrit :
Ça s'est reproduit cette nuit, mais je n'ai pas pu investiguer avant 
mon réveil, et pour l'instant ça ne bloque plus.


Par curiosité je fais un MTR régulier, et j'ai eu un truc étrange.

Un normal (rpi4 à la maison vers OVH) :
└─# mtr -r 54.38.38.159 -4
Start: 2023-09-07T07:14:15+
HOST: rpi4                        Loss%   Snt   Last   Avg  Best  Wrst 
StDev
  1.|-- livebox.home               0.0%    10    1.0   0.9   0.7   1.1 
  0.1

  2.|-- 80.10.239.9                0.0%    10    3.0   2.9 2.7   3.5   0.3
  3.|-- ae102-0.ncidf103.rbci.ora  0.0%    10    3.3   3.4 2.2   6.3   1.1
  4.|-- ae51-0.nridf101.rbci.oran  0.0%    10    3.2   3.4 3.1   3.6   0.2
  5.|-- ae41-0.noidf001.rbci.oran  0.0%    10    3.5   3.7 3.2   5.4   0.6
  6.|-- be102.par-th2-pb1-nc5.fr . 
 0.0%    10   25.9   9.6   3.7  31.7  10.5
  7.|-- ???                       100.0    10    0.0   0.0   0.0   0.0 
  0.0
  8.|-- ???                       100.0    10    0.0   0.0   0.0   0.0 
  0.0
  9.|-- ???                       100.0    10    0.0   0.0   0.0   0.0 
  0.0
 10.|-- be103.rbx-g4-nc5.fr.eu    0.0% 
   10    8.1   9.0   7.2  20.9   4.2
 11.|-- ???                       100.0    10    0.0   0.0   0.0   0.0 
  0.0
 12.|-- ???                       100.0    10    0.0   0.0   0.0   0.0 
  0.0
 13.|-- ???                       100.0    10    0.0   0.0   0.0   0.0 
  0.0
 14.|-- ???                       100.0    10    0.0   0.0   0.0   0.0 
  0.0
 15.|-- mail.borezo.info          0.0%    10 
   6.9   7.2   6.7   7.9   0.4


Le même quelques minutes après (pas normal) :
└─# mtr -r 54.38.38.159 -4
Start: 2023-09-07T07:24:27+
HOST: rpi4                        Loss%   Snt   Last   Avg  Best  Wrst 
StDev
  1.|-- livebox.home               0.0%    10    0.9   1.1   0.7   2.8 
  0.6

  2.|-- 80.10.239.9                0.0%    10    2.8   3.0 2.7   4.4   0.5
  3.|-- ae102-0.ncidf103.rbci.ora  0.0%    10   37.3   6.8 2.7  37.3  10.7
  4.|-- ae51-0.nridf101.rbci.oran  0.0%    10    3.5   3.5 3.1   4.6   0.4
  5.|-- ae41-0.noidf001.rbci.oran  0.0%    10    3.3   3.9 3.2   8.4   1.6
  6.|-- be102.par-th2-pb1-nc5.fr . 
 0.0%    10    3.7  14.0   3.7  44.1  15.0
  7.|-- ???                       100.0    10    0.0   0.0   0.0   0.0 
  0.0
  8.|-- ???                       100.0    10    0.0   0.0   0.0   0.0 
  0.0
  9.|-- ???                       100.0    10    0.0   0.0   0.0   0.0 
  0.0
 10.|-- be103.rbx-g4-nc5.fr.eu    0.0% 
   10    7.5   8.4   7.1  12.1   1.7
 11.|-- ???                       100.0    10    0.0   0.0   0.0   0.0 
  0.0
 12.|-- rpi4.home                 90.0%    10  7955. 7955. 7955. 7955. 
  0.0


Le mer. 6 sept. 2023 à 08:39, Romain  a écrit :

Bonjour la liste,

J'ai récemment réinstallé un serveur dédié (chez OVH au cas où ça
puisse aider dans le diagnostic), passant de Debian 11 à Debian 12.

Depuis, j'ai un blocage régulier et progressif de l'IPv4 de chez
moi. L'accès en IPv6 ou depuis une autre IPv4 (y compris chez le
même opérateur) fonctionne.

Exemple cette nuit après un reboot du serveur la veille au soir :
01h43-02h13 (30 minutes)
02h26-03h26 (1 heure)
03h28-05h28 (2 heures)
05h55-? (pas encore débloqué)

Problèmes :
- sur le template Debian 12 d'OVH pour les serveurs dédiés, il n'y
a pas d'outil de blocage pré-installé (pas de fail2ban par exemple)
- je n'en ai pas ajouté depuis l'installation du serveur,
uniquement apache (avec mod_security), PHP et MariaDB
- depuis l'IP de chez moi, cette nuit, les seules requêtes
générées étaient celles de ma sonde Uptime Kuma, à savoir un ping
toutes les minutes, et une requête curl toutes les minutes vers
une URL qui n'a jamais retourné autre chose qu'un HTTP 200 (sauf
quand l'IP est bloquée, bien entendu)

Lorsque mon IP est bloquée, curl retourne un "Connection refused".
Ping retourne un "Destination Port Unreachable".

Dans les logs du serveur, je ne trouve aucune mention de mon IPv4.
MTR (-4) ne signale aucun problème pour joindre le serveur. J'ai
fait vérifier par OVH et ce n'est pas un de leur équipement
réseau, et un redémarrage en rescue permet de récupérer le ping.

Avez-vous une idée de ce qui pourrait déclencher cela sur un
Debian 12 quasiment vierge ? Je me tire les cheveux depuis
quelques jours...

Merci !

Romain

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

[NoSpam]

Le 06/09/2023 à 09:13, Romain a écrit :

Non c'est un blocage général semble-t-il (http, https, ssh, ping, ...).

Port http non ouvert, port ssh inexistant sauf s'il écoute sur un autre port


ping port unreachable et mtr fonctionnel est un oxymore ! mtr utilise
ping et traceroute ...


└─# mtr -r 54.38.38.159

mtr -n 54.38.38.159



tcpdump sur le port 80 avec enregistrement.

Côté serveur dédié OVH ou côté sonde Uptime Kuma ?

Serveur bien sûr
Au moment du blocage j'ai déjà tenté de reproduire des pings & curl 
vers l'IP de mon dédié sur lequel tournait tcpdump, aucune requête vu 
de mon IP à la maison.


Je ne comprends pas cette phrase. As tu testé avec nc ?

Quelle est la commande curl exécutée ?



Le mer. 6 sept. 2023 à 09:00, NoSpam  a écrit :

Bonjour

Le 06/09/2023 à 08:39, Romain a écrit :
> Bonjour la liste,
>
> J'ai récemment réinstallé un serveur dédié (chez OVH au cas où ça
> puisse aider dans le diagnostic), passant de Debian 11 à Debian 12.
>
> Depuis, j'ai un blocage régulier et progressif de l'IPv4 de chez
moi.
> L'accès en IPv6 ou depuis une autre IPv4 (y compris chez le même
> opérateur) fonctionne.
>
> Exemple cette nuit après un reboot du serveur la veille au soir :
> 01h43-02h13 (30 minutes)
> 02h26-03h26 (1 heure)
> 03h28-05h28 (2 heures)
> 05h55-? (pas encore débloqué)
>
> Problèmes :
> - sur le template Debian 12 d'OVH pour les serveurs dédiés, il
n'y a
> pas d'outil de blocage pré-installé (pas de fail2ban par exemple)
> - je n'en ai pas ajouté depuis l'installation du serveur,
uniquement
> apache (avec mod_security), PHP et MariaDB
> - depuis l'IP de chez moi, cette nuit, les seules requêtes générées
> étaient celles de ma sonde Uptime Kuma, à savoir un ping toutes les
> minutes, et une requête curl toutes les minutes vers une URL qui
n'a
> jamais retourné autre chose qu'un HTTP 200 (sauf quand l'IP est
> bloquée, bien entendu)
>
> Lorsque mon IP est bloquée, curl retourne un "Connection refused".
> Ping retourne un "Destination Port Unreachable".
>
> Dans les logs du serveur, je ne trouve aucune mention de mon
IPv4. MTR
> (-4) ne signale aucun problème pour joindre le serveur. J'ai fait
> vérifier par OVH et ce n'est pas un de leur équipement réseau,
et un
> redémarrage en rescue permet de récupérer le ping.

J'en déduis que le blocage est sur le port 80 ? Pour débloquer je
suppose une connexion ssh ? Lorsque c'est bloqué, testé un nc -v
 80

ping port unreachable et mtr fonctionnel est un oxymore ! mtr utilise
ping et traceroute ...

>
> Avez-vous une idée de ce qui pourrait déclencher cela sur un
Debian 12
> quasiment vierge ? Je me tire les cheveux depuis quelques jours...
tcpdump sur le port 80 avec enregistrement.

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

[NoSpam]

Bonjour

Le 06/09/2023 à 08:39, Romain a écrit :

Bonjour la liste,

J'ai récemment réinstallé un serveur dédié (chez OVH au cas où ça 
puisse aider dans le diagnostic), passant de Debian 11 à Debian 12.


Depuis, j'ai un blocage régulier et progressif de l'IPv4 de chez moi. 
L'accès en IPv6 ou depuis une autre IPv4 (y compris chez le même 
opérateur) fonctionne.


Exemple cette nuit après un reboot du serveur la veille au soir :
01h43-02h13 (30 minutes)
02h26-03h26 (1 heure)
03h28-05h28 (2 heures)
05h55-? (pas encore débloqué)

Problèmes :
- sur le template Debian 12 d'OVH pour les serveurs dédiés, il n'y a 
pas d'outil de blocage pré-installé (pas de fail2ban par exemple)
- je n'en ai pas ajouté depuis l'installation du serveur, uniquement 
apache (avec mod_security), PHP et MariaDB
- depuis l'IP de chez moi, cette nuit, les seules requêtes générées 
étaient celles de ma sonde Uptime Kuma, à savoir un ping toutes les 
minutes, et une requête curl toutes les minutes vers une URL qui n'a 
jamais retourné autre chose qu'un HTTP 200 (sauf quand l'IP est 
bloquée, bien entendu)


Lorsque mon IP est bloquée, curl retourne un "Connection refused". 
Ping retourne un "Destination Port Unreachable".


Dans les logs du serveur, je ne trouve aucune mention de mon IPv4. MTR 
(-4) ne signale aucun problème pour joindre le serveur. J'ai fait 
vérifier par OVH et ce n'est pas un de leur équipement réseau, et un 
redémarrage en rescue permet de récupérer le ping.


J'en déduis que le blocage est sur le port 80 ? Pour débloquer je 
suppose une connexion ssh ? Lorsque c'est bloqué, testé un nc -v  80


ping port unreachable et mtr fonctionnel est un oxymore ! mtr utilise 
ping et traceroute ...




Avez-vous une idée de ce qui pourrait déclencher cela sur un Debian 12 
quasiment vierge ? Je me tire les cheveux depuis quelques jours...

tcpdump sur le port 80 avec enregistrement.

Re: Re : Re: Re : Re: Problème installateur Debian avancé

[NoSpam]

Bonjour

Le 29/08/2023 à 16:54, k6dedi...@free.fr a écrit :

Merci pour cette réponse.
L'utilitaire d'installation à rendu mes deux partitions EFI et boot en système 
inconnu.
Impossible de les reformater avec partition manager.
Je me replonge dans les outils sfdisk et mkfs pour voir si je peux les 
reformater.

Parted sait faire tout cela

Cassis


- Mail d'origine -
De: NoSpam 
À: debian-user-french@lists.debian.org
Envoyé: Mon, 28 Aug 2023 19:38:11 +0200 (CEST)
Objet: Re: Re : Re: Problème installateur Debian avancé

Le default login est user, MdP est live. sudo devrait fonctionner sans
mot de passe.

Le 28/08/2023 à 19:19, k6dedi...@free.fr a écrit :

Bonjour,
Merci de cette réponse.

Je suis avec une clé USB avec l'image ISO copiée par dd
Sous Debian 12 live, le système me demande un mot de passe pour le super 
utilisateur.
Avec partition manager il m'est demandé un mot de passe et je ne sais pas où il 
est indiqué.
J'ai essayé 'debian' puis 'Debian' et ça ne fonctionne pas.

Avec la console 'fdisk -l' n'est pas implémenté, et 'cfdisk' n'a pas d'option 
équivalente.

Je patauge.
Cassis




- Mail d'origine -
De: NoSpam 
À: debian-user-french@lists.debian.org
Envoyé: Mon, 28 Aug 2023 10:00:31 +0200 (CEST)
Objet: Re: Problème installateur Debian avancé

Bonjour

Le 28/08/2023 à 08:03, k6dedi...@free.fr a écrit :

Bonjour à tous,
Je cherche à installer Debian 12.
Je passe par le mode avancé.
Après avoir configuré les partitions ainsi :
partition 1   536,9 MB ESP  EFI System P
partition 2   805,3 MB ext4 /boot
partition 3 8,6 GB swap swap
partition 637,6 GB ext4 /
partition 716,1 GB ext4 /home

Puis validé cette configuration j’obtiens le message :
« La tentative de montage d’un système de fichiers vfat de SCSI2 (0,0,0). 
partition n°1 (sda) sur /boot/efi a échoué. »

La partition 1 a été reformatée par l’utilitaire de l’installateur.
Pour la partition 2 l’installateur modifié ainsi :
partition 2   805,3 MB ESP
Si je valide j’obtiens le même message.

Pouvez-vous m’aider car je peux aller plus loin dans l'installation.

Une fois démarré sur la clé, essayez de monter la partition: si cela
échoue, il y a effectivement un problème avec celle ci, il faudra la
recréer.

Un lien
https://wiki.archlinux.org/title/EFI_system_partition_(Fran%C3%A7ais)

Re: Re : Re: Problème installateur Debian avancé

[NoSpam]

Le default login est user, MdP est live. sudo devrait fonctionner sans 
mot de passe.


Le 28/08/2023 à 19:19, k6dedi...@free.fr a écrit :

Bonjour,
Merci de cette réponse.

Je suis avec une clé USB avec l'image ISO copiée par dd
Sous Debian 12 live, le système me demande un mot de passe pour le super 
utilisateur.
Avec partition manager il m'est demandé un mot de passe et je ne sais pas où il 
est indiqué.
J'ai essayé 'debian' puis 'Debian' et ça ne fonctionne pas.

Avec la console 'fdisk -l' n'est pas implémenté, et 'cfdisk' n'a pas d'option 
équivalente.

Je patauge.
Cassis




- Mail d'origine -
De: NoSpam 
À: debian-user-french@lists.debian.org
Envoyé: Mon, 28 Aug 2023 10:00:31 +0200 (CEST)
Objet: Re: Problème installateur Debian avancé

Bonjour

Le 28/08/2023 à 08:03, k6dedi...@free.fr a écrit :

Bonjour à tous,
Je cherche à installer Debian 12.
Je passe par le mode avancé.
Après avoir configuré les partitions ainsi :
partition 1   536,9 MB ESP  EFI System P
partition 2   805,3 MB ext4 /boot
partition 3 8,6 GB swap swap
partition 637,6 GB ext4 /
partition 716,1 GB ext4 /home

Puis validé cette configuration j’obtiens le message :
« La tentative de montage d’un système de fichiers vfat de SCSI2 (0,0,0). 
partition n°1 (sda) sur /boot/efi a échoué. »

La partition 1 a été reformatée par l’utilitaire de l’installateur.
Pour la partition 2 l’installateur modifié ainsi :
partition 2   805,3 MB ESP
Si je valide j’obtiens le même message.

Pouvez-vous m’aider car je peux aller plus loin dans l'installation.

Une fois démarré sur la clé, essayez de monter la partition: si cela
échoue, il y a effectivement un problème avec celle ci, il faudra la
recréer.

Un lien
https://wiki.archlinux.org/title/EFI_system_partition_(Fran%C3%A7ais)

Re: Problème installateur Debian avancé

[NoSpam]

Bonjour

Le 28/08/2023 à 08:03, k6dedi...@free.fr a écrit :

Bonjour à tous,
Je cherche à installer Debian 12.
Je passe par le mode avancé.
Après avoir configuré les partitions ainsi :
partition 1   536,9 MB ESP  EFI System P
partition 2   805,3 MB ext4 /boot
partition 3 8,6 GB swap swap
partition 637,6 GB ext4 /
partition 716,1 GB ext4 /home

Puis validé cette configuration j’obtiens le message :
« La tentative de montage d’un système de fichiers vfat de SCSI2 (0,0,0). 
partition n°1 (sda) sur /boot/efi a échoué. »

La partition 1 a été reformatée par l’utilitaire de l’installateur.
Pour la partition 2 l’installateur modifié ainsi :
partition 2   805,3 MB ESP
Si je valide j’obtiens le même message.

Pouvez-vous m’aider car je peux aller plus loin dans l'installation.


Une fois démarré sur la clé, essayez de monter la partition: si cela 
échoue, il y a effectivement un problème avec celle ci, il faudra la 
recréer.


Un lien 
https://wiki.archlinux.org/title/EFI_system_partition_(Fran%C3%A7ais)

Re: Monitorer la connectivité WAN en vue du re-routage

[NoSpam]

Le 26/08/2023 à 10:19, BERTRAND Joël a écrit :

[...]

La sécurité en vivant caché :) A l'inverse beaucoup de routeurs répondent
au ping. Si tu fais un traceroute tu le vois bien.

Surtout que bloquer le ping est une très mauvaise idée (problème de
fragmentation, de session...). Personnellement, lorsqu'un fournisseur
m'impose de bloquer le ping ou renâcle, je change de crèmerie. Le ping,
ce n'est pas simplement un protocole permettant de savoir s'il y a un
machine qui répond (d'autant qu'un nmap -P0 fait ça tout aussi bien).
C'est un protocole important.

Et en encore plus en ipv6

Re: [HS] bendel en erreur TLS

[NoSpam]

Alors là: j'envoie le message et le réceptionne ! Ai je débloqué la 
situation avec cet envoi ? Mystère ...


En attendant je considère le problème comme réglé, désolé pour le bruit.

Le 26/08/2023 à 16:40, NoSpam a écrit :

Bonjour,

depuis quelques jours j ene réceptionne plus les messages de la liste, 
les logs postfix/Debian11 affichent


Aug 26 16:30:23 localhost postfix/smtpd[9118]: connect from 
bendel.debian.org[2001:41b8:202:deb:216:36ff:fe40:4002]
Aug 26 16:30:23 localhost postfix/smtpd[9116]: disconnect from 
bendel.debian.org[2001:41b8:202:deb:216:36ff:fe40:4002] ehlo=1 
starttls=1 quit=1 commands=3
Aug 26 16:30:23 localhost postfix/smtpd[9119]: connect from 
bendel.debian.org[82.195.75.100]
Aug 26 16:30:23 localhost postfix/smtpd[9119]: disconnect from 
bendel.debian.org[82.195.75.100] ehlo=1 starttls=1 quit=1 commands=3


Il va sans écrire que le serveur est OK en terme de DANE TLSA, les 
messages émis pas d'autres serveurs sont bien déĺivrés (OVH, gmail, 
outlook etc).


Une connexion openssl s_client -connect mail.exemple.com:465 est 
fonctionnelle et m'amène sur


220 mail.exemple.com ESMTP

Le problème est en ipv4 comme ipv6.

Suis je le seul avec ce soucis ? Une idée du problème ?

[HS] bendel en erreur TLS

[NoSpam]

Bonjour,

depuis quelques jours j ene réceptionne plus les messages de la liste, 
les logs postfix/Debian11 affichent


Aug 26 16:30:23 localhost postfix/smtpd[9118]: connect from 
bendel.debian.org[2001:41b8:202:deb:216:36ff:fe40:4002]
Aug 26 16:30:23 localhost postfix/smtpd[9116]: disconnect from 
bendel.debian.org[2001:41b8:202:deb:216:36ff:fe40:4002] ehlo=1 
starttls=1 quit=1 commands=3
Aug 26 16:30:23 localhost postfix/smtpd[9119]: connect from 
bendel.debian.org[82.195.75.100]
Aug 26 16:30:23 localhost postfix/smtpd[9119]: disconnect from 
bendel.debian.org[82.195.75.100] ehlo=1 starttls=1 quit=1 commands=3


Il va sans écrire que le serveur est OK en terme de DANE TLSA, les 
messages émis pas d'autres serveurs sont bien déĺivrés (OVH, gmail, 
outlook etc).


Une connexion openssl s_client -connect mail.exemple.com:465 est 
fonctionnelle et m'amène sur


220 mail.exemple.com ESMTP

Le problème est en ipv4 comme ipv6.

Suis je le seul avec ce soucis ? Une idée du problème ?

--
Daniel

Re: reply-to de la liste

[NoSpam]

Le 30/07/2023 à 14:29, hamster a écrit :

Le 30/07/2023 à 13:42, steve a écrit :



Le 30-07-2023, à 13:24:07 +0200, Jean-François Bachelet a écrit :

pas trouvé comment le forcer à respecter l'adresse de retour des 
mails, il le fait quand il en a envie ici... (oui j'ai douze 
adresses différentes...)



Je n'utilise pas Thunderbird pour les listes de diffusion, donc je vais
peut-être dire une connerie, mais est-ce que la variable de TB
mail.override_list_reply_to est positionnée à false ?


Merci beaucoup, je connaissait pas.

En essayant je vois que la liste debian-user-french@lists.debian.org 
n'a pas de champ "reply-to". Est-ce que c'est voulu ou bien est-ce que 
c'est un oubli ?

X-Original-To est utilisé

Re: Utilisateurs de Free/Zimbra, merci de faire un effort :-)

[NoSpam]

Bonjour

Le 30/07/2023 à 13:24, Jean-François Bachelet a écrit :

hello :)


Le 30/07/2023 à 12:38, hamster a écrit :


Sans oublier que la messagerie zimbra peut très bien etre utilisée 
avec un logiciel de messagerie comme thunderbird, qui gère bien mieux 
les réponses.


hum, thunderbird est bien, sauf que la plupart du temps il ne prends 
QUE la première adresse mail pour les réponses alors c'est une autre 
adresse mail qui devrait l'être :( résultat : la réponse part avec une 
mauvaise adresse d'expéditeur... et le mail est rejeté.
Ici il fait tout bien, y compris "Répondre à la liste". Vous devriez 
regarder dans les préférences


pas trouvé comment le forcer à respecter l'adresse de retour des 
mails, il le fait quand il en a envie ici... (oui j'ai douze adresses 
différentes...)
Idem, j'ai une dizaine d'adresses d'envoi, "Répondre à" ou "Répondre à 
la liste" est toujours positionné sur l'adresse ayant réceptionné le 
message. À nouveau configurer les préférences

Re: mot de passe BIOS

[NoSpam]

Bonjour

Le 27/07/2023 à 16:01, hamster a écrit :

Hello.

Quelqu'un m'amène un ordi pour installer linux. Il a mis un mot de 
passe au BIOS mais bien sur ne s'en souviens pas.


L'ordi ne boote pas par défaut ni sur CD, ni sur clef USB.

Quand j'essaye d'aller dans la configuration du BIOS avec la touche 
"del" il me demande le mot de passe.


Quand j'essaye d'avoir un boot menu temporaire avec la touche "F12" il 
me demande aussi le mot de passe.


Est-ce que j'ai un espoir d'arriver a faire quelque chose ?
Je pense que non. Cherche sur le net avec la marque/modèle de 
l'ordinateur au cas ou.

Re: Networkmanager en mode console

[NoSpam]

Le 27/07/2023 à 11:52, ajh-valmer a écrit :

On Wednesday 26 July 2023 23:25:36 NoSpam wrote:

Le 26/07/2023 à 21:09, ajh-valmer a écrit :

Seule solution, modifier "/etc/network/interfaces",
rebooter et lancer le réseau par ifup .

On Wednesday 26 July 2023 23:25:36 NoSpam wrote:

Sérieusement ? Rebooter après avoir modifier /etc/network/interfaces
pour lancer ifup  ?
Méchamment je dirai que Linux n'est pas WinX mais même celui ci accepte
sans broncher les modifs réseau sans redémarrer.

Pourquoi "Méchamment" ?

Un adage disait :
"With Windows you must reboot, with Linux you must be root".
Aujourd'hui, selon moi, c'est devenu :
"With Linux you must be root and you must reboot".

La preuve :
Je n'ai pas trouvé d'autres solutions que de rebooter Linux après config
réseau, lorsqu'il n'est pas connecté, que ce soit en ethernet, WiFi,
et en mode graphique ou non.
Il n'accepte pas les modifs réseau sans redémarrer.


Que vous n'ayez pas trouvé d'autres solutions est une chose, affirmer 
qu'il faut redémarrer

en est une autre et est erronée.

Et heureusement, imaginez sur les machines lorsque l'on rajoute des 
interfaces comme
tun/tap/wg/ppp/bond/... ou même des interfaces physiques qui n'étaient 
pas utilisées,
s'il fallait redémarrer à chaque fois Linux ne serait pas l'OS préféré 
des administrateurs systèmes.


Je vous engage à lire https://wiki.debian.org/fr/NetworkConfiguration

Re: Networkmanager en mode console

[NoSpam]

Le 27/07/2023 à 07:40, Michel Verdier a écrit :

Le 26 juillet 2023 NoSpam a écrit :


Seule solution, modifier "/etc/network/interfaces",
rebooter et lancer le réseau par ifup .

Sérieusement ? Rebooter après avoir modifier /etc/network/interfaces pour
lancer ifup  ?

Méchamment je dirai que Linux n'est pas WinX mais même celui ci accepte sans
broncher les modifs réseau sans redémarrer.

Au contraire ! La stabilité et le fait que quelque chose d'aussi
important au niveau fonctionnement et sécurité ne puisse pas changer
comme ça est un énorme plus pour Linux ! De plus sous Linux il est
toujours possible d'autoriser des modifications du réseau pour le mettre
en dynamique : nm, etc. Si toi tu as un problème de configuration (plutôt
je pense de méconnaissance), et d'ailleurs lié à debian plus qu'à Linux,
ça ne veut pas dire que Linux ou son fonctionnement n'est pas bon.
Méchamment je dirai qu'il faut que tu potasses un peu plus les tenants et
aboutissants avant de juger à l'emporte-pièce :)
Euh ... pourquoi me réponds tu cela ? Au contraire de quoi ? Je n'ai 
aucun problème de configuration, c'est l'OP qui en a

Re: Networkmanager en mode console

[NoSpam]

Le 26/07/2023 à 21:09, ajh-valmer a écrit :

[...]
Seule solution, modifier "/etc/network/interfaces",
rebooter et lancer le réseau par ifup .


Sérieusement ? Rebooter après avoir modifier /etc/network/interfaces 
pour lancer ifup  ?


Méchamment je dirai que Linux n'est pas WinX mais même celui ci accepte 
sans broncher les modifs réseau sans redémarrer.

Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]

[NoSpam]

Le 26/07/2023 à 12:42, RogerT a écrit :
J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme 
(des messages…). Je n’ai pas encore trouvé la manière de le configurer 
correctement pour ça. Mon vieil Outlook me semble plus familier 

Ici c'est thunderbird, aucun problème.

Re: Comment router le trafic réseau finement

[NoSpam]

Le 26/07/2023 à 10:54, RogerT a écrit :

[...]

Je voulais juste savoir si tu connaissais un inconvénient à utiliser systemctl 
enable plutôt que ifupdown.
C’est tout.
Ça m’intéresse aussi de savoir si on peut vivre sans systemctl !


Comme déjà écris précédemment, pourquoi utiliser X outils pour faire la 
même chose. Tu utilises NM, systemctl et que sais je encore pour monter 
tes interfaces, je n'utilise que ifupdown pour le même travail et qui de 
plus est compatible avec cloud-init. Aussi, j'utilise principalement 
ipv6, je dois donc faire passer ipv4 via ipv6: encore un argument pour 
gérer via des scripts perso.


[...]

Le 26 juil. 2023 à 10:45, NoSpam  a écrit :



Le 26/07/2023 à 10:40, RogerT a écrit :
[...]

Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit 
: pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc.

Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui gère 
les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ...

[...]

Le 26 juil. 2023 à 10:22, NoSpam  a écrit :



Le 26/07/2023 à 10:17, RogerT a écrit :
[...]

Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service 
enabled ?

Qu'est ce que cela à voir dans l'histoire ?

Re: Comment router le trafic réseau finement

[NoSpam]

Le 26/07/2023 à 10:40, RogerT a écrit :

[...]

Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit 
: pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc.
Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui 
gère les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ...

[...]

Le 26 juil. 2023 à 10:22, NoSpam  a écrit :



Le 26/07/2023 à 10:17, RogerT a écrit :
[...]

Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service 
enabled ?

Qu'est ce que cela à voir dans l'histoire ?

Re: Comment router le trafic réseau finement

[NoSpam]

Le 26/07/2023 à 10:17, RogerT a écrit :

[...]

Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un 
service enabled ?


Qu'est ce que cela à voir dans l'histoire ?

Re: Comment router le trafic réseau finement

[NoSpam]

Pour clarifier, setconf est lancer dans mes scripts post-up, 
manuellement en est pour moi le reflet.


Le 26/07/2023 à 09:38, NoSpam a écrit :


Le 26/07/2023 à 01:22, roger.tar...@free.fr a écrit :

[...]
Si on décide à la place d'utiliser des commandes élementaires, par 
quoi remplacerait-on les commandes wg setconf et wg set ?


Je n'utilise pas ces commandes, je configure manuellement.

Comprends bien que tu ne dois pas être un clone de mes 
configurations/remarques/... à toi de découvrir ce qui te convient le 
mieux, ce avec quoi tu es à l'aise et surtout comment tu pourras réparer 
en cas de problème.

Re: Comment router le trafic réseau finement

[NoSpam]

Le 26/07/2023 à 01:22, roger.tar...@free.fr a écrit :

[...]
Si on décide à la place d'utiliser des commandes élementaires, par 
quoi remplacerait-on les commandes wg setconf et wg set ?


Je n'utilise pas ces commandes, je configure manuellement.

Comprends bien que tu ne dois pas être un clone de mes 
configurations/remarques/... à toi de découvrir ce qui te convient le 
mieux, ce avec quoi tu es à l'aise et surtout comment tu pourras réparer 
en cas de problème.

Re: Comment router le trafic réseau finement

[NoSpam]

Le 25/07/2023 à 19:46, RogerT a écrit :




Le 25 juil. 2023 à 18:55, NoSpam  a écrit :

[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg
(serveur ou client) ? (puisque pas de service)

Non. Les interfaces sous Linux sont lancées en post-up via un script 
qui mets tout en place (MTU, DNS, routes, ...)


Je ne suis pas habitué à faire comme ça.  Peux-tu en dire davantage 
sur la manière de procéder ?

Merci.


man interfaces & remove NM

Re: Comment router le trafic réseau finement

[NoSpam]

Aucune idée, je ne suis de loin pas un spécialiste de Windows

Le 25/07/2023 à 18:26, roger.tar...@free.fr a écrit :

Encore un truc bizarre win (version avant 10) :

Pour ce client qui n'affichait aucun bouton sur le GUI, j'avais ajouté 
dans C:\Program Files\WireGuard\Data\Configurations un fichier de conf 
(validé par ailleurs) :

pc.conf

Sans mon accord, le système a produit un fichier chiffré :
pc.conf.dpapi

et a supprimé le fichier original...

Ce fichier de conf chiffré est opérationnel (ping ok, le serveur wg 
voit ce client), mais n'est plus éditable.


Surtout, je ne peux plus le supprimer !
Que ce soit en utilisateur normal avec "pwd administrateur" (le sudo 
de win)

Ou en utilisateur admin dans sa propre session !

Je ne connaissais pas ce format de chiffrement ni ce comportement 
incroyable.
Comment se débarrasser de ce machin ? (sans devoir démarrer depuis une 
autre partition, etc.)

Merci.

--------
*De: *"NoSpam" 
*À: *"Liste Debian" 
*Envoyé: *Mardi 25 Juillet 2023 17:52:49
*Objet: *Re: Fwd: Comment router le trafic réseau finement


Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit :

Bonne nouvelle : les 2 clients wg win (win10/admin  et win avant
10/non admin) fonctionnent.
Chaque pair peut joindre l'autre sur le vpn (ping).


Je pense m'être emmêlé entre plusieurs choses :

D'ou ma question si tu penses avoir compris wg ...

[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg
(serveur ou client) ? (puisque pas de service)

Non. Les interfaces sous Linux sont lancées en post-up via un script 
qui mets tout en place (MTU, DNS, routes, ...)




3/ divers tutos recommandent pour le client wg win10, soit aucune
directive DNS, soit une directive DNS, par exemple :
    DNS = 10.8.0.1
ou
    DNS = 10.8.0.1, 9.9.9.9

Je constate que pour accéder à internet via le serveur wg, le
client iOS wg et le client win10 wg ont besoin
    DNS = 10.8.0.1, 9.9.9.9
sinon, c'est "pas d'accès à internet".
Le client wg linux (mon poste de travail) n'a pas besoin de
directire DNS.

Aucun des clients windows, MacOS ou Linux n'ont de directives DNS



4/ l'outil ping est trompeur avec ce protocole "peu bavard" car si
le client a été inactif pendant un petit moment, il ne répond plus
au ping des autres pairs.
Tandis que sur le serveur la commande sudo wg l'affiche avec un
dernier contact assez lointain :
  latest handshake: 1 minute, 56 seconds ago

As tu lu la doc ? PersistentKeepalive est la pour ca. Le problème est 
le réseau du client, pas le client



[...]

Vous saviez tout ça sur wg ?

J'insiste, mais lire des tutos n'est pas la bonne manière d'apprendre 
à configurer un logiciel. À la première panne tu seras dans la panade.

Re: Comment router le trafic réseau finement

[NoSpam]

NM est l'usine à gaz

Le 25/07/2023 à 18:29, roger.tar...@free.fr a écrit :

Entendu.
Je lis que NM et ifupdown font bon ménage.

Pour toi, wg-quick est une usine à gaz ?


*De: *"NoSpam" 
*À: *"Liste Debian" 
*Envoyé: *Mardi 25 Juillet 2023 18:12:50
*Objet: *Re: Comment router le trafic réseau finement

Non. post-up de ifupdown qui lit le fichier /etc/network/interfaces 
qui lance les scripts dans /etc/network/[if-up|ifdown].d/


Bien plus souple, compatible avec les autres interfaces et facile à 
gérer sur les serveurs. Pas besoin d'une usine à gaz comme NM ou 
wg-quick, les interfaces wg sont montées au démarrage en même temps 
que les autres. Aucune manipulation.


Le 25/07/2023 à 18:04, RogerT a écrit :



Le 25 juil. 2023 à 17:53, NoSpam 
<mailto:no-s...@tootai.net> a écrit :

Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit :

Bonne nouvelle : les 2 clients wg win (win10/admin  et win
avant 10/non admin) fonctionnent.
Chaque pair peut joindre l'autre sur le vpn (ping).


Je pense m'être emmêlé entre plusieurs choses :

D'ou ma question si tu penses avoir compris wg ...


Le noyau semble costaud (d’où l’intégration au noyau linux depuis
5.6).
L’UI est perturbante, comparée à d’autres applications.
La documentation est super incomplète et les tutos trouvés se
marchent dessus  Surtout sur le comportement de wg, selon les
directives des fichiers de configuration n’est pas expliqué… il
faut tout lire man wg-quick, etc.


[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces
wg (serveur ou client) ? (puisque pas de service)

Non. Les interfaces sous Linux sont lancées en post-up via un
script qui mets tout en place (MTU, DNS, routes, ...)


Tu veux sans doute dire en postup après le démarrage du système
(il y a PostUp dans le fichier de configuration du serveur wg).
Merci de considérer mon niveau moyen.

Quelle raison te fait ne pas utiliser un service ?

Re: Comment router le trafic réseau finement

[NoSpam]

Non. post-up de ifupdown qui lit le fichier /etc/network/interfaces qui 
lance les scripts dans /etc/network/[if-up|ifdown].d/


Bien plus souple, compatible avec les autres interfaces et facile à 
gérer sur les serveurs. Pas besoin d'une usine à gaz comme NM ou 
wg-quick, les interfaces wg sont montées au démarrage en même temps que 
les autres. Aucune manipulation.


Le 25/07/2023 à 18:04, RogerT a écrit :




Le 25 juil. 2023 à 17:53, NoSpam  a écrit :

Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit :
Bonne nouvelle : les 2 clients wg win (win10/admin  et win avant 
10/non admin) fonctionnent.

Chaque pair peut joindre l'autre sur le vpn (ping).


Je pense m'être emmêlé entre plusieurs choses :

D'ou ma question si tu penses avoir compris wg ...


Le noyau semble costaud (d’où l’intégration au noyau linux depuis 5.6).
L’UI est perturbante, comparée à d’autres applications.
La documentation est super incomplète et les tutos trouvés se marchent 
dessus  Surtout sur le comportement de wg, selon les directives des 
fichiers de configuration n’est pas expliqué… il faut tout lire man 
wg-quick, etc.




[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg 
(serveur ou client) ? (puisque pas de service)
Non. Les interfaces sous Linux sont lancées en post-up via un script 
qui mets tout en place (MTU, DNS, routes, ...)


Tu veux sans doute dire en postup après le démarrage du système (il y 
a PostUp dans le fichier de configuration du serveur wg).

Merci de considérer mon niveau moyen.

Quelle raison te fait ne pas utiliser un service ?

Re: Fwd: Comment router le trafic réseau finement

[NoSpam]

Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit :
Bonne nouvelle : les 2 clients wg win (win10/admin  et win avant 
10/non admin) fonctionnent.

Chaque pair peut joindre l'autre sur le vpn (ping).


Je pense m'être emmêlé entre plusieurs choses :

D'ou ma question si tu penses avoir compris wg ...

[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur 
ou client) ? (puisque pas de service)
Non. Les interfaces sous Linux sont lancées en post-up via un script qui 
mets tout en place (MTU, DNS, routes, ...)



3/ divers tutos recommandent pour le client wg win10, soit aucune 
directive DNS, soit une directive DNS, par exemple :

    DNS = 10.8.0.1
ou
    DNS = 10.8.0.1, 9.9.9.9

Je constate que pour accéder à internet via le serveur wg, le client 
iOS wg et le client win10 wg ont besoin

    DNS = 10.8.0.1, 9.9.9.9
sinon, c'est "pas d'accès à internet".
Le client wg linux (mon poste de travail) n'a pas besoin de directire DNS.

Aucun des clients windows, MacOS ou Linux n'ont de directives DNS



4/ l'outil ping est trompeur avec ce protocole "peu bavard" car si le 
client a été inactif pendant un petit moment, il ne répond plus au 
ping des autres pairs.
Tandis que sur le serveur la commande sudo wg l'affiche avec un 
dernier contact assez lointain :

  latest handshake: 1 minute, 56 seconds ago
As tu lu la doc ? PersistentKeepalive est la pour ca. Le problème est le 
réseau du client, pas le client


[...]

Vous saviez tout ça sur wg ?
J'insiste, mais lire des tutos n'est pas la bonne manière d'apprendre à 
configurer un logiciel. À la première panne tu seras dans la panade.

Re: Comment router le trafic réseau finement

[NoSpam]

Je répète: rien, je ne touche pas au fw Windows. Wireguard n'est pas 
dans la liste des applications autorisées. Uniquement "Les connexions 
sortantes qui ne correspondent pas à une règle sont autorisées dans les 
3 profils. J'utilise Windows defender


Le 25/07/2023 à 13:53, RogerT a écrit :




Le 25 juil. 2023 à 11:40, NoSpam  a écrit :

Bonjour. Je fais simple comme dit dans mes messages précédents et 
cela fonctionne. De ce que je lis de ce message, tu as activé 
wireguard en tant que service ce que je ne fais jamais.



Oui, en tant que service. Comme montré dans les différents tutos trouvés.
Pourquoi pas ?


Si le tunnel est activé tu as un soucis avec les IP autorisées dans 
le tunnel. Es tu sûr de prendre du temps pour comprendre le 
fonctionnement de wg ?



Oui. J’ai tout lu la doc de wg et effectué divers tutos.
Clients linux ou iOS : impeccable.

Clients Win : je patauge manifestement dans les réglages du fw win.

Aussi, avant de jouer avec un utilisateur lambda je validerai en tant 
qu'administrateur de la machine. Ah oui, teste ta config windows sur 
une machine linux ou inversement si la config linux est 
opérationnelle: la conf de l'un doit fonctionner pour l'autre sans 
modification aucune.



Sur la machine win10, je suis utilisateuradmin.
J’avais quand même fait et pu faire les deux réglages (commandes ou 
via GUI) recommandés hier.


J’ai tenté de faire sur le fw (attention : je suis très moyen en fw 
win !) :

Autoriser l’application Wireguard.exe
Pas suffisant.
J’ai alors ajouté une règle pour autoriser le trafic vers le port 
51820 udp (pas sûr que ça suffise puisque wg crée des connexions en 
retour sur d’autres ports sur lesquels le client écoute…).


Peux-tu me dire exactement comment tu configures le poste win10 
(utilisateur admin) pour que le client wg fonctionne ?

Merci.


Le 25/07/2023 à 01:00, roger.tar...@free.fr a écrit :

Sur win (version avant 10) :
Comme avec w10, j'ai ajouté l'utilisateur au groupe "Opérateurs de 
configuration réseau" avec le GUI (appelé par lusrmgr.msc)


Puis, j'ai pu appliquer cette recette en CLI :

Enable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /installtunnelservice 
"C:\Program 
Files\WireGuard\Data\Configurations\NAME_OF_CONNECTION.conf.dpapi"


Disable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /uninstalltunnelservice 
"NAME_OF_CONNECTION"


Rq : le fichier NAME_OF_CONNECTION.conf a été transformé 
automatiquement en fichier chiffré NAME_OF_CONNECTION.conf.dpapi
Il vaut donc mieux le gérer ailleurs avant de le glisser dans 
C:\Program Files\WireGuard\Data\Configurations\ !


Effet : ça a réveillé le GUI et fait apparaître les boutons !
Sauf le bouton Edit puisque le fichier de conf est chiffré...

Rq : il m'a été proposé par win d'ajouter la connexion à un réseau 
domestique ou de bureau. Ce que j'ai accepté.

Pas plus de ping possible vers le serveur.

Au final, j'ai pu arriver au même comportement qu'avec le client wg 
w10 :
il dit "Activé" mais n'arrive pas à se connecter au serveur qui ne 
le voit pas.


Avec un problème accessoire en prim, puisque je suis connecté en RDP 
à ce win et que la tentative de connexion en wg coupe la connexion 
RDP, ce qui m'oblige à aller déterrer le PC concerné.


Je suis très curieux de savoir comment tu (NoSpam) arrives à faire 
tourner des clients wg sous Win.

Bonne nuit.

Ref :
https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/ 


https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md
  (-> 
https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata 
)







*De: *"roger tarani" 
*À: *"Liste Debian" 
*Envoyé: *Lundi 24 Juillet 2023 23:27:56
*Objet: *Fwd: Comment router le trafic réseau finement

Re: Comment router le trafic réseau finement

[NoSpam]

Le 25/07/2023 à 12:16, RogerT a écrit :

[..]
Pour installer un service de nom, il est recommandé (dans divers tutos) de 
monter deux serveurs distincts (un master et un slave).
Je vais utiliser un VPs chez mon hébergeur pour ne pas avoir à maintenir de 
matériel chez moi.
Ok ?
2 serveurs de nom chez 2 hébergeurs différents (à minima un hébergeur 2 
datacenters différents)


Dois-je absolument prendre deux VPS basiques chez mon hébergeur préféré ?
(Si oui, alors je pourrai aussi l’utiliser pour des services complémentaires, 
car un service de nom ne me semble pas solliciter beaucoup de ressources)


Ne pas oublier les services qui vont avec comme DNSSEC, SPF, les 
certificats, et autres joyeusetés


[...]

Re: Fwd: Comment router le trafic réseau finement

[NoSpam]

Bonjour. Je fais simple comme dit dans mes messages précédents et cela 
fonctionne. De ce que je lis de ce message, tu as activé wireguard en 
tant que service ce que je ne fais jamais.


Si le tunnel est activé tu as un soucis avec les IP autorisées dans le 
tunnel. Es tu sûr de prendre du temps pour comprendre le fonctionnement 
de wg ?


Aussi, avant de jouer avec un utilisateur lambda je validerai en tant 
qu'administrateur de la machine. Ah oui, teste ta config windows sur une 
machine linux ou inversement si la config linux est opérationnelle: la 
conf de l'un doit fonctionner pour l'autre sans modification aucune.


Le 25/07/2023 à 01:00, roger.tar...@free.fr a écrit :

Sur win (version avant 10) :
Comme avec w10, j'ai ajouté l'utilisateur au groupe "Opérateurs de 
configuration réseau" avec le GUI (appelé par lusrmgr.msc)


Puis, j'ai pu appliquer cette recette en CLI :

Enable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /installtunnelservice 
"C:\Program 
Files\WireGuard\Data\Configurations\NAME_OF_CONNECTION.conf.dpapi"


Disable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /uninstalltunnelservice 
"NAME_OF_CONNECTION"


Rq : le fichier NAME_OF_CONNECTION.conf a été transformé 
automatiquement en fichier chiffré NAME_OF_CONNECTION.conf.dpapi
Il vaut donc mieux le gérer ailleurs avant de le glisser dans 
C:\Program Files\WireGuard\Data\Configurations\ !


Effet : ça a réveillé le GUI et fait apparaître les boutons !
Sauf le bouton Edit puisque le fichier de conf est chiffré...

Rq : il m'a été proposé par win d'ajouter la connexion à un réseau 
domestique ou de bureau. Ce que j'ai accepté.

Pas plus de ping possible vers le serveur.

Au final, j'ai pu arriver au même comportement qu'avec le client wg w10 :
il dit "Activé" mais n'arrive pas à se connecter au serveur qui ne le 
voit pas.


Avec un problème accessoire en prim, puisque je suis connecté en RDP à 
ce win et que la tentative de connexion en wg coupe la connexion RDP, 
ce qui m'oblige à aller déterrer le PC concerné.


Je suis très curieux de savoir comment tu (NoSpam) arrives à faire 
tourner des clients wg sous Win.

Bonne nuit.

Ref :
https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/ 


https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md
  (-> 
https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata 
)







*De: *"roger tarani" 
*À: *"Liste Debian" 
*Envoyé: *Lundi 24 Juillet 2023 23:27:56
*Objet: *Fwd: Comment router le trafic réseau finement

Re: Comment router le trafic réseau finement

[NoSpam]

Le 24/07/2023 à 20:08, Michel Verdier a écrit :

[...]
Et je crois que mixer iptables et nftables crée des effets de bords
problématiques.

C'est un euphémisme !

Re: Comment router le trafic réseau finement

[NoSpam]

Le 24/07/2023 à 18:56, roger.tar...@free.fr a écrit :

[...]
C'est bien compliqué d'installer wg sur win !
Je n'ai pas eu ces soucis avec des W11 & quelques W10. Accuser wg est 
fort je trouve, bienvenue dans le monde de WinXX

[...]
Oui, c’est mal formulé. Je voulais dire que l’on peut sans doute 
démarrer avec nft sans même connaître iptables et ufw.
ufw n'est qu'un front-end à iptables (tout comme sfw à nftables) et 
semble compatible avec nftables
(même si la syntaxe est différente, c'est vrai que connaitre la 
syntaxe iptables permet de savoir les notions manipulées).
nftables n'a rien de commun avec iptables. Comme dit par Michel, 
commencer par le wiki.

Re: Comment router le trafic réseau finement

[NoSpam]

Bonjour


Le 24/07/2023 à 14:51, roger.tar...@free.fr a écrit :
[...]Win : le client wg pose encore un problème car l'utilisateur 
n'est pas dans le groupe Administrators, ce qui rend l'UI wg inaccessible)


Ceci est un problème Windows: entrer dans powershell en mode 
administrateur et executer les 2 commandes suivantes:


    New-ItemProperty "hklm:\software\wireguard" -Name 
"LimitedOperatorUI" -Value 1 -PropertyType "DWord" -Force
    Add-LocalGroupMember -Group "Network Configuration Operators" 
-Member "$username"


    La 1ere commande permet de dire a Wireguard d'être moins 
strict, la seconde ajoute l'utilisateur $username au groupe Opérateur 
Réseau.
    Cette dernière manipulation peut également se faire dans les 
paramètres Gestion de l'ordinateur => Utilisateurs & Groupes



[...]

Puisque nftables est devenu la référence pour debian 12, est-ce que 
l'on peut tout faire de zéro en nftables ?


Debian ou d'autres distributions publierait des logiciels dont on ne 
pourrait pas configurer à partir de zéro ? Drôle de question ...



Pour t'aider avec nftables, va sur framagit et cherche sfw

Re: matrix sous debian

[NoSpam]

https://app.element.io

Le 22/07/2023 à 12:54, hamster a écrit :

Hello.

J'essaye de me mettre a matrix. J'ai donc cherché des clients pour ca, 
mais j'ai des soucis pour arriver a une solution fonctionnelle.


Avec quaternion, j'arrive a utiliser matrix mais pas la fonction 
chiffrement, et les gens avec qui je cherche a tchatter chiffrent tout.


Avec nheko, ca plante dès que je met mon mot de passe.

Avec spectral, j'arrive meme pas a l'étape ou il faut taper son mot de 
passe.


Avec thunderbird, j'arrive a tchatter, y compris de facon chiffrée, 
par contre je vois pas les images qui sont insérées dans le flux de 
tchat.


On m'a conseillé element, mais il est pas dans les dépots officiels et 
je rechigne a installer un dépot tiers.


Donc au final, si y'a ici des gens qui utilisent matrix, comment vous 
faites ?


Merci d'avance.

Re: nouvelle batterie qui charge pas

[NoSpam]

Bonjour. Si la batterie n'est pas d'origine Dell elle peut ne pas être 
compatible.


Le 22/07/2023 à 12:49, hamster a écrit :

Salut.

J'ai installé debian sur un dell inspiron 5570. La batterie n'ayant 
plus qu'une heure d'autonomie, j'en ai acheté une nouvelle. Le souci 
c'est qu'elle ne charge pas.


Avec l'ancienne batterie : tout se passe normalement, il accepte de 
démarrer et de fonctionner sur batterie, il accepte de la charger, 
elle est détectée et gérée par le système. Par contre elle n'a qu'une 
heure d'autonomie.


Avec la nouvelle batterie : il n'accepte pas de démarrer dessus, il 
n'accepte pas de fonctionner dessus, elle est détectée par le système, 
qui affiche "18 % en charge" mais on peut laisser des heures le taux 
de charge n'augmente pas.


J'ai pas trouvé mon bonheur sur le web, est-ce que quelqu'un a des 
idées de trucs a faire pour le convaincre de charger cette batterie ?


Merci d'avance.

Re: Connexion ethernet qui saute sans raison

[NoSpam]

Bonsoir. Voir dans les logs

Le 21/07/2023 à 20:42, steve a écrit :

Salut la liste,

Comme dit dans le sujet, ça arrive sans crier gare, sans avoir fait de
mise à jour, sans raison (apparente).

Ce matin, connecté comme d'habitude et vers 11h, plus de connexion.

J'ai deux cartes ethernet sur la machine, mais j'en utilise qu'une
seule. J'ai donc essayé d'inverser le câble rj45, le client dhcp cherche
une ip, en trouve une, puis 4 secondes plus tard, se déconnecte.

J'ai redémarré le retour plusieurs fois, supprimé le bail dhcp actif,
redémarré la machine, etc, toujours le même truc, ça se connecte puis ça
se déconnecte 3-4 secondes plus tard.

Dépité, je me suis dit que c'était peut-être la dernière mise à jour qui
a amené un bug sournois mais comme je n'avais plus de réseau via
ethernet, je suis allé fouiller dans les cartons pour retrouver
l'antenne wifi, puis réactivé le contrôleur wifi dans le Bios,
redémarré, mais il n'y avait pas d'interface wifi, bien que le pilote
wifi (ath10_pci, lspci -k l'a montré) ait bien été chargé. Après un
moment à avoir cherché à monter cette interface, j'ai rebranché le câble
ethernet, et Ô miracle, la connexion s'est faite et tenait !
(Entre-temps j'ai redémmaré sur un noyau plus ancien, le 6.1.0-9, en
espérant que ça améliore les choses, mais même comportement).

J'ai déjà eu ce genre de choses par le passé, peut-être une fois tous
les trois mois, et c'est toujours revenu après un moment. J'ai pensé que
c'était un problème lié au serveur dhcp de mon routeur, mais en
attribuant une IP manuellement, ça ne changeait rien.


Maintenant ça marche, mais j'aimerais bien comprendre.

Si quelqu'un a une piste…

Merci et très belle soirée !

s.

Re: Gimp 2.10 en français impossible

[NoSpam]

Mon Gimp 2.10 est en FR sans avoir à rajouter (language "fr") Essayez en 
supprimant cette ligne et voyez si  dans votre /etc/gimp/2.0 il n'y 
aurai pas une instruction forçant EN


Dans ~/.config/GIMP en majuscules au cas ou ...

Le 20/07/2023 à 21:24, ajh-valmer a écrit :

On Thursday 20 July 2023 20:31:07 steve wrote:

Sauf erreur, les fichiers de configurations de Gimp sous bookworm se
trouvent dans ~/.config/GIMP/2.10/. Dans ce répertoire, il y a un
fichier gimprc où tu devrais pouvoir ajouter une ligne
(language fr)
et ça devrait marcher.
Par contre, c'est une bidouille parce que gimp est censé détecter la
langue de ton système automatiquement. Peut-être que les deux
répertoires ~/.gimp-2.6 et ~/.gimp-2.8 interfèrent et leur suppression
pourrait aider. Essaie déjà de les déplacer et vois si ça change quelque
chose.

Merci.

J'ai supprimé /.gimp-2.6 et ~/.gimp-2.8,
d'après les docs, il faut écrire : (language "fr"),
hélas, ça marche pas.
Est-ce qu'une version Gimp en français existe pour Linux ?
(j'ai vraiment cherché avec moteur de recherche).
Bonne soirée.

Re: Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ?

[NoSpam]

Le 17/07/2023 à 19:49, roger.tar...@free.fr a écrit :

[...]
La dernière fois, j'avais galéré avec la documentation debian antique (que je 
prenais pour récente...) et avec les tutos non datés.
En fait, NM était installé (debian 9 ou 10) et toutes les invitations des tutos et docs à 
configurer "facilement" la machine avec les resolv.conf, resolvconf, et autres 
/etc/network/interfaces ne servaient à rien. Puisque c'était géré par NM !


Faux. NM ne gère PAS les interfaces filaires définies dans 
/etc/network/interfaces. Aussi la résolution des noms est gérée par 
systemd-resolved ou resolvconf qui sont indépendants de NM Enfin NM est 
utilisé majoritairement pour les stations de travail, pour les serveurs 
on s'en passe (perso je le retire et lui préfère ifupdown). De nos jours 
le réseau se gère par systemd-networkd ou cloud-init ou netplan (Ubuntu) 
ou ...


https://wiki.debian.org/fr/NetworkManager

Extrait: "...Bien qu'il ait été initialement destiné aux ordinateurs de 
bureau, il a plus récemment été choisi comme logiciel de gestion de 
réseau par défaut dans certaines distributions Linux orientées serveur 
hors Debian. 
"

Re: Existe t-il quelque chose de plus "léger" que X2Go et compatible arm

[NoSpam]

https://www.youtube.com/watch?v=TIDrqM2ZyDA

Le 17/07/2023 à 13:07, Olivier Back my spare a écrit :
J'ai eu peur de me faire jeter parce que ma demande ne concerne pas 
exclusivement du X86 ou x86_64 ou du amd64.
En fait le pupitre est mon ordi sous linux et je souhaite accèder 
aussi en X sur mes raspberry pi4 et un sbc avec chipset arm Rockchip 
RK3588.



Le 17/07/2023 à 12:38, RogerT a écrit :

Bonjour,

Demandons à NoSpam si MeshCentral/MeshAgent (discuté par ailleurs 
dans « Accès distant graphique performant, sécurisé, 
écran-clavier-souris ») convient pour arm.


C’est aussi pour MacOS qui tourne en arm, donc peut-être…
https://www.meshcommander.com/meshcentral2/installation 
<https://www.meshcommander.com/meshcentral2/installation>



Le 17 juil. 2023 à 12:16, Olivier Back my spare 
 a écrit :


Bonjour

Existe t-il quelque chose de plus léger que x2go et qui soit aussi 
porté sur arm64 (Raspberry pi entre autre)?

Je cherche mais je ne trouve pas. La suite des vnc viewer, nomachine...

--
"It is possible to commit no errors and still lose. That is not a 
weakness. That is life."

– Captain Jean-Luc Picard to Data

Re: Problème Email sous ROUNDCUBE-

[NoSpam]

Est ce que vous lisez les commentaires dans les fichiers de conf ou 
consultez l'aide en ligne ? Vous avez modifié, c'est bien, mais savez 
vous auprès de quel serveur et port roundcube s'identifie pour envoyer 
les courriels?


Sans compter que les logs doivent également vous remonter des 
informations ...


Le 16/07/2023 à 17:28, Zuthos a écrit :

NoSpam a écrit :

As tu bien configurer roundcube pour s'identifier avec le relayhost?
(/etc/roundcube/main.inc.php|default.inc.php|config.inc.php)


je viens de faire quelque modification:
/etc/roundcube/config.inc.php
J'ai modifié les deux lignes suivantes:
$config['smtp_user'] = '%u';
$config['smtp_pass'] = '%p';

Comme suit:
$config['smtp_user'] = '';
$config['smtp_pass'] = '';

Cela permet à Roundcube d'envoyer les messages en déléguant
l'authentification à exim4.

Malheureusement, il semble que seul un utilisateur puisse envoyer ces
derniers.

Une autre piste?

Re: Problème Email sous ROUNDCUBE-

[NoSpam]

As tu bien configurer roundcube pour s'identifier avec le relayhost? 
(/etc/roundcube/main.inc.php|default.inc.php|config.inc.php)


Le 16/07/2023 à 16:08, Zuthos a écrit :

Bonjour,

Voici l'erreur qui apparrait avec Roundcube:

Erreur SMTP () : échec d’authentification.

Je ne sais pas trop quoi en faire.

Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris

[NoSpam]

Après Solarwinds il y en a eu pléthore, 3CX par ex. Rappel: teamviewer a 
aussi déjà eu ses problèmes. La solution: retire ton câble réseau qui va 
à la box ;)


Tu as parlé de VNC ou RDP, c'est bien plus dangereux d'ouvrir ces ports 
que d'utiliser une solution tel Meshagent. De plus, tu peux sécuriser en 
limitant l'accès sur IP dans les FW, par utilisateur. Et comme déjà 
écrit, l'agent sur le client n'est pas forcé de tourner tout le temps.


Pour terminer, monter un VPN et faire passer l'agent par celui ci est 
une autre solution, ou même utiliser ce VPN pour démarrer l'agent du 
client. Il y a des solutions de sécurisation, à toi de voir si tu veux 
les mettre en place ou non.


Le 15/07/2023 à 21:08, roger.tar...@free.fr a écrit :



----
*De: *"NoSpam" 
*À: *"Liste Debian" 
*Envoyé: *Samedi 15 Juillet 2023 16:23:53
*Objet: *Re: Accès distant graphique performant et sécurisé /avec 
écran-clavier-souris


Le 15/07/2023 à 15:18, RogerT a écrit :

Alors, pourquoi ne pas regarder aussi vers Teleport, que j’ai
aperçu récemment ?
https://goteleport.com/

Pourquoi chercher ailleurs alors que l'on a tout ce qui convient ? ;) 
Il existe plein de solutions, j'ai trouvé la mienne après avoir 
utiliser Teamviewer/Anydesk/Logmein et tant d'autres


Je decouvre l'existence de MeshCentral à peu près en même temps que 
celle de Teleport.

Ça semble équivalent.
Ton expérience de MeshCentral est encourageante. Puisque ça a l'air de 
rendre le service attendu sans souci.

Pour Teleport, je n'ai aucun retour d'expérience...




Dans les deux cas, il reste encore à vérifier la sécurité apportée
par ces engins qui ouvrent toutes les portes de l’infrastructure…

Aucune porte n'est ouverte puisqu'il s'agit d'un client serveur tout 
comme les logiciels précités ci dessus.


Je ne suis pas assez calé en sécurité.
Mais "à partir du moment où j'installe un agent sur mon ordi, ce n'est 
plus vraiment mon ordi".
En plus, l'outil de centralisation donne accès à tous les serveurs qui 
ont un agent installé : ça fait réfléchir s'agissant d'un serveur 
sensible.
Ça me fait penser à l'attaque de Solarwinds Orion, un outil de suivi 
d'infra qui a permis l'attaque que vous savez vers 2020.

https://www.solarwinds.com/orion-platform
https://www.zdnet.fr/actualites/microsoft-et-fireeye-confirment-la-cyberattaque-de-solarwinds-39914821.htm

Comment peut-on savoir ce que fait exactement l'agent 
MeshCentral/MeshAgent installé, ou tout agent qu'on installe comme 
avec Teamviewer, etc. ?
Ça me fait penser à SELinux (qui fonctionne bien pour ceux qui le 
maîtrise parfaitement... je n'en ai aucune pratique), qui pourrait 
peut-être mettre des "verrous unitaires" dans le système. Est-ce qu'un 
"monstre" comme SELinux apporterait quelque chose pour sécuriser un 
système "percé" par l'implantation d'un agent ?

Re: Problème Email sous ROUNDCUBE-

[NoSpam]

Bonjour. Vérifier que l'opérateur autorise un autre serveur SMTP que le 
sien. Chez FREE, dans l'espace abonné, blocage du SMTP sortant=oui par 
défaut


Le 16/07/2023 à 13:06, Zuthos a écrit :

RogerT a écrit :

exim peut être un serveur smtp ou bien utiliser le serveur smtp de ton choix 
(cf. menu de configuration d’exim)

Ok, j'ai configuré exim pour iutiliser un autre smtp


As-tu essayé de vérifier que le service smtp utilisé est opérationnel ?
Soit en utilisant un client de messagerie de ton choix (thunderbird ou autre), 
ce qui est le plus simple.
Soit en CLI.

J'utilise neomutt, mais je ne suis pas sur qu'il passe par exim4 pour
les envois de courriels.

un essai avec:
$ mail zut...@laposte.net

me renvoie:
Diagnostic-Code: smtp; 553-5.7.1 : Emetteur 
invalide. LPN105_421



A ma connaissance, depuis toujours !
Sinon tout service smtp serait ouvert à tous.

Ha? ok.


   Le nom d'utilisateur
   Le mot de passe

J'ai  plusieurs utilisateurs. Faut-il faire une authentification par
utilisateurs? par fournisseurs d'email?

Tu dois choisir : un utilisateur et son compte de messagerie chez tel 
fournisseur. Et utiliser les infos de connexion données par ce fournisseur.
ex :
smtp smtp.free.fr
id jp.durand
pwd *
port 587

Ok, c'est ce que j'essaye de faire. Mais, je ne comprends pas toujours
ce que je fais. Je ne sais pas ou metre ces informations dans exim4

Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris

[NoSpam]

Le 15/07/2023 à 15:18, RogerT a écrit :


MeshCentral
Développé par Ylian Saint-Hilaire, ingénieur chez Intel, MeshCentral 
permet la prise de contrôle de machines/serveurs via un agent 
Windows/Linux/MacOS à installer, en exécution seule (type Teamviewer 
QuickSupport) ou via la technologie Intel AMT (Active Management 
Technology). MeshCentral vous fournit, en plus de l’agent, le serveur 
associé qui centralise toutes les connexions des agents.


https://homepages.lcc-toulouse.fr/colombet/meshcentral-solution-libre-pour-remplacer-teamviewer/

Ça va bien au-delà d’un simple partage d’écran.
Utilises-tu la centralisation offerte par MeshCentral ?

Oui, sur une Debian11


Alors, pourquoi ne pas regarder aussi vers Teleport, que j’ai aperçu 
récemment ?

https://goteleport.com/
Pourquoi chercher ailleurs alors que l'on a tout ce qui convient ? ;) Il 
existe plein de solutions, j'ai trouvé la mienne après avoir utiliser 
Teamviewer/Anydesk/Logmein et tant d'autres


Dans les deux cas, il reste encore à vérifier la sécurité apportée par 
ces engins qui ouvrent toutes les portes de l’infrastructure…
Aucune porte n'est ouverte puisqu'il s'agit d'un client serveur tout 
comme les logiciels précités ci dessus.






Le 15 juil. 2023 à 14:20, NoSpam  a écrit :

Tant que l'agent tourne sur le client l'accès est ouvert. Si l'e 
client ne veut pas que le service tourne, il le lance à la main sur 
demande.


Des utilisateurs/groupes d 'utilisateurs peuvent être créés pour la 
gestion des accès.



Le 15/07/2023 à 14:07, RogerT a écrit :

Très bien.
Quelle garantie de sécurité/confidentialité y a-t-il avec MeshAgent 
(ou MeshCentral) ?


https://framalibre.org/content/meshcentral

De ton expérience, est-ce un partage d’écran ou aussi l’ouverture de 
sessions graphiques indépendantes (hôte linux) ?


Les deux, tout comme chat et autre joyeusetés.

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwix5-732JCAAxXmTKQEHQktCE8QFnoECCEQAQ&url=https%3A%2F%2Fgithub.com%2FYlianst%2FMeshCentral&usg=AOvVaw3rpgnKF8I_jnse61A52d94&opi=89978449

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwix5-732JCAAxXmTKQEHQktCE8QtwJ6BAg0EAI&url=https%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DpGBIjBGqlfI&usg=AOvVaw247r9520YSVhaEk7Xt5XjQ&opi=89978449

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwiu5bSc2ZCAAxXcdqQEHWU5Dng4ChAWegQIDRAB&url=https%3A%2F%2Fhomepages.lcc-toulouse.fr%2Fcolombet%2Fmeshcentral-solution-libre-pour-remplacer-teamviewer%2F&usg=AOvVaw1mT9VaJoEW2i9n6K4nafPY&opi=89978449




Le 15 juil. 2023 à 13:55, NoSpam  a écrit :

J'insiste, mais MeshAgent permet de se désengager de toute 
installation/configuration/gestion de FW du client. Comme Anydesk 
ou Teamviewer, une appli à télécharger par le client, peu importe 
l'OS, et vous avez accès à sa machine soit en Gui soit en console 
(ou les deux). On peux également se connecter en RDP à un client si 
l'accès est autorisé sur celui ci.


Le 15/07/2023 à 13:12, RogerT a écrit :

Merci.

Rustdesk, « sans configuration », avec un serveur relais auto 
hébergé pour éviter la surveillance dénoncée (à vérifier : est-ce 
que ça suffit ?) : ça semble donc une bonne alternative.


Pour ma part, j’ai un bon retour d’expérience avec le client 
Remmina multi protocoles.
Il reste à déterminer les meilleurs serveur et protocole à 
installer sur la machine à laquelle accéder, en tenant compte du 
DE à installer (pas simple avec les DE linux qui posent 
visiblement diverses contraintes - se connecter en RDP à une 
machine win ne pose jamais de problème, sauf l’unicité de la 
session graphique, à ma connaissance, qui amène à utiliser 
Teamviewer pour partager l’écran).




Le 15 juil. 2023 à 12:58, didier gaumet  
a écrit :


Le 14/07/2023 à 12:44, RogerT a écrit :
[...]

Il y a 6 alternatives à TeamViewer :
https://framalibre.org/alternatives?tid=TeamViewer 
<https://framalibre.org/alternatives?tid=TeamViewer>

[...]

J'ai regardé un peu tout ça.

Perso, vu mon niveau et mon besoin potentiel de pouvoir assister 
des possesseurs de PC Windows que je n'administre pas, je 
privilégie un truc simple sans configuration: ici Hoptodesk ou 
Rustdesk


Hoptodesk:
- j'ai essayé une Appimage officielle, elle s'est vautrée. En 
lançant dans un terminal je vois qu'il manque une bibliothèque 
(pour une Appimage, hein, c'est pas censé arriver...), je 
l'installe à la main, pour voir: ça ne couine plus sur le manque 
d'un bibliothèque, ça se vautre avec une myriade de messages 
d'erreur :-(
- je cherche un peu sur internet et je m'aperçois qu'en fait 
Hoptodesk est un fork de Rustdesk dont l'auteur n'avait à 
l'origine pas compris les termes des licences AGPL/GPL et avait 
supprimé les copyright Rustdesk :-(

=> je ne sais pas pour vous mais pour moi, Hoptodesk est à fuir

Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris

[NoSpam]

Tant que l'agent tourne sur le client l'accès est ouvert. Si l'e client 
ne veut pas que le service tourne, il le lance à la main sur demande.


Des utilisateurs/groupes d 'utilisateurs peuvent être créés pour la 
gestion des accès.



Le 15/07/2023 à 14:07, RogerT a écrit :

Très bien.
Quelle garantie de sécurité/confidentialité y a-t-il avec MeshAgent 
(ou MeshCentral) ?


https://framalibre.org/content/meshcentral

De ton expérience, est-ce un partage d’écran ou aussi l’ouverture de 
sessions graphiques indépendantes (hôte linux) ?


Les deux, tout comme chat et autre joyeusetés.

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwix5-732JCAAxXmTKQEHQktCE8QFnoECCEQAQ&url=https%3A%2F%2Fgithub.com%2FYlianst%2FMeshCentral&usg=AOvVaw3rpgnKF8I_jnse61A52d94&opi=89978449

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwix5-732JCAAxXmTKQEHQktCE8QtwJ6BAg0EAI&url=https%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DpGBIjBGqlfI&usg=AOvVaw247r9520YSVhaEk7Xt5XjQ&opi=89978449

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwiu5bSc2ZCAAxXcdqQEHWU5Dng4ChAWegQIDRAB&url=https%3A%2F%2Fhomepages.lcc-toulouse.fr%2Fcolombet%2Fmeshcentral-solution-libre-pour-remplacer-teamviewer%2F&usg=AOvVaw1mT9VaJoEW2i9n6K4nafPY&opi=89978449




Le 15 juil. 2023 à 13:55, NoSpam  a écrit :

J'insiste, mais MeshAgent permet de se désengager de toute 
installation/configuration/gestion de FW du client. Comme Anydesk ou 
Teamviewer, une appli à télécharger par le client, peu importe l'OS, 
et vous avez accès à sa machine soit en Gui soit en console (ou les 
deux). On peux également se connecter en RDP à un client si l'accès 
est autorisé sur celui ci.


Le 15/07/2023 à 13:12, RogerT a écrit :

Merci.

Rustdesk, « sans configuration », avec un serveur relais auto 
hébergé pour éviter la surveillance dénoncée (à vérifier : est-ce 
que ça suffit ?) : ça semble donc une bonne alternative.


Pour ma part, j’ai un bon retour d’expérience avec le client Remmina 
multi protocoles.
Il reste à déterminer les meilleurs serveur et protocole à installer 
sur la machine à laquelle accéder, en tenant compte du DE à 
installer (pas simple avec les DE linux qui posent visiblement 
diverses contraintes - se connecter en RDP à une machine win ne pose 
jamais de problème, sauf l’unicité de la session graphique, à ma 
connaissance, qui amène à utiliser Teamviewer pour partager l’écran).




Le 15 juil. 2023 à 12:58, didier gaumet  a 
écrit :


Le 14/07/2023 à 12:44, RogerT a écrit :
[...]

Il y a 6 alternatives à TeamViewer :
https://framalibre.org/alternatives?tid=TeamViewer 
<https://framalibre.org/alternatives?tid=TeamViewer>

[...]

J'ai regardé un peu tout ça.

Perso, vu mon niveau et mon besoin potentiel de pouvoir assister 
des possesseurs de PC Windows que je n'administre pas, je 
privilégie un truc simple sans configuration: ici Hoptodesk ou Rustdesk


Hoptodesk:
- j'ai essayé une Appimage officielle, elle s'est vautrée. En 
lançant dans un terminal je vois qu'il manque une bibliothèque 
(pour une Appimage, hein, c'est pas censé arriver...), je 
l'installe à la main, pour voir: ça ne couine plus sur le manque 
d'un bibliothèque, ça se vautre avec une myriade de messages 
d'erreur :-(
- je cherche un peu sur internet et je m'aperçois qu'en fait 
Hoptodesk est un fork de Rustdesk dont l'auteur n'avait à l'origine 
pas compris les termes des licences AGPL/GPL et avait supprimé les 
copyright Rustdesk :-(

=> je ne sais pas pour vous mais pour moi, Hoptodesk est à fuir

Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris

[NoSpam]

J'insiste, mais MeshAgent permet de se désengager de toute 
installation/configuration/gestion de FW du client. Comme Anydesk ou 
Teamviewer, une appli à télécharger par le client, peu importe l'OS, et 
vous avez accès à sa machine soit en Gui soit en console (ou les deux). 
On peux également se connecter en RDP à un client si l'accès est 
autorisé sur celui ci.


Le 15/07/2023 à 13:12, RogerT a écrit :

Merci.

Rustdesk, « sans configuration », avec un serveur relais auto hébergé pour 
éviter la surveillance dénoncée (à vérifier : est-ce que ça suffit ?) : ça 
semble donc une bonne alternative.

Pour ma part, j’ai un bon retour d’expérience avec le client Remmina multi 
protocoles.
Il reste à déterminer les meilleurs serveur et protocole à installer sur la 
machine à laquelle accéder, en tenant compte du DE à installer (pas simple avec 
les DE linux qui posent visiblement diverses contraintes - se connecter en RDP 
à une machine win ne pose jamais de problème, sauf l’unicité de la session 
graphique, à ma connaissance, qui amène à utiliser Teamviewer pour partager 
l’écran).




Le 15 juil. 2023 à 12:58, didier gaumet  a écrit :

Le 14/07/2023 à 12:44, RogerT a écrit :
[...]

Il y a 6 alternatives à TeamViewer :
https://framalibre.org/alternatives?tid=TeamViewer 


[...]

J'ai regardé un peu tout ça.

Perso, vu mon niveau et mon besoin potentiel de pouvoir assister des 
possesseurs de PC Windows que je n'administre pas, je privilégie un truc simple 
sans configuration: ici Hoptodesk ou Rustdesk

Hoptodesk:
- j'ai essayé une Appimage officielle, elle s'est vautrée. En lançant dans un 
terminal je vois qu'il manque une bibliothèque (pour une Appimage, hein, c'est 
pas censé arriver...), je l'installe à la main, pour voir: ça ne couine plus 
sur le manque d'un bibliothèque, ça se vautre avec une myriade de messages 
d'erreur :-(
- je cherche un peu sur internet et je m'aperçois qu'en fait Hoptodesk est un 
fork de Rustdesk dont l'auteur n'avait à l'origine pas compris les termes des 
licences AGPL/GPL et avait supprimé les copyright Rustdesk :-(
=> je ne sais pas pour vous mais pour moi, Hoptodesk est à fuir