electro575 a écrit 852 commentaires

Effectivement mais je ne vois pas pourquoi je n'arrive pas à en créer ! Il faut que le port 443 soit ouvert ?

Egalement avec la commande qui va bien est-ce que le certificat sera auto-signé => en gros ai-je besoin de le transférer manuellement sur les téléphones ou alors le certificat sera proposé automatiquement ?

Merci

Voici l'erreur que j'ai en ce moment, je pense que c'est parce que je n'ai pas ouvert le port 443 sur ma box mais ouvert sur ma pi.

root@raspberrypi:/home/pi# certbot renew --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/serveur1.fr.conf
-------------------------------------------------------------------------------
Cert not due for renewal, but simulating renewal for dry run
Plugins selected: Authenticator standalone, Installer None
Attempting to renew cert (serveur1.fr) from /etc/letsencrypt/renewal/serveur1.fr.conf produced an unexpected error: HTTPSConnectionPool(host='acme-staging.api.letsencrypt.org', port=443): Max retries exceeded with url: /directory (Caused by NewConnectionError('<requests.packages.urllib3.connection.VerifiedHTTPSConnection object at 0x76a50af0>: Failed to establish a new connection: [Errno -3] Temporary failure in name resolution',)). Skipping.
All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/serveur1.fr/fullchain.pem (failure)

-------------------------------------------------------------------------------
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates below have not been saved.)

All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/serveur1.fr/fullchain.pem (failure)
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates above have not been saved.)
-------------------------------------------------------------------------------
1 renew failure(s), 0 parse failure(s)

A priori la raison est parce que le certificat créé n'est pas créé par une autorité.

Par quel organisation passer pour créer mon certificat ?

Lien chat secure : https://chatsecure.org/blog/page3/

Actuellement,

1°) oui configurer fail2ban

ssh : OK via fail2ban

sftp : IP non banni si trop de tentatives

xmpp : analyser les logs xmpp

2°) fail2ban avec script d'envoie de mail si IP banni
Si 1°) -> OK pas besoin du 2°)

3°) gérer les IP, non nécessaire si 1°) mis en place.
Nécessaire si changement IP & hacker
->

4°) Cas de figure si trop d'essai via plusieurs machines dans la même journée

Bonne feuille de route, merci

Bonjour,

Tu peux aller regarder dans les logs, syslog peut être pour te renseigner.

Oui merci à vous deux

J'ai fait la mise à jour hier.

Tout c'est bien passé, je l'ai fait depuis ssh de mon pc portable.

Par contre, comment je peux récupérer tous le flux qui est passé dans mon terminal ?

Cette commande n'a pas fonctionné :

apt-get dist-upgrade > sortie.txt

Ha okey merci.

Je vais voir ça ce soir.

Bon je vais rester en mode simple sur xfce4.

Je te remercie.

Bonne soirée.

Merci

Oui, et donc est-ce qu'on remet juste les fichiers de configs pour les avoirs à nouveau ?

Soit disant qu'ils disparaissent avec la mise à niveau ! ?

Faut-il désinstaller les paquets avant d'effectuer une mise à jour ?

Bon il y a quelques points obscures encore du manuel pour moi sans avoir pratiqué une mise à niveau. mais quand faut y aller faut y aller.

De mon côté j'ai écris ceci :

I-SAUVEGARDES

1-Complète : Ghost Clonezilla du système

2-Sauvegardes principales :

/etc
/var/lib/dpkg
/var/lib/apt/extended_states
dpkg --get-selections "*" > $HOME/sortie.out

si utilisation de aptitude
/var/lib/aptitude/pkgstates

$HOME

3-Les fichiers de configuration des logiciels

???

II-ETAT DU SYSTEME

1-Lister les paquets installés

aptitude search '~i(!~ODebian)'
apt-forktracer | sort

-Vérifier les actions en cours sur les paquets

vous devez lancer aptitude en mode terminal complet et appuyer sur g (« Go »), … voit site

3-Désactiver l'épinglage APT

Si vous avez configuré APT pour installer certains paquets d'une distribution autre que stable (par exemple, de testing), … voir site

4-Vérifier l'état des paquets

Tous les paquets qui sont dans l'état « Half-Installed » ou « Failed-Config », ainsi que ceux qui sont dans un état d'erreur :

dpkg –audit

5-Vérifier si des sources stretch pour des paquets non-officiels

III-PREPARER LA MISE A NIVEAU

1-Modifier le /etc/apt/source.list

Modifier jessie vers stretch

2-Mise en place « script maj_debian_jessie2stretch.log »

script -t 2>~/upgrade-stretchetape.time -a ~/upgrade-stretchetape.script

3-Se connecter à la machine à upgrade via SSH

ssh user@192.168.X.X

4-Télécharger les sources stretch

apt-get update

5-Mise à jour minimale du système

apt-get upgrade

=> on peut observer si les paquets sont toujours présent.

6-Mise à jour complète du système

apt-get dist-upgrade

---

Il y a t-il besoin d'upgrade avec aptitude également ?

1°) la sauvegarde

Il était écrit dans le manuel officiel que l'upgrade va supprimer des fichiers de mise à jour.

Il suffi de sauvegarder le /etc et de le remettre après la mise à jour pour retrouver la conf des logiciels ?

Idem pour le /home/monuser ?

2°) l'upgrade

apt safe-upgrade te fait une liste des paquets qui vont subir une mise à jour ?

Merci pour l'historique de l'évolution.

3°) lister les paquets d'un distri

Est-il nécessaire de supprimer les paquets installés ou l'on peut les laisser en les surveillant avec apt safe-upgrade ?

En fait pour ristretto, si il ne peut pas envoyer l'image à la corbeille, il me met en erreur alors que Gthumb me propose la suppression définitive.

Gthumb est pas mal à priori

i3-wm remplace xfce4 non ?

Je ne vois pas comment le mettre en place sous xfce4.

Oui, merci pour ton aide.

Ha d'accord, bon ben si mon essai ne fonctionne pas !!!

J'ai trouvé hier cette liste de paramètres :
durable handles (S)
kernel oplocks (S)
kernel share modes (S)
level2 oplocks (S)
lock dir
lock directory
locking (S)
strict locking
lock spin time (G)
max connections (S)
oplocks *
posix locking (S)

Bon faut encore que je creuse

Je devrais essayer avec 2 users différents c'est vrai, ça serait déjà plus simple.

Éventuellement il y a cette doc moins à jour qui peut expliquer le principe de l'oplock :
http://www.oreilly.com/openbook/samba/book/ch05_05.html

C'est étrange que ce principe ne fonctionne que pour windows, pour linux ça ne s'appliquerait pas ?

Merci.

Je vais refaire une config minimale et agrémenter si besoin pour que windows puisse également fonctionner dessus.

Bonne journée.

Après si le man ne sert pas à aller plus loin, il y a t-il des sites ou alors c'est les livres pour les grands concept de samba.

Merci pour tes informations.

Je voulais me pencher sur ce sommaire aussi. Après ce n'est peut être pas le plus simple. Le plus simple étant le man page.

https://wiki.samba.org/index.php/User_Documentation

J'ai mis des liens non au hasard mais admettons.

Je reformule plus simplement.

Il y a t-il un manuel d'utilisation de samba version 4.X ?

Egalement, voici quelques points que je n'ai pas su éclaircir, si quelqu'un a assez d'expérience pour y répondre :

[Global]

map to guest = bad user # ??? it's with security = user

security = user # ??? domain, server, share, or user
encrypt passwords = yes # crypter le mot de passe mais encore ?
passdb backend = tdbsam # ??? remplace le backend smbpasswd et joue avec PDC Primary Domain Controller
name resolve order = bcast host imhosts wins # ??? ceci semble lié au Primary Domain Controller ???

[Public]

directory mask = 0770 # ???
create mask = 0770 # ???
share modes = yes # ???

locking = yes # strict lock au lieu de locking ? bloquer un fichier déjà ouvert

Ha sympa, tu l'installes facilement ?

Tout à fait mais il y a des windows qui ne l'ont pas.

Du coup j'ai du passer par un visionnage des modifs de registres pour détecter les changements au niveau des registres.