electro575 a écrit 827 commentaires

ca demande quand meme un écran sur la machine, mais tu bootes depuis le reseau un mini systeme avec clonezilla et tu fais ton clone vers un partage reseau

Bonne idée oui déjà.

sinon, tu peux scripter du rsync depuis une machine qui centralise les sauvegardes
rsync passant en ssh, tu n'as pas besoin de mettre un écran sur la machine à sauvegarder

Encore mieux.

Si l'on souhaite sauvegarder son système en entier, il faut qu'il soit éteint ou sur un mode read-only.

Comment scripter ça !

à l'inverse, tu as des outils de sauvegarde que tu peux installer sur chaque machine pour faire un calcul entre le precedent backup et le nouveau, envoyer cette difference vers une destination

C'est noté :)

Oui, okey

Super, si je comprends bien, je peux mettre des tirois avec ce produit icy dock MB074SP-B pour les basculer directement dans le MB155SP-B !

Si c'est le cas alors c'est niquel.

Merci

Oui, sur kubii ils étaient en rupture de stock.

Ils faisaient de la pré-commande.

Sinon malheureusement, amazon ! :/

Finalement, je n'avais pas mis la bonne clé.

Aussi, j'avais un souci de firewall.

Merci pour vos réactions.

Bon week-end

Merci beaucoup !

J'ai bien fait toute la procédure client/serveur.

Niveau serveur

j'utilise wg-quick pour monter mon VPN wireguard.

systemctl start wg-quick@wg0.service

Les logs systèmes une fois la conf serveur lancée.

Ca ne pose pas un problème ceci ? the speed and duplex are not writable !

systemd[1]: Starting WireGuard via wg-quick(8) for wg0...
wg-quick[2073]: [#] ip link add wg0 type wireguard
systemd-udevd[2064]: ethtool: autonegotiation is unset or enabled, the speed and duplex are not writable.
systemd-udevd[2064]: Using default interface naming scheme 'v247'.
wg-quick[2073]: [#] wg setconf wg0 /dev/fd/63
wg-quick[2073]: [#] ip -4 address add 10.10.10.1/24 dev wg0
robotique wg-quick[2073]: [#] ip link set mtu 1420 up dev wg0
systemd[1]: Finished WireGuard via wg-quick(8) for wg0.

Quand je regarde les interfaces, voici le résultat que j'ai mais le plus particulier c'est "state UNKNOWN".

wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 10.10.10.1/24 scope global wg0
       valid_lft forever preferred_lft forever

Niveau Client

Le VPN est indiqué connecté par network-manager mais, …

Quand je diagnostique avec wg show, vitesse 0 niveau receive et un peu niveau send, mais pas de handshake.

J'ai des difficultés à le mettre en oeuvre.

Est-ce que tu aurais un config exemple de client & serveur ?

Je continue mes recherches

Merci beaucoup

C'est bon à savoir.

Effectivement après si tu as déjà tout en place !

Pour les règles de pare-feu. Voici l'exemple d'avant initialisation et après initialisation du service wireguard de le dépêche.

/etc/wireguard/wg0.conf

[Interface]
Address = 10.26.174.1/24, fd42:42:42::1/64
ListenPort = 51955
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; ip6tables -A FORWARD -i %i -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE; ip6tables -D FORWARD -i %i -j ACCEPT; ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE 
PrivateKey = C...contenu_de_peer_A.key...=
DNS = 10.26.174.1, fd42:42:42::1

La configuration que tu as jointes est celle de ton client wireguard ?

Si je prends la conf wireguard serveur de la dépêche qui s'écrit en ce moment,

Pas de Endpoint mais juste une IP pour AllowedIPs.

[Peer]
PublicKey = K...contenu_de_peer_B.pub...=
PresharedKey = k...contenu_de_peer_A-peer_B.psk...= 
AllowedIPs = 10.26.174.2/32, fd42:42:42::2/128

[Peer]
PublicKey = r...contenu_de_peer_C.pub...=
PresharedKey = j...contenu_de_peer_A-peer_C.psk...=
AllowedIPs = 10.26.174.3/32, fd42:42:42::3/128

J'ai regardé mais ça n'est pas pour l'utiliser en mode Point d'Accès.

Pour linux, debian bullseye en ce moment.

Je souhaite configurer une carte wifi pour en faire un Point d'accès via le paquet hostap.

Merci beaucoup

Le paquet n'est pas dans les depots debian à priori

Je souhaite donner internet à un réseau local (eth1 + wlan0) à partir de l'interface eth0.

WAN <==> BOX gros FAI <==> ETH0 (192.168.1.18) <==> PC mode routeur <==> BR0 (ETH1 + WLAN0)

Donc configurer ma carte en mode Access Point en mode master, fournir une adresse IP et internet aux smartphones qui veulent se connecter à ce réseau local.

Une configuration simple d'un PC à configurer comme routeur en somme.

Jusqu'ici hostapd joue bien son rôle mais c'est la carte que je pilote qui n'est pas à la hauteur du driver nl80211.

Elle ne supporte que le cryptage WEP voir WPA mais pas de TKIP, …

J'ai acheté 2 anciennes cartes sur leboncoin, ça devrait aller.

C'est juste pour configurer ma carte Wifi et la lier à un bridge avec une interface ethernet.

Tu me conseille quoi comme autre paquet que hostapd ?

oui oui, elle existe

J'ai été plus loins mais le paquet mentionné pour installer le driver de windows XP propriétaire n'est pas dispo dans debian bullseye.

https://wiki.debian.org/fr/NdisWrapper

Venant de cette source.

https://www.linuxquestions.org/questions/slackware-14/ralink-rt2500-wireless-on-13-37-32-bit-901687/

Oui, en regardant, le power management était déjà en Off.

Du coup pour le moment j'ai pris une cle WIFI.

J'avais déjà des soucis d'alternance de diffusion/non diffusion du SSID sous Windows XP quand je l'avais utilisé.

Et parfois des connexions/deconnexions.

c'est une bonne idée, par contre je n'ai que le paquet iw d'installé sur debian bullseye en mode console sans xfce4.

Je n'ai pas la syntaxe pour faire la même chose que toi.

sudo iwconfig wlp4s7 power off

Ou alors je me trompe, ça fait plutôt grrr grrr grrr ça gratte beaucoup mais il n'y a rien qui tourne.

Quand je fais beaucoup de choses "update-initramfs -u" par exemple, ça fait moins de bruit que ça et pourtant le disque est d'avantage sollicité.

Mais avec raspbian ça ne me faisait pas ça, je comprends pas.

Oui mais dans ce cas précis, je pense que je suis obligé d'utiliser un autre PC.

Le PC que je fais tourner en mode serveur, je ne peux pas intégrer ses 2 règles.

Tu confirmes ?

Ou le cas d'un conteneur pourrait suffir ?

Empecher le serveur lui meme de sortir, comment ?

Comment cloisoner, ce ne veut pas dire isoler zoneminder mais le restreindre à ce que l'on souhaite comme service minimum.

Ca me semble compliqué pour cette partie.

Faut que je réflechisse

Waou, ça fait beaucoup !

Le souci c'est que j'utilise un serveur avec accès à internet aujourd'hui.

Il me reste une raspberry ou deux.

Mais du coup ça veut dire qu'on oublie le streaming video via son propre nom de domaine ? Comment sait-on si il y a une vrai intrusion ou non ?

Pas de problème, j'ai trouvé ce qu'il n'allait pas dans la conf nginx.

Par contre, vous avez déjà analysé le code de zoneminder pour vérifier s'il respecte la vie privée de ceux qui l'utilise chez eux ?

S'il est éthique, n'envoie pas les flux vidéos chez eux.

Il y a sous les dépots de debian bullseye la version 1.34 de zoneminder.

Donc j'avais commencé comme cela et avec nginx au lieu de apache2.

Je ne compte pas changer de serveur web.

Je peux vous montrer ma conf nginx.

Les gens utilisent ce doc pour installer sous Debian Bullseye.

https://wiki.zoneminder.com/Debian_11_Bullseye_with_Zoneminder_1.36.x

De mon côté j'ai installé la version des dépots de bebian bullseye, 1.34.

Sauf que je n'utilise pas apache2 mais nginx.

Voici la conf que j'ai mise.

/etc/nginx/sites-enabled/zone.mondomain.com

server {
    listen 80;
    listen [::]:80;
    server_name zone.mondomain.com;

    include /etc/nginx/zoneminder.conf;
    # Enforce HTTPS
    #return 301 https://$server_name$request_uri;
}

server {
        listen 443 ssl;
        server_name zone.mondomain.com;

        access_log /var/log/nginx/zone.mondomain.com.access;
        error_log  /var/log/nginx/zone.mondomain.com.error;
        #rewrite_log     on;

        # Path to the root of your installation
        root                          /usr/share/zoneminder/www;

        #ssl                           on;
        ssl_certificate               /etc/letsencrypt/live/zone.mondomain.com/fullchain.pem; # managed by Certbot
        ssl_certificate_key           /etc/letsencrypt/live/zone.mondomain.com/privkey.pem; # managed by Certbot

        keepalive_timeout       60;
        ssl_session_timeout 10m;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";
        ssl_prefer_server_ciphers on;

}

/etc/nginx/zoneminder.conf

location /zoneminder/cgi-bin {
   gzip off;
   root /usr/lib;

   include fastcgi_params;
   fastcgi_param SCRIPT_FILENAME /usr/lib/zoneminder/cgi-bin/nph-zms;

   fastcgi_intercept_errors on;
   fastcgi_pass unix:/var/run/fcgiwrap.socket;
}

location /zoneminder/ {
   gzip off;
   alias /usr/share/zoneminder/www/;
   index index.php;

   location ~ \.php$ {
      include fastcgi_params;
      # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini
      fastcgi_param SCRIPT_FILENAME $request_filename;
      fastcgi_intercept_errors on;
      fastcgi_pass unix:/var/run/php/php7.4-fpm.sock;
   }

   location ~* /zoneminder/.*\.(txt|log)$ {
      deny all;
   }

   location ~* /zoneminder/.*\.(m4a|mp4|mov)$ {
      #mp4;
      #mp4_buffer_size 5M;
      #mp4_max_buffer_size 10M;
   }
}