NeoX a écrit 18152 commentaires

[MOD TROLL]
la faute à l'OS de l'iPhone plutot qu'au protocole VPN ?
[/MOD TROLL]

ca passe par des creations de clef privée/publique

puis comme indiqué, tu reprend mes fichiers, tu adaptes tes morceaux

évidemment il faut avoir installer les outils wireguard sur le serveur et sur le client

tu te connectes en IMAP
il faut donc utiliser les commandes liées à l'IMAP pour creer un dossier et déplacer un email dans ce dossier.

tout autre moyen sera vouer à l'échec

oui c'est le fichier de mon client

je retrouve des infos similaires dans la config coté serveur

interface: wg0
  public key: maclefpublicenbase64
  private key: (hidden)
  listening port: 51820

peer: laclefpublicduclientenbase64
# L'ip attendu du client, ou les reseaux qu'il protège
  allowed ips: 172.16.99.2/32

bah tout dans un seul fichier

exemple pour mon ordi qui joint mon serveur VPN qui lui donne acces à tout

[Interface]
PrivateKey = maclefprivée
# l'IP de ma machine sur le reseau du VPN
Address = 172.16.99.2/32
# le DNS qu'il faudra joindre une fois le VPN monté
DNS = 10.0.1.2

[Peer]
PublicKey = laclefpubliqueduserveurWG
# les reseaux mis à dispo par le serveur WG
AllowedIPs = 0.0.0.0/0
# a quel IP port joindre le serveur WG
Endpoint = aa.bb.xx.dd:yyyy

j'imagine alors que le AllowedIPs peut prendre plusieurs IPs si on ne veut pas que ca donne acces à internet mais à plusieurs reseaux

historiquement j'utilisais openvpn,

quand wireguard est arrivé sur mes appareils, je suis passé dessus, et bien c'est le jour et la nuit en terme de performance.

après je ne suis pas assez calé pour aller voir si c'est plus ou moins sécurisé qu'OpenVPN

mais comme "wireguard c'est le futur", autant se familiariser avec

je dirai que si ton acces se faire par clef
et que fail2ban te dis qu'il a bannit

ben c'est qu'il fait bien son boulot ;)

apres si c'est souvent la meme ip qui revient (trop) souvent
tu peux peut-etre augmenter la durée du bannissement par exemple.

utiliser whois pour savoir à qui appartient cette IP
ici

whois 101.132.188.120

inetnum:        101.132.0.0 - 101.133.255.255
netname:        ALISOFT
descr:          Aliyun Computing Co., LTD
descr:          5F, Builing D, the West Lake International Plaza of S&T
descr:          No.391 Wen'er Road, Hangzhou, Zhejiang, China, 310099
country:        CN

[...]

person:         security trouble
e-mail:         yitian.gaoyt@alibaba-inc.com
address:        5th,floor,Building D,the West Lake International Plaza of S&T,391#Wen??r Road
address:        Hangzhou, Zhejiang, China
phone:          +86-0571-85022600
country:        CN

c'est donc une adresse chinoise, dans un cloud chinois (Alibaba)

si tes utilisateurs ne vont jamais en chine, tu peux utiliser des filtres GeoIP pour ne laisser rentrer que certains pays sur ton site/serveur.

j'ai récemment eu en proposition de lecture un article de Korben
pour transformer un PC en routeur, avec une seule ligne de commande.

à voir si ca peut marcher sur ton ordi

https://korben.info/linux-routeur.html

c'est ce que je disais

ce que tu veux faire doit se faire depuis le shell de la carte SBC

Ce que j'aimerais faire, doit se faire depuis le shell de la sbc.

maintenant ta question est peut-etre, comment avoir acces au shell de la SBC ?
ou comment parler au SFP depuis la SBC ?

ce que tu veux faire doit se faire depuis le shell de la carte SBC
ou peut-etre depuis le reseau du coté du SFP

mais si tu te connecte à la carte reseau du SBC, tu ne vois que le SBC pas le SFP

Pour les navigateurs il y a aussi des plugin mais ne les utilisant pas, je ne sais pas vraiment ce que cela apporte.

je répond puisque je l'utilise aussi, avec les plugins.

Le plugin permet de ne plus avoir à faire le "copier/coller" des logins/pass
pour un site existant, une fois le keepass ouvert, il trouve le site dans la base, et s'il a plusieurs logins/pass disponibles nous demande lequel on veut utiliser.

il est possible de configurer qu'un site utilise le TOTP et donc de renseigner ce champs via le Keepass également.

quand c'est un nouveau site, cela permet d'enregistrer le login/pass dans le keepass
meme si parfois ca marche, parfois non

si un mot de passe peut appartenir à plusieurs collections,
et qu'un n'utilisateur n'accede qu'à une collection, tu as ta solution

toi, tu accedes à toute l'organisation
ton mot de passe est rangé dans 'systeme'
puis tu as une collection "groupe 1", une autre "groupe 2"
tu ajoutes le mot de passe à la collection "groupe 1"

et ton utilisateur 1, qui ne peut voir que la collection "groupe 1" ne verra que ce mot de passe et pas l'organisation
et ton utilisateur 2 ne verra pas ce mot de passe puisqu'il n'a acces qu'a la collection groupe 2

non ?

c'est meme mieux que ca, si je ne me trompe pas tu installes ta machine normalement
puis tu dis à network-manager de partager ta connexion vers l'autre interface

si tu te connectes en wifi, et que tu veux recuperer internet sur le filaire tu partages la connexion wifi vers le filaire
si tu te connectes en filaire et que tu veux recuperer internet vers les pc en wifi, tu partage la connexion filaire

ta configuration hostapd cite une carte wifi wlp4s7
est-ce qu'elle existe dans ta machine ?

interface=wlp4s7
bridge=br1
driver=nl80211

que donne les commandes :
ip a
dmesg | iwl

si je ne dis pas de bêtise chaque vmlinuz-xxx a son initrd-xxx

à verifier comment il s'appelle exactement dans ton /boot/

ensuite il faut possiblement décharger/recharger le module du peripherique pour que ce dernier soit redetecté

les certificats auto-signés, ca génère des erreurs dans les navigateurs à la premiere connexion, il faut alors ajouter une exception pour que le navigateur ne râle plus.

en entreprise, c'est plutot moyen quand meme.

Un peu brutal, mais c'est comme ça, les danois ne rigolent pas.
Moi non plus, depuis cette malencontreuse manœuvre, j'ai perdu les bons paramètres réseau et surtout le DHCP qui est théoriquement ON par défaut, c'est écrit dans la doc.
Là, il est OFF.
Je vais dans paramètres réseau, onglet "avancé", DHCP, je le mets sur ENABLED, store … Failed!
J'essaie d'entrer une adresse IP fixe avec la passerelle, le masque et le DNS … Failed!
Bien. Je configure mon point d'accès à 20 centimètres de lui (Devolo plug CPL 1200) afin d'avoir deux SSID différents pour les fréquences 2,4 et 5 GHZ. Le Beosound 5 utilise le 5 GHZ.
- connection automatique : no access point found.
- connection manuelle : j'entre le SSID, pas de cryptage, store = OK … connecting … failed!

tout ca me fait penser à la flash de l'appareil ou le disque dur qui est mort ou plein
l'appareil ne veut plus rien stocker dessus,
donc ne garde pas tes réglages (DHCP ON/OFF, IP fixe, ou code wifi)

=> garantie ou bidouille pour remettre le stockage, voire le firmware à jour

évidemment si tu gères uniquement en interne, je te dirais que letsencrypt n'est pas LA solution, mais que par contre tu peux gérer des certificats internes à ton organisation, ton asso, ta société.

Il faut que j'achète un certificat à un organisme ? Je n'y connais pas grand chose sur le sujet :(

si c'est purement interne, non, pas besoin d'acheter un certificat à un organisme, tu peux creer ta propre autorité.

il te faudra alors installer d'abord cette autorité sur toutes les machines qui auront acces à tes services.

puis avec cette autorité, tu signes des certificats que tu as génèrés pour chacun de tes services/domaines…
et tu utilises ce certificat signé dans ton service de mot de passe, site web, email, etc

l'intérêt d'acheter une signature à un organisme tiers, c'est justement pour :
- ne pas avoir à passer sur toutes les machines qui vont se connecter à ton service pour installer ton autorité
- rassurer le chaland car c'est un organisme tiers qui a signé

NOTE : tu dois pouvoir générer une autorité intermédiaire, signée elle par un tiers officiel, puis signer tes certificats "internes" par cette autorité intermédiaire.

tu résoudrais alors le double probleme
- avoir une autorité externe qui a validé le certificat
- gérer tous les certificats suivant et leur signature par toi meme.

avant la creation du compte, c'est le dossier /etc/skel
ce dossier contient tous les fichiers qui vont etre copiés DANS le nouveau dossier de l'utilisateur /home/nouveauuser

à toi donc de preparer l'environnement, les réglages utilisateurs, le fond d'écran…
et de copier cela dans /etc/skel avant de creer les autres utilisateurs.

sinon, il y a plusieurs questions à ce poser.

• si tu veux juste qu'ils aient un environnement commun au demarrage qu'ils vont ensuite personnalisé (ou non), tu peux mettre les configs dans les dossiers "systèmes" qui vont bien (cela depend du logiciel, souvent /etc/xxx ou /usr/share/xxxx)
  ainsi si les utilisateurs ne touchent à rien, ils ont la config du systeme, sinon, cela cree un fichier de config dans leur /home qui "écrase" ce que propose le systeme

• si tu veux que les réglages soient permanent, sans que les utilisateurs puissent modifier ?
  j'imagine alors qu'il faut copier ces configurations dans les dossiers utilisateurs, mais que les configs soient en lecture seule pour eux

generer un certificat letsencrypt ne requiert pas que la machine utilisatrice finale soit exposée sur internet

juste que le domaine soit connu d'internet et que la machine correspondante au domaine le soit aussi.

évidemment si tu gères uniquement en interne, je te dirais que letsencrypt n'est pas LA solution, mais que par contre tu peux gérer des certificats internes à ton organisation, ton asso, ta société.

toutafait

un postfix standard peut très bien recevoir du courrier, et en envoyer en interne sans jamais sortir vers l'extérieur pour reprendre la fonctionnalité suivante

YOPmail ne permet pas l'envoi de mail. Vous pouvez cependant envoyer un email depuis une adresse YOPmail vers une autre adresse YOPmail.

pour la durée de retention, et les alias, c'est un classique des boites emails

et que je puisse utiliser en mode persistant sur les machines de mon choix (j'ai un Macbook Pro et un PC) ?

Pouvez-vous me dire si c'est envisageable ?

Je dirais oui, si tes deux machines sont en (U)EFI,
tu fais alors une installation en (U)EFI du linux et ca doit fonctionner.

cependant si les deux machines ont des cartes graphiques de constructeur different tu rencontreras peut-etre des soucis d'affichages

comme notre comparse plus haut, je le fait sur des machines dont le disque interne ou le contrôleur est "mort", sur mon RPi pour ne pas tourner sur une clef USB/carte SD, etc

c'est quoi la difference entre "raspi debian" et "raspbian" ?

ah ok une petite recherche nous dit que
- RaspberryOS (anciennement raspbian) est basé sur Buster, et la dernière release date de mai 2021 https://www.raspberrypi.org/software/operating-systems/

• Raspi Debian serait récemment (23aout) passé sur Bullseye https://raspi.debian.net/tested-images/

en dehors de çà, je ne vois pas

une indexation de contenu peut-etre ?

je sais qu'entre debian et ubuntu il y avait un truc comme ca,
l'indexer scannait tout le disque pour que la recherche soit "instantanée"

que dit iotop par exemple ?

généralement un ordi met les ports USB en veille quand ils ne servent pas
du coup le disque externe s'éteint, et se relance à la moindre solicitation.

c'est donc plutot la gestion des mises en veille qu'il te faut modifier.

Perso j'ai mis un disque USB, mais SSD, comme ca on n'entend pas le disque s'allumer et s'éteindre ;)