NeoX a écrit 18045 commentaires

wouah, un ordinateur portable avec 1To de disque dur il y a plus de 4 ans ?
c'était grand luxe

bon des pistes deja le partitionnement et un peu louche, tout est dans une partition étendue, alors que généralement il y a au moins le /boot en primaire en debut de disque (et/ou la partition EFI) :

• 1 1048kB 1000GB 1000GB extended boot
  • 5 1049kB 50.0GB 50.0GB logical ext4
  • 6 50.0GB 100GB 50.0GB logical ext4
  • 7 100GB 150GB 50.0GB logical ext4
  • 8 150GB 200GB 50.0GB logical ext4
  • 10 200GB 1000GB 800GB logical ext4
  • 9 1000GB 1000GB 255MB logical linux-swap(v1)

et vu que la machine a plus de 4 ans dans un placard, il est probable qu'il n'y ait rien de vital pour toi dedans, le mieux sera surement de reinstaller.

tu le laisses alors en EFI dans le bios, tu démarres sur le liveCD et tu lances l'installation en remplaçant le contenu du disque dur.

la commande find va chercher dans le dossier courant si tu ne précises rien

et les programmes d'une machine linux sont quelques parts dans le PATH
tu peux faire echo $PATH pour savoir dans quels dossiers chercher.

pour executer vim, s'il est installé,
il faut simplement te mettre dans un terminal,
puis taper vim

et pour le chercher :
find / -iname vim

va le chercher sur tout l'ordinateur, ca peut prendre un peu de temps

Par contre comme je l'ai dit plus haut, lorsque j'active le ssl de mon nom

le SSL tu l'actives ou ?
chez ton registrar ou sur ton serveur ?

sur ton serveur, tu as copier les certificats et clef dans les dossiers pour apache ?
tu as mis les lignes qui vont bien dans le fichier de configuration de ton "domaines.cf" ?

si le port 80 tombe aussi quand tu "actives" le SSL,
c'est possiblement que le certificat n'est pas ouvert,
apache ne se lance plus, et donc aucun service ne répond sur le port 80 ou 443

la redirection de port, c'est juste en TCP/80 et TCP/443 pour le http et https.

le DNS interne, c'était surtout pour toi, pour pouvoir demander
https://domaine.cf et aller directement sur ta machine serveur sans sortir sur internet
car certaines box n'aiment pas le fait de sortir et rerentrer

dans le fichier journal Xorg.0.log l'erreur suivante est mise en avant :
(EE) modeset(0): Failed to get GBM bo for flip to new front.
(EE) modeset(0): present flip failed

est-ce que ca empêche la machine de fonctionner ?
si oui, il faut en effet corriger,
et en attendant le correctif officiel, tu as le workaround

En cherchant un peu sur internet il existe une solution de contournement qui nous demande de désactiver "le gestionnaire de fenetres avec composition logicielle". il appert que cette solution ne fait plus apparaitre d'erreurs dans le fichier journal, mais une solution de contournement n'est pas une réparation d'autant qu'après cette modification l'affichage d'une page internet est quelque peu disgracieuse.

Enfin quand je désire éteindre l'ordinateur le message suivant apparait : "at-spi-bus-launcher absence de réponse" ce qui m'empeche de l'éteindre.

se renseigner sur l'intérêt du AT-SPI-BUS et le virer s'il te gene,
le reinstaller s'il t'es nécessaire et vital

là aussi plusieurs méthodes sont proposer sur internet, c'est un service d'accessibilité, et les contournements existent (en 2018), on peut imaginer que depuis il y a un moyen propre de le supprimer

bien comprendre qui va ou.

en local

1. ton PC demande tondomaine.tld (http ou https) à ton DNS local (Freebox ou service DNS)
2. le DNS lui donne l'IP du serveur qui gère ce domaine (ip publique de la Freebox ou ip interne) ?
3. ton PC tente de se connecter sur cette IP, sur le port 80 (http) ou 443 (https)

dans le cas de letsencrypt,

1. c'est les serveurs de letsencrypt qui demande à leur DNS ou se trouve ton serveur il faut donc configurer ton DNS externe pour que ca renvoie sur l'IP de ta Freebox
2. le serveur de letsencrypt tente de se connecter à l'IP de ta Freebox, port 80 ou port 443 il faut configurer ta Freebox pour renvoyer ces ports vers ton serveur interne
3. il cherche un fichier sur le serveur pour confirmer que le domaine arrive bien sur le bon serveur.

pour diagnostiquer, tu peux deja tenter d'aller sur ton serveur, port 443
en faisant https://adresseIPlocale

ca te permettra de savoir si le serveur écoute en https

ensuite il faut te connecter de l'extérieur (4G ?) en faisant https://addresseIPpublique
ca doit te renvoyer la meme chose si la redirection de la Freebox vers le serveur est opérationnel

Proposez-vous un pare-feu ?

relire les autres posts sur toutes tes questions ipcop,
il y a plein de propositions de trucs plus pertinents que ton vieil ipcop.

pfsense/opnsense
zeroshell
clearOS

Installer un deuxième ipcop avec la même config comme secours.

basic (secours à froid) :

• installer le 2e ipcop
• exporter la config du premier, mettre sur le 2e
• éteindre le 2e ipcop et ne le brancher qu'en cas de besoin

luxueux (secours à chaud, synchro automatique entre les machines, etc) :

• installer ipcop,
• le configurer pour se mettre en cluster avec le premier
• une modification faite sur le chassis 1, va automatiquement sur le chassis 2
• la panne du chassis 1, active le chassis 2 qui prend alors le trafic en main

Améliorer la config existante pour ne pas permettre aux services de communiquer entre eux (ipcop ne gère pas les vlans sauf si on ajoute des addons).

si vraiment tu ne peux pas faire les vlans sur le firewall car il est trop vieux (2015) avec un addon (ipcop vlan date de 2010)

il n'y a qu'une seule methode

methode de riche (ou pas) :
si tu veux séparer tes "services/utilisateurs/reseaux", il te faut autant de carte reseau que de réseaux à gérer, puis brancher ces cartes réseaux sur autant de switch autonome (ils peuvent alors être non manageable, donc pas cher, mais il en faut autant que tu as de reseau).

RICHE : car il te faut autant de carte reseau et de switch que de reseau que tu veux gérer

autre méthode de riche (ou pas):
tu as des switch manageables, un seul switch peut gérer tous les reseaux, c'est alors les vlans qui vont découper le switch en switch virtuel, ex port 10 à 19 pour le vlan 10, port 20 à 24 pour le vlan 20, port 25 à 28 pour le vlan 30.

et comme ton ipcop ne gère pas les vlans, tu branches chacune des cartes reseaux dans tes différents lan sur les différents "sous switch" créé par les vlans sur le switch

RICHE : il te faut un switch manageable, et autant de carte sur le firewall que de reseau à gérer.

• Proposé une autre solution pare-feu…

cf toutes les propositions précédentes, mais oui, prendre un produit plus recent, plus ergonomique, etc

idéalement donc un firewall plus RECENT qui gere les vlans, et qui sera en mesure de se connecter avec 1 seule carte reseau, à tes différents reseaux via les vlans du switch

NB pour la Secu, c'est mieux d'avoir une carte physique pour chaque type de flux,
mais si tu as plusieurs connexions internet genre ADSL par exemple, tu peux regrouper les ADSL derriere une carte reseau 1Gbps (ou meme 100Mbps), tu pourras quand meme en mettre presque 50 sur le 1Gbps (5 sur le 100Mbps).

Tout internet reste alors derriere la carte RED, et chaque opérateur cause sur son vlan avec la carte RED.vlan1, RED.vlan2, RED.vlan3…

Arduino-ide c'est deja bien
sinon plateform.io

J'utilisais atom à une époque, maintenant je suis passé à visual studio code

Alors certes c'est microsoft, mais c'est dispo sur plusieurs plateformes,
et justement les plugins permettent d'en faire un outil multi-usage

sans plugin : éditeur de texte
avec plugin dev IOT = un codeur Arduino/nodemcu
avec plugins php/mysql/Web = un codeur pour web dev

et comme tu peux sauvegarder des environnements de travail (workspace)
tu reouvres ces workspaces avec les plugins et les dossiers de tes projets.

Ex : workspace "dev client A"
c'est du web, j'ai les plugins qui vont avec et je démarres direct dans le dossier du projet du client

workspace "dev client B"
c'est du devOPs, shell et python, je n'ai alors plus les plugins web, php, mysql mais les plugins bash et python

etc

Trop vieux pour tenter une upgrade

ca se tente ;)

il faut peut-être juste changer les depots debian.org en archive.debian.org

atom fait aussi le café,
il faut peut-être regarder les plugins prechargés pour supprimer ce qui ne t'intéressent pas.

sinon pour les cas extremes de ressources basses, y a les éditeurs en ligne de commande vim, emacs, nano qui font peut-être l'autocompletion yawl

Donc les questions:
- est-ce que je peux créer un autre sous domaine pointant vers la même ip et le router vers le cloud nextcloud ( https://cloud.xxx.be) ?
- si oui comment attribuer un certificat sur cette adresse avec un renouvellement automatique ?

si tu n'as que la VM cloud à proposer,
tu peux faire juste une redirection de port sur le firewall, port 80 et 443 => IP interne de la VM cloud.

mais sinon c'est exactement le but du reverse proxy (haproxy, ngnix…)

tu le configures sur ton pfsense,
il reçoit ton client sur l'ip publique port 80 et 443 en mode TCP et avec le SNI, pour le domaine cloud.xxxx.be, il renvoie le flux vers ton IP interne de ta VM cloud.

et hop,
tu gères ton letsencrypt sur la VM finale

tu insistes avec un distribution vieille de 4 ans (2015)

mais admettons, on t'a "vendu" ipcop comme étant LE truc à installer pour sécuriser ton réseau (ou en tout cas te faire la main dessus)

avant de mettre l'IP, il faut peut-être lui dire qu'elle carte va gerer quelle interface (green/red/dmz/vpn, etc)

enfin c'est comme ca que ca se passe sur d'autres firewalls,
quand il y a plusieurs cartes, par défaut il voit la premiere pour le lan, et c'est là que tu te connectes pour gérer le firewall,

ensuite il faut lui dire ce que tu veux faire de la 2e carte, qui est désactivée par défaut pour éviter les conflits.

tu pourrais vouloir la mettre en green aussi, pour avec 2x plus de debit grace à un agrégat (bond) ou de la redondance grace à un 'lagg'

https://lmgtfy.com/?q=securiser+debian8

:D

toutes les cartes wifi ne sont pas reconnues/fonctionnelles par défaut sur un linux,
parfois les constructeurs fournissent (ou pas) ce qu'il faut.

est-ce que tu vois la carte dans l'applet réseau à coté de l'horloge ?

est-ce que tu vois la carte wifi (ou la clef usb wifi) dans un terminal
lspci
lsusb

peut-être qu'en voyant que l'addon date de 2010, tu peux te poser judicieusement la question de la fiabilité d'un IPCOP en 2019 (9 ans après)

meme si la dernière version semble avoir été publiée en 2015
The latest stable IPCop version is 2.1.9, released on 2015-02-23.

4 ans dans le domaine de l'IT/sécurité, c'est énorme.

du coup, y a surement un intérêt à tester des trucs plus récents
- zeroshell : dernière mise à jour date d'aout 2019
- pfsense : fin juillet 2019
- opnsense : octobre 2019

et y en a surement d'autres que je ne connais pas.
dans un autre post on parle de ClearOS développé par HP et ses amis.

Lorsque j'ouvre le terminal, j'ai nomd'utilisateur@nomdupc :~$ . Est-ce le SU ou simple utilisateur?

ca te dit que tu es connecté en tant que nomd'utilisateur sur la machine nomdupc et que tu es dans le dossier ~ (soit le /home/nomd'utilisateur)

et le $ t'indique que tu n'es pas root (enfin par défaut, car on peut changer le prompt d'un terminal).

quand tu fais sudo commande tu passes root le temps de faire la commande et tu en ressors juste après, donc tu restes simple utilisateur avec pouvoir sudo.

enfin si tu passes root pour une durée plus longue avec sudo -i (il faut connaitre le mot de passe de l'utilisateur courant, et qu'il soit autorisé à être sudo ou avec su - (il faut connaitre le mot de passe de root)

ton prompt devient root@nomdupc: ~# (là encore le # par défaut, mais cela peut être configuré différemment sur ta distro)

et tu en sors avec le mot magique exit

du coup il te faut 5 firewalls avant ton LAN
de marque différentes, avec des versions d'OS/firmware différentes pour être vraiment protéger,

et une fois sur le lan, faire des vlans, passer par un autre firewall pour aller dans le bureau d'à coté, etc.

completer, c'est mettre un étage de plus dans tes problèmes

genre :
internet <-> asa <-> firewall <-> lan

alors que la question serait plutôt :

• l'age de l'asa (materiel qui pourrait tomber en panne, garantie, niveau de sécurité, et patches disponibles)
• le role de l'asa : quels services rend-t-il ? juste firewall, accès vpn distant, IPSec, interface web ssl vers l'interne
• son remplacement par autre chose ?
  • quelles fonctionnalités tu veux reconduire ? et donc quels produits savent faire cela ?
  • opensource tels que ceux que tu cites, maintenu par qui ? en interne, en externe ? quelles garanties, quelles sécurités ?
  • propriétaire pour avoir du support, des "garanties" sur un remplacement du matos en cas de panne, etc

j'ai pas ipcop sous la main, donc je ne saurais pas dire,

mais mon instinct le placerait dans les creations d'interfaces/vlans/aliases
pour pouvoir determiner que le firewall à de nouvelles interfaces 'virtuelles' qui sont en fait les vlans sur l'interface physique.

pour démarrer une nouvelle conversation, il faut cliquer en haut sur "forum"
puis "poster un sujet"

sinon en fait tu postes une réponse à la question initiale de l'utilisateur
ici c'était qu'il ne trouvait pas le "print" attendu

merci;) ca marche je penser aussi commencer avec Ubuntu, mais grosse galère pour l'installer avec virtual box je n'ai trouver aucune aide… je vais réessayer ca.

de la meme manière que kali,
tu télécharges le fichier ISO (amd64)
tu crees la VM de type linux/ubuntu 64
tu lui donnes le fichier ISO pour le cdrom

tu démarres la VM et tu répond au question

C'est pas exactement la question posée par Stinouff dans ce sujet ?

si le but c'est juste d'accéder à "serveur unix" quand tu n'es pas à la maison, alors oui, la redirection de port sur la box, et le service VPN sur serveur unix sera suffisant (en configurant le client vpn sur le poste PC/tablette/smartphone qui va se ballader en dehors de la maison)

que donne les infos de bases ?

disk -l pour connaitre les disques accessibles et les partitions qui sont dedans
pvs, vgs, lvs pour connaitre les Physical Volumes, les Volumes Groupes, puis les Logicals Volumes

quelques systèmes de fichiers utilises-tu par dessus le LV que tu veux agrandir ?
parfois il faut juste passer la commande resize2fs /dev/mapper/tonvolume pour qu'il s'agrandisse (enfin après avoir fait le lvresize /dev/mapper/tonvolume +XG évidemment