voxdemonix a écrit 914 commentaires

Je ne suis pas pro non plus mais j'ai commencé par lire de la doc à travers les wikis et des livres. C'est la base de tout.

Lire la doc c'est pour quand tu es déjà à un stade suffisamment avancé pour te motiver à la lecture et t'y retrouver dans la vastitude du bousin. :)

L'apprentissage du départ passes surtout par l'essai et la copie d'autrui. (c'est d'ailleurs un sujet qui revient régulièrement quand on parle des foutus droit d'auteur sur les produits artistiques)

Un bon exemple : les expressions régulières.
Aller lire la doc ne va pas vraiment t'aider a créer un pattern complexe. Alors qu'aller drop des exemples et tenter de les adapter va aller plus vite et sera souvent plus assimilable pour le cerveau.

Tu peux traiter des cibles différentes avec un seule invocation de sed. Mais il faut des retours à la ligne pour séparer les différentes parties du script.

Merci pour l'astuce, c'est bon à savoir.

Du coup, je te conseille de regrouper tous tes traitements sed dans fichier de script sed, que tu peux invoquer avec l'option -f de sed.

J'essaye d'éviter toute dépendance externe (limiter le conky a son fichier conkyrc plus au pire l'image). Ceci afin d'éviter aux utilisateurs de devoir aller changer les PATH lors de l'installation. (note que je n'ai pas encore testé le fonctionnement des liens relatifs avec conky)

Si quelqu'un a une idée ça m'intéresserait fortement car les commandes ne font que s’agrandir :)

Perso, j'ai moinssé parce que c'est encore un débutant qui fait joujou avec les distributions de pentesting et qui préfère les tutoriels à la documentation

C'est par la que sont passés pas mal de passionnés et de hacker. Il n'y a pas que des professionnels de l'informatique ;)

En passant, il est plus que déconseillé d'utiliser kali, blackbuntu et co comme système de tout les jours au risque de se faire pirater.

Bref, Linux c'est bien pour plein d'arguments mais ça demande aussi des compromis.

LE point noir sur linux et co se sont les jeux piratés qui sont plus difficiles voir impossible a lancer.

soit tu divises ton disque en plusieurs partitions. Certaines installations de Linux permettent de retailler la(les) partition(s) Win10 pour faire la place à Linux. Ensuite, au boot, tu choisis l'OS à l'aide d'un GRUB.

Windows permet de le faire très facilement (chercher "réduire partition windows" sur google) et la procédure est bien moins dangereuse que de le faire depuis Linux.

Sur le fond, je me pose la question : quel intérêt de faire tourner un Linux sous Win10 ? On peut faire l'inverse aussi, avec VirtualBox par exemple. Certes, la technique n'est pas la même. Mais la solution Linux dans Win10 me parait suspecte.

Il est hélas rare que les jeux vidéos récent fonctionnent dans les machines virtuelles (problème graphique).

Il y a beaucoup moins de grands jeux disponibles pour Linux et les portages sont souvent moins optimisés que pour Windows donc ce n'est pas forcément une bonne raison, bien au contraire.

Pour jouer il y a une distro qui pré-intègre Steam, Wine, un gestionnaire de conky/theme, le soft libre de crosoft pour transformer le pc en télé, et compagnie : Voyager GS, basée sur Xubuntu (ubuntu en plus léger).

Je voyage pas mal. Et la quasi intégralité des pays où j'ai été et utiliser le réseau mobile, j'étais en IPv4, peu importe le provider. Verizon est l'exception, non la règle.

En Belgique tout les utilisateurs de Voo (2ieme FAI) sont en dual IPv4/IPv6. Quant à Proximus/Belgacom (1er FAI), si je ne me trompe, avec la BBOX3 c'est aussi du dual IPv4/IPv6*1 et BBOX2 par contre c'est IPv4.

*1 par contre pas mal: "proximus ipv6" sur google, second résultat on y lit le service support qui conseil a un client de désactiver IPv6 … :D

Dans un avenir proche…

• "Momo y a ta voiture qui se promène toute seule en klaxonant dans la téci !"
• "Owai elle me l'a fait a chaque nouvel an chinois depuis que j'ai installé mon fond d'écran chinese nude xxx."
• "Et celle derrière ?"
• "C'est celle de Paul qui fait pareil depuis qu'il a installé l'application pour réparer les pixels morts."

En résumé, la présence d'Android sera très certainement un plus pour beaucoup de conducteurs. Commercialement, cet accord me parait difficile à critiquer.

Les mêmes qui se plaignent qu'au bout de 6 mois leur Android est complètement buggé? :P

Auriez-vous une petite astuce pour rendre ce genre de ligne plus lisible?

${execpi 15 tail -n 15 /tmp/remote_logs/access.log | sed 's/[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}/${color darkblue}&/' | sed 's/[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}/&$color/' | sed 's/GET[[:space:]]\|POST[[:space:]]/${color darkgreen}&/' | sed 's/GET[[:space:]]\|POST[[:space:]]/&$color/' | sed 's/- -.*[[:space:]]\(+\|-\)0[0-9]\{1\}00]//g' | sed 's/\"-\"/${color darkgreen}&/' | sed 's/\"-\"/&$color/' | sed '/bot\//s/^/Bot /' | sed '/ Googlebot\//s/^/${color darkblue}G$color${color red}O$color${color yellow}O$color${color darkblue}G$color${color darkgreen}L$color${color red}E$color /' | sed '/ Yahoo\//s/^/${color #7b0099}Yahoo$color /' | sed '/ Qwantify\//s/^/${color black}Q$color${color darkgreen}want$color /' | sed '/\( 4[0-9]\{2\} \)\|\( 5[0-9]\{2\} \)[0-9]\{1,\}[[:space:]]/s/^/${color red} \/\!\\ $color /' | sed 's/\(.*\ [0-9]\{3\} [0-9]\{1,\} \).*/\1/g' | sed 's/[[:space:]][0-9]\{1,\}[[:space:]]*$//' | sed 's/\( 1[0-9]\{2\}\)\|\( 2[0-9]\{2\}\)/${color darkgreen}&/' | sed 's/\( 1[0-9]\{2\} \)\|\( 2[0-9]\{2\} \)*$/&$color/' | sed 's/\( 3[0-9]\{2\}\)/${color darkrose}&/' | sed 's/\( 3[0-9]\{2\} \)/&$color/' | sed 's/\( 4[0-9]\{2\}\)\|\( 5[0-9]\{2\}\)/${color red}&/' | sed 's/\( 4[0-9]\{2\} \)\|\( 5[0-9]\{2\} \)/&$color/' | sed '/\( 1[0-9]\{2\}\)\|\( 2[0-9]\{2\}\)\|\( 3[0-9]\{2\}\)/s/^/${goto 28} /' }

On peut éventuellement utiliser \ à la fin d'une ligne pour insérer un retour chariot, mais pas indiquer des commentaires dedans avec #.
Je sais qu'on peut passer par un script externe se qui serait plus simple pour la lecture, mais le but est de n'insérer aucune dépendance externe.

WireGuard tourne en espace noyau, le module n'est pas dans mainline, alors de là à avoir un noyau compatible côté serveur et côté clients…

Je ne suis pas spécialiste du sujet, mais j'ai vu passer il y a quelques jours une app Wireguard Client sur Fdroid qui mentionne que le module noyau n'est pas nécessaire. Il permet par contre d'augmenter les perfs.

Ça me paraît audacieux de comparer un soft qui fonctionne (depuis quelques années) malgré des limites évidentes quand on le maltraite, avec un soft qui n'existe pas encore.
Bref, tout n'est pas rose chez OpenVPN, mais au moins c'est utilisable. Aujourd'hui. (Et hier.)

Dans le screenshot ci-haut un seul scp entre deux clients (dont le serveur VPN lui-même) suffit à consommer 100% du process d'OpenVPN server, pas vraiment de la maltraitance :) Imagine si tu y connectes un NAS, une camera HD, une playstation et deux ados :P
Donc utilisable oui, mais en prenant en compte les limitations dés le départ.

Note que ce n'est pas du tout de la guerre de chapelle, j’utilise OpenVPN tout les jours avec mes clusters.
Mais c'est a coups de hack pour que ça fonctionne :
- plusieurs process avec chacun son sous réseau, afin de bénéficier d'assez de BP/latence (et de pas trop laisser glander les cœurs)
- dispatch des clients/services afin d'éviter qu'un service critique ne soit down au moindre transfert de fichier
- un script qui édite /etc/hosts afin de ne pas utiliser le VPN ( !!! ) sauf en cas d'IP dynamique.

Au besoin, OpenVPN est compatible TCP (il suffit d'aller remplacer upd par tcp dans tout les fichiers ovpn côté client comme serveur).

J'ai oublié de préciser :
Quand deux clients s'envoient des fichiers à travers OpenVPN, le process d'OpenVPN se met a consommer 100% de l'unique coeur qui lui est alloué. Le tunnel de données devient ainsi saturé pour tout les autres clients.

Si tu lances un second process d'OpenVPN sur la même machine, les clients peuvent y échanger tranquilou des fichiers et ce malgré que le premier tunnel est toujours bouché. Ceci tant qu'ils ne consomment pas trop si non ils bouchent aussi ce second tunnel.
Donc si tu veux profiter de toute la puissance d'un multicore, tu es obligé lancer X fois OpenVPN sur des ports différents (idem pour les clients) et utiliser des répartiteurs de charges pour rediriger en cas de bouchon.

Anecdote aussi :
à travers les Health Check de HaProxy, je peux voir que lorsqu'un tunnel devient utilisé, la latence des autres clients connectés au même process ce met à augmenter un peu. (ce qui est logique compte tenu du paragraphe précédent).

Wireguard (quand il sera utilisable/terminé), si je ne m'abuse, promet lui de ne pas s'occuper de tout chiffrer/déchiffrer directement (pas de MITM) et ainsi libérer du CPU, tout en étant censé être multicore.

ptit test vite fait entre 2 Odroid-XU4 :

si tu atteins deja 240Mbps, c'est que tu as une TRES bonne connexion.

C'est en LAN sur une ligne full gigabit SFTP :)
Difficile de tester les capacités maximales d'OpenVPN via internet si non :)

Parce que dans ce cas il faut d'abord se connecter au portail avec OpenVPN désactivé, et ensuite lancer OpenVPN.

OpenVPN ne crée le VPN que s'il réussi à établir la liaison avec le serveur. En attendant, il retente tout les X temps de ce connecter (configurable).
Donc s'il doit attendre que tu rentres ton login/pass sur ton portail captif, ce n'est pas vraiment un problème.

PS: si tu veux jouer avec OpenVPN, je te conseil de voir du côté de PiVPN qui simplifie franchement la tâche. (malgré son nom, ça fonctionne aussi sur les autres machines ubuntu/debian )

ça fonctionne sur Tor Browser ;)

J'ai utilisé OpenVPN dans plein de contextes différents et je n'ai pas l'impression que ça soit déprécié ?

Déprécié non mais tout n'est pas rose

En 2018 (et aussi en 2019, vous verrez 😉) OpenVPN n'est toujours pas multi thread.
Donc quand tu balances un scp d'un client a un autre, on peut voir un seul processeur tourner a 100% sur le serveur, et la bandwidth très très limitée. (le max que j'ai pu voir avec un openvpn sur odroid xu4, c'est 24Mo/s)
OpenVPN se la joue man in the middle: il déchiffre et rechiffre toutes les communications entre client. (wireguard fait l'inverse il me semble, se sont les clients qui dechiffrent quand ils parlent entre eux).
Des micro coupures peuvent perturber les clients mysql, le client sur ubuntu n'est pas toujours stable non plus. (et il n'aime mais pas du tout qu'on switch du wifi au filaire)

Le problème provient bien de l'HairPinning.
Si tu es le seul client :
La solution la plus simple : tu tapes ce script dans un dossier, tu le chmod +x et tu ajoutes un cron (en sudo crontab -e) du type

*/2 * * * *     /ton/script.bash adresse_ip_lan adresse_mac_serveur www.nom_domaine.com

par exemple

*/2 * * * *     /path/scripts/updateHost.bash   192.168.1.42    00:11:22:33:44:55   www.linuxfr.org

ou si tu veux forcer le passage par une IP (par exemple VPN) quand tu es aussi sur internet :

*/2 * * * *     /path/scripts/updateHost.bash   192.168.1.42    00:11:22:33:44:55   www.linuxfr.org 10.8.1.42

Ce script vérifie si ton routeur est présent sur le même réseau que ton pc et si oui édite le fichier /etc/hosts. Il nécessite que tu supprimes toute ligne qui pourrait trop ressembler à celles qu'il doit supprimer.

Si par contre il y a plusieurs clients mobile, et que tu ne peux pas changer de routeur, alors cette solution est la meilleure : Mettre en place un serveur DNS aux noms de domaines parametrable (Rogue DNS)

Tu peux trouver ici d'autres solutions que j'ai pu expérimenter : Outrepasser les problèmes de hairpinning (boucle local) sur GNU/Linux

Il y aurait moyen d'améliorer la sécurité en créant un utilisateur dédié et en lui attribuant la permission d'ouvrir le port DNS officiel (53).

Vous avez un bon widget *1 de calendrier a conseiller en alternative a celui de google calendar ? (un qui affiche tout les jours du mois avec un ou plusieurs marqueurs sur les jours où il y a des events).

*1 libre et qui n'espionne pas

Donc, à moins que je n'ai pas localisé le bon endroit dans le code source, ce n'est pas un paramétrage de l'utilisateur, c'est le code qui force directement ces permissions.

Ca ne m'avait même pas traversé l'esprit. Il est plus que probable que le soucis viennent de là.
Je viens de tenter de changer l'utilisateur de ZoneMinder mais ca amène pas mal de problèmes/bugs. Donc le prochain test de demain sera de monter localement (127.0.0.1) le remote storage via SSHFS. Ainsi ZM continuera d'utiliser www-data et le storage son propre user.

PS : excuse pour les -1 sur deux de tes msg, mais les boutons pertinents/inutile c'est une horreur avec les écrans tactiles ^ ^

Par rapport à ton test là, qu'est-ce que ça donne si tu fais:

sudo -u www-data -c "umask 0007; touch /media/storage_SSHFS/from_sshfs_by_www-data_user.test"

Ta commande renvoie sudo: umask: command not found

Alors il semblerait que je me trompais ici.

Je pense peut-être avoir réussi à régler le www-data sur ClusterOne. J'ai répliqué l'exacte même modifs sur le serveurs. Mais … Permission Denied.

Il ne faut pas tester les droits d'apache2 via ligne de commande mais en appelant une page web. (source)
J'ai donc créé un script (inspiré d'un recup dans le lien précédent)

<?php
$path = "/media/storage_SSHFS/";
mkdir( $path . "test" );
if ($fp = fopen($path . "/test/" . time() . '.txt', 'w')) {
  fwrite($fp, 'This is a simple test.');
  fclose($fp);
  echo "done";
} else {
  echo "error - cannot create file";
}
?>

(il crée un dossier test dans $path et un fichier time.txt dedans)

Résultat sur le client :

root@ClusterOne:/# ls -l /media/storage_SSHFS/
total 20
-rwxrwx--- 1     1002 www-data  22 sep 10 17:08 1536592133.txt
drwxrwx--- 1     1002 www-data  28 sep 10 17:16 test

root@andromede1:/home/voxpopuli# ls -l /media/storage_SSHFS/test/
total 4
-rwxrwx--- 1 1002 www-data 22 sep 10 17:16 1536592563.txt

Résultat sur le serveur :

root@machine:/# ls -l /media/ssd/folder/
total 4
-rw-rw---- 1 www-data-sshfs www-data  22 Sep 10 17:08 1536592133.txt
drwxrws--- 1 www-data-sshfs www-data  28 Sep 10 17:16 test

root@machine:/# ls -l /media/ssd/folder/test/
total 4
-rw-rw---- 1 www-data-sshfs www-data 22 Sep 10 17:16 1536592563.txt

Ca avait l'air parfait et donc :
J'ai testé en lançant zoneminder et en changeant une camera de serveur (et donc l'enregistrement est passé de www-data a www-data-sshfs) et les "Can't mkdir events/16/18/09/10/17/04: Permission denied" ré-apparaissent.

Dans les fichiers je peux voir ce genre de choses :

root@serveur:/# ls -l /media/ssd/folder/events/16/18/09/10/
total 0
drwxrws--- 1 www-data www-data 24 Sep 10 14:50 14
drwxrws--- 1 www-data www-data 28 Sep 10 15:50 15
drwxrws--- 1 www-data www-data 36 Sep 10 16:50 16
drwxr-sr-x 1 www-data www-data  8 Sep 10 17:02 17

(j'avais chown www-data:www-data et chmod 2770 tout les folders avant le test, le folder 17 a probablement été créé après le chmod/chown)