ROUGEXIII a écrit 30 commentaires

Merci d'avoir ouvert ce billet!

J'ai trouvé vraiment improbable que ma banque me demande le mot de passe de mon espace client pour valider un paiement (après le code temporaire par sms). En cherchant des informations sur l'url appelée par l'iframe je suis arrivé ici et cela m'a rassuré et permis de terminer mon paiement.

Je trouve ça tellement absurde… Est-ce qu'il existe un moyen de signaler / dénoncer (en ayant une chance d'arriver jusqu'aux personnes compétentes dans ces banques) cette pratique contre-productive afin de vite abandonner cette bêtise?

D'accord,

Du coup sur le routeur 1.52 j'ai ajouté la route statique suivante:
- Interface : Wan
- Target : 192.168.11.5
- IPv4-Netmask : 255.255.255.0
- IPv4-Gateway : 192.168.1.51

Dans le doute j'ai aussi ajouté sur la box la "table de routage" suivante:
- Destination : 192.168.11.5
- Masque de sous réseau : 255.255.255.0
- Passerelle : 192.168.1.51

Mais depuis un client sur le routeur 1.51 je n'ai toujours pas accès au serveur 192.168.11.5

Je suis tombé sur ça

Du coup j'ai l'impression que sur mon serveur le "PREPROUTING" avec iptable est insuffisant. Mais là c'est bien au delà de mes capacités…

Bon effectivement si je ne mets que le seul :
listening-ip=0.0.0.0

Je n'ai plus l'erreur…

(dommage qu'on ne puisse plus modifier ses commentaires après 5 minutes :/)

Je viens de faire un petit pas je pense:

Bon je tentais d'écouter le journal avec les permissions insuffisantes donc forcément je n'avais rien. Depuis j'ai vu le warning suivant
NO EXPLICIT LISTENER ADDRESS(ES) ARE CONFIGURED

J'ai du coup ajouté à mon fichier de config turnserver.conf:
listening-ip=0.0.0.0
listening-ip=xxx.xxx.xxx.xxx#Ip publique
listening-ip=192.168.1.1
listening-ip=192.168.1.51
listening-ip=192.168.11.5
listening-ip=10.0.3.5
listening-ip=10.0.3.4

Bon je pense que 0.0.0.0 aurait suffit, mais je voulais pas passer à côté de quelque-chose.

Depuis le log est très bavard et les warnings suivants tournent en boucle:

0: : Trying to bind fd 49 to <xxx.xxx.xxx.xxx:3478>: errno=99
0: : Cannot bind DTLS/UDP listener socket to addr xxx.xxx.xxx.xxx:3478
0: : Trying to bind DTLS/UDP listener socket to addr xxx.xxx.xxx.xxx:3478, again...
bind: Cannot assign requested address
Cannot bind local socket to addr: Cannot assign requested address
En effectuant quelques recherches cela ressemble à un port déjà utilisé, mais là je ne vois pas le conteneur est dédié à coturn et ne contient pas grand chose d'autre.

Lorsque j'arrête le service coturn ss -plntu ne renvoie rien
Lorsque je le relance ss -plntu renvoie:

Netid          State           Recv-Q           Send-Q                     Local Address:Port                         Peer Address:Port          Process          
    udp            UNCONN          0                0                                0.0.0.0:3478                          0.0.0.0:*                              
    udp            UNCONN          0                0                                0.0.0.0:3478                          0.0.0.0:*                              
    udp            UNCONN          0                0                                0.0.0.0:3478                          0.0.0.0:*                              
    udp            UNCONN          0                0                                0.0.0.0:3478                          0.0.0.0:*                              
    udp            UNCONN          0                0                                0.0.0.0:3479                          0.0.0.0:*                              
    udp            UNCONN          0                0                                0.0.0.0:3479                          0.0.0.0:*                              
    udp            UNCONN          0                0                                0.0.0.0:3479                          0.0.0.0:*                              
    udp            UNCONN          0                0                                0.0.0.0:3479                          0.0.0.0:*                                      
    tcp            LISTEN          0                1024                             0.0.0.0:3478                          0.0.0.0:*                              
    tcp            LISTEN          0                1024                             0.0.0.0:3478                          0.0.0.0:*                              
    tcp            LISTEN          0                1024                             0.0.0.0:3478                          0.0.0.0:*                              
    tcp            LISTEN          0                1024                             0.0.0.0:3478                          0.0.0.0:*                              
    tcp            LISTEN          0                1024                             0.0.0.0:3479                          0.0.0.0:*                              
    tcp            LISTEN          0                1024                             0.0.0.0:3479                          0.0.0.0:*                              
    tcp            LISTEN          0                1024                             0.0.0.0:3479                          0.0.0.0:*                              
    tcp            LISTEN          0                1024                             0.0.0.0:3479                          0.0.0.0:*                              

Est-ce que ma configuration le force à ouvrir plusieurs fois le même port?

C'est ce que j'ai réalisé en écrivant la réponse :)

Du coup comment faire cela?
Quels mots clefs (français ou anglais) chercher pour trouver de la doc là dessus?

En attendant d'en apprendre un peu plus, je vais continuer tous mes essais à partir de clients hors réseau interne à partir de l'IP publique.

Pour les autres points as-tu des pistes/idées/commentaires?
Pour le serveur coturn en regardant les ports écoutés, je me rends compte que le 3479 l'est aussi, du coup je vais l'ajouter dans la box/routeur/iptable et voir si le journal syslog s'active lorsque je tente un appel (je suis passé en "verbose" dans le fichier de config de coturn).

Bonjour merci pour l'info :)

Quel est la plage horaire qu'il est préférable d'utiliser pour demander de l'aide? Le soir entre 19h et 20h?

Bonjour, Merci pour le premier retour :)

Les 3 routeurs openwrt (1.51, 1.52 et 1.53) ont pour passerelle l'IP de la box FAI : 192.168.1.1 => Ainsi tous les clients de ces 3 routeurs ont accès à internet et peuvent communiquer à mon autre serveur connecté en RJ à la BOX en 192.168.1.3

Dans la BOX FAI je route les ports que je veux rendre accessibles depuis l'extérieur vers la machine concernée:
Pour le premier serveur directement l'ip 192.168.1.3.
Pour le nouveau serveur derrière le routeur je redirige vers l'ip du routeur 192.168.1.51 puis dans le routeur vers l'IP du serveur 192.168.11.5 et enfin dans le serveur vers l'IP du conteneur lxc : 10.0.3.4 par exemple.
A noter que sur la box le menu de configuration sur lequel je paramètre cela est "reseau v4 > NAT > Redirection de ports"
Alors que dans les routeurs openwrt c'est le menu "Network > Firewall > port forwards" et non le menu "Network > Firewall > NAT rules" et du coup je ne comprends pas bien la différence.

Je pensais que comme par exemple sur la Box le port 8008 est routé vers le routeur openwrt 1.51, quand le routeur 1.52 reçoit une demande depuis son réseau à destination de 192.168.11.4:8008, il l'envoie à sa passerelle donc la box. Et la box devrait activer sa redirection comme quand cela vient de l'extérieur, mais ce n'est peut-être pas le cas? En fait cela semble logique que non puisque la box ne connaît pas l'IP 192.168.11.5… Aurait-il aurait fallu que je paramètre le serveur en 192.168.1.51 sur le client du réseau local? En revanche lorsque je mets l'IP publique comme serveur sur le client du routeur 1.52 je crois que cela fonctionne.

Il y a peut-être des choses que je devrais apprendre sur les réseaux, routage ou j'y suis presque?

(mais là je ne referai pas le dessin en ASCII … Non pas que ça ne m'amuse pas, mais j'ai plus le temps de le faire ).

Cela devrait te plaire ;)

Bonjour,
Merci pour ce retour complet!

La séparation en sous-réseaux c'est pour isoler les conteneurs qui n'ont pas à communiquer entres eux?

L'interface dummy cela sert à quoi? (Je n'en suis pas très loin dans mes lectures, j'essaye de comprendre cela pour l'instant : https://madovi.xyz/doku.php?id=services:virtu:tuto:lxc_tuto1)

L'idée d'avoir un fail2ban dans chaque conteneur dédié à celui-ci me plaît parce que c'est quand on conçoit un conteneur qu'on sait le mieux comment le protéger.
Niveau optimisation avec autant des services qui tournent cela ne génère pas trop d'écriture disque et/ou de consommation de ressource?

Il n'y a pas d'intérêt à mettre le fail2ban global qui coupe les accès dans un conteneur séparé?

Bonjour, merci pour le retour

Alors pour l'instant je suis en configuration par défaut sur LXC (donc veth et lxcbr0) mais j'avoue que je ne comprends pas encore les différentes possibilités et avantages/inconvénients.

Sur l'hôte LXC je fais un
iptables -t nat -A PREROUTING -i $NomDeMonInterface -p tcp --dport $MonNumDePort -j DNAT --to-destination 10.0.3.$NumDuContainer

Je ne sais pas trop ce que cela fait exactement mis à part que je peux rediriger le port voulu depuis l'IP hôte vers le conteneur voulu.
J'ai mis à jour le croquis sur le premier post pour faire apparaître les numéros de port.

Pas intéressant de mettre Fail2Ban dans un des conteneurs pour faciliter les sauvegardes / mise à jour / backup / transportabilité ?

Bonjour, merci pour le retour,

Je n'avais pas pensé à rsyslog! Mais oui!
Je vais regarder comment ça se met en place concrètement.

Je comprends pas trop le lien avec reverse proxy ou ssh mais je vais lire la doc :)

Bonjour,
Tout simplement avec LibreOffice - Draw avec quelques png glanées sur le web :)

Merci pour ton retour, point de vue intéressant.

Je le voyais dans l'autre sens avec toutes les données gérés par les conteneurs stockées dans les conteneurs :
- Séparation par fonction y compris des données
- Facilité de dupliquer / sauvegarder le conteneur avec les données (par exemple avant de faire une maj). Un seul ensemble fonctionnel à lui tout seul.
- Possibilité de changer le conteneur de serveur avec les données en un rien de temps
- Plus tard je voulais mettre un deuxième serveur de secours qui prendrait le relais en cas de coupure du principal (lieu, alimentation et connexion différente) avec synchronisation des conteneurs avec données

Mais ce n'est effectivement pas forcément le meilleurs des choix.
Tu procèdes comme cela sur ton serveur?
Du coup fail2ban dans son conteneur mais avec accès à tous les répertoires partagés des autres conteneurs?
Et fail2ban viens directement écrire dans les règles IP du de l'hôte pour bannir les IP?

Bon je vient d'essayer:

Sur le conteneur serveur:
J'ai installé apt-cacher-ng,
Dans le fichier config j'ai dé-commenté la ligne du port pour le changer en 9999
J'ai activé apt-cacher-ng au redémarrage : systemctl enable apt-cacher-ng

J'ai installé squid-deb-proxy-client
Puis redémarré le conteneur

Sur l'hote LXC:
j'ai rooté le port 9999 vers le conteneur serveur

Sur le premier conteneur client
J'ai installé squid-deb-proxy-client
Puis redémarré le conteneur

J'ai lancé l'installation d'un paquet
=> Vitesse ADSL

Sur le deuxieme conteneur client
J'ai installé squid-deb-proxy-client
Puis redémarré le conteneur

J'ai lancé l'installation du même paquet
=> Toujours Vitesse ADSL :/

J'ai dû rater quelque-chose, je vais lire un peu la doc.

Merci :)
Je du coup je vais regarder les différences entre:
apt-cacher-ng / approx / clue polipo

(critère de choix, facilité de mise en place, activité du projet, efficacité)

Si je ne dis pas de bêtise polipo est un proxy en général, il ne fait pas seulement cache de dépôt?

Merci :)
Je du coup je vais regarder les différences entre:
apt-cacher-ng / approx / clue polipo

(critère de choix, facilité de mise en place, activité du projet, efficacité)

Merci, mais l’inconvénient (pour mon cas) si je ne dis pas de bêtises, c'est qu'apt-miror fait une copie intégrale (ou alors nécessite une configuration manuelle pour choisir un par un les dépôts ce que je ne souhaite pas faire)

Ok, chouette merci, ce paquet fonctionne même sans proxy squid du coup?

Pour info ma configuration (en cours de définition) devrait ressembler à cela: https://i.imgur.com/lv2aWES.png
Penses tu que cela soit nécessaire dans ce cas?

J’envisage même de faire pointer le serveur debian qui héberge LXC et les conteneurs sur apt-cacher présent dans un de ses conteneurs. Possible?

Super, merci pour ce retour
Par curiosité pourquoi avoir arrêté? Grosse connexion fibre qui a remplacé l'ADSL?

Pour la taille de la partition du point de montage /boot, je pense pouvoir confirmer que 200Mo est trop peu: Lors de l'installation du driver de la carte graphique, il essaye d'écrire /boot/initrd.img-5.4… et n'y arrive pas, probablement car il n'y a pas assez de place. (sans doute pour cela que la notification espace faible est apparue)

Bonjour,

J'ai réussi avec succès à installer linux sur une partition chiffrée à côté de celle de windows sur bitlocker.

En fait tu avais raison c'était assez simple avec l'installateur de linux mint: partitionnement manuel, il a suffit de choisir "partition chiffrée" à la place d'ext4/btrfs, de choisir une clef, de mettre le point de montage "/" dedans et "/boot" en dehors et c'était fait.

Par contre je ne pouvais pas ajouter un fichier clef. Une fois la distribution démarrée, avec gnome disk utility, ("Disques" en Français) je peux changer la clef, mais toujours pas ajouter un fichier clef.

=> Une idée de comment faire? Il faut utiliser un autre outil je suppose?

L'autre soucis c'est que je n'arrive pas à mettre GRUB sur la clef USB externe. Si je choisi cette clef en guise de disque où installer le bootloader et que je met le point de montage "/boot" sur une partition de la clef, au redémarrage j'arrive systématiquement au prompt de grub (sans aucun choix/menu quoi).

En revanche si je choisi le disque interne en guise de disque où installer le bootloader et que je mets le point de montage "/boot" sur une partition de ce disque, aucun problème, j'ai mon menu GRUB fonctionnel.

=> Qu'est-ce qui m'échappe?

=> Question bonus: Lorsque j'ai cherché la taille idéale à donner à la partition du point de montage "/boot" j'ai vu qu'elle n'avait pas besoin d'être très grande. J'ai mis 200Mo, bon avec le recul j'aurais du mettre 256Mo voire 512Mo (https://linuxhint.com/boot-partition-size-debian/) car j'ai une notification qui m'indique que l'espace disque est faible sur cette partition alors qu'il reste pourtant 74Mo de libre. Est-ce qu'il y a des cas/usage où cela peut créer des problèmes?

Non, les tables de partitions (FAT), quelles soient MBR ou GPT […] se trouvent sur les premiers secteurs du disque (et aussi les derniers dans le cas de GPT).

Oh ok c'est plus clair, merci

=> Du coup je suppose que Gparted (par exemple) reconnaît si il y a une table de partition MBR ou GPT et adapte la première adresse sur le disque où il peut commencer à inscrire une "vraie" partition ? (un peu plus loin pour la GPT du coup)

=> Que contient et à quoi sert la partition EFI? Je suppose qu'elle ne contient pas le firmware successeur du BIOS, celui-ci doit toujours être dans l'eeprom sur la carte mère non?

=> Du coup Grub lui il s'installe ou par défaut?

En ce qui concerne le chiffrement, as-tu lu : https://www.howtoforge.com/automatically-unlock-luks-encrypted-drives-with-a-keyfile ? Tout y est il me semble.

Super lien, merci :)
Aurais tu un lien pour les étapes qui précèdent la configuration de la clef:

1. Je démarre sur une clef usb live de linux mint

2. J'installe d'abord LUKS depuis la live ou j'installe d'abord linux mint?

3. Comment je fais pour installer GRUB deux fois, une fois sur le disque, une autre dans la carte SD. Avec le premier qui renvoie sur le deuxième si la carte SD est présente ou démarre windows si elle est absente?

Pour ma part, j'ai deux partitions chiffrées (sur deux disque, mais ça ne change rien) : /home et /data. Le déchiffrement de /data se fait par un fichier se trouvant sur /home.

Oui j'avais vu qu'il était possible d'utiliser un fichier clef, j'avais trouvé cela ici : https://wiki.archlinux.org/title/dm-crypt/Device_encryption donc vis à vis de ton expérience on peut le stocker sur la carte SD et LUKS saura le trouver? On peut bien aussi le coupler à un mot de passe: utiliser le fichier clef ET le mot de passe demandé à l'utilisateur?

Bonjour, merci d'avoir répondu si vite :)

GPT n'est pas un type de partition mais un successeur de MBR, c’est-à-dire une table de partition (FAT) : https://lecrabeinfo.net/differences-mbr-gpt-tables-de-partitionnement.html t'éclairera sans doute.

En effet j'ai fait un raccourci alors que "table de partition" != "partition", je m'étais renseigné ici : https://wiki.archlinux.fr/GRUB#Syst.C3.A8mes_UEFI
En fait j'avais commencé par chercher sur google "où est installé GRUB par défaut". J'ai visiblement un peu tout mélangé.
Si je comprends bien la table de partition (GPT dans mon cas) se trouve dans la partition "EFI"? La deuxième sur mon image de Gparted? En revanche ce n'est pas ici que sera mis en place GRUB c'est bien ça?

En ce qui concerne le chiffrement de partition via LUKS, nul besoin de l'associer à LVM : https://doc.ubuntu-fr.org/cryptsetup

Oui j'avais compris cela, mais ce que je voulais dire c'est que les tutoriels pour mise en place de LUKS intègrent une partie LVM dont je n'ai pas besoin et qui du coup me perd :/

Notes que j'ai obtenues ces deux liens en trois secondes grâce à mon moteur de recherche favori !

J'ai pourtant bien effectué pas mal de recherches avant de passer la soirée à rédiger ce sujet, mes faibles connaissances ou peut-être une tendance à balayer trop vite les résultats ne m'ont pas permis de m'en sortir :/ En tout cas merci pour ton aide :)