avec fail2ban
installer fail2ban
# apt install fail2ban
créer le fichier /etc/fail2ban/jail.d/custom.conf pour proteger le port SSH 2222 ( par exemple en place du port 22 par défaut)
[sshd]
enabled = true
port = 2222
filter = sshd
logpath = %(sshd_log)s
backend = %(sshd_backend)s
maxretry = 4
bantime = 86400
au bout de 4 essais ratés, l'IP sera bannie 86400 s (1 jour)
redémarrer le service
#systemctl restart fail2ban
ne pas oublier d'activer ufw
voir les IP bannies
#fail2ban-client status sshd
pour un serveur laptop sous debian minimal
mon serveur est un laptop. Parfois, la connexion ethernet plante, d'où l’intérêt du wifi pour prendre la main en ssh et relancer la machine.
Mais il convient de forcer l'ethernet plutôt que le wifi , le laptop n'étant plus tout neuf.
Evidemment, version minimale donc installation du wifi à la main en éditant /etc/network/interfaces ( j'ai affecté l'adresse IP par le routeur selon l'adresse MAC)
ce qui donne
# The loopback network interface
auto lo
iface lo inet loopback
auto enp5s0
allow-hotplug enp5s0
iface enp5s0 inet dhcp
#dns quad9
dns-nameservers 9.9.9.9 149.112.112.112
#wifi
auto wlp3s0
iface wlp3s0 inet dhcp
wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
#dns quad9
dns-nameservers 9.9.9.9 149.112.112.112
Pour imposer la connexion filaire, j'utilise la métrique.
#apt install ifmetric
et j'ai ajouté metric 1 et 2 dans le fichier précédent pour désigner qui est prioritaire
# The loopback network interface
auto lo
iface lo inet loopback
auto enp5s0
allow-hotplug enp5s0
iface enp5s0 inet dhcp
#dns quad9
dns-nameservers 9.9.9.9 149.112.112.112
metric 1
#wifi
auto wlp3s0
#allow-hotplug wlps30
iface wlp3s0 inet dhcp
wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
#dns quad9
dns-nameservers 9.9.9.9 149.112.112.112
metric 2
-- redémarrage du réseau
#systemctl restart networking
# ip route (la métrique apparait, avec ethernet en priorité 1)
default via 192.168.1.254 dev enp5s0 metric 1
default via 192.168.1.254 dev wlp3s0 metric 2
169.254.0.0/16 dev enp5s0 scope link metric 1
192.168.1.0/24 dev enp5s0 proto kernel scope link src 192.168.1.38 metric 1
192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.39 metric 2
-- test de DL d'un fichier de 1Go: 8 s pour le charger . Pas de doute, c'est bien l'ethernet sur la fibre ( 1 Gb/s !!)
$ curl -4 -o /dev/null https://bouygues.testdebit.info/1G.iso
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 953M 100 953M 0 0 109M 0 0:00:08 0:00:08 --:--:-- 112M
-- test inverse :
je mets la priorité sur le wifi , en inversant les metric dans /etc/network/interfaces
redémarrage du réseau
#systemctl restart networking
test de DL d'un fichier de 1Go: 3mn 20. Pas de doute,c'est plus l'ethernet , la connexion wifi à 54 Mbs limite le télechargement.
$curl -4 -o /dev/null https://bouygues.testdebit.info/1G.iso
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 953M 100 953M 0 0 4903k 0 0:03:19 0:03:19 --:--:-- 4949k
Il reste à réinverser les metric , non ?
Mais j'aurai de quoi accéder à la machine , si je perds l'ethernet. En espérant que le wifi ne plante pas non plus simultanément.
en rabattant l'écran
éditer le fichier /etc/systemd/logind.conf
décommenter la ligne suivante
HandleLidSwitch=ignore
et voila
dialogue terminal TCP
Pour dialoguer avec un équipement par commandes machine, j'utilise Terraterm ou Putty, en utilisant le protocole Raw TCP.
Ce sont des commandes soit de statut, de récupération de données ou de configuration.
Toutefois, le faire depuis un smartphone a son intérêt dans certains cas. Mais je n'ai pas trouvé de client androïd tout prêt.
Donc, il a fallu composer.
Installer termux (sur fdroïd), qui est un terminal multifonctions, dans lequel on peut ajouter des paquets.
Le lancer. Ensuite, c'est un terminal linux, donc
apt update
apt upgrade -y
apt install netcat-bsd. Netcat est un utilitaire qui permet d'ouvrir des connexions réseau
on ouvre ma connexion TCP
netcat -v adresseIP port
plus précisément pour mon cas
netcat -vC adresseIP port l'option -C envoie un CR automatique, indispensable car caractère de début de dialogue
et mots de passe
pour modifier les mots de passe magicien et amis
éditer sudo nano /var/lib/geneweb/base.gwf
et modifier wizard et friend, ou créer un utilisateur
# Friend can see all dates
# Choose a password or leave it empty
# Form: "user_id:password" or just "password"
friend_passwd=famille:motdepasse famille
# Alternative way for friend entry: authorization file.
# The file must hold lines of the form "user:password".
friend_passwd_file=
# Wizard can see all dates and update the base
# Choose a password or leave it empty
# Form: "user_id:password" or just "password"
wizard_passwd=motdepasse magicien
liste du nécessaire
liste créée depuis mon gestionnaire de paquets. Certains sont sûrement fournis par un groupe de paquets (mais apt le dit)
apt install
php8.0-apcu php8.0-bcmath php8.0-bz2 php8.0-cli php8.0-common php8.0-curl php8.0-gd php8.0-gmp php8.0-igbinary php8.0-imagick php8.0-imap php8.0-intl php8.0-mbstring php8.0-memcache php8.0-memcached php8.0-msgpack php8.0-mysql php8.0-opcache php8.0-readline php8.0-redis php8.0-xml php8.0-zip
ou erreur 502
erreur 502. Les pages php semblent ne plus être intérprétées.
Voir du coté de php-fpm.
vérifier l'état de fonctionnement de php7.3
sudo systemctl status php7.3-fpm
si négatif, lancer php-fpm à la main
sudo systemctl start php7.3-fpm
si l'erreur 502 a disparu, vérifier si php-fpm est bien lancé au démarrage en faisant un reboot.
S'il n'est pas lancé , revalider php-fpm avec sudo systemctl enable php7.3-fpm
mettre un plan A3 sur deux pages A4
avec cette commande pdfposter, le fichier en A3 est découpé en 2 fichiers au format A4
pdfposter -s1 A3.pdf a4.pdf
utilisation basique, pdfposter permet de fabriquer des posters à partir d'un document unique
voir ici https://pdfposter.readthedocs.io/en/stable/
et pour concaténer 2 fichiers pdf (ou plus)
pdftk 1.pdf 2.pdf cat output 1et2.pdf
en cas de crash , après coupure secteur
*********************sudo fsck.ext4 -v /dev/sdc2
e2fsck 1.42.13 (17-May-2015)
SD8A : propre, 46782/482384 fichiers, 509621/1928448 blocs
************************ sudo dosfsck -v /dev/sdc1
fsck.fat 3.0.28 (2015-05-16)
Checking we can access the last sector of the filesystem
0x41: Dirty bit is set. Fs was not properly unmounted and some data may be corrupt.
1) Remove dirty bit
2) No action
? 1
Boot sector contents:
System ID "mkfs.fat"
Media byte 0xf8 (hard disk)
512 bytes per logical sector
512 bytes per cluster
32 reserved sectors
First FAT starts at byte 16384 (sector 32)
2 FATs, 32 bit entries
508416 bytes per FAT (= 993 sectors)
Root directory start at cluster 2 (arbitrary size)
Data area starts at byte 1033216 (sector 2018)
127006 data clusters (65027072 bytes)
32 sectors/track, 64 heads
0 hidden sectors
129024 sectors total
Checking for unused clusters.
Checking free cluster summary.
Perform changes ? (y/n) y
/dev/sdc1: 142 files, 42835/127006 clusters
problème du fichier de log
impossible d'écrire dans le journal /var/log/mstp/msmtp.log :
le fichier est à renommer et à créer avec les droits pertinents
modifier dans .msmtprc la ligne :logfile /var/log/msmtp
il est nécessaire de créer le fichier de log , accessible par msmtp
en root
groups msmtp
touch /var/log/msmtp
chown msmtp:msmtp /var/log/msmtp
chmod 660 /var/log/msmtp