en passant à l'algo de chiffrement ED25519 :
ssh-keygen -t ed25519
Ensuite, c'est la même utilisation que les clés RSA.
Mois : février 2023
Chroot
Pour mémoire :
# mount /dev/sdc3 /mnt
# mount /dev/sdc4 /mnt/var
# mount /dev/sda1 /mnt/home
# mount --bind /dev /mnt/dev
# mount -t proc /proc /mnt/proc
# mount -t sysfs /sys /mnt/sys
# chroot /mnt /bin/bash
Et une fois terminé :
# exit
# umount /mnt/sys
# umount /mnt/proc
# umount /mnt/dev
# umount /mnt/home
# umount /mnt/var
# umount /mnt
Garder sa debian à l'heure
Il faut installer le paquet systemd-timesyncd :
# apt install systemd-timesyncd
puis pour activer le NTP :
# timedatctl set-ntp true
Freezer resolv.conf
Pour obtenir ce résultat magique, eu égard à l'intrépide Network-manager qui s'en remet sans cesse au DHCP orange, une seule ligne de commande après avoir modifier le fichier.
chattr +i /etc/resolv.conf
L'option i rend le fichier immuable.
Ignorer un contenu dans les logs
Dans etc/rsyslog.d, on ajoute un fichier 01-ignore-machin.conf qui contient, par exemple :
:msg, contains, "pbs-tartux" ~
La doc est là : https://www.rsyslog.com/doc/v8-stable/configuration/filters.html
La commande at
pour utiliser at avec un format de date en français :
# at 22:00 18.02.23
at> kill 4760
at>
Ctrl +D pour sortir de at
Créer un certificat Let's Encrypt (sur ubuntu)
Sur le serveur qui accueille le nom de domaine (pas forcément le site) :
# apt install snapd
ou pour vérifier que snapd està jour :
# snap install core; snap refresh core
Pour enlever l'ancien certbot :
# snap remove certbot
Pour installer certbot :
# snap install --classic certbot
Préparation de la commande :
# ln -s /snp/bin/certbot /usr/bin/certbot
Choisir comment utiliser certbot :
cette première option modifie directement la config apache pour utiliser le https (déconseillé pour un multisite)
# certbot --apache
la seconde option pour n'obtenir que le certificat :
# certbot certonly --apache -d nomdedomaine
Renouvellement du certificat après avoir stopper apache :
# certbot renew
Pour intégrer le certificat au VirtualHost :
SSLEngine on
SSLCertificateFile /etc/ssl/tartux.net/fullchain.pem
SSLCertificateKeyFile /etc/ssl/tartux.net/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
Routage avec une debian
Je veux me créer un petit réseau pour faire mes geekeries. Je choisis 192.168.10.0/26. 62 adresses, ça devrait suffire.
Je créé ma passerelle debian avec ses deux cartes réseau :
IP1: 192.168.1.180 côté box orange (192.168.1.1/24) -> eth0
IP2: 192.168.10.193 côté mon nouveau réseau. -> eth1
D'abord, je configure le transit des flux dans /etc/sysctl.conf :
net.ipv4.ip_forward=1
Avec iptables, on ajoute du nat pour protéger mon nouveau réseau, ainsi tous les paquets sembleront venir de la passerelle.
# iptables -t nat -A POSTROUTING eth0 -j MASQUERADE
Puis on ajoute la communication dans les deux sens :
# iptables -A FORWARD -i eth1 -o eth0 -m state RELATED, ESTABLISHED -j ACCEPT
# iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
On sauvegarde les règles :
# iptables-save > /etc/iptables_rules.save
Enfin, pour appliquer les règles au démarrage, dans /etc/network/interfaces, on ajoute :
post-up iptables-restore < /etc/iptables_rules.save
Au cas où, pour lire la règle nat : iptables -L -t nat
Pour accéder au nouveau réseau depuis une machine du réseau box, il faut lui ajouter une route statique :
# route add -net 192.168.10.192 netmask 255.255.255.192 gw 192.168.1.180
Magique.