Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
doc:systeme:ctparental [07/09/2023 12:40] mazkagaz [Bonus ouverture de ports] |
doc:systeme:ctparental [17/04/2024 14:21] (Version actuelle) CTp [Prérequis] |
||
|---|---|---|---|
| Ligne 4: | Ligne 4: | ||
| * Niveau requis : {{tag>débutant avisé}} | * Niveau requis : {{tag>débutant avisé}} | ||
| * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | ||
| - | * Suivi : {{tag>en-chantier à-tester à-placer}} | + | * Suivi : {{tag>à-tester}} |
| * Création par [[user>mazkagaz]] 07/09/2023 | * Création par [[user>mazkagaz]] 07/09/2023 | ||
| * Testé par <...> le <...> FIXME | * Testé par <...> le <...> FIXME | ||
| - | * Commentaires sur le forum : [[:url-invalide | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) FIXME | + | * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?id=33897 | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) |
| **Nota :** | **Nota :** | ||
| Ligne 19: | Ligne 19: | ||
| * sur [[https://gitlab.com/ctparentalgroup/CTparental/-/wikis/installation-fr|le gitlab de CTparental]] | * sur [[https://gitlab.com/ctparentalgroup/CTparental/-/wikis/installation-fr|le gitlab de CTparental]] | ||
| - | Je me suis largement inspiré de ces tutos dont je vais donner les grandes étapes, en insistant sur les points qui ont été bloquant dans mon contexte, et en ajoutant des tips de paramétrage qui m'ont été utiles. | + | Je me suis largement inspiré de ces tutos dont je vais donner les grandes étapes, en insistant sur les points qui ont été bloquant dans mon contexte, et en ajoutant des astuces de paramétrage qui m'ont été utiles. |
| ===== Prérequis ===== | ===== Prérequis ===== | ||
| Il faut disposer de **deux comptes utilisateur** sur le poste de travail : un compte **enfant** sans les droits administrateur et un **parent** avec les droits administrateur. | Il faut disposer de **deux comptes utilisateur** sur le poste de travail : un compte **enfant** sans les droits administrateur et un **parent** avec les droits administrateur. | ||
| Ligne 30: | Ligne 30: | ||
| <code root>apt install gdebi</code> | <code root>apt install gdebi</code> | ||
| - | <note warning>**ATTENTION** ! \\ Il faut activer les dépôts testing et unstable et régler les priorités afin de régler certains soucis de dépendances non satisfaites avec debian 12. Cette modification doit être réalisée avec beaucoup de prudence si vous ne voulez pas rendre le système instable. | + | <note warning>**ATTENTION** ! \\ Il faut activer les dépôts trixie (testing actuel) et régler les priorités afin de régler le souci de dépendances dnscrypt-proxy non satisfaites avec debian 12. Cette modification doit être réalisée avec beaucoup de prudence si vous ne voulez pas rendre le système instable. |
| Pour éviter cela, il existe une série de tests que vous pouvez faire pour tester votre configuration, et de précautions à prendre. | Pour éviter cela, il existe une série de tests que vous pouvez faire pour tester votre configuration, et de précautions à prendre. | ||
| Ligne 42: | Ligne 42: | ||
| surprise après une mise à jour...</note></note> | surprise après une mise à jour...</note></note> | ||
| - | On ajoute ''/etc/apt/sources.list.d/testing.list'' et ''/etc/apt/sources.list.d/unstable.list'' : | + | le code ci-dessous configure le pinning pour n'installer que le paquet dnscrypt-proxy via la branche trixie (Debian testing), les autres serons pris dans la branche bookworm (Debian 12) ceci a fin d'éviter de basculer sur une testing à la prochaine mise à jour des paquets du système. |
| - | <file testing.list testing.list>deb https://deb.debian.org/debian/ testing main</file> | + | |
| - | <file unstable.list unstable.list>deb https://deb.debian.org/debian/ unstable main</file> | + | |
| - | Modifier/éditer ''/etc/apt/preferences.d/pinning.pref'' : | + | <code root> |
| - | <file pinning.pref pinning.pref>Package: * | + | echo "deb http://ftp.de.debian.org/debian trixie main" > /etc/apt/sources.list.d/trixie.list |
| - | Pin: release n=bookworm | + | |
| - | Pin-Priority: 900 | + | |
| - | Package: * | + | { |
| - | Pin: release a=testing | + | echo 'Package: dnscrypt-proxy |
| + | Pin: release n=trixie | ||
| Pin-Priority: 500 | Pin-Priority: 500 | ||
| Package: * | Package: * | ||
| - | Pin: release a=unstable | + | Pin: release n=trixie |
| - | Pin-Priority: 100</file> | + | Pin-Priority: 1 |
| + | ' | ||
| + | } > /etc/apt/preferences.d/trixie.pref</code> | ||
| <note warning>**ATTENTION** ! \\ On se souvient du warning précédent avant de continuer. Tout va bien ? Alors on continue en se rappelant que quoi qu'il advienne, vous êtes seul-e responsable ;-) </note> | <note warning>**ATTENTION** ! \\ On se souvient du warning précédent avant de continuer. Tout va bien ? Alors on continue en se rappelant que quoi qu'il advienne, vous êtes seul-e responsable ;-) </note> | ||
| Ligne 72: | Ligne 72: | ||
| * Oui, on installe : <key>o</key> puis <key>Entrée</key> | * Oui, on installe : <key>o</key> puis <key>Entrée</key> | ||
| * ne pas modifier le codage clavier <key>Entrée</key> | * ne pas modifier le codage clavier <key>Entrée</key> | ||
| - | ...on patient...plus ou moins longtemps...on va boire un café...on se gratte le nez... | + | ...on patiente...plus ou moins longtemps...on va boire un café...on se gratte le nez... |
| * on crée l'identifiant pour administrer le contrôle parental + <key>Entrée</key> | * on crée l'identifiant pour administrer le contrôle parental + <key>Entrée</key> | ||
| * on crée le mot de passe + <key>Entrée</key> | * on crée le mot de passe + <key>Entrée</key> | ||
| Ligne 83: | Ligne 83: | ||
| Pour l'utilisation, je ne vais pas réinventer la roue, je vous renvoie vers [[https://www.numetopia.fr/installation-de-ctparental-et-configuration/#configuration_de_ctparental|ce lien]] pour la configuration et [[https://www.numetopia.fr/installation-de-ctparental-et-configuration/#informations_et_commandes_utiles_pour_l%e2%80%99administration_de_ctparental_en_ligne_de_commande|celui-ci]] pour l'administration. | Pour l'utilisation, je ne vais pas réinventer la roue, je vous renvoie vers [[https://www.numetopia.fr/installation-de-ctparental-et-configuration/#configuration_de_ctparental|ce lien]] pour la configuration et [[https://www.numetopia.fr/installation-de-ctparental-et-configuration/#informations_et_commandes_utiles_pour_l%e2%80%99administration_de_ctparental_en_ligne_de_commande|celui-ci]] pour l'administration. | ||
| - | ===== Bonus ouverture de ports ===== | + | ===== Bonus : ouverture de ports ===== |
| On rembobine l'histoire et on reprend la fin de l'install : | On rembobine l'histoire et on reprend la fin de l'install : | ||
| Ligne 99: | Ligne 99: | ||
| <code root>CTparental -ipton</code> | <code root>CTparental -ipton</code> | ||
| - | ===== Accès distant à l'interface ===== | + | ===== Bonus : accès distant à l'interface ===== |
| + | |||
| + | Partons de la situation suivante : vos enfants ont des PC identifiés sur le réseau local par un nom d'hôte et une ip connus. Lorsque vous réalisez un ping depuis n'importe quel poste sur le réseau local vers le nom d'hôte de l'un d'eux, celui-ci fonctionne et tape bien dans l'ip voulue. Vous pouvez faire cela en modifiant les fichiers ''/etc/hosts'' de tous vos postes ou directement sur votre routeur. Ça n'est pas obligatoire mais c'est pratique. | ||
| + | |||
| + | Éditer le fichier ''/etc/nginx/sites-enabled/ctparental.conf'' et ajouter/modifier les lignes contenant **IP_POSTE_ENFANT** ou **HOSTNAME_POSTE_ENFANT** dans mon exemple ci-dessous : | ||
| + | <code>server { | ||
| + | listen 127.0.0.11:80 ; | ||
| + | listen IP_POSTE_ENFANT:80 ; | ||
| + | listen [fd00::127:11]:80 ; | ||
| + | return 301 https://$host$request_uri; | ||
| + | } | ||
| + | |||
| + | |||
| + | server { | ||
| + | # server_name admin.ct.local; | ||
| + | server_name HOSTNAME_POSTE_ENFANT; | ||
| + | # SSL configuration | ||
| + | # | ||
| + | #ssl on; | ||
| + | listen 127.0.0.11:443 ssl ; | ||
| + | listen IP_POSTE_ENFANT:443 ssl ; | ||
| + | listen [fd00::127:11]:443 ssl ; | ||
| + | ssl_certificate /etc/ssl/private/admin.ct.local.pem; | ||
| + | ssl_certificate_key /etc/ssl/private/admin.ct.local.pem; | ||
| + | root /var/www/CTadmin; | ||
| + | index index.html index.php; | ||
| + | |||
| + | location / { | ||
| + | # First attempt to serve request as file, then | ||
| + | # as directory, then fall back to displaying a 404. | ||
| + | try_files $uri $uri/ =404; | ||
| + | } | ||
| + | |||
| + | # pass PHP scripts to FastCGI server | ||
| + | # | ||
| + | location ~ \.php$ { | ||
| + | fastcgi_read_timeout 180; | ||
| + | include snippets/fastcgi-php.conf; | ||
| + | fastcgi_pass unix:/var/run/php/php-fpm.sock; | ||
| + | } | ||
| + | # deny access to .htaccess files, if Apache's document root | ||
| + | # concurs with nginx's one | ||
| + | # | ||
| + | location ~ /\.ht { | ||
| + | deny all; | ||
| + | } | ||
| + | } | ||
| + | |||
| + | server { | ||
| + | server_name duckduckgo.com ; | ||
| + | # SSL configuration | ||
| + | # | ||
| + | # ssl on; | ||
| + | listen 127.0.0.11:443 ssl ; | ||
| + | listen IP_POSTE_ENFANT:443 ssl ; | ||
| + | listen [fd00::127:11]:443 ssl ; | ||
| + | ssl_certificate /etc/ssl/private/duckduckgo.pem; | ||
| + | ssl_certificate_key /etc/ssl/private/duckduckgo.pem; | ||
| + | return 301 https://safe.duckduckgo.com$request_uri; | ||
| + | } | ||
| + | |||
| + | server { | ||
| + | server_name www.qwant.com ; | ||
| + | # SSL configuration | ||
| + | # | ||
| + | # ssl on; | ||
| + | listen 127.0.0.11:443 ssl ; | ||
| + | listen IP_POSTE_ENFANT:443 ssl ; | ||
| + | listen [fd00::127:11]:443 ssl ; | ||
| + | ssl_certificate /etc/ssl/private/qwant.pem; | ||
| + | ssl_certificate_key /etc/ssl/private/qwant.pem; | ||
| + | return 301 https://www.qwantjunior.com$request_uri; | ||
| + | } | ||
| + | |||
| + | |||
| + | </code> | ||
| + | |||
| + | Recharger le service nginx : | ||
| + | <code root>systemctl restart nginx.service</code> | ||
| + | |||
| + | |||
| + | Il ne vous reste plus qu'à rentrer l'adresse https://HOSTNAME_POSTE_ENFANT dans votre navigateur pour gérer sa connexion depuis votre réseau local. | ||
| + | |||
| + | ===== Désagréments ===== | ||
| + | |||
| + | Au début je croyais que l'accès ssh était coupé et que ma configuration de nftables était mauvaise, en fait il n'y avait aucun problème. Les temps de démarrage de certains services sont significativement rallongés au démarrage du PC. | ||
| + | |||
| + | Par exemple, si vous avez l'habitude de réveiller les PC de vos enfants via ''wakeonlan'' et de tester que le démarrage est effectif via ''ping'' pour enchaîner directement par une commande ''ssh'' de mise à jour, celle-ci échouera car l'accès ssh sera différé de quelques dizaines de secondes. | ||
| + | |||
| + | Idem pour l'accès distant à l'interface. | ||
| - | FIXME suite dans le prochain épisode | ||
