logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 Re : Réseau » ssh + tunnel + socks5 » 18-09-2019 20:14:27

Cherka
bien entendu.
moi aussi je déteste reinstaler ma bécane surtout que c'est la seule et je n'ai guerre de temps pour trop bidouiller.

c'est bien pour cette raison qu’installer un system sur micro card serait un paliatif aux aléas de la bidouille sur une machine de prode.
je ne désespère pas.

quoi qu'il en soit je posterai la avancé/decision que je prendrai, histoire de ne pas laisser un poste zombie.
je te remercie.

#2 Re : Réseau » ssh + tunnel + socks5 » 18-09-2019 19:53:38

Cherka
bien! tu as carrément raison et ce fut mon intention in finé.

dans l’enthousiasme d'une enieme tentative qui elle fonctionna contrairement aux autres, j'ai posté directe sur le forum. mais après un reboot je retombe sur une config ssh que bloque....

bref je suis entrain de reprendre de zero/ voirje songe à reinstaller ma debian.

#3 Re : Réseau » ssh + tunnel + socks5 » 18-09-2019 19:29:35

Cherka
ok debian alain. je suis  parvenu a le faire fonctionner smile

#4 Re : Réseau » ssh + tunnel + socks5 » 18-09-2019 18:20:03

Cherka
@Debian Alain, peux tu me dire si sa fonctionne avec changement de port + clef ed25519?
merci

#5 Re : Réseau » ssh + tunnel + socks5 » 17-09-2019 20:44:19

Cherka
tu utilises un fichier  ~/.ssh/config??!! ok je vais tenter demain.

merci wink

#6 Re : Réseau » ssh + tunnel + socks5 » 17-09-2019 20:35:04

Cherka
mais je vais retenter demain aprem ce que tu as décrit sans changements aucuns du fichier de config sshd car c'est ce que tu as fait. pas de raison que ca ne fonctionne pas.
je te tiendrai informé.

#7 Re : Réseau » ssh + tunnel + socks5 » 17-09-2019 20:29:09

Cherka
j'ai fais tout ce que tu as decrit..... même que:

-si tu remplaces " su $USER" par "su - $USER" tu tombes directement dans le dossier $User (~/)
- les étapes que tu n'avais pas indiquées étaient évidentes pour moi ( le reboot, créer un MDP user, changement droit dossier .ssh/, création alias dans sudoers du new user pour installation .deb  ...)

mais j'ai toujours 'acces denied'.
par contre j'ai directement créer une paire de clef ed25519 au lieu du mot de passe + changement port. c'est tout.

#8 Re : Réseau » ssh + tunnel + socks5 » 17-09-2019 19:33:58

Cherka
@Debian Alain merci pour la procédure. malgré plusieurs paramétrage (du simple au plus compliqué) je ne suis pas parvenu à me connecter.

infothema a écrit :



le système SSH sert à relier 2 machines par un tunnel de confiance chiffré!



oui théoriquement. cependant "Debian Alain" decrit une procedure pour  exploiter une connexion ssh client/machine sur la meme machine?!!
La connaissais tu?

infothema a écrit :


Autre solution pour un anonymat relatif : installation de TOR sur ta machine locale smile



le pourquoi de ce projet ce n'ai pas la recherche de l'anonymat je n'ai pas plus confiance en debian/kde/ que mon FAI neutral et tout ceci pourkoi??????
non ce ne fut que pour le plaisir de "BIDOUILLER" smile

#9 Re : Réseau » ssh + tunnel + socks5 » 16-09-2019 22:08:04

Cherka
dsl pour le message précédant ( cause de rafraichissement) qui plus est, je n'avais pas activé l'option de 'Suivre automatiquement les sujets auxquels on a répondu.' dans paramètre du site.

ok je suis open pour que tu me guides..... vu l'heure à laquelle je poste ce message je dirais dans l'aprem voir en MP.... big_smile

#10 Re : Réseau » ssh + tunnel + socks5 » 16-09-2019 22:04:43

Cherka
merci pour les liens
présentement j’hésite en me créer un chroot (distro legere genre bsd/gentoo/arch sans UI) + server ssh. le tout sur SD card
ou alors la simple création d'1 user + server ssh.

les deux ont leur avantage et inconvénient....
cela dit, il m’était de toute evidence impossible d’opérer un usage conjoint client/serveur pour un meme user!

sa progresse...:)

#11 Re : Réseau » ssh + tunnel + socks5 » 16-09-2019 18:22:20

Cherka
merci @Debian Alain de ta reponse smile

apparemment il existe soit ta procedure ou soit créer une machine virtuelle (kvm , VBox...).

me semblant plus simple je vais creuser la tienne et te dira koi.

je reste ouvert  aux conseils/propositions/reponses tous venants wink

#12 Re : Réseau » ssh + tunnel + socks5 » 15-09-2019 18:20:36

Cherka
petit up
personne inspiré?

#13 Réseau » ssh + tunnel + socks5 » 14-09-2019 15:17:09

Cherka
Réponses : 22
bonjour,

BESOIN:
je veux faire passer mon trafic web par ssh  pour accéder au web via la méthode "ssh + tunnel + socks5".
cependant mon parc informatique se résume uniquement à mon pc portable.

ce que j'ai déjà fait
ne trouvant pas de tuto sur la particularité de mon projet  je me suis dis que logiquement une machine peut être à la fois client/serveur et si cela ne fonctionne pas, il doit exister une astuce pour pour cela.

j'ai donc installé openssh-server sur ma machine et l'ai mème configuré avec clef + passphrase.
parametré openssh-client.
paramétré mon explorateur.
ouvert un port dedié.

actuelement:
il m'est impossible d'établir une connexion dans le terminal pour cause:

 $: ssh -D port user@address
Enter passphrase for key '/home/user/.ssh/id_ed25519':
user@127.0.0.1: Permission denied (publickey).



question:
pourquoi cette erreur?
est ce que sur une même machine client et serveur peuvent cohabiter?
l'usage de ssh ne me servant uniquement que pour la tunnelisation socks, dois-je supprimer la clef/passphrase et commenter le parametre dans sshd.conf pour passer outre ce soucis de connexion console?
en gros qu'est ce qui ne vas pas?

pour vous aider dans vos investigations je vous joins les 2 .conf ssh

sshd.conf: serveur

# $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $

Port 8934
AddressFamily inet
#ListenAddress 127.0.0.1
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
SyslogFacility AUTHPRIV
LogLevel VERBOSE

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
PermitRootLogin no
StrictModes yes
MaxAuthTries 3
MaxSessions 1

PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
UseDNS yes
PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
PermitTunnel yes
#ChrootDirectory none
#VersionAddendum none

# no default banner path
Banner /etc/ssh/banner

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem sftp  /usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs proxy-only
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server



ssh_config: client

Host *
#   ForwardAgent no
   ForwardX11 no
#   ForwardX11Trusted yes
   PasswordAuthentication no
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
#   BatchMode no
   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   IdentityFile ~/.ssh/id_ecdsa
   IdentityFile ~/.ssh/id_ed25519
   Port 8934
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com
#   EscapeChar ~
   Tunnel yes
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com
#   RekeyLimit 1G 1h

#   VerifyHostKeyDNS yes
   PreferredAuthentications publickey

    SendEnv LANG LC_*
    HashKnownHosts yes




merci

#14 Réseau » Firejail: matriochka? » 20-08-2019 10:57:38

Cherka
Réponses : 0
salut ,

question sécurité, l'user linux n'est pas en reste. les solutions de protection de nos données genre apparmor, flatpack, chroot et consort me suffisent amplement pour le profile d'utilisateur que je représente.

cependant je doute de certaines app installées via flatpak (spotify et keepassxc) et j'envisage de contenir hypothétiquement leur activité avec firejail.
ce soft est censé isoler l'activité d'un floppé d'app. Pour skype ok(opacité), mais pour Firefox ou bien vlc cela relève selon moi de la paranoïa sécuritaire?! bref.


Questions: n'est-ce pas too much? adjoindre un service supplémentaire (firejail) dans un system secur avec des app en partis conteneurisées (flatpak) est ce pertinent? que pensez vous de firejail?



cordialement

#15 Re : Réseau » Unbound + dnssec + conf TLS » 30-10-2018 19:49:40

Cherka
ok merci pour les infos que je me suis empressé d'apporter au fichier.

cependant je suis tjrs bloqué apres sa mise en service.

que penses tu, freemaster, du blok foward-zone ( bas du fichier de conf)? penses tu qu'il es valide?

mes dernières recherches m'ont emmenées à créer un file.pem + file.key selon les instructions du blog http://www.bortzmeyer.org/7858.html mais rien n'y fait.

et pourtant je sens quej'y suis presque....

#16 Re : Réseau » Unbound + dnssec + conf TLS » 29-10-2018 21:08:23

Cherka
Tu as raison freemaster.
Ce fichier date d1 période où  ne sachant pas quoi faire, jexperimentais des modifs tout azimut sans logiques.
Bref, en gros je devrais commenter la ligne 127.0.0.0 pour decommenter celle 0.0.0.0

Quoi qu'il en soit ce n'est pas a ce niveau que le hic existe. Du moins je crois...

#17 Réseau » Unbound + dnssec + conf TLS » 29-10-2018 15:44:17

Cherka
Réponses : 5
bonjour,

Problematique:
je cherche à configurer unbound via tls. le tuto debian-facile est tres bien fait et updater mais ne mentionne que la config "unsecure".
celai  fait plus d'un an (avec periode d'abandon-reprise) que je cherche à adapter mon fichier de conf unbound-tls pour un acces WWW via tls sans succes.
je vous fait l'impasse sur l'historique des differents sites consultés (US) et echanges pour y parvenir.

Existant:
j'ai donc 2fichiers de conf unbound: 1 sur le quel je roule (unsecure) et l'autre qui me bloque (TLS).
j'ai egalement créé une regle parfeu pour le tls sur port 853.

Ci dessous le fichier TLS:

### fichier de conf unbound-tls
### Ref https://wiki.obsd4a.net/network:service:unbound-dnssec#gestion-dns-tls

# /etc/unbound/unbound.conf.d/ The server clause sets the main parameters.

server:

### verbosity number, 0 is least verbose. 1 is default.
    verbosity: 2

### interface
  #default interface
    interface: 127.0.0.1
    interface: ::1
  #toute les interfaces
  #interface: 0.0.0.0
  #interface: ::0
## Gestion des réseaux autorisés
  #localhost (lo)
     access-control: 127.0.0.0/8 allow ## j'autorise mon localhost
    access-control: ::1/128 allow
    access-control: 127.0.0.1/32 allow #_snoop
    access-control: ::1 allow #_snoop
  #reseau
    access-control: 192.168.0.0/16 allow ## j'autorise le réseau local
    access-control: 192.168.1.0/24 allow ## j'autorise le réseau local
   # l'internet (à ne pas activer)
    access-control: 0.0.0.0/0 refuse
    access-control: ::0/0 refuse

### Activation IPv et Support des Protocols :
    do-ip4: yes
    do-ip6: yes
    do-udp: yes
## Option d'activation du mode TLS
    do-tcp: yes
## ssl-upstream ou tls-upstream force le protocole TLS. ##
    tls-upstream: yes
    tls-upstream: yes
    tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
  # port to answer queries from
    tls-port: 853


### Divers
  # Durcir et cacher certaines informations
    harden-algo-downgrade: yes
    harden-glue: yes

    minimal-responses: yes
    hide-identity: yes
    hide-version: yes
    private-address: 192.168.0.0/16
    private-address: 192.168.1.0/24
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
  #private-address: 169.254.0.0/16

  #! Résout gOogLe.cOm et google.com de la même manière  
    use-caps-for-id: yes
    val-clean-additional: yes
  # Optimisation
    num-threads: 4

    key-cache-slabs: 8
    infra-cache-slabs: 8
    msg-cache-slabs: 8
    rrset-cache-slabs: 8

    key-cache-size: 16m
    msg-cache-size: 4m
    rrset-cache-size: 8m

    outgoing-range: 206
    qname-minimisation: yes

    so-rcvbuf: 1m
    so-sndbuf: 1m
    so-reuseport: yes

###Gestion des caches
  # garde en cache les bons résultats
    prefetch: yes
    cache-min-ttl: 3600
    cache-max-ttl: 86400
  # Durcissement
    harden-below-nxdomain: yes
    harden-dnssec-stripped: yes
    harden-referral-path: yes

##Gestion des journaux
  # gestion logs
    logfile: /var/log/unbound/unbound.log
    use-syslog: yes
    unwanted-reply-threshold: 10000000
    val-log-level: 2

  # Bloque certains sites & pubs
    include: /var/lib/unbound/unbound_ad_servers

  # Gestion fichier root.hints
    root-hints: "/var/lib/unbound/root.hints"

### Forwarder
    forward-zone:
    name: "."                           # use for ALL queries
    forward-tls-upstream: yes

    ## IPv4 DNS over TLS
    forward-addr: 9.9.9.9@853#dns.quad9.net      #Quad9
    forward-addr: 1.1.1.1@853#cloudflare-dns.com #Cloudflare
    forward-addr: 149.112.112.112@853#dns.quad9.net #Quad9 secondaire
    forward-addr: 1.0.0.1@853#cloudflare-dns.com    #Cloudflare secondaire
    forward-addr: 146.185.167.43@853#securedns.eu           #Europe
    forward-addr: 89.233.43.71@853#unicast.censurfridns.dk  #Europe

    #forward-addr: 145.100.185.15@853#dnsovertls.sinodun.com      #US
    #forward-addr: 184.105.193.78@853#tls-dns-u.odvr.dns-oarc.net #US
    #forward-addr: 185.49.141.37@853#getdnsapi.net #US
    #forward-addr: 199.58.81.218@853#dns.cmrg.net  #US

    ## IPv6 DNS over TLS
    forward-addr: 2620:fe::fe@853#dns.quad9.net                #Quad9 / IPv6
    forward-addr: 2606:4700:4700::1111@853#cloudflare-dns.com  #Cloudflare / IPv6
    forward-addr: 2606:4700:4700::1001@853#cloudflare-dns.com  #Cloudflare secondaire / IPv6
 



qlq '1 pourrait il me dire qu'est ce qui cloche dans ce fichier?
Cordialement

#18 Re : KDE » KDE Plasma 5.14 » 29-10-2018 15:05:49

Cherka
Et maintenant la version de plasma 5.14.2 vient d'etre mise à dispo.

cependant ces annonces concernent elles les distros neon,kubuntu... ou portent elles aussi sur une debian dépots experimentale?
j'ai beau chercher mais debain n'est jamais cité dans ces annonces.

je suis encore sur la version plasma 5.13.5.

bref si quelqu'un sait comment procéder pour up-dater la version actuelle histoire d'essuyer les qlq bugs et insuffisances connus,
je lui en serait reconnaissant.

merci

#20 Re : KDE » setup kontact-kmail (Résolution en attente de KDE.org) » 14-07-2018 14:18:20

Cherka
dans l'investigation des solutions sur le net de mon probleme cosmetique/pratique, je me suis aperçu
que bon nombre de problemes observés sur ce DE sont répertoriés sous forme de bug sur bugs.kde.org/
et font l'objet de vote pour la célérité leur resolutions/introduction(fonctionnalité).

celui-ci en étant un! (menubar kontact).

donc je ne crois pas que je doive marquer le sujet comme "résolu" puisque ce n'est pas le cas,
mais pour ceux qui se poseraient la mm question et en viennent à consulter ce post,
alors qu'elles considèrent le site bugs.kde.org comme 1er reflex (kde ne jouissant pas du mm soutient quantitatif que gnome)

#21 KDE » setup kontact-kmail (Résolution en attente de KDE.org) » 08-07-2018 13:36:29

Cherka
Réponses : 4
salut à vous,

cela fait un mois que je  teste KDE sous debian. Vraiment intéressant.

par contre je bute sur la config de quelques soft dont kmail-kontact:

1) pourriez vous me dire comment cacher le barre des menus de kontact?

et plus généralement comment cacher cette barre d'outils pour les app qui ne proposent
pas l'option configuration-> configurer les barres d'outils-> afficher la barre d'outils

étonnant de constater que sous kontact aucunes app kde-pim ne disposent de cette option
(entouré en rouge sur la photo).

OHbIkCetbMOL.png


2) comment procéder pour qu'après chaque redémarrage de l'app, les onglets " taille + total "
n’apparaissent plus. cf photo

GbYBFEz35yFq.png

edit1: Merci chalu pour les l'info des pictures
edit2: je parlais non pas de la barre d'outils mais la barre des menues

#22 Re : Réseau » deconnexion lors changement interface reseaux » 01-02-2018 10:12:00

Cherka
bon apparemment probleme resolue!
comment:
   je ne sais pas: soit une maj  d'un paquet incriminé,
                          soit une procedure de connection plus fiable

en somme à investiguer! si je decouvre le pourquoi  du comment j'en ferais part sur le forum

#23 Re : Réseau » deconnexion lors changement interface reseaux » 28-01-2018 16:02:26

Cherka
ok merci pour ta reponse cependant ce paquet me sera inutile vue que pour le reseaux samba tout est ok.

sympa pour la tentative

#25 Réseau » deconnexion lors changement interface reseaux » 26-01-2018 14:37:08

Cherka
Réponses : 4
bonjour,

Actuelement:

pour me connecter au web avec mon laptop, j'utilise soit mon interface wlp2s0 (defaut) ou alors mon smartphone via cable usb ( wifi free secure)!
j'utilise dhcp et quelque fois  mon vpn; le tout étant geré par network-manager (NM).

-  AVANT: 1) le changement de l'interface se faisait automatiquement. NM basculait automatiquement sur le wlp2s0 si par exemple le cable usb du smartphone se débranchait.
                       2) possibilité de surfer avec connection smartphone + VPN smartphone

- Maintenant: 1) lors de la perte de connection smartphone, je suis obliger de me reloguer (user + MDP)
                             2) impossibilité de surfer via smartphone si vpn activé (HMA android)

Probleme:

le temps passé à investigué ne m'a rien apporté en terme de ciblage probleme si ce n'est soit 1 new paquet installé (libossp-uuid-perl uuid-dev libossp-uuid16), ou soit un exploit de mon smartphone (eventualité)...
surtout que maintenant la conncetion du phone ne presente plus le phone comme device dans  nautilus!

bien  à vous

Pied de page des forums

Propulsé par FluxBB