Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 Matériel » Carte WI-FIable? » 04-08-2019 15:33:06

MdgRUN
Réponses : 0
Bonjour,

en regardant la configuration de mon navigateur about : config histoire qu'il garde un certain anonymat pendant ces vacances,
je trouve le suivi de géolocalisation bien réglé sur FAUX en valeur booléenne.

Mais à la ligne suivante, je soupçonne une traîtrise de ma carte WI-FI:



C'est un lien par défaut qui renvoie à l' Identifiant Uniforme de Ressource (URI ) de GOOGLE ?

--->https://fr.wikipedia.org/wiki/Uniform_R … Identifier
--->https://fr.wikipedia.org/wiki/Adresse_web

Les ruses de renard de mon navigateur sont-elles contournées par le matériel ?

Comment faire avouer ( en lignes de commande ) ma carte wi-fi?

Mon navigateur a-t-il les moyens d'aiguiller la carte sur une fausse piste ? Si oui, comment ?

Merci de ne pas trop coder vos réponseskernal_panic.gif, je n'ai aucune vocation d'espion cool

#2 Re : Le bar » J'ai une citation, je la partage » 24-07-2019 11:16:01

Itxaro Borda :
« Monsieur Microsoft, Monsieur Apple et leurs amis
croient que nos cerveaux sont comme leurs disques durs. Limités et formatables.
Mais ils se trompent. Nous sommes bien loin de leurs limites… »

#3 Re : Le bar » J'ai une citation, je la partage » 08-07-2019 12:03:30

Takako_SAITO : «C’est celui qui s’est le plus amusé qui a gagné.»

#4 Re : Suivi du Wiki et des Projets Git » [wiki] Exim4 pour les nulls » 21-04-2019 19:17:53

Bonsoir,

y-a-t-il une baisse de niveau entre les nulls de 2016 .....et 2019 ?

J'ai pas encore l'utilité de apt-listchanges  et les "frozen" semblent bien gelés sur mon île aussi  out.gif

Mes infos:

 /usr/sbin/exim4 -d -bt mail


Exim version 4.86_2 uid=1002 gid=1002 pid=7803 D=fbb95cfd
Berkeley DB: Berkeley DB 5.3.28: (September  9, 2013)
Support for: crypteq iconv() IPv6 PAM Perl Expand_dlfunc GnuTLS move_frozen_messages Content_Scanning DKIM Old_Demime DNSSEC PRDR OCSP
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmjz dbmnz dnsdb dsearch ldap ldapdn ldapm mysql nis nis0 passwd pgsql sqlite
Authenticators: cram_md5 cyrus_sasl dovecot plaintext spa tls
Routers: accept dnslookup ipliteral iplookup manualroute queryprogram redirect
Transports: appendfile/maildir/mailstore/mbx autoreply lmtp pipe smtp
Fixed never_users: 0
Size of off_t: 8
Compiler: GCC [5.4.0 20160609]
Library version: GnuTLS: Compile: 3.4.10
                         Runtime: 3.5.18
Library version: Cyrus SASL: Compile: 2.1.26
                             Runtime: 2.1.26 [Cyrus SASL]
Library version: PCRE: Compile: 8.38
                       Runtime: 8.38 2015-11-23
Total 19 lookups
Library version: MySQL: Compile: 5.7.21 [(Ubuntu)]
                        Runtime: 5.7.25
Library version: SQLite: Compile: 3.11.0
                         Runtime: 3.11.0
WHITELIST_D_MACROS: "OUTGOING"
TRUSTED_CONFIG_LIST: "/etc/exim4/trusted_configs"
changed uid/gid: forcing real = effective
  uid=0 gid=1002 pid=7803
  auxiliary group list: <none>
seeking password data for user "uucp": cache not available
getpwnam() succeeded uid=10 gid=10
changed uid/gid: calling tls_validate_require_cipher
  uid=136 gid=143 pid=7804
  auxiliary group list: <none>
tls_validate_require_cipher child 7804 ended: status=0x0
configuration file is /var/lib/exim4/config.autogenerated
log selectors = 0000cffc 00732001
exim: debugging permission denied



sudo dpkg-reconfigure exim4-config



Pour obtenir avec :

  more /etc/exim4/update-exim4.conf.conf



 # /etc/exim4/update-exim4.conf.conf
# This is a Debian specific file

dc_eximconfig_configtype='smarthost'
dc_other_hostnames=''
dc_local_interfaces='127.0.0.1 ; 127.0.1.1 ;'
dc_readhost='PXXX3.net'
dc_relay_domains=''
dc_minimaldns='false'
dc_relay_nets='192.168.1.10/24'
dc_smarthost='mail.BXXXXDC::995'
CFILEMODE='644'
dc_use_split_config='false'
dc_hide_mailname='true'
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'
 



L'idée étant de pouvoir envoyer/retourner des messages directement entre les divers
utilisateurs de cette machine et d'établir la liaison ( POP3 ) vers une messagerie extérieure.

J'ai rajouté dans /etc/email-addresses:

root: BXXXXDC@PXXX3.net ( BXXXXDC est le nom de la machine correspondant au 127.0.1.1)
Util1: BXXXXDC@PXXX3.net
Util2: BXXXXDC@PXXX3.net
 



  echo "test de dimanche21" | mail -s "VOYONSvoir " Util2


 Util2@BXXXXDC:~$ mail


s-nail version v14.8.6.  Type ? for help.
"/var/mail/Util2": 1 message




Je peux lire, supprimer mais le renvoi, ni l'envoi direct à Util1 se font!

Le "FROM" du message indique :

BYYYYYYé <BXXXXDC@PXXX3.net>

où BYYYYYYé est l'identifiant de Util1 en ouverture graphique.

Comment le serveurX a-t-il pu s'intercaler?

Quelle configuration pour que le "FROM" soit  Util1 <BXXXXDC@PXXX3.net>  ?

 Util1$mail


 No mail for Util1



 Util1$sudo mailq


 0m   367 1hICVU-0002q3-Jn <util1@bXXXXdc>
          util1@bXXXXpdc


 Util1$sudo exim -Mrm 1hICVU-0002q3-Jn


Message 1hICVU-0002q3-Jn has been removed
 



A plus grande échelle, le filtre de robert2A est à prendre en considération

 `ls /var/spool/exim4/input/ | grep -- -H$ | cut -c 1-16`


yes.gif

#5 Re : Réseau » Les sockets du facteur.....RESOLU. » 11-04-2019 15:13:47

Bonjour Nsyo,
merci pour ce  pédagogique tuto qui va compléter:

--->http://cedricduval.free.fr/mutt/fr/site … ual-3.html

Je reviendrai affiner la configuration de cet Agent Utilisateur (MUA) si
besoin.....sous un titre moins "alléchant".

Je sais bien qu'il se suffit à lui-même  en cumulant le transport (MTA) et
la distribution (MDA).Ce qui m'intéresse c'est son mode texte et sa modularité.

Je souhaite communiquer depuis ma console à la fois avec les autres utilisateurs
de la machine et l'extérieur principalement à l'aide de 2 boîtes de courriels
chez LAPOSTE.NET et GMAIL.COM .

Ce sont ces messageries qui vont devenir relais (SMARTHOST).

Mes messages vont transiter par un routeur ORANGE auquel j'accède par wi-fi.
Avec mon navigateur, j'accède à plusieurs options dont le service DynDNS
qui permet d'attribuer des noms de domaine et d'hôte fixe à l'adresse IP.

Ici c'est l'adresse dynamique du wi-fi qui compte.

Je donne en nom d'hôte le nom de la machine. Dois-je rajouter/créer l'adresse
courriel pour chaque utilisateur,avec son mot de passe sur la machine?

Ces manipulations sont-elles faisables directement dans des fichiers de config?
Lesquels?

Le + déroutant pour moi est de penser à la sécurité:

--Que devient le mot de passe du routeur?
--Quand intervient le mot de passe de la messagerie?
--C'est aussi par soucis de confidentialité que je préfère utiliser un protocole
POP, plutôt que IMAP.....

--Des ouvertures de ports supplémentaires?

Gmail par exemple mentionne :
SSL requis : oui
Port : 995
Serveur de courrier sortant (SMTP)    
smtp.gmail.com
Authentification requise : oui
Port pour TLS/STARTTLS : 587

--Dans mon message précédent je m'interroge sur les protocoles différents
utilisés par chacune de mes messageries et sur la place à donner aux certificats
sur la machine ( Dossiers personnels ou /etc/....) ?
--Quelle coordination avec OPENSSL?

Comme tu le dis:

Ça m'a l'air bien compliqué tout ça lol



Ce sont des questionnements qui échappent aux autres utilisateurs et pour
lesquels je relancerai le forum.....quitte à faire saliver SMOLSKI.

Pour l'instant, je rectifie mon cocktail sous les lumières de :

--->https://www.debian.org/releases/stable/ … 05.html.fr


---> http://debian-facile.org/doc:reseau:exi … -les-nulls

Je remplace Fetchmail par EXIM4 qui cumule transport et distribution (MTA+MDA)et
la distribution se fera dans un seul fichier par utilisateur dans /var/mail/.

Qu'importe les sockets du facteur,il est invité au bar ;O>)....et pour qu'il
livre des chocolats à Smolski, je porte ce fil en RESOLU avec un toast à Debian.

#6 Réseau » Les sockets du facteur.....RESOLU. » 08-04-2019 16:06:04

MdgRUN
Réponses : 4
Bonjour,
je souhaite configurer ma machine pour éviter IMAP, rapatrier mon courrier par POP3 et mobiliser les services SMTP de gmail.com et laposte.net.

Le cocktail d'applis que j'envisage est: fetchmail/procmail/mutt.....avec des salutations en SSL.

Je localise les certificats:

find /etc -iname ca-certificates.crt

===>

/etc/ssl/certs/ca-certificates.crt



et je suis prêt à créer un dossier approprié dans mon répertoire:

mkdir ~/.certs

  si personne n'y voit une faiblesse de sécurité scratchhead.gif

Si je me sers de ces certificats seront-ils renouvelés à chaque connexion?

Le codage doit-il être fait avec  le programme « makemap » que l'on trouve dans:
* opensmtpd
* sendmail-bin

J'ai bien noté (Merci SYNAPTIC yes.gif ) qu' OPENSMTPD ....désinstalle SMTPD-MTA! roll

Quel choix faire?

 openssl s_client -connect pop.gmail.com:995 -showcerts

====>

 CONNECTED(00000003)
depth=2 OU = GlobalSign Root CA - R2, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = US, O = Google Trust Services, CN = Google Internet Authority G3
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google LLC, CN = pop.gmail.com
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=pop.gmail.com
   i:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXX
MMmCFa2rosi3oOPK
-----END CERTIFICATE-----
 1 s:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
   i:/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
---
No client certificate CA names sent
Peer signing digest: SHA256
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2992 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    CipStart Time: 1554727905
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
+OK Gpop ready for requests from 90.10XXXXXXXXXXXXX

 



J'obtiens un feu vert similaire pour pop.laposte.net smile

Je crée $~/.fetchmailrc avec les droits limités au proprio ;O>)

chmod 600 ~/.fetchmailrc



Quelques vérifications:

host -t MX laposte.net

====>

laposte.net mail is handled by 10 smtpz4.laposte.net.



host -t MX gmail.com

====>

gmail.com mail is handled by 30 alt3.gmail-smtp-in.l.google.com.
gmail.com mail is handled by 40 alt4.gmail-smtp-in.l.google.com.
gmail.com mail is handled by 10 alt1.gmail-smtp-in.l.google.com.
gmail.com mail is handled by 20 alt2.gmail-smtp-in.l.google.com.
gmail.com mail is handled by 5 gmail-smtp-in.l.google.com.



Et là .....je veux bien quelques explications idea.gif

J'obtiens bien mes mots de passe avec :

echo -en '\000MONADRESSE@gmail.com\000gmailpassword' |base 64



fetchmail -d0 -vk pop.gmail.com

====>

fetchmail: suppression de l'ancien fichier verrou
fetchmail: 6.3.26 interroge pop.gmail.com (protocole POP3)  récupération en cours
Essai de connexion avec XXXXXXXXXXXX...connecté.
fetchmail: Erreur de vérification du certificat du serveur : unable to get local issuer certificate
fetchmail: Chaîne de certification rompue à : /OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign
fetchmail: Ceci peut signifier que le serveur n'
a pas fourni le ou les certificat(s) intermédiaire(s). Il n'y a rien que fetchmail puisse faire à cela. Pour plus de détails, consultez le document README.SSL-SERVER fourni avec fetchmail.
fetchmail: Ceci pourrait signifier que le certificat de signature du CA racine n'
est pas dans la liste des certificats des CA de confiance ou que c_rehash doit être exécuté sur le répertoire des certificats. Pour plus de détails, consultez la documentation de --sslcertpath et --sslcertfile dans la page de manuel.
fetchmail: OpenSSL a rapporté : error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
fetchmail: Échec de la connexion SSL
fetchmail: erreur socket durant la réception de MONADRESSE@gmail.com@pop.gmail.com
fetchmail: 6.3.26 interroge pop.gmail.com (protocole POP3) : interrogation finie
fetchmail: État de la requête=2 (SOCKET)
fetchmail: fin normale, état 2
 



Mon routeur est ORANGE avec un serveur DHCP en IPv4 mais la connexion est en Wi-fi.

Par où commencer ?merci.gif

#7 Re : Le bar » Excuses envers les membres du forum » 27-10-2018 12:49:10

Samuel Beckett : « Toujours essayer, échouer, mais qu’importe : essayer à
                                                 nouveau et échouer mieux. » old_geek.gif

#8 Re : Réseau » Surveillance des ports » 14-10-2018 16:34:55

Bonsoir,

j'ai plutôt décider d'y aller plus progressivement en faisant confiance aux développeurs de NTOPNG smile

https://www.ntop.org/ntopng/best-practi … re-ntopng/
en me recentrant sur REDIS :

REDIS est un serveur utilisé par NTOPNG pour gérer la résolution des DNS...
entr'autres.

Par défault, il n'écoute que sur l'adresse en boucle 127.0.0.1 de la machine
locale et il démarre sans mot de passe.

On peut lui en attribuer un  en le spécifiant dans son fichier de configuration

/etc/redis/redis.conf.....qu'il vaut mieux filtrer avec "grep ":

cat /etc/redis/redis.conf | grep requirepass


# If the master is password protected (using the "requirepass" configuration
# requirepass foobared
 



Avec une recommandation: roll

# Warning: since Redis is pretty fast an outside user can try up to
# 150k passwords per second against a good box. This means that you should
# use a very strong password otherwise it will be very easy to break.
#
# requirepass foobared
 




Qu'est-ce donc qu'un super mot de passe bien costaud? scratchhead.gif

Puis-je me contenter d'un:

 echo "REDISecreTEST" | openssl enc -base64
UkVESVNlY3JlVEVTVAo=
 



à placer en option dans NTOPNG :

" --redis=127.0.0.1:6379:UkVESVNlY3JlVEVTVAo="



ou une véritable "poignée de main" est-elle envisageable? guantas.png

1-Création d'une clé privée RSA avec

openssl genrsa -out MaCLErsa.priv 512


2-Chiffrage de la clé privée (choix d' algorithme DES, DES3,IDEA.......)
et création d'une clé publique associée à la clé privée dans un fichier XXX.pem

openssl rsa -in MaCLErsa.priv -des3 -out MaCLE.pem
 



La meilleure place pour celle-ci étant /etc/redis ?

L'autre solution proposée étant de créer un "socket" dédié, j'ai actuellement :

cat /var/run/redis/redis-server.pid
 



1238



Créer un nouveau "point de connexion" est-ce un bon tuyau? idea.gif

Ref: http://sdz.tdct.org/sdz/les-sockets.html

#9 Re : Réseau » Surveillance des ports » 05-10-2018 14:14:55

Bonjour,

je constate avec plaisir que les "patrons de conception" ne manquent pas.
https://httpd.apache.org/docs/current/f … proxy.html

J'aimerai profiter de l'occasion pour prévoir un aménagement de ma machine en
serveur de courriels, pages persos.... par exemple.

Le tout serait de le faire proprement comme l'indique CPTNFAB: yes.gif
https://debian-facile.org/atelier:chant … rivoxy-tor

Alors conteneur (LXC ? ) ou pas ?

Si oui, devra-t-il contenir APACHE et REDIS et..? question.gif

Je doute un peu que vous me demandiez de prévoir un SQUID cthulhu.gif par dessus tout cela,
mais je suis prêt à envisager "Lighttpd".....

Avant de diviser mon IP publique en 2,quels tests faire passer au proxy mis en place par mon FAI?  scratchhead.gif

#10 Re : Réseau » Surveillance des ports » 27-09-2018 15:04:06

Bonjour Freemaster,

alors oui il semblerait qu'il y a un bug avec la version de la distrib...



.......à signaler ?

Je ne suis pas un forcené de la modernité et sans pb de sécurité je veux bien garder une version "un peu datée" old_geek.gif

Par contre, ta proposition de reverse-proxy me tente tongue......quitte à compiler ensuite cool

Reste à bien préciser  lequel.......en sachant qu'apache2 est déjà présent et qu'il vaut mieux tabler sur une simplicité certaine......sans vouloir sous-estimer
les aides pro idea.gif du forum.

@ Smolski

13  posts seulement, continue ici...

compte sur ta patience et la qualité de mon interface "chaise-clavier" coffeecup.gif

Tant que la distribution de chocolat n'est pas rationnée.....:P

#11 Re : Système » Quelle taupe est à l'œuvre dans le port?---RESOLU--- » 25-09-2018 17:00:03

Bonsoir Raleur,

Nmap ne surveille pas les communications mais détecte les ports ouverts en écoute. Par contre il ne dira pas quels processus sont derrière, tout au plus quels services.



A mon niveau, c'est déjà beaucoup.....et je dois dire que j'apprécie la version
graphique ZENMAP....en "root" of course!

Merci pour :

netstat -tnpl | grep ":80"



...mais si je peux en rajouter avec une
option à la fantaisie gourmande et mnémotechnique:

netstat -polenta | grep 80



tcp6       0      0 :::80                   :::*                    LISTEN      0          27120       1918/apache2     off (0.00/0/0)
 



Au risque d'assimiler fantaisie et poésie me revient en mémoire le début
d'un poême de Pablo Neruda:

<< Le pied de l'enfant ne sait pas encore qu'il est pied
                  Et il veut être papillon ou pomme ........ >>

Nouveau fil au bar ? smile

Pour clore celui-ci, je dois convenir que, grâce à toi, et l'esprit Debian, en cherchant la "taupe",j'ai trouvé un ..... "indien "!?! roll

Par quelle fantaisie est-ce un "apache "? guantas.png

#12 Re : Réseau » Surveillance des ports » 25-09-2018 16:45:32

Bonjour Freemaster,

merci pour ta formule:

openssl req -new -x509 -sha1 -extensions v3_ca -nodes -days 3650 -keyout privkey.pem -out cert.pem



mais si j'en crois le lien que tu m'as donné et celui-ci:

https://unix.stackexchange.com/question … and-md5sum

je vais m'en tenir à "-sha256 " et si "-days 365 " est une durée de validité
d'un an, cela me semble suffisant..... sauf si tu insistes pour que j'en prenne
pour 10 ans  roll

Sur ma machine, j'ai localisé mon dossier de partage NTOPNG en :

cat <(ls -la /usr/share/ntopng/httpdocs)


total 48
drwxr-xr-x 10 root root 4096 août  19 19:09 .
drwxr-xr-x  4 root root 4096 août  19 19:09 ..
lrwxrwxrwx  1 root root   26 avril 15  2016 bootstrap -> ../../javascript/bootstrap
drwxr-xr-x  2 root root 4096 août  19 19:09 css
-rw-r--r--  1 root root 1406 nov.  30  2015 favicon.ico
drwxr-xr-x  3 root root 4096 août  19 19:09 font-awesome
drwxr-xr-x  2 root root 4096 août  19 19:09 geoip
drwxr-xr-x  4 root root 4096 août  19 19:09 img
drwxr-xr-x  2 root root 4096 août  19 19:09 inc
drwxr-xr-x  2 root root 4096 août  19 19:09 js
drwxr-xr-x  2 root root 4096 août  19 19:09 misc
drwxr-xr-x  2 root root 4096 août  19 19:09 other
-rw-r--r--  1 root root  242 nov.  30  2015 test.lp
 



Le dossier /ssl/ manque à l'appel.....et :

cat <(ls -la /usr/local/share/)



total 40
drwxr-xr-x 10 root root  4096 mai   21 11:37 .
drwxr-xr-x 10 root root  4096 déc.  24  2017 ..
drwxr-xr-x  2 root root  4096 déc.  24  2017 ca-certificates
drwxrwsr-x  3 root staff 4096 déc.  24  2017 emacs
drwxrwsr-x  2 root staff 4096 déc.  24  2017 fonts
drwxr-xr-x  3 root root  4096 déc.  24  2017 gwibber
drwxr-xr-x  2 root root  4096 déc.  24  2017 man
drwxrwsr-x  7 root staff 4096 mai   21 11:37 sgml
drwxrwsr-x  2 root staff 4096 avril  4 15:42 texmf
drwxrwsr-x  6 root staff 4096 mai   21 11:37 xml
 



.....pas de /ntopng

 cat <(ls -la /usr/lib/x86_64-linux-gnu | grep libssl*)



lrwxrwxrwx   1 root root       16 janv. 26  2018 libssh2.so.1 -> libssh2.so.1.0.1
-rw-r--r--   1 root root   166984 févr. 16  2017 libssh2.so.1.0.1
lrwxrwxrwx   1 root root       22 janv. 26  2018 libssh-gcrypt.so.4 -> libssh-gcrypt.so.4.4.1
-rw-r--r--   1 root root   300568 mars  25  2016 libssh-gcrypt.so.4.4.1
lrwxrwxrwx   1 root root       30 janv. 26  2018 libssh-gcrypt_threads.so.4 -> libssh-gcrypt_threads.so.4.4.1
-rw-r--r--   1 root root     6288 mars  25  2016 libssh-gcrypt_threads.so.4.4.1
-rw-r--r--   1 root root   307616 sept. 29  2017 libssl3.so
lrwxrwxrwx   1 root root       10 janv. 26  2018 libssl3.so.1d -> libssl3.so
 



Je suis surpris que la commande ci-dessus me renvoie AUSSI les libssh...

Voici ce que contient mon repertoire /usr/local/bin/

cat <(ls -la /usr/local/bin)



total 8
drwxr-xr-x  2 root root 4096 juin  28 15:59 .
drwxr-xr-x 10 root root 4096 déc.  24  2017 ..
lrwxrwxrwx  1 root root   27 juin  28 15:59 etcher-electron -> /opt/Etcher/etcher-electron



En me lançant dans la création d'un certificat auto-signé pour cette application
je devrais aussi avoir à protéger REDIS, le serveur associé .
J'ouvre un autre sujet pour cela?
Ou est-ce le moment d'envisager de grouper mes clés sur cette machine?

Qu'en dis-tu?  Merci d'avance pour les pistes à suivre.scratchhead.gif

#13 Re : Système » Quelle taupe est à l'œuvre dans le port?---RESOLU--- » 16-09-2018 19:13:41

Bonsoir RALEUR,

mon manque d'exactitude n'est que le reflet de mes ignorances informatiques.

Je voulais bien afficher les processus communiquant avec le port  TCP 80  histoire de confirmer les données du lien:
https://www.hostingreviewbox.com/rhel-t … udp-ports/
et d'affiner la sécurité de ma machine.

Je ne cherchais pas le 

socket Unix dont l'inode, sélectionné plus ou moins séquentiellement ou aléatoirement, contient les chiffres "80"


J'espère que cela fait sens pour toi idea.gif

Le requin que je mentionne est le (whire)SHARK de l'application graphique qui  ( comme toute application graphique ? )
présente plus de risques d'ouvertures que la bonne commande en ligne....avec TCPDUMP.

Quant à la  "taupe " , à part le côté mnémotechnique de "NETSTAT" , permets-moi un clin d'œil breton:
https://gozmail.bzh/

Maintenant, plus techniquement

les communications réseau HTTP utilisent naturellement des sockets TCP, pas des socket Unix.


tu m'as incité préciser la définition de SOCKET  et je ne suis pas sûr que tu te satisfasses de :

" Une interface de connexion = 1port+1protocole+1adresseIP "  wink

Pour la surveillance des communications réseau à part TCPDUMP , j'ai bien trouvé NMAP:

https://www.cyberciti.biz/networking/nm … tutorials/

sans occulter le fait qu'un port peut recevoir plusieurs requêtes +ou- sincères scratchhead.gif

https://www.fdn.fr/fdn-renforce-son-vpn/

D'où ma motivation à surveiller ma box et ses émissions......merci.gif de m'aider
à rester au "taupe-niveau" out.gif

#14 Re : Réseau » Surveillance des ports » 16-09-2018 16:57:22

Bonsoir Freemaster,

O.K. pour le lien.....mais  peux-tu en préciser le mode d'emploi?

 make cert ntopng-cert.pem
 


make: *** Aucune règle pour fabriquer la cible « cert ». Arrêt.



S'agit-il  d'une compilation à enclencher ?

OpenSSL est bien installé  et je ne m'en suis jamais servi "directement"help.gif

Merci pour ta patience.

#15 Re : Réseau » Surveillance des ports » 09-09-2018 18:16:24

Bonsoir Freemaster,

comment générer un certificat XXXX.pem ?

woohoo.gif

#16 Re : Système » Quelle taupe est à l'œuvre dans le port?---RESOLU--- » 09-09-2018 18:12:30

Bonsoir,

@ qUrt : par "tracer"  je souhaitais identifier le programme branché si brièvement et sans obligatoirement trouver un espion,en apprendre un
peu plus sur le fonctionnement de la machine.
Merci pour la précision de ta réponse.

@ raleur : J'ignorais que j'étais alors en prise avec un « connecteur réseau » ou « interface de connexion »
                                       https://fr.wikipedia.org/wiki/Socket qui plus est :

socket Unix dont l'inode, sélectionné plus ou moins séquentiellement ou aléatoirement,



Je présume qu'avant d'être une option de sécurité il s'agit simplement d'une activation "matérielle" wink
J'ai jeté un œil au fichier /etc/services avant de solliciter FUSER pour fermer n'importe quel processus....
et j'ai surtout trouvé une aide à la manipulation de NMAP:

https://nmap.org/man/fr/man-port-scanni … iques.html

histoire  d'aller dans ton sens ??? scratchhead.gif

afficher les processus communiquant avec le port TCP 80, tu n'utilises pas du tout la bonne commande



Penses-tu que je dois chasser la taupe avec un requin comme WHIRESHARK ou TCPDUMP ?

Sans installer un affût, si tu as une piste pour saisir une connexion éphémère
https://en.wikipedia.org/wiki/Ephemeral_port
https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels

je suis preneur merci.gif

#17 Re : Les logiciels libres » "argent public, code public" » 09-09-2018 15:38:35

Bonsoir,

J'aimerai que vous signiez et que vous relayiez cette pétition partout où vous le pouvez.



C'est fait!

#18 Re : Suivi du Wiki et des Projets Git » wiki - Gnome-boxes - Outil de virtualisation facile. » 08-09-2018 20:35:48

Bonsoir,

sous stretch :

apt-listbugs list gnome-boxes



 Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité serious sur gnome-boxes () <Transférés>
 b1 - #874526 - Keyboard grab doesn't (always?) work under Wayland
sumé :
 gnome-boxes(1 bogue)
 

#19 Système » Quelle taupe est à l'œuvre dans le port?---RESOLU--- » 02-09-2018 15:10:16

MdgRUN
Réponses : 7
Bonjour,

netstat taupe | grep 80
 



me renvoie habituellement:

 unix  3      [ ]         DGRAM                    9805    
unix  2      [ ]         DGRAM                    8077    
unix  3      [ ]         DGRAM                    9806    
unix  3      [ ]         STREAM     CONNECTE      32808    
unix  3      [ ]         STREAM     CONNECTE      32803    @/tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTE      32880    
unix  3      [ ]         STREAM     CONNECTE      32802    
unix  3      [ ]         STREAM     CONNECTE      32801    /run/user/1002/pulse/native
unix  3      [ ]         STREAM     CONNECTE      32180    
unix  3      [ ]         STREAM     CONNECTE      160480  
unix  3      [ ]         STREAM     CONNECTE      35080    /run/systemd/journal/stdout
unix  3      [ ]         STREAM     CONNECTE      30580  




Or j'ai reçu ceci.....avant de revenir aux déclaration ci-dessus.

unix  3      [ ]         DGRAM                    9805    
unix  2      [ ]         DGRAM                    8077    
unix  3      [ ]         DGRAM                    9806    
unix  3      [ ]         STREAM     CONNECTE      32808    
unix  3      [ ]         STREAM     CONNECTE      32803    @/tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTE      32880    
unix  3      [ ]         STREAM     CONNECTE      32802    
unix  2      [ ]         STREAM     CONNECTE      1189800  
unix  2      [ ]         DGRAM                    1189803  
unix  3      [ ]         STREAM     CONNECTE      32801    /run/user/1002/pulse/native
unix  3      [ ]         STREAM     CONNECTE      32180    
unix  3      [ ]         STREAM     CONNECTE      160480  
unix  3      [ ]         STREAM     CONNECTE      35080    /run/systemd/journal/stdout
unix  3      [ ]         STREAM     CONNECTE      30580    
 



Un saut dans: https://debian-facile.org/accueil?do=search&id=DGRAM merci.gif

me renvoie à : [url]https://debian-facile.org/doc:system:systemd?s[]=dgram[/url] scratchhead.gif

Avec quels outils/commandes identifier/tracer cette connexion 1189800/1189803 ?

#20 Re : Réseau » Surveillance des ports » 02-09-2018 14:04:56

Bonjour Freemaster,

avec l'option --https-port=3006, et le certificat généré, cela devrait le faire



Tu suggères de  mettre l'option à

 service

??

Si je lance

 service ntopng --https-port=3006  start

ou par une inscription directe dans "/etc/ntopng.conf"

cela ne fonctionne pas sad

Je devrais m'attendre à une génération de certificat par qui ?idea.gif

du https sur du localhost ?



Je comprends ta surprise car à priori "localhost " n'est accessible que par l'interface "lo" ....n'hésite pas à rectifier pour repousser mes
approximations informatiqueskernal_panic.gif

Ici, c'est la liaison  Wi-fi  qui me semble source d'insécurité.......risque donné en information par le navigateur lors de l'ouverture en http.

D'autre part, il suffit de se servir de NMAP et NSTAT pour trouver les ports ouverts lancés par NTOPNG......heureusement que ma distribution
semble avoir une (suffisamment ? ) bonne configuration des IPTABLES en écartant les entrées du serveur graphique.

NTOPNG est une formidable présentation pédagogique à l'intérieur du réseau familial et j'espère qu'il va susciter des vocations gnulinux.png
En ce qui me concerne, je n'en suis que plus décidé à affiner les réglages des commandes qui le sous-tendent....sans service graphique wink

MANuel n'étant pas toujours le + accessible je conseille par exemple de se servir de ZENMAP pour découvrir les subtilités de NMAP.....
avant sos.gif......sur un bon forumdebian.png

#21 Re : Réseau » Surveillance des ports » 26-08-2018 16:42:06

Bonjour,

NTOPNG est bien un service qui réagit avec:

 service ntopng start/stop

en rajoutant mon mot de passe utilisateur big_smile

as-tu essayé de te connecter à http://localhost:3000/ ?



Tout à fait et à partir des pages ci-dessous:

https://johnnylinux.com/files/Documents … rGuide.pdf quitte à fréquenter les zombies et autres revenants out.gif
https://www.ntop.org/ntopng/best-practi … re-ntopng/

j'ai modifié

 gedit /etc/ntopng.conf

en constatant que :

" -w"  et "--http-port" NE sont PAS interchangeables......

J'ai ouvert NTOPNG , changé le pass d'ADMIN et crée un autre administrateur.

J'ai ciblé les interfaces surveillées et j'avoue que je suis bluffé par les retours.....avec une aide:
http://www.ntop.org/wp-content/uploads/ … ntopng.pdf

En attendant de ré-actualiser mes IPTABLES,  j'ai essayé de différencier :

-Une connexion HTTP pour LO, port classique 3000
- Une connexion HTTPS pour internet, port 3600 par ex.

Voici le retour:

An error occurred during a connection to 127.0.0.1:3006. SSL received a record that exceeded the maximum permissible length.
Error code: SSL_ERROR_RX_RECORD_TOO_LONG
The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.



Si je relance le navigateur en HTTP......c'est O.K.

  netstat | grep 3006



 tcp6       0      0 localhost:3006          localhost:60360         TIME_WAIT  
tcp6       0      0 localhost:3006          localhost:60362         TIME_WAIT  
 



Des idées humanisées?....... à partir de :
https://github.com/ntop/ntopng/blob/dev/doc/README.SSL ??

Comment faire le point sur mes clés dans ma machine?
Comment créer un protocole HtppS, ciblé sur un port?
Faut-il passer par la configuration de l'application concernée?

C'est peut-être aussi l'occasion de sécuriser le serveur REDIS qui est "rattaché" à NTOPNG scratchhead.gif

ps: Groupe de Recherches Activités Linguistiques ?....j'aurais aimé. smile mais je suis bien un "ancien"old_geek.gif

#22 Re : Réseau » Surveillance des ports » 22-08-2018 12:29:15

Salut Freemaster.......ben NON !

Merci pour ta réponse mais as-tu une idée de la "capacité d'écoute" d'un port ? Y-a-t-il un tri d'effectué (ordre d'arrivée? type?...)

Dans mon cas particulier, j'ai "tué" le processus et pu vérifier qu'il réapparaît.

>>> sudo ss -antp | grep 3000



 LISTEN     0      128         :::3000                    :::*                   users:(("ntopng",pid=1404,fd=16))
 



 >>> sudo kill -9 1404



>>> sudo ss -antp | grep 3000



 LISTEN     0      128         :::3000                    :::*                   users:(("ntopng",pid=5019,fd=16))



et si je relance NTOPNG,  l'application me signale toujours le même  embouteillage:

 [HTTPserver.cpp:495] ERROR: Unable to start HTTP server (IPv4) on ports 3000: Address already in use
 

.........seul le N° ccp du serveur http a changé.

La commande

 ntopng -v

est certes plus bavarde....sans être concluante hmm


En interrogeant Manuel je trouve la possibilité de lancer NTOPNG démoniaquement roll

-e|--daemon
        This parameter causes ntop to become a daemon, i.e. a task which runs in the background without connection to
        a specific terminal. To use ntop other than as a casual monitoring tool, you probably will want to  use  this
        option.



alors que ma machine a plutôt besoin d'être exorcisée help.gif

#23 Réseau » Surveillance des ports » 21-08-2018 16:20:49

MdgRUN
Réponses : 17
Bonjour,

cherchant un affichage attrayant du réseau, j'ai trouvé ce fil:

https://debian-facile.org/doc:reseau:ntop et récupéré NTOP et même une variante NTOPN

 ntop -i wlp2s0 -w 3000

  se termine par :


 **ERROR** GeoIP: unable to load file GeoLiteCity.dat
Tue Aug 21 14:46:09 2018  GeoIP: loaded ASN config file /usr/share/ntop/GeoIPASNum.dat
Tue Aug 21 14:46:09 2018  NOTE: Interface merge enabled by default
Tue Aug 21 14:46:09 2018  INITWEB: Initializing web server
Tue Aug 21 14:46:09 2018  CHKVER: Checking current ntop version at version.ntop.org/version.xml
Tue Aug 21 14:46:09 2018  INITWEB: Initializing TCP/IP socket connections for web server
Tue Aug 21 14:46:09 2018  **ERROR** INITWEB: binding problem - 'Bad file descriptor'(9)
Tue Aug 21 14:46:09 2018  Check if another instance of ntop is running
Tue Aug 21 14:46:09 2018  or if the current user (-u) can bind to the specified port
Tue Aug 21 14:46:09 2018  **FATAL_ERROR** Binding problem, ntop shutting down...
Tue Aug 21 14:46:09 2018  CLEANUP[t139700643272896]: ntop caught signal 2 [state=2]
Tue Aug 21 14:46:09 2018  ntop is now quitting...



Lorsque je lance : 

 ntopng



cela se termine par :

 [HTTPserver.cpp:495] ERROR: Unable to start HTTP server (IPv4) on ports 3000: Address already in use
 



>>> sudo ss -antp | grep 3000
 



LISTEN     0      128         :::3000                    :::*                   users:(("ntopng",pid=1409,fd=16))



et :

sudo netstat -antp | grep 3000



tcp6       0      0 :::3000                 :::*                    LISTEN      1409/ntopng  




Cela veut-il dire que le port 3000 est déjà occupé par un protocole "tcp6" et qu'il ne peut pas recevoir,partager,  en IPv4?

Comment corriger le "descripteur de fichier " mentionné par NTOP ?
A quoi renvoie le (9) ?

En attendant merci à Mattux....et autres matelots..... smile

#24 Re : Scripts et automatisations de tâches » Conversion HTML--->PDF-- Résolu promptement -- » 08-08-2018 12:10:35

Bien le bonjour à vous ,

@lagrenouille:
wkhtmltopdf est bien installé et ma seule autre tentation a été "UNOCONV".....qui semble relié à "LIBRE-OFFICE" par des liens
qui dépassent mes connaissances .
Quant à mes convictions sur la puissance de la ligne de commande....MicP ne fait que confirmer yes.gif

il y a une méthode simple via firefox

tu affiches ton fichier html dedans et en haut a gauche

Fichier
imprimer
imprimer dans un fichier

......ne correspond pas au traitement "en lot" de ma situation merci.gif quand-même.

@dejieres:

Ne réveillons pas le chat qui dort


Je ne sais pas si tu fais allusion à CHALU,à SMOSLKI,.....ou aux2 smile mais je peux confirmer l'intérêt d'une pratique régulière de la sieste cool
et recommande même le hamac wink

En attendant ton explication est claire :

$f fait référence à la variable f de la boucle for. À chaque itération, elle va contenir le nom d'un fichier de la liste ${lstFichs[@]}".


idea.gif

Il ne me reste plus qu'à "scripter"davantage et profiter des variables disponibles.....en boucles ou non scratchhead.gif

#25 Re : Scripts et automatisations de tâches » Conversion HTML--->PDF-- Résolu promptement -- » 06-08-2018 12:56:57

Bonjour à vous 2 et merci pour la rapidité sans faute de la réponse de MicP.yes.gif

J'apprécie la phase de test avec "echo"....les résultats sont là!!! big_smile

Je marque ce sujet en résolu mais reste ouvert à tout tuto concernant

for f

et encore

\"$f\"



.......qui respectera la sieste de SMOLSKI cool

Pied de page des forums

Propulsé par FluxBB