Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
atelier:chantier:une-box-maison [16/01/2020 16:29] LaFouine [Le point d'accès wifi] |
atelier:chantier:une-box-maison [29/10/2022 11:39] (Version actuelle) ubub [Le point d'accès wifi] ortpgraphe |
||
|---|---|---|---|
| Ligne 31: | Ligne 31: | ||
| ===== Installation ===== | ===== Installation ===== | ||
| - isc-dhcp-client et iptable sont en principe installés par défaut. | - isc-dhcp-client et iptable sont en principe installés par défaut. | ||
| - | - kernel: :quand vous voulez mai sans cela sa ne marchera pas ;) | + | - kernel: :quand vous voulez mais sans cela ça ne marchera pas ;) |
| - iptables :en premier | - iptables :en premier | ||
| - isc-dhcp-server :en second | - isc-dhcp-server :en second | ||
| Ligne 115: | Ligne 115: | ||
| Windows à du mal avec le réseau à se mettre à jour correctement avec une reconnexion >--> reconnexion, | Windows à du mal avec le réseau à se mettre à jour correctement avec une reconnexion >--> reconnexion, | ||
| de même pour la box, certains paramètres peuvent changer, /etc/resolv.conf est un classique. | de même pour la box, certains paramètres peuvent changer, /etc/resolv.conf est un classique. | ||
| - | Parfois c'est certaines interfaces qui ne s'activent pas. | + | Parfois ce sont certaines interfaces qui ne s'activent pas. |
| L'ordre de démarrage peut jouer un rôle, je vous conseille de faire votre propre service ou de modifier la configuration de Debian pour que cela démarre comme cité plus haut. | L'ordre de démarrage peut jouer un rôle, je vous conseille de faire votre propre service ou de modifier la configuration de Debian pour que cela démarre comme cité plus haut. | ||
| Ligne 122: | Ligne 122: | ||
| Je conseille d'utiliser les alias pour éditer les fichiers cela va grandement vous faciliter la tâche, comme cela se passe sous root. | Je conseille d'utiliser les alias pour éditer les fichiers cela va grandement vous faciliter la tâche, comme cela se passe sous root. | ||
| - | Soiyez vigilants à ne pas faire n'importe quoi sous Debian. Si vous voulez que cela soit pour tous les utilisateurs ça ce passe dans ce fichier : | + | Soyez vigilants à ne pas faire n'importe quoi sous Debian. Si vous voulez que cela soit pour tous les utilisateurs ça ce passe dans ce fichier : |
| <code root>/etc/bash.bashrc</code> | <code root>/etc/bash.bashrc</code> | ||
| Ligne 131: | Ligne 131: | ||
| alias ndhcp=$Editeur' /etc/dhcp/dhcpd.conf' | alias ndhcp=$Editeur' /etc/dhcp/dhcpd.conf' | ||
| </code> | </code> | ||
| - | Ce fichier est en root mais vous pouvez aussi placer cela au niveau utilisateur. Cela va vous éviter de taper chaque fois le chemin et en plus de devoir savoir où il se trouve: | + | Ce fichier est en root mais vous pouvez aussi le placer au niveau utilisateur. Cela va vous éviter de taper chaque fois le chemin et de devoir en plus savoir où il se trouve: |
| un oubli ? : **alias** | un oubli ? : **alias** | ||
| vous le montrera. | vous le montrera. | ||
| Ligne 196: | Ligne 196: | ||
| </code> | </code> | ||
| - | Ici soyez précis dans la syntaxe car si vous trompez d'un chiffre cela ne vous donne la moindre info. | + | Ici soyez précis dans la syntaxe car si vous vous trompez d'un chiffre cela ne vous donnera pas la moindre info. |
| **IMPORTANT**: une fois que tout fonctionne changer ces valeurs pour des raison de sécurité évidentes, | **IMPORTANT**: une fois que tout fonctionne changer ces valeurs pour des raison de sécurité évidentes, | ||
| Ligne 211: | Ligne 211: | ||
| Profitez de faire de même, et donc ce qui l'utilise. | Profitez de faire de même, et donc ce qui l'utilise. | ||
| - | Pas la peine de dire que la connection est coupée si vous faites cela :) | + | Pas la peine de dire que la connexion est coupée si vous faites cela :) |
| <code root> | <code root> | ||
| Ligne 255: | Ligne 255: | ||
| </code> | </code> | ||
| - | A ce stade les connexions filaires ne marcheront pas car unbound n'est pas présent donc il faut faire la suite | + | À ce stade les connexions filaires ne marcheront pas car unbound n'est pas présent donc il faut faire la suite |
| si vous voulez que cela marche ainsi utilisez le dns de la box à ce moment là :) | si vous voulez que cela marche ainsi utilisez le dns de la box à ce moment là :) | ||
| - | Je remercie Mikl et raleur dans cette démarche qui sans leur aide j'aurais bien plus galéré | + | Je remercie Mikl et raleur dans cette démarche car sans leur aide j'aurais bien plus galéré |
| Ligne 271: | Ligne 271: | ||
| - | Soiyer particulièrement prudent car ce service est sensible aux vulnérabilité. | + | Soyez particulièrement prudent car ce service est sensible aux vulnérabilités. |
| Note. Je ne suis pas parvenu a trouver une traduction en français des paramètres, | Note. Je ne suis pas parvenu a trouver une traduction en français des paramètres, | ||
| - | les valeurs sont à adapter selon vos besoins. j'ai donc juste indiquer les valeurs que j'utilise. | + | les valeurs sont à adapter selon vos besoins. j'ai donc juste indiqué les valeurs que j'utilise. |
| <code root> | <code root> | ||
| Ligne 301: | Ligne 301: | ||
| #interface: 0.0.0.0 | #interface: 0.0.0.0 | ||
| access-control: 192.168.50.0/24 allow | access-control: 192.168.50.0/24 allow | ||
| - | interface: 192.168.50.51 #requi wifi | + | interface: 192.168.50.51 #requis wifi |
| - | interface: 192.168.4.21 #requi rj45 | + | interface: 192.168.4.21 #requis rj45 |
| - | interface: 192.168.3.21 #requi rj45 | + | interface: 192.168.3.21 #requis rj45 |
| - | interface: 192.168.2.21 #requi rj45 | + | interface: 192.168.2.21 #requis rj45 |
| interface: 127.0.0.1 #? | interface: 127.0.0.1 #? | ||
| access-control: 127.0.0.1 allow #? | access-control: 127.0.0.1 allow #? | ||
| Ligne 312: | Ligne 312: | ||
| access-control: 192.168.4.0/24 allow #requis rj45 | access-control: 192.168.4.0/24 allow #requis rj45 | ||
| access-control: 192.168.50.0/24 allow #requis wifi (pas en service) | access-control: 192.168.50.0/24 allow #requis wifi (pas en service) | ||
| - | private-address: 192.168.0.0/24 #renforce le coter priver et protège de la technique des "Relais DNS" | + | private-address: 192.168.0.0/24 #renforce le coté privé et protège de la technique des "Relais DNS" |
| unwanted-reply-threshold: 10000000 #eviter l'empoisonnement DNS | unwanted-reply-threshold: 10000000 #eviter l'empoisonnement DNS | ||
| aggressive-nsec: yes | aggressive-nsec: yes | ||
| Ligne 323: | Ligne 323: | ||
| prefetch: yes # garde en cache les bons résultats | prefetch: yes # garde en cache les bons résultats | ||
| prefetch-key: yes # | prefetch-key: yes # | ||
| - | cache-min-ttl: 100000 #durée minimal | + | cache-min-ttl: 100000 #durée minimale |
| cache-max-ttl: 200000 #durée max | cache-max-ttl: 200000 #durée max | ||
| key-cache-size: 50m | key-cache-size: 50m | ||
| - | infra-cache-numhosts: 1000000 #nombre de host qui peuve etre mis en cache | + | infra-cache-numhosts: 1000000 #nombre d'hôtes qui peuvent être mis en cache |
| - | do-ip6: no #desactive les requetes ipv6 | + | do-ip6: no #desactive les requêtes ipv6 |
| - | tcp-idle-timeout: 15000 #delai avant de signialer un timout sur la connextion | + | tcp-idle-timeout: 15000 #delai avant de signaler un timeout sur la connextion |
| harden-below-nxdomain: yes | harden-below-nxdomain: yes | ||
| harden-dnssec-stripped: yes #DNSSEC pour les zones de confiance | harden-dnssec-stripped: yes #DNSSEC pour les zones de confiance | ||
| - | val-clean-additional: no #toutes les données DNS non sécurisées son effacee | + | val-clean-additional: no #toutes les données DNS non sécurisées son effacées |
| - | do-not-query-localhost: yes #permet d'interoger localhost | + | do-not-query-localhost: yes #permet d'interroger localhost |
| - | so-reuseport: yes #linux seulment ameliore les performance udp | + | so-reuseport: yes #{linux seulement} améliore les performance udp |
| #serve-expired: <yes or no> # tester | #serve-expired: <yes or no> # tester | ||
| num-threads: 4 | num-threads: 4 | ||
| Ligne 348: | Ligne 348: | ||
| val-log-level: 2 #log | val-log-level: 2 #log | ||
| - | verbosity: 5 #plage de 1 a 5 , 5 permet le plus parlant | + | verbosity: 5 #plage de 1 à 5 , 5 permet le plus parlant |
| log-time-ascii: yes #valable sur un autre fichier que syslog | log-time-ascii: yes #valable sur un autre fichier que syslog | ||
| - | log-queries: yes #affiche une ligne par requete | + | log-queries: yes #affiche une ligne par requête |
| - | log-replies: yes #affiche une ligne par requete,(réponse) | + | log-replies: yes #affiche une ligne par requête,(réponse) |
| log-local-actions: yes #affiche les info de la zone local | log-local-actions: yes #affiche les info de la zone local | ||
| log-servfail: yes #afficher pourquoi les requêtes renvoient SERVFAIL Ref doc | log-servfail: yes #afficher pourquoi les requêtes renvoient SERVFAIL Ref doc | ||
| Ligne 372: | Ligne 372: | ||
| Bug connu : | Bug connu : | ||
| - | Si dans fichier /var/log/syslog vous avez ceci | + | Si dans le fichier /var/log/syslog vous avez ceci |
| <code root> | <code root> | ||
| Jan 16 14:10:11 box kernel: [ 1352.364742] audit: type=1400 audit(1579180211.005:13): apparmor="DENIED" operation="open" profile="/usr/sbin/unbound" name="/var/log/unbound/unbound.log" pid=1000 comm="unbound" requested_mask="ac" denied_mask="ac" fsuid=106 ouid=0 | Jan 16 14:10:11 box kernel: [ 1352.364742] audit: type=1400 audit(1579180211.005:13): apparmor="DENIED" operation="open" profile="/usr/sbin/unbound" name="/var/log/unbound/unbound.log" pid=1000 comm="unbound" requested_mask="ac" denied_mask="ac" fsuid=106 ouid=0 | ||
| Ligne 379: | Ligne 379: | ||
| </code> | </code> | ||
| - | unbound ne peux pas ecrire dans le log que vou lui avez fourni,ceci est lier à apparmor | + | unbound ne peux pas écrire dans le log que vous lui avez fourni, cela est lié à apparmor |
| - | il y a peut de documentation en français: | + | il y a peu de documentation en français: |
| la solution est celle-ci | la solution est celle-ci | ||
| Ligne 391: | Ligne 391: | ||
| </code> | </code> | ||
| - | Ensuite ceci ne devrai rien renvoiyer (donc tout va bien) | + | Ensuite ceci ne devrai rien renvoyer (donc tout va bien) |
| <code root>apparmor_parser -r /etc/apparmor.d/usr.sbin.unbound</code> | <code root>apparmor_parser -r /etc/apparmor.d/usr.sbin.unbound</code> | ||
| - | Verifier les droit sur le fichier aux besoin pour tester 0777 mai en principe un 0770 devrai suffire. | + | Vérifier les droits sur le fichier au besoin pour tester 0777 mais en principe un 0770 devrai suffire. |
| Relancer le service unbound et regarder si le log est pris en compte | Relancer le service unbound et regarder si le log est pris en compte | ||
| Ligne 401: | Ligne 401: | ||
| <code root>/etc/resolv.conf</code> | <code root>/etc/resolv.conf</code> | ||
| - | de façons a ce qu'il contienne : | + | de façon à ce qu'il contienne : |
| <code root> | <code root> | ||
| nameserver 127.0.0.1 | nameserver 127.0.0.1 | ||
| </code> | </code> | ||
| - | Rappelle: Ce fichier a la fâcheuse tendance a ce modifier. Vous pouvez donc le verrouiller avec la commande chattr, | + | Rappelle: Ce fichier a la fâcheuse tendance à se modifier. Vous pouvez donc le verrouiller avec la commande **chattr**, |
| **Attention** c'est pas anodin car le système ne peux plus mettre a jour le fichier. | **Attention** c'est pas anodin car le système ne peux plus mettre a jour le fichier. | ||
| - | Par exemple, si vous supprimer le paquet unbound l'ip ne pourra plus ce mettre à jours. (c'est un exemple parmi les nombreuse autres mauvaise surprise qui en découle.) | + | Par exemple, si vous supprimez le paquet unbound, l'ip ne pourra plus se mettre à jour. (c'est un exemple parmi les nombreuse autres mauvaises surprises qui en découlent.) |
| - | Attention l'utilisation peux empêcher le système d'écrire du coup le répertoire /etc est utiliser a la place. | + | Attention l'utilisation peut empêcher le système d'écrire du coup le répertoire **/etc** est utiliseé à la place. |
| vous aurez alors quelque chose de semblable | vous aurez alors quelque chose de semblable | ||
| <code root> | <code root> | ||
| Ligne 419: | Ligne 419: | ||
| </code> | </code> | ||
| - | il est peut etre possible de passer par le fichier /etc/dhcp/dhclient.conf | + | il est peut être possible de passer par le fichier /etc/dhcp/dhclient.conf |
| en modifiant ou en l'ajoutant avec | en modifiant ou en l'ajoutant avec | ||
| Ligne 426: | Ligne 426: | ||
| </code> | </code> | ||
| - | En redémarrant (le service ou la machine) cela devrai aux moins vous garder la ligne concernée, mai comme ça boxe a fond dans ce fichier il est possible qu'autre chose vienne le modifier après... bref c'est bien relou pour pas grand chose et impossible d'être certain de ne pas avoir une modification suite a une installation d'un autre logiciel etc etc. | + | En redémarrant (le service ou la machine) cela devrait au moins vous garder la ligne concernée, mais comme ça boxe a fond dans ce fichier il est possible qu'autre chose vienne le modifier après... bref c'est bien relou pour pas grand chose et impossible d'être certain de ne pas avoir une modification suite à une installation d'un autre logiciel etc etc. |
| - | <note important>je n’apprécie pas ce type de comportement de la part des développeur, pour la simple et bonne raison est que si un fichier est modifier par l'utilisateur on a plus le droit de le modifier sans son accords, particulièrement quand il s'agis de la configuration du système. car en cas de problème qui est responsable, la dernière valeur ou l'utilisateur,surtout que ça peux en plus venir, aux moment du renouvellement du bail de la box du FAI !</note> | + | <note important>je n’apprécie pas ce type de comportement de la part des développeurs, pour la simple et bonne raison que si un fichier est modifié par l'utilisateur on a plus le droit de le modifier sans son accord, particulièrement quand il s'agit de la configuration du système. car en cas de problème qui est responsable, la dernière valeur ou l'utilisateur,surtout que ça peut en plus venir, aux moment du renouvellement du bail de la box du FAI !</note> |
| - | Pour tester utiliser la commande: dig | + | Pour tester utiliser la commande: **dig** |
| Si vous êtes sur un O.S propriétaire il peux s'avérer utile d'y effacer le cache dns sur un client windows on utilisera: | Si vous êtes sur un O.S propriétaire il peux s'avérer utile d'y effacer le cache dns sur un client windows on utilisera: | ||
| Ligne 437: | Ligne 437: | ||
| - | A partir la cela devrai suffire pour une connexion filaire et être fonctionnel, | + | A partir de là cela devrait suffire pour une connexion filaire et être fonctionnel, |
| Ligne 486: | Ligne 486: | ||
| - | j'ai pas trouver de documentation en français mai, il faut chercher a savoir 2 chose | + | j'ai pas trouvé de documentation en français mais, il faut chercher a savoir 2 choses |
| - | Si la carte/clé wifi est bien reconnu par le kernel. | + | Si la carte/clé wifi est bien reconnue par le kernel. |
| - | Le nom qui est retenu ou plutôt attribuer a cette carte ici : wlx | + | Le nom qui est retenu ou plutôt attribué à cette carte ici : **wlx** |
| - | Note avec iptables je vous conseil de filtrer les adresse mac, c' est pas infaillible mai sa va laisser des trace dans les log et prime de complique de compliquer la la tache du pirate. Dans le cas ou la clef serai craquée. | + | Note avec iptables je vous conseille de filtrer les adresse mac, c'est pas infaillible mais ça va laisser des traces dans les logs et de compliquer la tache du pirate. Dans le cas où la clef serait craquée. |
| - | vous devriez a ce stade avoir une machine qui ser donc "pc/box" transportable n'importe ou, avec votre distribution | + | vous devriez à ce stade avoir une machine qui sert donc de "pc/box" transportable n'importe où, avec votre distribution |
| ,un serveur dns,un point d'accès wifi. | ,un serveur dns,un point d'accès wifi. | ||
| - | Je remercie à tout ceux qui m'on apporter l'aide grâce aux forum.:-O | + | Je remercie tous ceux qui m'ont apporté de l'aide grâce au forum.:-O |
