Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
atelier:chantier:une-box-maison [29/10/2022 11:12] ubub [Installation] ortographe |
atelier:chantier:une-box-maison [29/10/2022 11:39] (Version actuelle) ubub [Le point d'accès wifi] ortpgraphe |
||
---|---|---|---|
Ligne 271: | Ligne 271: | ||
- | Soiyer particulièrement prudent car ce service est sensible aux vulnérabilité. | + | Soyez particulièrement prudent car ce service est sensible aux vulnérabilités. |
Note. Je ne suis pas parvenu a trouver une traduction en français des paramètres, | Note. Je ne suis pas parvenu a trouver une traduction en français des paramètres, | ||
- | les valeurs sont à adapter selon vos besoins. j'ai donc juste indiquer les valeurs que j'utilise. | + | les valeurs sont à adapter selon vos besoins. j'ai donc juste indiqué les valeurs que j'utilise. |
<code root> | <code root> | ||
Ligne 301: | Ligne 301: | ||
#interface: 0.0.0.0 | #interface: 0.0.0.0 | ||
access-control: 192.168.50.0/24 allow | access-control: 192.168.50.0/24 allow | ||
- | interface: 192.168.50.51 #requi wifi | + | interface: 192.168.50.51 #requis wifi |
- | interface: 192.168.4.21 #requi rj45 | + | interface: 192.168.4.21 #requis rj45 |
- | interface: 192.168.3.21 #requi rj45 | + | interface: 192.168.3.21 #requis rj45 |
- | interface: 192.168.2.21 #requi rj45 | + | interface: 192.168.2.21 #requis rj45 |
interface: 127.0.0.1 #? | interface: 127.0.0.1 #? | ||
access-control: 127.0.0.1 allow #? | access-control: 127.0.0.1 allow #? | ||
Ligne 312: | Ligne 312: | ||
access-control: 192.168.4.0/24 allow #requis rj45 | access-control: 192.168.4.0/24 allow #requis rj45 | ||
access-control: 192.168.50.0/24 allow #requis wifi (pas en service) | access-control: 192.168.50.0/24 allow #requis wifi (pas en service) | ||
- | private-address: 192.168.0.0/24 #renforce le coter priver et protège de la technique des "Relais DNS" | + | private-address: 192.168.0.0/24 #renforce le coté privé et protège de la technique des "Relais DNS" |
unwanted-reply-threshold: 10000000 #eviter l'empoisonnement DNS | unwanted-reply-threshold: 10000000 #eviter l'empoisonnement DNS | ||
aggressive-nsec: yes | aggressive-nsec: yes | ||
Ligne 323: | Ligne 323: | ||
prefetch: yes # garde en cache les bons résultats | prefetch: yes # garde en cache les bons résultats | ||
prefetch-key: yes # | prefetch-key: yes # | ||
- | cache-min-ttl: 100000 #durée minimal | + | cache-min-ttl: 100000 #durée minimale |
cache-max-ttl: 200000 #durée max | cache-max-ttl: 200000 #durée max | ||
key-cache-size: 50m | key-cache-size: 50m | ||
- | infra-cache-numhosts: 1000000 #nombre de host qui peuve etre mis en cache | + | infra-cache-numhosts: 1000000 #nombre d'hôtes qui peuvent être mis en cache |
- | do-ip6: no #desactive les requetes ipv6 | + | do-ip6: no #desactive les requêtes ipv6 |
- | tcp-idle-timeout: 15000 #delai avant de signialer un timout sur la connextion | + | tcp-idle-timeout: 15000 #delai avant de signaler un timeout sur la connextion |
harden-below-nxdomain: yes | harden-below-nxdomain: yes | ||
harden-dnssec-stripped: yes #DNSSEC pour les zones de confiance | harden-dnssec-stripped: yes #DNSSEC pour les zones de confiance | ||
- | val-clean-additional: no #toutes les données DNS non sécurisées son effacee | + | val-clean-additional: no #toutes les données DNS non sécurisées son effacées |
- | do-not-query-localhost: yes #permet d'interoger localhost | + | do-not-query-localhost: yes #permet d'interroger localhost |
- | so-reuseport: yes #linux seulment ameliore les performance udp | + | so-reuseport: yes #{linux seulement} améliore les performance udp |
#serve-expired: <yes or no> # tester | #serve-expired: <yes or no> # tester | ||
num-threads: 4 | num-threads: 4 | ||
Ligne 348: | Ligne 348: | ||
val-log-level: 2 #log | val-log-level: 2 #log | ||
- | verbosity: 5 #plage de 1 a 5 , 5 permet le plus parlant | + | verbosity: 5 #plage de 1 à 5 , 5 permet le plus parlant |
log-time-ascii: yes #valable sur un autre fichier que syslog | log-time-ascii: yes #valable sur un autre fichier que syslog | ||
- | log-queries: yes #affiche une ligne par requete | + | log-queries: yes #affiche une ligne par requête |
- | log-replies: yes #affiche une ligne par requete,(réponse) | + | log-replies: yes #affiche une ligne par requête,(réponse) |
log-local-actions: yes #affiche les info de la zone local | log-local-actions: yes #affiche les info de la zone local | ||
log-servfail: yes #afficher pourquoi les requêtes renvoient SERVFAIL Ref doc | log-servfail: yes #afficher pourquoi les requêtes renvoient SERVFAIL Ref doc | ||
Ligne 372: | Ligne 372: | ||
Bug connu : | Bug connu : | ||
- | Si dans fichier /var/log/syslog vous avez ceci | + | Si dans le fichier /var/log/syslog vous avez ceci |
<code root> | <code root> | ||
Jan 16 14:10:11 box kernel: [ 1352.364742] audit: type=1400 audit(1579180211.005:13): apparmor="DENIED" operation="open" profile="/usr/sbin/unbound" name="/var/log/unbound/unbound.log" pid=1000 comm="unbound" requested_mask="ac" denied_mask="ac" fsuid=106 ouid=0 | Jan 16 14:10:11 box kernel: [ 1352.364742] audit: type=1400 audit(1579180211.005:13): apparmor="DENIED" operation="open" profile="/usr/sbin/unbound" name="/var/log/unbound/unbound.log" pid=1000 comm="unbound" requested_mask="ac" denied_mask="ac" fsuid=106 ouid=0 | ||
Ligne 379: | Ligne 379: | ||
</code> | </code> | ||
- | unbound ne peux pas ecrire dans le log que vou lui avez fourni,ceci est lier à apparmor | + | unbound ne peux pas écrire dans le log que vous lui avez fourni, cela est lié à apparmor |
- | il y a peut de documentation en français: | + | il y a peu de documentation en français: |
la solution est celle-ci | la solution est celle-ci | ||
Ligne 391: | Ligne 391: | ||
</code> | </code> | ||
- | Ensuite ceci ne devrai rien renvoiyer (donc tout va bien) | + | Ensuite ceci ne devrai rien renvoyer (donc tout va bien) |
<code root>apparmor_parser -r /etc/apparmor.d/usr.sbin.unbound</code> | <code root>apparmor_parser -r /etc/apparmor.d/usr.sbin.unbound</code> | ||
- | Verifier les droit sur le fichier aux besoin pour tester 0777 mai en principe un 0770 devrai suffire. | + | Vérifier les droits sur le fichier au besoin pour tester 0777 mais en principe un 0770 devrai suffire. |
Relancer le service unbound et regarder si le log est pris en compte | Relancer le service unbound et regarder si le log est pris en compte | ||
Ligne 401: | Ligne 401: | ||
<code root>/etc/resolv.conf</code> | <code root>/etc/resolv.conf</code> | ||
- | de façons a ce qu'il contienne : | + | de façon à ce qu'il contienne : |
<code root> | <code root> | ||
nameserver 127.0.0.1 | nameserver 127.0.0.1 | ||
</code> | </code> | ||
- | Rappelle: Ce fichier a la fâcheuse tendance a ce modifier. Vous pouvez donc le verrouiller avec la commande chattr, | + | Rappelle: Ce fichier a la fâcheuse tendance à se modifier. Vous pouvez donc le verrouiller avec la commande **chattr**, |
**Attention** c'est pas anodin car le système ne peux plus mettre a jour le fichier. | **Attention** c'est pas anodin car le système ne peux plus mettre a jour le fichier. | ||
- | Par exemple, si vous supprimer le paquet unbound l'ip ne pourra plus ce mettre à jours. (c'est un exemple parmi les nombreuse autres mauvaise surprise qui en découle.) | + | Par exemple, si vous supprimez le paquet unbound, l'ip ne pourra plus se mettre à jour. (c'est un exemple parmi les nombreuse autres mauvaises surprises qui en découlent.) |
- | Attention l'utilisation peux empêcher le système d'écrire du coup le répertoire /etc est utiliser a la place. | + | Attention l'utilisation peut empêcher le système d'écrire du coup le répertoire **/etc** est utiliseé à la place. |
vous aurez alors quelque chose de semblable | vous aurez alors quelque chose de semblable | ||
<code root> | <code root> | ||
Ligne 419: | Ligne 419: | ||
</code> | </code> | ||
- | il est peut etre possible de passer par le fichier /etc/dhcp/dhclient.conf | + | il est peut être possible de passer par le fichier /etc/dhcp/dhclient.conf |
en modifiant ou en l'ajoutant avec | en modifiant ou en l'ajoutant avec | ||
Ligne 426: | Ligne 426: | ||
</code> | </code> | ||
- | En redémarrant (le service ou la machine) cela devrai aux moins vous garder la ligne concernée, mai comme ça boxe a fond dans ce fichier il est possible qu'autre chose vienne le modifier après... bref c'est bien relou pour pas grand chose et impossible d'être certain de ne pas avoir une modification suite a une installation d'un autre logiciel etc etc. | + | En redémarrant (le service ou la machine) cela devrait au moins vous garder la ligne concernée, mais comme ça boxe a fond dans ce fichier il est possible qu'autre chose vienne le modifier après... bref c'est bien relou pour pas grand chose et impossible d'être certain de ne pas avoir une modification suite à une installation d'un autre logiciel etc etc. |
- | <note important>je n’apprécie pas ce type de comportement de la part des développeur, pour la simple et bonne raison est que si un fichier est modifier par l'utilisateur on a plus le droit de le modifier sans son accords, particulièrement quand il s'agis de la configuration du système. car en cas de problème qui est responsable, la dernière valeur ou l'utilisateur,surtout que ça peux en plus venir, aux moment du renouvellement du bail de la box du FAI !</note> | + | <note important>je n’apprécie pas ce type de comportement de la part des développeurs, pour la simple et bonne raison que si un fichier est modifié par l'utilisateur on a plus le droit de le modifier sans son accord, particulièrement quand il s'agit de la configuration du système. car en cas de problème qui est responsable, la dernière valeur ou l'utilisateur,surtout que ça peut en plus venir, aux moment du renouvellement du bail de la box du FAI !</note> |
- | Pour tester utiliser la commande: dig | + | Pour tester utiliser la commande: **dig** |
Si vous êtes sur un O.S propriétaire il peux s'avérer utile d'y effacer le cache dns sur un client windows on utilisera: | Si vous êtes sur un O.S propriétaire il peux s'avérer utile d'y effacer le cache dns sur un client windows on utilisera: | ||
Ligne 437: | Ligne 437: | ||
- | A partir la cela devrai suffire pour une connexion filaire et être fonctionnel, | + | A partir de là cela devrait suffire pour une connexion filaire et être fonctionnel, |
Ligne 486: | Ligne 486: | ||
- | j'ai pas trouver de documentation en français mai, il faut chercher a savoir 2 chose | + | j'ai pas trouvé de documentation en français mais, il faut chercher a savoir 2 choses |
- | Si la carte/clé wifi est bien reconnu par le kernel. | + | Si la carte/clé wifi est bien reconnue par le kernel. |
- | Le nom qui est retenu ou plutôt attribuer a cette carte ici : wlx | + | Le nom qui est retenu ou plutôt attribué à cette carte ici : **wlx** |
- | Note avec iptables je vous conseil de filtrer les adresse mac, c' est pas infaillible mai sa va laisser des trace dans les log et prime de complique de compliquer la la tache du pirate. Dans le cas ou la clef serai craquée. | + | Note avec iptables je vous conseille de filtrer les adresse mac, c'est pas infaillible mais ça va laisser des traces dans les logs et de compliquer la tache du pirate. Dans le cas où la clef serait craquée. |
- | vous devriez a ce stade avoir une machine qui ser donc "pc/box" transportable n'importe ou, avec votre distribution | + | vous devriez à ce stade avoir une machine qui sert donc de "pc/box" transportable n'importe où, avec votre distribution |
,un serveur dns,un point d'accès wifi. | ,un serveur dns,un point d'accès wifi. | ||
- | Je remercie à tout ceux qui m'on apporter l'aide grâce aux forum.:-O | + | Je remercie tous ceux qui m'ont apporté de l'aide grâce au forum.:-O |