Sécurité

Notes sur les nouveautés de Gandi v5 : système de gestion des équipes (pour les organisations = sociétés seules), Gandi LiveDNS, TOTP (et U2F)...
Cf  doc gandi V5 à https://doc.gandi.net/fr

Installer clients owncloud et y configurer son framagenda ; install d'un serveur nextcloud

Installé sur un Pi, sur la carte SD noire Transcend 8 Go

vers Syncro de fichier android

Installation

J'ai dl yunohost-jessie-201701261126-sdraspi-stable.zip, dézippé sur la carte SD (l'image fait 2 Go). Mais comme il a berryboot sur disque externe, il ne le voit pas...

Config

Utilisation

Coté serveur

A la 1ere install du serveur sshd, pour générer un ~/.ssh (et voir empreinte à communiquer, faire exit après) : ssh nomuser@localhost
un ex de fingerprint : ECDSA key fingerprint is SHA256:OgtKQ1wMC2rOqQ/pCNvwyf30xRVcz0iKzb1OgNh6b/I.

https://wiki.debian.org/SSH

Génération de la pasphrase: ssh-keygen -t rsa

Mes Pi ont tous divers systèmes (multi-boot) => une mac adresse (adresse physique d'un Pi, utilisé par le dhcp de ma box et mon wifi) est toujours associé à la meme IP (IP qui peux etre aussi utilisée par une de mes vm) - et cela pose un soucis d'utilisation de ssh :p
Sur mon poste (client ssh) le ~/.ssh/known_hosts a déja une autre empreinte pour cette ip.

Sur pi2 (case transparent)

Maj 10 janvier 2018

Lors maj systeme et firmware, en janvier 2018, la maj de php 7.0 (lié à apache) vers 7.1 a mis la grouille.

Drupal est en v 8.4.4 et utilise nginx. Composer 1.6.2 ; drush 8.1.15

Versions de php

Un  dpkg -l | grep samba montre du php 5, 7.0 et 7.1    -> ok

sudo nginx -t   --> ok

Il manquait php-curl ..., Il fallait configurer le user fpm... Puis un composer update montre qu'il manquait php-mbstrings

Php7, mysql, composer et drupal 8 installé sur raspbian jessie

logs

syslog

conf sendmail (notifs) + dans /var/log/mail.err

sm-msp-queue[3010]: My unqualified host name (nom-du-pi) unknown; sleeping for retry
sendmail a un soucis avec /etc/hosts : il cherche un FQDN sur une unique ligne "localhost.localdomain". En d'autres termes, il faut que son nom localhost et nom.domain soit sur une ligne unique, puis relancer send mail (service sendmail restart)

fail2ban : lit les logs de divers services (SSH, FTP, SMTP, Apache... ), à la recherche d'erreurs d'authentification répétées et ajoute une règle iptables pour bannir l'adresse IP. Ecrit en Python.

base de la conf

/etc/fail2ban/fail2ban.conf

Loglevel : 1 – ERROR, 2 – WARN, 3 – INFO ou 4 – DEBUG.

/etc/fail2ban/jail.conf

déclaration des services, et conf, selon divers contextes, DEFAULT s'applique à toutes les autres sections. Par ex, :

source http://docs.kali.org/kali-on-arm/install-kali-linux-arm-raspberry-pi

root  password toor

Changer les clé des hotes SSH :