Re: Bind9 slave

[BERTRAND Joël]

NoSpam a écrit :
> 
> Le 12/02/2020 à 23:06, BERTRAND Joël a écrit :
>> NoSpam a écrit :
  Maintenant, ce que je ne saisis pas.

 legendre# dig @8.8.8.8 systella.fr | grep systella
 ; <<>> DiG 9.10.5-P1 <<>> @8.8.8.8 systella.fr
 ;systella.fr.   IN  A
 systella.fr.    1741    IN  SOA rayleigh.systella.fr.
 bertrand.systella.fr. 2020021201 28800 7200 604800 86400

  Ça semble normal (1741). Sur le slave :

 legendre# dig @localhost systella.fr | grep systella
 ; <<>> DiG 9.10.5-P1 <<>> @localhost systella.fr
 ;systella.fr.   IN  A
 systella.fr.    86400   IN  SOA rayleigh.systella.fr.
 bertrand.systella.fr. 2020021201 28800 7200 604800 86400

 (tous les slaves tant qu'à faire) et le master, j'obtiens 86400.
>>> Avec Debian9 et Debian10 en slave, je dois faire deux fois la requête
>>> dig: la 1ere fois comme toi j'obtiens le TTL défini dans le master, la
>>> seconde fois et celles d'après le TTL décrémenté. Si tu utilises des
>>> views dig n'affichera que les vues locales.
>> Bon, j'obtiens toujours le même.
> Essaye avec dig @8.8.8.8 +nocmd +answer +ttlid a systella.fr ici ca
> fonctionne

Oui, sur 8.8.8.8, ça fonctionne.

>> Ce n'est pas grave. Ce qui l'est en
>> revanche plus, c'est la non propagation sur le slave _sans enlever le
>> fichier cache_.
> 
> Problème version BSD ?

Pas sûr. Il y a deux slaves, l'un sur un NetBSD, l'autre chez Nerim.
Même motif, même punition :

legendre# dig @noemie.nerim.net systella.fr | grep systella
; <<>> DiG 9.10.5-P1 <<>> @noemie.nerim.net systella.fr
;systella.fr.   IN  A
systella.fr.86400   IN  SOA rayleigh.systella.fr.
bertrand.systella.fr. 2020021201 28800 7200 604800 86400

Je ne sais pas sous quel OS tourne noemie.nerim.net, mais les
probabilités pour que ce serveur tourne sous un NetBSD me semblent assez
faibles.

Autre chose : noemie.nerim.net prend immédiatement en compte le serial
et met à jour la zone. Je viens de tester en incrémentant le serial.
Heureusement d'ailleurs, parce que ce serveur utilise aussi nsupdate
pour mettre à jour un certificat letsencrypt *.systella.fr.

Pour information, les versions de bind9 sont les suivantes :
- master (Linux Debian/testing) : BIND 9.11.14-3-Debian (Extended
Support Version)
- slave1 (NetBSD 8.1) : BIND 9.10.5-P1 (Extended Support Version)
- slave2 (chez Nerim) : version inconnue, je ne suis même pas sûr que ce
soit un bind9.

La seule différence entre les deux :
- slave1 récupère la vue interne (slave1 est le DNS d'un site distant
relié par VPN et n'est pas un DNC public) ;
- slave2 récupère la vue externe (et est, lui, public).

dig axfr @master fonctionne parfaitement (et il n'y a pas de problème
réseau ou de MTU).

Le système de vues fonctionne parfaitement. Lorsque la résolution des
noms arrive depuis une interface LAN/VPN, bind retourne les adresses de
la vue interne. Sinon, celles de la vue externe.

Bref, tout ça n'est pas clair. Je comprendrais cette absence de
propagation sur slave1 si la requête dig axfr depuis slave1 échouait ou
s'il n'y avait pas de paquet de notification. Or dig axfr fonctionne et
je vois le paquet de notification ainsi que sa réponse !

Bien cordialement,

JB

Re: Bind9 slave

[NoSpam]

Le 12/02/2020 à 23:06, BERTRAND Joël a écrit :

NoSpam a écrit :

 Maintenant, ce que je ne saisis pas.

legendre# dig @8.8.8.8 systella.fr | grep systella
; <<>> DiG 9.10.5-P1 <<>> @8.8.8.8 systella.fr
;systella.fr.   IN  A
systella.fr.    1741    IN  SOA rayleigh.systella.fr.
bertrand.systella.fr. 2020021201 28800 7200 604800 86400

 Ça semble normal (1741). Sur le slave :

legendre# dig @localhost systella.fr | grep systella
; <<>> DiG 9.10.5-P1 <<>> @localhost systella.fr
;systella.fr.   IN  A
systella.fr.    86400   IN  SOA rayleigh.systella.fr.
bertrand.systella.fr. 2020021201 28800 7200 604800 86400

(tous les slaves tant qu'à faire) et le master, j'obtiens 86400.

Avec Debian9 et Debian10 en slave, je dois faire deux fois la requête
dig: la 1ere fois comme toi j'obtiens le TTL défini dans le master, la
seconde fois et celles d'après le TTL décrémenté. Si tu utilises des
views dig n'affichera que les vues locales.

Bon, j'obtiens toujours le même.
Essaye avec dig @8.8.8.8 +nocmd +answer +ttlid a systella.fr ici ca 
fonctionne



Ce n'est pas grave. Ce qui l'est en
revanche plus, c'est la non propagation sur le slave _sans enlever le
fichier cache_.


Problème version BSD ?

--

Daniel

Re: Bind9 slave

[BERTRAND Joël]

NoSpam a écrit :
>> Maintenant, ce que je ne saisis pas.
>>
>> legendre# dig @8.8.8.8 systella.fr | grep systella
>> ; <<>> DiG 9.10.5-P1 <<>> @8.8.8.8 systella.fr
>> ;systella.fr.   IN  A
>> systella.fr.    1741    IN  SOA rayleigh.systella.fr.
>> bertrand.systella.fr. 2020021201 28800 7200 604800 86400
>>
>> Ça semble normal (1741). Sur le slave :
>>
>> legendre# dig @localhost systella.fr | grep systella
>> ; <<>> DiG 9.10.5-P1 <<>> @localhost systella.fr
>> ;systella.fr.   IN  A
>> systella.fr.    86400   IN  SOA rayleigh.systella.fr.
>> bertrand.systella.fr. 2020021201 28800 7200 604800 86400
>>
>> (tous les slaves tant qu'à faire) et le master, j'obtiens 86400.
> 
> Avec Debian9 et Debian10 en slave, je dois faire deux fois la requête
> dig: la 1ere fois comme toi j'obtiens le TTL défini dans le master, la
> seconde fois et celles d'après le TTL décrémenté. Si tu utilises des
> views dig n'affichera que les vues locales.

Bon, j'obtiens toujours le même. Ce n'est pas grave. Ce qui l'est en
revanche plus, c'est la non propagation sur le slave _sans enlever le
fichier cache_.

Je suis sûr que ça fonctionnait précédemment.

JB

Re: [HS] recherche script batch pour doublons !

[ptilou]

Le lundi 10 février 2020 21:20:02 UTC+1, Marc Chantreux a écrit :
> salut,
> 
> j'ai nettoyé un répertoire de photos en utilisant ça:
> 
> that_duplicates () {
> local ZERO="\x00"
> xargs -0 sha1sum |
> sed -r "s/ +/$ZERO/" |
> awk -F$ZERO -vORS=$ZERO '!sum[$1]++ {print $2}'
> }
> 
> c'est à utiliser avec un find devant et un xargs -0 rm derrière.
> 
> vu les volumes, la stratégie va compter: si tu as beaucoup de gros fichiers,
> il serait peut-être intéressant de faire le sum seulement sur les
> premiers ce qui permetterait un premier dédoublonage à l'arache.
> 
> cordialement,
> marc

Merci, je l'ai pas essayé ! je comprend pas bien , mais enfin à l’occasion je 
demanderai à quelqu'un qui m'a dit qu'il enseigné !
(l'hexa, et le sum 1, la comparaison semble aléatoire, tu facture combien ton 
travail ?  !)

Par contre y avait un DVD, d'un magazine d’administration de Linux anglophone, 
au Fosdem, personne ne l'a récupéré, y  a 6000 scrript, doit y avoir bonheur ...

-- 
ptilou

Re: Bind9 slave

[NoSpam]

Le 12/02/2020 à 19:28, BERTRAND Joël a écrit :

NoSpam a écrit :

Le 12/02/2020 à 18:33, BERTRAND Joël a écrit :

[...]

  Dernière chose : il me semble qu'il existe une commande pour

obtenir le
TTL courant sur un enregistrement mais ma mémoire me fait défaut. Une
idée ?

dig  et la seconde entrée, avant le A ou  est le TTL

 Je me suis mal exprimé, ce qui m'intéresse, c'est le temps restant
dans
le compteur local du DNS.

Le TTL affiché par dig est décrémenté ce qui pour moi est le tant
restant. J'ai bien compris ? ;)

Oui.

Maintenant, ce que je ne saisis pas.

legendre# dig @8.8.8.8 systella.fr | grep systella
; <<>> DiG 9.10.5-P1 <<>> @8.8.8.8 systella.fr
;systella.fr.   IN  A
systella.fr.1741IN  SOA rayleigh.systella.fr.
bertrand.systella.fr. 2020021201 28800 7200 604800 86400

Ça semble normal (1741). Sur le slave :

legendre# dig @localhost systella.fr | grep systella
; <<>> DiG 9.10.5-P1 <<>> @localhost systella.fr
;systella.fr.   IN  A
systella.fr.86400   IN  SOA rayleigh.systella.fr.
bertrand.systella.fr. 2020021201 28800 7200 604800 86400

(tous les slaves tant qu'à faire) et le master, j'obtiens 86400.


Avec Debian9 et Debian10 en slave, je dois faire deux fois la requête 
dig: la 1ere fois comme toi j'obtiens le TTL défini dans le master, la 
seconde fois et celles d'après le TTL décrémenté. Si tu utilises des 
views dig n'affichera que les vues locales.


--
Daniel

Re: Bind9 slave

[BERTRAND Joël]

NoSpam a écrit :
> 
> Le 12/02/2020 à 18:33, BERTRAND Joël a écrit :
>> [...]
>>>  Dernière chose : il me semble qu'il existe une commande pour
 obtenir le
 TTL courant sur un enregistrement mais ma mémoire me fait défaut. Une
 idée ?
>>> dig  et la seconde entrée, avant le A ou  est le TTL
>> Je me suis mal exprimé, ce qui m'intéresse, c'est le temps restant
>> dans
>> le compteur local du DNS.
> 
> Le TTL affiché par dig est décrémenté ce qui pour moi est le tant
> restant. J'ai bien compris ? ;)

Oui.

Maintenant, ce que je ne saisis pas.

legendre# dig @8.8.8.8 systella.fr | grep systella
; <<>> DiG 9.10.5-P1 <<>> @8.8.8.8 systella.fr
;systella.fr.   IN  A
systella.fr.1741IN  SOA rayleigh.systella.fr.
bertrand.systella.fr. 2020021201 28800 7200 604800 86400

Ça semble normal (1741). Sur le slave :

legendre# dig @localhost systella.fr | grep systella
; <<>> DiG 9.10.5-P1 <<>> @localhost systella.fr
;systella.fr.   IN  A
systella.fr.86400   IN  SOA rayleigh.systella.fr.
bertrand.systella.fr. 2020021201 28800 7200 604800 86400

(tous les slaves tant qu'à faire) et le master, j'obtiens 86400.

JB

Re: Bind9 slave

[NoSpam]

Le 12/02/2020 à 18:33, BERTRAND Joël a écrit :

[...]

 Dernière chose : il me semble qu'il existe une commande pour

obtenir le
TTL courant sur un enregistrement mais ma mémoire me fait défaut. Une
idée ?

dig  et la seconde entrée, avant le A ou  est le TTL

Je me suis mal exprimé, ce qui m'intéresse, c'est le temps restant dans
le compteur local du DNS.


Le TTL affiché par dig est décrémenté ce qui pour moi est le tant 
restant. J'ai bien compris ? ;)


--

Daniel

Re: Bind9 slave

[BERTRAND Joël]

NoSpam a écrit :
> 
> Le 12/02/2020 à 16:06, BERTRAND Joël a écrit :
>> Bonjour à tous,
> Bonjour
>>
>> Petit problème avec bind9. J'ai une configuration master/slave
>> avec le
>> master sous Debian/testing et le slave sous NetBSD 8.1. J'ai rajouté un
>> champ sur le master en modifiant le serial pour 2020021201 (auparavant
>> 2019xx). J'ai eu beau relancer les deux bind, je voyais passer les
>> paquets de notification, mais le slave n'était pas mis à jour.
>>
>> En virant le fichier cache sur le slave, la zone a finalement été
>> propagée.
>>
>> Or il me semblait qu'il suffisait que le serial soit supérieur sur le
>> maître pour que le slave se mettre immédiatement à jour lorsqu'il était
>> redémarré. Suis-je dans le vrai ?
> Tu as bien un notify pour la zone vers le slave?

Oui.

Root rayleigh:[/var/lib/bind] > tcpdump -i br0 -p port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:29:10.392473 IP rayleigh-udp.53522 > 192.168.1.2.domain: 47389 notify
[b2&3=0x2400] [1a] SOA? 10.168.192.in-addr.arpa. (101)
18:29:10.454588 IP 192.168.1.2.domain > rayleigh-udp.53522: 47389
notify*- 0/0/0 (41)

rayleigh-udp est l'adresse locale sur le VPN du master. 192.168.1.2 est
l'adresse du slave. Donc le redémarrage du master envoie bien une
notification au slave.

Naturellement, j'ai vérifié que les deux serial étaient bons.

> Dernière chose : il me semble qu'il existe une commande pour
>> obtenir le
>> TTL courant sur un enregistrement mais ma mémoire me fait défaut. Une
>> idée ?
> 
> dig  et la seconde entrée, avant le A ou  est le TTL

Je me suis mal exprimé, ce qui m'intéresse, c'est le temps restant dans
le compteur local du DNS.

Cordialement,

JB

Re: Bind9 slave

[NoSpam]

Le 12/02/2020 à 16:06, BERTRAND Joël a écrit :

Bonjour à tous,

Bonjour


Petit problème avec bind9. J'ai une configuration master/slave avec le
master sous Debian/testing et le slave sous NetBSD 8.1. J'ai rajouté un
champ sur le master en modifiant le serial pour 2020021201 (auparavant
2019xx). J'ai eu beau relancer les deux bind, je voyais passer les
paquets de notification, mais le slave n'était pas mis à jour.

En virant le fichier cache sur le slave, la zone a finalement été 
propagée.

Or il me semblait qu'il suffisait que le serial soit supérieur sur le
maître pour que le slave se mettre immédiatement à jour lorsqu'il était
redémarré. Suis-je dans le vrai ?

Tu as bien un notify pour la zone vers le slave?


Dernière chose : il me semble qu'il existe une commande pour obtenir le
TTL courant sur un enregistrement mais ma mémoire me fait défaut. Une idée ?


dig  et la seconde entrée, avant le A ou  est le TTL

--

Daniel

Bind9 slave

[BERTRAND Joël]

Bonjour à tous,

Petit problème avec bind9. J'ai une configuration master/slave avec le
master sous Debian/testing et le slave sous NetBSD 8.1. J'ai rajouté un
champ sur le master en modifiant le serial pour 2020021201 (auparavant
2019xx). J'ai eu beau relancer les deux bind, je voyais passer les
paquets de notification, mais le slave n'était pas mis à jour.

En virant le fichier cache sur le slave, la zone a finalement été 
propagée.

Or il me semblait qu'il suffisait que le serial soit supérieur sur le
maître pour que le slave se mettre immédiatement à jour lorsqu'il était
redémarré. Suis-je dans le vrai ?

Dernière chose : il me semble qu'il existe une commande pour obtenir le
TTL courant sur un enregistrement mais ma mémoire me fait défaut. Une idée ?

Bien cordialement,

JKB

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[Maxime G.]

Je ne comprends pas la complexité des propositions précédentes.

Simplement:
Tu pointes ton vhost default vers une page de ton choix (blanche ou avec script 
de redirection ou redirect apache dans le vhost).
Dans tous les cas les autres vhosts avec domaines pointent vers des repertoires 
(avec cgi ou autre).

Si quelqu'un vient get / sur IP sans précédence domaine il aura la page par 
défaut de ton choix.
Si quelqu'un vient get / sur IP avec précédence il sera envoyé vers le 
repertoire du vhost domaine qui va lui charger le bon site.

Fail2ban les IP sources qui viennent sur ton serveur est une très mauvaise idée.
Si iptables vient à missmatch sur le domaine réclamé il va ban le visiteur ou 
+, car avec les réseaux NATés tu risques de bannir plusieurs centaines de 
clients en trafic (réseaux mobiles par exemple)

Maxime.


12 février 2020 15:01 "G2PC"  a écrit:

>> Remplace ta page html par une page php et envois l'adresse IP à fail2ban.
> 
> Intéressant, je n'avais pas pensé à coupler PHP pour relever les IP et
> travailler avec Fail2ban.
> Je vais y penser, voir si cela peut être fait ainsi.
> Enfin, j'aurais préféré que Fail2ban récupère les erreurs dans les logs,
> dès lors ou une demande sur le vhost à l'écoute de l'ip se fait rejetée.
> C'est déjà le cas actuellement avec la règle apache-auth !
> J'ai voulu paramétrer ma propre règle, pour surcharger les paramètres,
> mais, ma règle ne semble pas travailler, c'était la le problème.
> 
>> Je trouve toutefois cette demande très curieuse d'autant que
>> visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors
>> pourquoi ne pas adopter le même comportement pour un accès via IP ...
> 
> Comme je le disais, j'ai plusieurs domaines, donc, il faudrait alors
> définir un site principale, hors, peut être que je ne souhaite pas
> définir un site principale.
> Quelques lectures m'ont laissées penser que ce n'était pas forcément si
> judicieux et qu'il serrait intéressant de verrouiller la consultation
> lorsque c'est l'adresse IP qui est saisie.
> 
> J'utilisais bien une redirection il y a peu, de l'ip:80 vers le site
> principale, mais, la redirection de l'ip:443 vers le site principale ne
> fonctionne pas et je n'ai pas trouvé comment faire.
> Dès lors, je me suis dis qu'il serait peut être plus judicieux de
> verrouiller la consultation sur le navigateur, pour l'ip:80

Re: Comment savoir si un vieux portable est compatible linux ?

[François LE GAD]

Le 11/02/2020 à 09:32, David_dev Dev a écrit :
Les parents ont un vieux Portable Acer de 5-6 ans au moins qui fatigue 
avec un Windows obsolète. J'aimerais tenter de leur mettre un linux pour 
voir si ça passe.


J'ai eu un portable Acer Aspire qui, au bout de quelques années, 
refusait de démarrer avec les noyaux récents. Il me fallait donc 
désinstaller le nouveau noyau après chaque mise à jour. Aucune autre 
incompatibilité n'est apparue.


Si plusieurs noyaux sont présents, le système démarre sur le plus 
récent, sauf si on choisit un autre à chaque démarrage dans le menu de Grub.


Si par hasard tu ne parviens pas à lancer un CD d'installation, tu peux 
te rabattre sur une version plus ancienne puis faire la mise à jour de 
distribution en continuant à utiliser l'ancien noyau.


--
François

Re: Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> Remplace ta page html par une page php et envois l'adresse IP à fail2ban.

Intéressant, je n'avais pas pensé à coupler PHP pour relever les IP et
travailler avec Fail2ban.
Je vais y penser, voir si cela peut être fait ainsi.
Enfin, j'aurais préféré que Fail2ban récupère les erreurs dans les logs,
dès lors ou une demande sur le vhost à l'écoute de l'ip se fait rejetée.
C'est déjà le cas actuellement avec la règle apache-auth !
J'ai voulu paramétrer ma propre règle, pour surcharger les paramètres,
mais, ma règle ne semble pas travailler, c'était la le problème.

> Je trouve toutefois cette demande très curieuse d'autant que
> visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors
> pourquoi ne pas adopter le même comportement pour un accès via IP ...

Comme je le disais, j'ai plusieurs domaines, donc, il faudrait alors
définir un site principale, hors, peut être que je ne souhaite pas
définir un site principale.
Quelques lectures m'ont laissées penser que ce n'était pas forcément si
judicieux et qu'il serrait intéressant de verrouiller la consultation
lorsque c'est l'adresse IP qui est saisie.

J'utilisais bien une redirection il y a peu, de l'ip:80 vers le site
principale, mais, la redirection de l'ip:443 vers le site principale ne
fonctionne pas et je n'ai pas trouvé comment faire.
Dès lors, je me suis dis qu'il serait peut être plus judicieux de
verrouiller la consultation sur le navigateur, pour l'ip:80

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> C'est au niveau du protocole HTTP/1.1 ou mieux qu'on peut agir (le
> champ Host: de la requête GET ou POST ...). Voir la wikipage anglaise
> (Wikipedia) sur HTTP
>  puis
> l'entête Host: de HTTP/1.1 (voir
> https://en.wikipedia.org/wiki/List_of_HTTP_header_fields et bien
> évidemment la RFC7231  ... Pour
> HTTP2 ça devient plus compliqué.
>
> A mon humble avis, "G2PC"   devrait se plonger
> dans la documentation de son logiciel serveur Web. Aussi bien lighttpd
>  que Apache 
> peuvent être configurés pour ça.
>
> Et si G2PC utilise une librarie serveur Web comme libonion
> , c'est faisable aussi.
>
> Cordialement


Je ne comprend pas le renvoie vers HTTP et la RFC que tu mentionnes.
Je parlais initialement de Fail2ban et tu me renvoies vers le protocole
HTTP.

Tu me conseils de lire la documentation de Apache...
Un peu comme le compte rendu que j'ai fais de mes lectures, ici, je
suppose :
https://wiki.visionduweb.fr/index.php?title=Installer_Apache2_sur_Debian

Donc, évidemment, si je pose une question sur Fail2ban et Apache, c'est
pour avoir une piste de recherche, un conseil, un tutoriel, au moins un
ensemble de mots clés complémentaires à ceux déjà évoqués, et, pas pour
que l'on me renvoie sur la page principale de Apache pour y lire toute
la documentation de Apache, sans savoir quoi chercher, alors que la
question initiale portait tout de même sur Fail2ban.

Par contre, si des experts veulent relire ma synthèse, pour identifier
des erreurs ou des fautes d'orthographe, libre à vous.

https://wiki.visionduweb.fr/index.php?title=Installer_Apache2_sur_Debian


En attendant, je vais donc continuer mes lectures sur Fail2ban à ce
moment la, et, laisser tomber ma règle personnalisée, pour me concentrer
sur la règle apache-auth.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> C'est quoi le but ???
>
> Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
> à mémoriser les adresses IP… Quand tu tapes une URL dans ton navigateur, ton
> système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à 
> ladite adresse IP.
>
> Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
> navigateur ne fait rien de mal en soi…
>
> Sébastien

Certes, sauf que, les noms de domaines permettent de pointer vers le bon
dossier du serveur web hébergeant plusieurs sites.

Chercher à consulter via un navigateur, l'ip du serveur, n'a pas de sens
dans mon cas.
Quel est le site qui va être affiché ?
Mon site principale, mon wiki, mon rendu FTP, mon site de jeu, mon
redmine, mon site écolo, ou autre ?

Donc, la navigation doit se faire via le domaine, et, non pas par l'ip
depuis le navigateur.

Re: Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[NoSpam]

Le 12/02/2020 à 12:03, G2PC a écrit :

Le 12/02/2020 à 09:18, k6dedi...@free.fr a écrit :

Bonjour,
Tout dépend de ce que tu veux interdire.
Si tu veux un accès seulement aux personnes autorisées sans avoir à gérer 
l'endroit d'où ces personnes se connectent, il faut tout simplement filtrer sur 
ta page : index.html
Seules les personnes à qui tu auras communiqué le mot de passe pourront se 
connecter.

En espérant que c'est ce type de contrôle que tu cherches.
Cassis

Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
voudraient demander une lecture http via l'ip directement, au lieu du
nom de domaine.
En somme, bloquer tout ce qui ne passe pas par un domaine.


Remplace ta page html par une page php et envois l'adresse IP à fail2ban.

Je trouve toutefois cette demande très curieuse d'autant que 
visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors 
pourquoi ne pas adopter le même comportement pour un accès via IP ...


--

Daniel

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[basile]

On Wednesday, February 12, 2020 12:12 CET, "Sébastien NOBILI" 
 wrote:
 Bonjour,

12 février 2020 12:05 "G2PC"  a écrit:

> Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
> voudraient demander une lecture http via l'ip directement, au lieu du
> nom de domaine.
> En somme, bloquer tout ce qui ne passe pas par un domaine.

C'est quoi le but ???

Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
à mémoriser les adresses IP… Quand tu tapes une URL dans ton navigateur, ton
système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à
ladite adresse IP.

Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
navigateur ne fait rien de mal en soi…

Sébastien
 
C'est au niveau du protocole HTTP/1.1 ou mieux qu'on peut agir (le champ Host: 
de la requête GET ou POST ...). Voir la wikipage anglaise (Wikipedia) sur HTTP 
puis l'entête Host: de HTTP/1.1 (voir 
https://en.wikipedia.org/wiki/List_of_HTTP_header_fields et bien évidemment la 
RFC7231 ... Pour HTTP2 ça devient plus compliqué.

A mon humble avis, "G2PC"   devrait se plonger dans la 
documentation de son logiciel serveur Web. Aussi bien lighttpd que Apache 
peuvent être configurés pour ça.

Et si G2PC utilise une librarie serveur Web comme libonion, c'est faisable 
aussi.

Cordialement

--

Basile Starynkevitch
http://starynkevitch.net/Basile/
92340 Bourg La Reine, France

 

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[Sébastien NOBILI]

Bonjour,

12 février 2020 12:05 "G2PC"  a écrit:
 
> Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
> voudraient demander une lecture http via l'ip directement, au lieu du
> nom de domaine.
> En somme, bloquer tout ce qui ne passe pas par un domaine.

C'est quoi le but ???

Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
à mémoriser les adresses IP… Quand tu tapes une URL dans ton navigateur, ton
système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à 
ladite adresse IP.

Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
navigateur ne fait rien de mal en soi…

Sébastien

Re: Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Le 12/02/2020 à 09:18, k6dedi...@free.fr a écrit :
> Bonjour,
> Tout dépend de ce que tu veux interdire.
> Si tu veux un accès seulement aux personnes autorisées sans avoir à gérer 
> l'endroit d'où ces personnes se connectent, il faut tout simplement filtrer 
> sur ta page : index.html
> Seules les personnes à qui tu auras communiqué le mot de passe pourront se 
> connecter.
>
> En espérant que c'est ce type de contrôle que tu cherches.
> Cassis
Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
voudraient demander une lecture http via l'ip directement, au lieu du
nom de domaine.
En somme, bloquer tout ce qui ne passe pas par un domaine.

Re: Modifier mot de passe user mysql : Access denied for user root

[JC.EtiembleG]

Le 11/02/2020 à 23:48, ajh.val...@free.fr a écrit :

J'ai tenté via moteur de recherche, rien ne marche,
dont "dpkg-reconfigure mysql-server".

Merci d'une aide, d'une piste...


A tester et adapter
Comment récupérer (perdu ou oublié) mon mot de passe root de MariaDB
"http://jc.etiemble.free.fr/abc/index.php/trucs-astuces/lamp/deb9php7#mdpperdu;

--
J-C Etiemble

Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[k6dedijon]

Bonjour,
Tout dépend de ce que tu veux interdire.
Si tu veux un accès seulement aux personnes autorisées sans avoir à gérer 
l'endroit d'où ces personnes se connectent, il faut tout simplement filtrer sur 
ta page : index.html
Seules les personnes à qui tu auras communiqué le mot de passe pourront se 
connecter.

En espérant que c'est ce type de contrôle que tu cherches.
Cassis






- Mail d'origine -
De: G2PC 
À: Liste Debian 
Envoyé: Tue, 11 Feb 2020 05:36:16 +0100 (CET)
Objet: Comment interdire la consultation de son serveur web sur son IP directe 
et le port 443?

Comment interdire la consultation de son serveur web sur son IP directe
et le port 443 ?
Est ce que ça a du sens ?

J'ai modifié ma configuration pour interdire la consultation directe du
serveur web sur sont IP directe et le port 80.

Si je tente de modifier le VHost pour ajouter une règle 443, je n'arrive
à rien, je suis redirigé vers le premier site que j'héberge, dans
l'ordre alphabétique.
/var/www/ethernium.fun

En même temps, je n'ai pas de certificat pour l'ip seule pour le serveur.
Je note également que certains sites ont été validé et enregistrés pour
HSTS.

Si quelqu'un a un conseil à donner, pour gérer ça ( IP:443 ) à peu près
correctement, si cela est nécessaire ?
Faut t'il s'occuper de la mise en place d'une règle pour bloquer le
trafic sur IP:443 ?


Voilà la conf actuelle, si quelque chose d'anormal SAUTE aux yeux ?
https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistrés

Merci


###


En complément, je tente de mettre une règle Fail2ban en place, pour
bloquer la consultation directe sur l'adresse IP du serveur.
Par contre, pour le moment, c'est la règle apache-auth qui travaille,
et, qui bloque les indésirables au bout de 3 tentatives, valeur par défaut.
Quand je tente de créer ma propre configuration, apache-ipserveur, le
retrymax passé à 1 n'est pas être pris en compte.
Pour le moment, je continue de lire à ce sujet.

https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban#Interdire_la_navigation_via_l.27adresse_IP_du_serveur