sudo sed -i "/^mac-address=.*$/d" /etc/NetworkManager/system-connections/*
cat : windows, serveur, gpo
Créer : crée le lecteur s’il n’existe pas déjà ; s’il existe, ne fait rien.
Replace : force la suppression puis re-création de l’objet, même s’il n’a pas changé. Pour cette raison, c’est pratique pour forcer un changement (genre nouveau chemin de serveur), mais une fois que tout est en place, il vaut mieux repasser en “update” pour éviter les suppressions régulières du dossier en cours de travail
Update
Configuration générale de nginx et configuration en reverse proxy
apt install nginx
nginx -t : vérifie la syntaxe des fichiers de conf
nginx -s reload : recharge les fichiers de conf
:## Main server (vhost) definition
server {
listen 8080 default_server; # port and defining it as default server
# listen 443 ssl default_server; # for SSL
root /var/www/html; # root directory
index index.html index.htm index.nginx-debian.html; # filenames it might search
server_name _; # URL it will respond to ; _ is default
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
try_files $uri $uri/ =404;
}
}
https://www.freecodecamp.org/news/docker-nginx-letsencrypt-easy-secure-reverse-proxy-40165ba3aee2/
Pour rediriger une requête vers un hôte différent
upstream my-service {
server my-service-hostname:8080;
}
server {
listen 8080;
server_name my-service.example.com;
location / {
proxy_pass http://my-service;
}
}
La directive server sert à définir le cas dans lequel la configuration est utilisée : on écoute sur le port 8080, on répond aux requêtes qui demandent my-service.example.com, et dans le cas où on demande l’URL / (ou à un niveau plus bas, du genre /truc/bidule.html, donc dans ce cas précis tous les chemins).
Dans ce cas, via proxy_passon passe la requete à l’hôte (défini via “upstream”) my-service.
La directive upstream sert à définir un hôte contactable par nginx ; il est nommé (dans nginx uniquement) my-service et est accessible via son adresse IP ou nom d’hôte : hostname:port
https://www.linode.com/docs/web-servers/nginx/use-nginx-reverse-proxy/
https://www.thepolyglotdeveloper.com/2017/03/nginx-reverse-proxy-containerized-docker-applications/
http://www.ixany.org/docs/Shell_Les_tableaux_en_bash.html Les tableaux en bash peuvent être indicés ou associatifs. Pour l’instant je ne parle que des indicés.
Espaces indispensables près des parenthèses.
Déclaration implicite avec initialisation :
arraytest=( a b c )
Déclaration explicite :
declare -a tableau_indi
(ou pour un tableau associatif :)
declare -A tableau_asso
Remplacer “declare” par readonly pour un tableau en lecture seule.
Accolades indispensables.
${arraytest} équivaut à ${arraytest[0]}
Obtenir la première valeur :
echo ${arraytest[0]}
la 2e :
echo ${arraytest[1]}
etc…
Obtenir la liste de toutes les valeurs :
echo ${arraytest[@]}
Obtenir le nombre de valeurs :
echo ${#arraytest[@]}
Ajouter une valeur :
arraytest+=( d )
Permet de lire un fichier ligne par ligne, et de récupérer chaque champ. IFS choisit le séparateur de champs (par défaut espace)
while IFS=\; read -r name domain port options; do
echo "nom : $name"
echo "port : $port"
echo "domain : $domain"
echo "options : $options "
done < "/my/data/file"
/my/data/file contient :
# name;domain;port;options
imap;mail.example.com;993;;
smtp;mail.example.com;465;;
Pour que read ignore les lignes avec les commentaires, on peut utiliser ça en ligne finale :
done <(sed -e 's/[[:space:]]*#.*// ; /^[[:space:]]*$/d' "/my/data/file")
https://www.gnu.org/software/grub/manual/grub/ https://askubuntu.com/questions/751259/how-to-change-grub-command-line-grub-shell-keyboard-layout
Représente un support physique de stockage ainsi qu’une séparation logique (typiquement disque et partition). Doivent être notés entre parenthèses.
Sont de type (hd0,gpt1) la plupart du temps.
https://www.gnu.org/software/grub/manual/grub/html_node/Device-syntax.html#Device-syntax
Comprend nécessairement un périphérique puis un chemin absolu.
Par exemple (hd0,1)/boot/grub/grub.cfg
Si on ne spécifie pas le périphérique, alors c’est ($root).
https://www.gnu.org/software/grub/manual/grub/html_node/File-name-syntax.html#File-name-syntax
set : voir toutes les variables affectées
$root : le périphérique par défaut pour les chemins ; doit être mis entre parenthèses pour être utilisé explicitement. On peut le définir à la volée en demandant une recherche d’UUID.
https://www.gnu.org/software/grub/manual/grub/html_node/root.html#root
$prefix : l’emplacement de “/boot/grub” ; devrait être ($root)/boot/grub https://www.gnu.org/software/grub/manual/grub/html_node/prefix.html#prefix
$cmdpath : l’emplacement contenant l’executable EFI de grub (peut ne contenir que le disque dans certains cas) https://www.gnu.org/software/grub/manual/grub/html_node/cmdpath.html#cmdpath
On peut créer des variables perso avec la syntaxe var=valeur.
Pour qu’une variable soit conservée lors d’un appel de “configfile” ou quand on rentre dans un sous-menu, il faut l’exporter : export var.a
https://askubuntu.com/questions/751259/how-to-change-grub-command-line-grub-shell-keyboard-layout insmod keylayouts keymap /boot/grub/bepo.gkb
ls : explore les chemins absolus (doivent commencer par le périphérique, ou alors sur root)
ls -l : + de détails dont UUID pour les périphériques
source : insère le contenu d’un fichier de configuration
configfile : lance un fichier de configuration
https://wiki.archlinux.org/title/Trusted_Platform_Module
TPM : Trusted Platform Module
C’est un crypto-processeur. Il y’a 2 versions : TPM 1.2 et TPM 2.0. Un démarrage en BIOS ne peut utiliser qu’un TPM 1.2 ; l’utilisation de la version 2.0 requiert un boot UEFI.
Voir si on a un TPM :
devmgmt.msc -> Périphériques de sécurité (Security Devices)
Centre de sécurité -> Sécurité des appareils
tpm.msc
sudo journalctl -k --grep=tpm
ou
sudo dmesg | grep -i tpm
https://www.lecoindunet.com/comprendre-notion-vlan-tagged-untagged-1629 http://www-igm.univ-mlv.fr/~dr/XPOSE2007/vlanparlegrandquinapascomprislesconsignes/Definition.html https://www.bicomm.fr/vlan-quest-ce-que-le-pvid/
Flux taggé : la trame ethernet contient une en-tête (tag) qui spécifie l’ID du VLAN (encapsulation 802.1Q)
Flux non-taggé : ne contient pas cette en-tête
Appareil taggeur : capable d’envoyer un flux taggé (tagged)
Appareil non-taggeur : envoie un flux non-taggé (untagged)
Les cartes réseaux de PC envoient par défaut un flux non-taggé, mais certaines sont capables de produire un flux taggé si l’OS est correctement configuré et que le pilote le supporte.
Voir exemple sous Linux plus loin.
Les switchs modernes, même non-gérés basiques, ont tendance à laisser passer intactes les trames taggées, même si ils ne les comprennent pas. Ceci explique que des appareils taggeurs derrière des switchs basiques soient en mesure de se connecter à différents VLANs.
Mais ceci a toutefois des répercussions sur la sécurité, car il n’y a plus de réelle isolation de port et tous les VLAN sont mélangés. Il est aussi probable que d’autres problèmes découlent de ce branchement, non recommandé.
Trafic entrant = ingress
Trafic sortant = egress
Port VLAN IDentifier : le numéro de VLAN dont seront taggées les trames Untagged entrant par ce port.
Ainsi, un pc relié à un port PVID 3 envoie une trame Untagged, qui se fait tagger au moment de son entrée dans le switch.
Le tag (ou absence de tag) avec lequel elle sortira du switch dépendra de la configuration du VLAN/port du port sortant (mais pas de son PVID).
Une trame circulant dans un switch VLAN-capable est systématiquement taggée ; soit la trame rentre taggée, et elle conserve son tag, soit la trame rentre Untagged et elle hérite du PVID du port.
L’appartenance à un VLAN ou un autre n’empêche pas le switch de savoir sur quel port est situé telle adresse MAC ou IP ; il sera toujours en mesure déterminer le trajet correcte d’une trame (mais pourra l’autoriser ou non).
Les switchs managés n’acceptent généralement la communication (administration, et même ping) que sur un seul VLAN. Par défaut, c’est le 1, mais il est paramétrable.
Ceci peut expliquer que les connexions réseaux fonctionnent correctement entre plusieurs ports différents, mais pas avec le switch ; il ignore simplement les requêtes si elles viennent du mauvais VLAN.
Les prises réseaux accessibles aux utilisateurs finaux sont à considérer comme non-fiables, car n’importe qui peut configurer son poste pour se connecter à un VLAN précis, comme celui d’admin.
On appelle ces ports “port access”, et l’idée est de leur mettre le PVID du VLAN endusers, de “untag” le trafic sortant avec ce VLAN, et de n’autoriser que le trafic de ce VLAN.
Les appareils sur ces ports
À l’inverse, les ports permettant de connecter plusieurs switchs doivent pouvoir faire transiter plusieurs VLAN différents. Ils ne doivent pas être accessibles à n’importe qui.
On appelle ces ports “ports trunk”, et
https://www.ksh-linux.info/reseaux/linux/vlan-debian
sudo apt install vlan
sudo modprobe 8021q
Je crois qu’il est nécessaire que la carte réseau parente (ou le pilote ?) supporte les fonctionnalités de VLAN.
J’ai effectué avec succès la manip sur différentes cartes réseau rj45 ou wifi, ainsi que sur un pont OpenVPN (à faire sur le client, en prenant l’interface tap comme parent ; pas besoin de manip au niveau du serveur ; mais je suppose qu’il est nécessaire que les cartes réseaux du serveur et du client supportent les VLANs).
On définit les caractéristiques du VLAN que l’on souhaite créer, et l’IP/masque à donner à l’interface (non nécessaire pour du DHCP) :
PARENT_IFACE=eth0
VLAN_ID=10
VLAN_IFACE=$PARENT_IFACE.$VLAN_ID
IP=10.0.0.1
MASK=24
BROADCAST=10.0.0.255
sudo ip link add link $PARENT_IFACE name $VLAN_IFACE type vlan id $VLAN_ID
L’interface est alors visible dans ifconfig -a ; elle aura la même adresse MAC que l’interface physique.
On l’active :
sudo ip link set dev $VLAN_IFACE up
On définit son IP/masque :
sudo ip addr add $IP/$MASK brd $BROADCAST dev $VLAN_IFACE
ou on peut demander du dhcp :
sudo dhclient -v $VLAN_IFACE
Pour voir le détail de l’interface vlan, notamment son id :
ip -d link show $VLAN_IFACE
Pour la supprimer :
sudo ip link del $VLAN_IFACE
Chaque port a une politique concernant chacun des VLAN, qui spécifie comment doit être traité le trafic taggé de ce VLAN lorsqu’il sort par ce port (trafic egress) :
Dans le cas où :
En effet, ce filtrage ne s’applique qu’en sortie. Les trames (non taggées) entrantes par ce port seront taggées 4 par le switch, elles auront le droit de sortir par les autres ports, et lors de la réception de la réponse, elles seront taggées d’un autre VLAN (car aucun autre port n’a le PVID 4 et aucun appareil n’est explicitement sur le VLAN 4), et elles auront le droit de ressortir par ce port, en tant que Untagged, et donc comprises par l’appareil d’origine.
On peut définir qu’un port n’accepte (entrant ou sortant ? ) que du trafic taggé, ou que du trafic non taggé, ou les 2.
Si activé, le switch drop tous les paquets taggés avec un VLAN auquel le port n’appartient pas.
Si activé, et qu’une authentification réseau 802.1x est présente, les utilisateurs qui se branchent mais n’ont pas de credentials valides seront envoyés sur le Guest VLAN (si le port est configuré pour l’accepter bien sûr).
Pour que le port accepte de transmettre même les trames appartenant à des VLAN inconnus.
-> à activer (éventuellement) pour les ports reliés à d’autres switchs, par les ports reliés à des équipements finaux
Si VLAN Trunk est activé mais Ingress check est activé aussi, je suppose que le Trunk ne fonctionne pas ?
openssl x509 -in ./cert -text -noout
Pour outrepasser les valeurs du fichier vars, on peut forcer les durées de certificat client avec :
export EASYRSA_CERT_EXPIRE=3650
(et pareil pour les autres variables )
Si fichier .crt :
cat monClient.crt | grep Validity -A 2
Fichier PEM : ??
cd pki/issued
find ./ -iname "*.crt" -exec grep Subject: {} \; -exec grep Validity -A 2 {} \; -exec echo "" \;
fichier .req
??
Sur PC : JOSM. Installer un plugin : Édition -> Préférences -> Greffons (besoin de redémarrer appli) Plugin “reverter” permet de défaire un changeset via son ID (vérifier conflits potentiels)
Sur Android : Vespucci
Il vaut mieux utiliser la clé “disused” plutôt que de supprimer le noeud ; surtout si les locaux n’ont pas changé ; ainsi on conserve l’historique, l’adresse etc. https://help.openstreetmap.org/questions/70903/ideditor-change-a-poibusiness-to-closed https://wiki.openstreetmap.org/wiki/Key:disused:*
Vespucci a un preset pour ça : éditer le noeud -> Preset -> Cycle de vie -> Set to disused
Lorsqu’on est sur place, il faut mentionner “survey” en tant que source https://wiki.openstreetmap.org/wiki/Key:source?uselang=en#General_sources_commonly_used_by_human_mappers
https://osmcha.org/ New filter -> Flagged : yes ; reason : review requested