corrections du markdown, ajout de chapitre etc ...

docs/Authentification-Carte-à-Puce.md

@@ -1,7 +1,7 @@
 
 # Utilisation d'une carte à puce pour s'authentifier
 
-Nous allons voir comment s'authentifier (SSH, login) avec une carte à puces (smartcard,openpgp).
+Nous allons voir comment s'authentifier (SSH, login) avec une carte à puces (smartcard, openpgp).
 
 ## Configuration de la carte à puce
 
@@ -11,7 +11,7 @@ Nous allons voir comment s'authentifier (SSH, login) avec une carte à puces (sm
 
 Nous allons utiliser Nautilus avec le plugin **seahorse-nautilus**. Sélectionnez le fichier, ou le dossier à chiffrer. Clic gauche -> option Chiffrer. Une fenêtre de dialogue s'affiche et vous permet de choisir la clef de chiffrement. Une fenêtre vous demande ensuite le code PIN.
 
-Un fichier/dossier de même nom avec l'extension **.pgp** est créé. Vous pouvez supprimer le fichier original.
+Un fichier/dossier de même nom avec l'extension `.pgp` est créé. Vous pouvez supprimer le fichier original.
 
 Le déchiffrage fonctionne d'une manière similaire.
 
@@ -21,25 +21,20 @@ On peut noter qu'il est aussi possible de réaliser la même opération avec les
 
 Chiffrer le fichier
 
-gpg2 --encrypt <mon_fichier>
+    gpg2 --encrypt <mon_fichier>
 
 Génère un fichier avec l’extension.gpg, illisible pour celui qui ne possède pas la clé.
 Déchiffrer le fichier
 
-gpg2 --output mon_fichier_dechiffre --decrypt mon_fichier.gpg
+    gpg2 --output mon_fichier_dechiffre --decrypt mon_fichier.gpg
 
-A l’exécution de cette commande, une boîte de dialogue vous demande de rentrer le mot de passe. C’est la « passphrase » que vous aviez tapée au moment de la génération des clés.
+À l’exécution de cette commande, une boîte de dialogue vous demande de rentrer le mot de passe. C’est la « passphrase » que vous aviez tapée au moment de la génération des clés.
 Et voilà le fichier « mon_fichier_dechiffre » apparaît et devient parfaitement lisible.
 
-[Lien](https://tutox.fr/2017/12/08/chiffrer-fichiers-gnupg/)
+[Chiffer-déchiffer avec GNUPG](https://tutox.fr/2017/12/08/chiffrer-fichiers-gnupg/)
 
 Test: création d'un fichier texte, listage des clefs disponibles, chiffrage, déchiffrage.
 
----
-```
-
-```
----
 ## Utilisation de la carte à puce pour chiffrer un émail (avec thunderbird et enigmail)
 
 ## Utilisation de la carte à puce pour signer un fichier
@@ -50,18 +45,16 @@ Nous allons utiliser Nautilus avec le plugin **seahorse-nautilus**. Sélectionne
 
 La vérification de la signature fonctionne d'une manière similaire.
 
-Un fichier/dossier de même nom avec l'extension **.sig** est créé. Vous pouvez supprimer le fichier original.
+Un fichier/dossier de même nom avec l'extension`.sig` est créé. Vous pouvez supprimer le fichier original.
 
 On peut noter qu'il est aussi possible de réaliser la même opération avec les clefs que vous avez déjà sur votre poste.
 
 ### À la main
 
-
-
 ## Utilisation de la carte à puce pour signer un émail
 
 ## Utilisation de la carte à puce pour chiffrer un dossier (Gnome3)
 
 ## Utilisation de la carte à puce pour se connecter/s'authentifier à/sur un serveur SSH distant
 
-## Utilisation de la carte à puce pour s'authentifier sur un poste Debian/Linux (login)
+## Utilisation de la carte à puce pour s'authentifier sur un poste Debian/Linux (login)

docs/Configuration-Réseau.md

@@ -1,11 +1,11 @@
 
-## Configuration du réseau
+# Configuration du réseau
 
 Nous avons utilisé la configuration automatique du réseau (DHCP).
 
 Il est temps de configurer manuellement les adresses IP pour avoir des adresses fixes dans le temps (faisable aussi avec DHCP si on a un serveur DHCP configurable)
 
-### Configuration de l'IPV4
+## Configuration de l'IPV4
 
 Les éléments suivants ont été configurés dans l'interface de configuration de ma box (Freebox dans mon cas)
 
@@ -126,7 +126,7 @@ Test de l'adresse IPV4 (mode super-utilisateur)
 
 Mon adresse IPV4 est la bonne: **192.168.111.160**
 
-### Configuration de l'IPV6
+## Configuration de l'IPV6
 
 Nous allons utiliser la configuration automatique. Un préfixe IPV6 nous est attribué par notre fournisseur d'accès. Nous disposons d'un pool gigantesque d'adresses IPV6 utilisables comme bon nous semble.
 
@@ -166,7 +166,7 @@ Vous noterez la présence de 3 adresses ipv6.
 
 Ces 3 adresses sont dans le pool d'adresses attribué par le FAI, et donc, les 64 premiers bits de l'adresse constituent le préfixe ipv6. Le pool d'adresses peu être de 64 bits ou 56 suivant les fournisseurs, ou moins encore.
 
-### Tester la configuration réseau
+## Tester la configuration réseau
 
 Je teste la connexion IPV6 à partir de ma machine de bureau.
 

docs/Courrier-Comptes-Virtuels.md

@@ -126,8 +126,8 @@ Voilà, dovecot est ré-installé avec le support de sqlite et postgresql.
 Vous pouvez reprendre les étapes de configuration de postfix comme décrites dans la partie correspondante du tutoriel (Installation d'un serveur de courrier basique). Reprenez les tests pour pour assurer de son bon fonctionnement.
 
 * Test d'envoi d'un compte utilisateur à un autre
-  - root -> ericadmin
-  - ericadmin -> root
+  * root -> ericadmin
+  * ericadmin -> root
 * Test d'envoi de messages à partir de ce serveur sur mon serveur principal
 * Test d'envoi de messages à partir d'un poste extérieur
 * Test de l'envoi à root pour vérifier la redirection
@@ -171,5 +171,4 @@ Postfix ne gère pas l'authentification qui est déportée à *dovecot*. Nous ve
 
 Il est possible de configurer *postfix* pour qu'il gère **et** l'acheminement *local* **et** l'acheminement *virtuel* ou bien, que toutes les adresses mail, locales ou non soient gérées virtuellement. C'est le choix que j'ai fait.
 
-
 ## Utilisation des fichiers *dbm*

docs/Courrier-SPF-DKIM-OPENDMARC.md

@@ -9,11 +9,11 @@ Nous allons maintenant ajouter un enregistrement **spf** à notre configuration.
 
 La syntaxe de la ligne à ajouter est assez simple. Il existe des générateurs de ligne SPF, comme:
 
- * [spfwizard](https://www.spfwizard.net/)
+* [spfwizard](https://www.spfwizard.net/)
 
 ou
 
-*  [mxtoolbox](https://mxtoolbox.com/SPFRecordGenerator.aspx).
+* [mxtoolbox](https://mxtoolbox.com/SPFRecordGenerator.aspx).
 
 Le site [openspf](http://www.openspf.org/) contient tout ce qu'il faut savoir à propos de SPF, syntaxe, paramètres etc ...
 
@@ -21,90 +21,79 @@ Pour mon serveur, j'ai choisi une politique stricte de rejet des mails qui ne vi
 
 Voici la ligne à rajouter au fichier de zone. C'est le paramètre "-all" qui détermine la politique (de rejet ici). Nous aurions pu mettre **~all** pour une politique moins stricte. (notez le **~** à la place du **-**)
 
-```shell
-; spf
-yojik.net.       IN      TXT     "v=spf1 a mx mx:adara.yojik.net a:adara.yojik.net -all"
-yojik.net.       IN      SPF     "v=spf1 a mx mx:adara.yojik.net a:adara.yojik.net -all"
-```
+    ; spf
+    yojik.net.       IN      TXT     "v=spf1 a mx mx:adara.yojik.net a:adara.yojik.net -all"
+    yojik.net.       IN      SPF     "v=spf1 a mx mx:adara.yojik.net a:adara.yojik.net -all"
 
 On recharge bind pour la prise en compte des modifications:
 
-```shell
-service bind9 restart
-```
+    service bind9 restart
 
 Il nous reste à configurer postfix pour prendre en compte cet enregistrement et effectuer les validations.
 
 ### Installation des logiciels nécessaires
 
-```shell
-root@atom:/etc/bind# apt-get install postfix-policyd-spf-python
-Lecture des listes de paquets... Fait
-Construction de l'arbre des dépendances
-Lecture des informations d'état... Fait
-The following additional packages will be installed:
-  python3-authres python3-dns python3-spf
-Paquets suggérés :
-  python3-yaml
-Les NOUVEAUX paquets suivants seront installés :
-  postfix-policyd-spf-python python3-authres python3-dns python3-spf
-0 mis à jour, 4 nouvellement installés, 0 à enlever et 12 non mis à jour.
-Il est nécessaire de prendre 153 ko dans les archives.
-Après cette opération, 494 ko d'espace disque supplémentaires seront utilisés.
-Souhaitez-vous continuer ? [O/n] o
-Réception de:1 http://deb.debian.org/debian stretch/main amd64 python3-dns all 3.1.1-1 [27,5 kB]
-Réception de:2 http://deb.debian.org/debian stretch/main amd64 python3-authres all 0.900-1 [17,5 kB]
-Réception de:3 http://deb.debian.org/debian stretch/main amd64 python3-spf all 2.0.12t-3 [64,1 kB]
-Réception de:4 http://deb.debian.org/debian stretch/main amd64 postfix-policyd-spf-python all 2.0.1-1 [43,8 kB]
-153 ko réceptionnés en 0s (1 533 ko/s)
-Sélection du paquet python3-dns précédemment désélectionné.
-(Lecture de la base de données... 40435 fichiers et répertoires déjà installés.)
-Préparation du dépaquetage de .../python3-dns_3.1.1-1_all.deb ...
-Dépaquetage de python3-dns (3.1.1-1) ...
-Sélection du paquet python3-authres précédemment désélectionné.
-Préparation du dépaquetage de .../python3-authres_0.900-1_all.deb ...
-Dépaquetage de python3-authres (0.900-1) ...
-Sélection du paquet python3-spf précédemment désélectionné.
-Préparation du dépaquetage de .../python3-spf_2.0.12t-3_all.deb ...
-Dépaquetage de python3-spf (2.0.12t-3) ...
-Sélection du paquet postfix-policyd-spf-python précédemment désélectionné.
-Préparation du dépaquetage de .../postfix-policyd-spf-python_2.0.1-1_all.deb ...
-Dépaquetage de postfix-policyd-spf-python (2.0.1-1) ...
-Paramétrage de python3-authres (0.900-1) ...
-Paramétrage de python3-dns (3.1.1-1) ...
-Traitement des actions différées (« triggers ») pour man-db (2.7.6.1-2) ...
-Paramétrage de python3-spf (2.0.12t-3) ...
-Paramétrage de postfix-policyd-spf-python (2.0.1-1) ...
-root@atom:/etc/bind#
-```
+    root@atom:/etc/bind# apt-get install postfix-policyd-spf-python
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances
+    Lecture des informations d'état... Fait
+    The following additional packages will be installed:
+      python3-authres python3-dns python3-spf
+    Paquets suggérés :
+      python3-yaml
+    Les NOUVEAUX paquets suivants seront installés :
+      postfix-policyd-spf-python python3-authres python3-dns python3-spf
+    0 mis à jour, 4 nouvellement installés, 0 à enlever et 12 non mis à jour.
+    Il est nécessaire de prendre 153 ko dans les archives.
+    Après cette opération, 494 ko d'espace disque supplémentaires seront utilisés.
+    Souhaitez-vous continuer ? [O/n] o
+    Réception de:1 http://deb.debian.org/debian stretch/main amd64 python3-dns all 3.1.1-1 [27,5 kB]
+    Réception de:2 http://deb.debian.org/debian stretch/main amd64 python3-authres all 0.900-1 [17,5 kB]
+    Réception de:3 http://deb.debian.org/debian stretch/main amd64 python3-spf all 2.0.12t-3 [64,1 kB]
+    Réception de:4 http://deb.debian.org/debian stretch/main amd64 postfix-policyd-spf-python all 2.0.1-1 [43,8 kB]
+    153 ko réceptionnés en 0s (1 533 ko/s)
+    Sélection du paquet python3-dns précédemment désélectionné.
+    (Lecture de la base de données... 40435 fichiers et répertoires déjà installés.)
+    Préparation du dépaquetage de .../python3-dns_3.1.1-1_all.deb ...
+    Dépaquetage de python3-dns (3.1.1-1) ...
+    Sélection du paquet python3-authres précédemment désélectionné.
+    Préparation du dépaquetage de .../python3-authres_0.900-1_all.deb ...
+    Dépaquetage de python3-authres (0.900-1) ...
+    Sélection du paquet python3-spf précédemment désélectionné.
+    Préparation du dépaquetage de .../python3-spf_2.0.12t-3_all.deb ...
+    Dépaquetage de python3-spf (2.0.12t-3) ...
+    Sélection du paquet postfix-policyd-spf-python précédemment désélectionné.
+    Préparation du dépaquetage de .../postfix-policyd-spf-python_2.0.1-1_all.deb ...
+    Dépaquetage de postfix-policyd-spf-python (2.0.1-1) ...
+    Paramétrage de python3-authres (0.900-1) ...
+    Paramétrage de python3-dns (3.1.1-1) ...
+    Traitement des actions différées (« triggers ») pour man-db (2.7.6.1-2) ...
+    Paramétrage de python3-spf (2.0.12t-3) ...
+    Paramétrage de postfix-policyd-spf-python (2.0.1-1) ...
+    root@atom:/etc/bind#
 
 ### Configuration de postfix: master.cf
 
 Dans le fichier /etc/postfix/master.cf, il faut rajouter le service suivant:
 
-```shell
-policyd-spf  unix  -       n       n       -       0       spawn
-    user=policyd-spf argv=/usr/bin/policyd-spf
-```
+    policyd-spf  unix  -       n       n       -       0       spawn
+        user=policyd-spf argv=/usr/bin/policyd-spf
+
 ### Configuration de postfix: main.cf
 
 Il nous faut ajouter la règle correspondante dans la lsite des restrictions de main.cf. Bien afire attention de positionner **check_policy_service** APRÈS **reject_unauth_destination**, sinon, votre serveur mail devient **openrelay**!
 
-```shell
-smtpd_recipient_restrictions =
-            ...
-            reject_unauth_destination
-            check_policy_service unix:private/policyd-spf
-            ...
+    smtpd_recipient_restrictions =
+                ...
+                reject_unauth_destination
+                check_policy_service unix:private/policyd-spf
+                ...
 
-policyd-spf_time_limit = 3600
-```
+    policyd-spf_time_limit = 3600
 
 Relancez **postfix**:
 
-```shell
-service postfix restart
-```
+    service postfix restart
 
 ### Test
 
@@ -118,50 +107,42 @@ Les tests ne fonctionnent pas ... en fait, cela vient de la config IPV6 du serve
 
 La solution a été de configurer manuellement l'adresse IPV6 dans /etc/network/interfaces de la façon suivante:
 
-```shell
-iface enp2s0 inet6 static
-address 2a01:e0a:54:c220:3aea:a7ff:fea6:cf93
-netmask 64
-gateway 2a01:e0a:54:c220:OOOO:0000:000:0001
-```
+    iface enp2s0 inet6 static
+    address 2a01:e0a:54:c220:3aea:a7ff:fea6:cf93
+    netmask 64
+    gateway 2a01:e0a:54:c220:OOOO:0000:000:0001
 
 On va aussi modifier la configuration de Postfix pour permettre l'envoi de messages de l'extérieur de la machine (uniquement les utilisateurs enregistrés, bien sûr).
 
 J'ai modifié /etc/postfix/main.cf de la façon suivante: j'ai ajouté ceci au fichier:
 
-```shell
-smtpd_recipient_restrictions =
-        permit_sasl_authenticated,
-        permit_mynetworks,
-        reject_unauth_destination,
-        check_policy_service unix:private/policyd-spf
-```
+    smtpd_recipient_restrictions =
+            permit_sasl_authenticated,
+            permit_mynetworks,
+            reject_unauth_destination,
+            check_policy_service unix:private/policyd-spf
 
 et commenté les lignes correspondantes dans la section submission et smtps du fichier /etc/postfix/master.cf:
 
-```shell
-#  -o smtpd_sender_restrictions=$mua_sender_restrictions
-```
+    #  -o smtpd_sender_restrictions=$mua_sender_restrictions
 
 J'ai simplement transféré les restrictions **smtpd_sender_restrictions** qui étaient dans main.cf dans master.cf.
 
 Après modifications, tout marche comme il faut, vérification SPF comprise.
 
-```shell
-root@atom:/home/ericadmin# tail -f /var/log/mail.log
-May 28 11:58:06 atom dovecot: imap-login: Login: user=<ericadmin>, method=PLAIN, rip=192.168.111.150, lip=192.168.111.240, mpid=1901, TLS, session=<I0V6J0FtWODAqG+W>
-May 28 11:58:26 atom postfix/smtpd[1902]: connect from adara.yojik.eu[91.121.72.10]
-May 28 11:58:26 atom policyd-spf[1907]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=91.121.72.10; helo=adara.yojik.eu; envelope-from=eric@yojik.eu; receiver=<UNKNOWN>
-May 28 11:58:26 atom postfix/smtpd[1902]: C701DD004F2: client=adara.yojik.eu[91.121.72.10]
-May 28 11:58:26 atom postfix/cleanup[1908]: C701DD004F2: message-id=<4c621385-3822-cb78-9c1d-7e9f43c3fc52@yojik.eu>
-May 28 11:58:26 atom postfix/qmgr[867]: C701DD004F2: from=<eric@yojik.eu>, size=1414, nrcpt=1 (queue active)
-May 28 11:58:26 atom postfix/smtpd[1902]: disconnect from adara.yojik.eu[91.121.72.10] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
-May 28 11:58:26 atom postfix/local[1909]: C701DD004F2: to=<ericadmin@yojik.net>, relay=local, delay=0.23, delays=0.21/0.01/0/0, dsn=2.0.0, status=sent (delivered to maildir)
-May 28 11:58:26 atom postfix/qmgr[867]: C701DD004F2: removed
-May 28 11:59:00 atom dovecot: imap-login: Login: user=<ericadmin>, method=PLAIN, rip=192.168.111.150, lip=192.168.111.240, mpid=1915, TLS, session=<FoqwKkFtduDAqG+W>
-```
-
-La ligne **May 28 11:43:12 atom policyd-spf[1830]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; ** montre que notre contrôle SPF fonctionne comme il faut.
+    root@atom:/home/ericadmin# tail -f /var/log/mail.log
+    May 28 11:58:06 atom dovecot: imap-login: Login: user=<ericadmin>, method=PLAIN, rip=192.168.111.150, lip=192.168.111.240, mpid=1901, TLS, session=<I0V6J0FtWODAqG+W>
+    May 28 11:58:26 atom postfix/smtpd[1902]: connect from adara.yojik.eu[91.121.72.10]
+    May 28 11:58:26 atom policyd-spf[1907]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=91.121.72.10; helo=adara.yojik.eu; envelope-from=eric@yojik.eu; receiver=<UNKNOWN>
+    May 28 11:58:26 atom postfix/smtpd[1902]: C701DD004F2: client=adara.yojik.eu[91.121.72.10]
+    May 28 11:58:26 atom postfix/cleanup[1908]: C701DD004F2: message-id=<4c621385-3822-cb78-9c1d-7e9f43c3fc52@yojik.eu>
+    May 28 11:58:26 atom postfix/qmgr[867]: C701DD004F2: from=<eric@yojik.eu>, size=1414, nrcpt=1 (queue active)
+    May 28 11:58:26 atom postfix/smtpd[1902]: disconnect from adara.yojik.eu[91.121.72.10] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
+    May 28 11:58:26 atom postfix/local[1909]: C701DD004F2: to=<ericadmin@yojik.net>, relay=local, delay=0.23, delays=0.21/0.01/0/0, dsn=2.0.0, status=sent (delivered to maildir)
+    May 28 11:58:26 atom postfix/qmgr[867]: C701DD004F2: removed
+    May 28 11:59:00 atom dovecot: imap-login: Login: user=<ericadmin>, method=PLAIN, rip=192.168.111.150, lip=192.168.111.240, mpid=1915, TLS, session=<FoqwKkFtduDAqG+W>
+
+La ligne **May 28 11:43:12 atom policyd-spf[1830]: prepend Received-SPF:Pass (mailfrom) identity=mailfrom;** montre que notre contrôle SPF fonctionne comme il faut.
 
 ## DKIM
 
@@ -173,201 +154,182 @@ L'installation et la configuration de DKIM nécessite 3 étapes:
 
   Nous commençons par l'installation de opendkim.
 
-```shell
-root@atom:/home/ericadmin# apt install opendkim
-Lecture des listes de paquets... Fait
-Construction de l'arbre des dépendances
-Lecture des informations d'état... Fait
-The following additional packages will be installed:
-dns-root-data liblua5.1-0 libmemcached11 libmemcachedutil2 libmilter1.0.1 libopendbx1 libopendbx1-sqlite3 libopendkim11 librbl1 libunbound2 libvbr2
-Paquets suggérés :
-... etc ...
-```
+    root@atom:/home/ericadmin# apt install opendkim
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances
+    Lecture des informations d'état... Fait
+    The following additional packages will be installed:
+    dns-root-data liblua5.1-0 libmemcached11 libmemcachedutil2 libmilter1.0.1 libopendbx1 libopendbx1-sqlite3 libopendkim11 librbl1 libunbound2 libvbr2
+    Paquets suggérés :
+    ... etc ...
 
   Une fois installé, nous allons configurer opendkim: cela se fait dans le fichier /etc/opendkim.conf
 
   Création des répertoires:
 
-```shell
-mkdir -p /etc/opendkim/keys/yojik.net/
-```
+    mkdir -p /etc/opendkim/keys/yojik.net/
 
   Permissions:
 
-```shell
-chmod u=rw,go=r /etc/opendkim.conf
-chown -R opendkim:opendkim /etc/opendkim
-chmod go-rw /etc/opendkim/keys
-```
+    chmod u=rw,go=r /etc/opendkim.conf
+    chown -R opendkim:opendkim /etc/opendkim
+    chmod go-rw /etc/opendkim/keys
 
   Un fichier opendkim.conf entièrement commenté est disponible dans:
 
-> /usr/share/doc/opendkim/examples
+    /usr/share/doc/opendkim/examples
 
   Voici notre fichier de configuration; adaptez-le en fonction de votre domaine, bien sûr:
 
-```shell
-# This is a basic configuration that can easily be adapted to suit a standard
-# installation. For more advanced options, see opendkim.conf(5) and/or
-# /usr/share/doc/opendkim/examples/opendkim.conf.sample.
-
-# Log to syslog
-Syslog                       yes
-# Required to use local socket with MTAs that access the socket as a non-
-# privileged user (e.g. Postfix)
-## UMask                        002
-
-# Sign for example.com with key in /etc/mail/dkim.key using
-# selector '2007' (e.g. 2007._domainkey.example.com)
-Domain                  yojik.net
-KeyFile         /etc/opendkim/keys/yojik.net/yojik.private
-Selector                yojik
-
-# Commonly-used options; the commented-out versions show the defaults.
-#Canonicalization       simple
-#Mode                   sv
-#SubDomains             no
-#ADSPAction            continue
-
-# Always oversign From (sign using actual From and a null From to prevent
-# malicious signatures header fields (From and/or others) between the signer
-# and the verifier.  From is oversigned by default in the Debian pacakge
-# because it is often the identity key used by reputation systems and thus
-# somewhat security sensitive.
-OversignHeaders         From
-
-# List domains to use for RFC 6541 DKIM Authorized Third-Party Signatures
-# (ATPS) (experimental)
-
-#ATPSDomains            example.com
-
-AutoRestart             Yes
-AutoRestartRate         10/1h
-UMask                   002
-Syslog                  yes
-SyslogSuccess           Yes
-LogWhy                  Yes
-Canonicalization        relaxed/simple
-
-ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
-InternalHosts           refile:/etc/opendkim/TrustedHosts
-KeyTable                refile:/etc/opendkim/KeyTable
-SigningTable            refile:/etc/opendkim/SigningTable
-
-Mode                    sv
-PidFile                 /var/run/opendkim/opendkim.pid
-SignatureAlgorithm      rsa-sha256
-
-UserID                  opendkim:opendkim
-
-Socket                  inet:12301@localhost
-```
+    # This is a basic configuration that can easily be adapted to suit a standard
+    # installation. For more advanced options, see opendkim.conf(5) and/or
+    # /usr/share/doc/opendkim/examples/opendkim.conf.sample.
+
+    # Log to syslog
+    Syslog                       yes
+    # Required to use local socket with MTAs that access the socket as a non-
+    # privileged user (e.g. Postfix)
+    ## UMask                        002
+
+    # Sign for example.com with key in /etc/mail/dkim.key using
+    # selector '2007' (e.g. 2007._domainkey.example.com)
+    Domain                  yojik.net
+    KeyFile         /etc/opendkim/keys/yojik.net/yojik.private
+    Selector                yojik
+
+    # Commonly-used options; the commented-out versions show the defaults.
+    #Canonicalization       simple
+    #Mode                   sv
+    #SubDomains             no
+    #ADSPAction            continue
+
+    # Always oversign From (sign using actual From and a null From to prevent
+    # malicious signatures header fields (From and/or others) between the signer
+    # and the verifier.  From is oversigned by default in the Debian pacakge
+    # because it is often the identity key used by reputation systems and thus
+    # somewhat security sensitive.
+    OversignHeaders         From
+
+    # List domains to use for RFC 6541 DKIM Authorized Third-Party Signatures
+    # (ATPS) (experimental)
+
+    #ATPSDomains            example.com
+
+    AutoRestart             Yes
+    AutoRestartRate         10/1h
+    UMask                   002
+    Syslog                  yes
+    SyslogSuccess           Yes
+    LogWhy                  Yes
+    Canonicalization        relaxed/simple
+
+    ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
+    InternalHosts           refile:/etc/opendkim/TrustedHosts
+    KeyTable                refile:/etc/opendkim/KeyTable
+    SigningTable            refile:/etc/opendkim/SigningTable
+
+    Mode                    sv
+    PidFile                 /var/run/opendkim/opendkim.pid
+    SignatureAlgorithm      rsa-sha256
+
+    UserID                  opendkim:opendkim
+
+    Socket                  inet:12301@localhost
 
   Postix accédera à opendkim à travers le port 12301.
 
   Il nous reste 3 fichiers à configurer/créer, ainsi que générer les clefs privées et publiques.
 
-  * /etc/opendkim/SigningTable
-
-     Ce fichier ne contient qu'une seule ligne:
-
-     > *@yojik.net yojik._domainkey.yojik.net
-
-  * /etc/opendkim/KeyTable
+* /etc/opendkim/SigningTable
 
-     Ce fichier ne contient qu'une seule ligne:
+  Ce fichier ne contient qu'une seule ligne:
 
-     > yojik._domainkey.yojik.net yojik.net:yojik:/etc/opendkim/keys/yojik.net/yojik.private
+      `*@yojik.net yojik._domainkey.yojik.net`
 
-  * /etc/opendkim/TrustedHosts
+* /etc/opendkim/KeyTable
 
-     > 127.0.0.1
+  Ce fichier ne contient qu'une seule ligne:
 
-     > ::1
+      yojik._domainkey.yojik.net yojik.net:yojik:/etc/opendkim/keys/yojik.net/yojik.private
 
-     > localhost
+* /etc/opendkim/TrustedHosts
 
-     > yojik.net
+        127.0.0.1
+        ::1
+        localhost
+        yojik.net
 
-     Ne pas modifier les 3 premières lignes qui sont nécessaires à opendkim ...
+      Ne pas modifier les 3 premières lignes qui sont nécessaires à opendkim ...
 
-  * Création des clefs publiques et privées
+* Création des clefs publiques et privées
 
-     > cd /etc/opendkim/keys/yojik.net/
+        cd /etc/opendkim/keys/yojik.net/
+        opendkim-genkey -b 2048 -h rsa-sha256 -r -s yojik -d yojik.net -v
 
-     > opendkim-genkey -b 2048 -h rsa-sha256 -r -s yojik -d yojik.net -v
+      Une erreur apparaît: il nous faut installer opendkim-tools:
 
-     Une erreur apparaît: il nous faut installer opendkim-tools:
+        apt install opendkim-tools
 
-     > apt install opendkim-tools
+      2 fichiers sont crées: la clef publique et la clef privée. Nous allons renommer ces 2 clefs.
 
-     2 fichiers sont crées: la clef publique et la clef privée. Nous allons renommer ces 2 clefs.
+        mv mv 201805.private yojik.private
+        mv 201805.txt yojik.txt
 
-     > mv mv 201805.private yojik.private
+      Note du 9 décembre 2018: les fichiers sont crées avec les noms corrects; pas besoin de les renommer.
 
-     > mv 201805.txt yojik.txt
+      On réapplique la modification des permissions:
 
-     Note du 9 décembre 2018: les fichiers sont crées avec les noms corrects; pas besoin de les renommer.
-     On réapplique la modification des permissions:
+        root@atom:/etc/opendkim/keys# cd /etc
+        root@atom:/etc# chown -R opendkim:opendkim /etc/opendkim
+        root@atom:/etc# chmod -R go-rw /etc/opendkim/keys
+        root@atom:/etc#
 
-```shell
-root@atom:/etc/opendkim/keys# cd /etc
-root@atom:/etc# chown -R opendkim:opendkim /etc/opendkim
-root@atom:/etc# chmod -R go-rw /etc/opendkim/keys
-root@atom:/etc#
-```
+      On relance opendkim pour voir s'il y a des erreurs:
 
-  On relance opendkim pour voir s'il y a des erreurs:
+        systemctl restart opendkim
 
-  > systemctl restart opendkim
+      On lance:
 
-  On lance:
+        netstat -tlnp
 
-  > netstat -tlnp
+      et on voit la ligne:
 
-  et on voit la ligne:
-
-  > tcp        0      0 127.0.0.1:12301         0.0.0.0:*               LISTEN      2395/opendkim
-
-  C'est bon .. le service est en place.
+        tcp        0      0 127.0.0.1:12301         0.0.0.0:*               LISTEN      2395/opendkim
 
+      C'est bon .. le service est en place.
 
 ### Ajout de DKIM à Postix
 
-   On va rajouter la gestion de DKIM à Postfix dans le fichier /etc/postfix/main.cf
-
-   On ajoute les lignes suivantes:
-
-   > milter_default_action = accept
-
-   > milter_protocol = 2
-
-   > smtpd_milters = inet:localhost:12301
+On va rajouter la gestion de DKIM à Postfix dans le fichier /etc/postfix/main.cf
 
-   > non_smtpd_milters = inet:localhost:12301
+On ajoute les lignes suivantes:
 
-   On relance Postfix par:
+    milter_default_action = accept
+    milter_protocol = 2
+    smtpd_milters = inet:localhost:12301
+    non_smtpd_milters = inet:localhost:12301
 
-   > service postfix restart
+On relance Postfix par:
 
+    service postfix restart
 
 ### Ajout d'un enregistrement DNS
 
-   On ajoute la partie entre double-quotes du fichier /etc/opendkim/keys/yojik.net/yojik.txt à la ligne suivante:
+On ajoute la partie entre double-quotes du fichier /etc/opendkim/keys/yojik.net/yojik.txt à la ligne suivante:
 
-   Attention à la syntaxe: ne pas oublier le "." derrière yojik.net!
+Attention à la syntaxe: ne pas oublier le "." derrière yojik.net!
 
-   > yojik._domainkey.yojik.net.<>IN<->TXT<>( "v=DKIM1; h=rsa-sha256; k=rsa; s=email; p=;")
+    yojik._domainkey.yojik.net.<>IN<->TXT<>( "v=DKIM1; h=rsa-sha256; k=rsa; s=email; p=;")
 
-   Ajouter la clef derrière p= (supprimer les doubles quotes du début, milieu et fin de clef: ex:
-     "ljjoj" "dfjj")
+Ajouter la clef derrière p= (supprimer les doubles quotes du début, milieu et fin de clef: ex:
 
-### Test
+    "ljjoj" "dfjj")
 
-    > opendkim-testkey -d yojik.net -s yojik
+### Test de Opendkim
 
-   Si votre clef est de longueur 2048, il va falloir la découper ... et utiliser le format "multi-lignes" comme ce qui suit:
+    opendkim-testkey -d yojik.net -s yojik
 
+Si votre clef est de longueur 2048, il va falloir la découper ... et utiliser le format "multi-lignes" comme ce qui suit:
 
 ### Notes
 
@@ -377,62 +339,58 @@ Cette fois-ci, tout est bon.
 
 * J'ai adopté une technique pour coller ma clef dans l'enregistrement dns: je fais un:
 
-> cat fichier_de_zone fichier_de_clef > fichier_de_zone.new
+        cat fichier_de_zone fichier_de_clef > fichier_de_zone.new
 
 J'édite le fichier (les retours-chariot etc ...) et je remplace le fichier original (que je sauve d'abord) en incrémentant le numero de série dans le fichier.
 
-### Test
-
-   On envoie un message pour voir s'il est bien signé.
+### Nouveau Test
 
-   Je redémarre le serveur et j'envoie un message.
+On envoie un message pour voir s'il est bien signé.
 
-   Voilà les résultats:
+Je redémarre le serveur et j'envoie un message.
 
-```shell
-> ARC-Authentication-Results: i=1; mx.google.com;
->        dkim=pass header.i=@yojik.net header.s=yojik header.b=CE0b13ii;
->        spf=pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender)     > smtp.mailfrom=ericadmin@yojik.net
-> Received-SPF: pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender)    > client-ip=82.64.48.5;
-> Authentication-Results: mx.google.com;
->        dkim=pass header.i=@yojik.net header.s=yojik header.b=CE0b13ii;
->        spf=pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender)     > smtp.mailfrom=ericadmin@yojik.net
-> Received: from [192.168.111.150] (unknown [192.168.111.150])
-> 	by atom.yojik.net (Postfix) with ESMTPSA id AFB9ED004F3
-> 	for <ericounet26200@gmail.com>; Thu, 31 May 2018 12:09:41 +0200 (CEST)
-> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=yojik.net; s=yojik;
-> 	t=1527761381; bh=ay9Odp/rKTenfDlpDmHqBM+YFfCITM3u/keXU6iwx20=;
-> 	h=To:From:Subject:Date:From;
-> 	b=CE0b13iiZgEQgrd7EngBovulGeU6QnSU/cKzia42u9s9B+S/dxUsm1u7JRjBrTLLg
-> 	 /c/uW05pdE5QS+9y3dvZtji0hogr0H87nRpZE7QBZaFLpVWGpUTukRsJ47JskO+Cwi
-> 	 4cRYjeyUOLTY8Gc8uQaiS79CDko8E107fsfoUGV8=
-```
+Voilà les résultats:
 
+    > ARC-Authentication-Results: i=1; mx.google.com;
+    >        dkim=pass header.i=@yojik.net header.s=yojik header.b=CE0b13ii;
+    >        spf=pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender)     > smtp.mailfrom=ericadmin@yojik.net
+    > Received-SPF: pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender)    > client-ip=82.64.48.5;
+    > Authentication-Results: mx.google.com;
+    >        dkim=pass header.i=@yojik.net header.s=yojik header.b=CE0b13ii;
+    >        spf=pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender)     > smtp.mailfrom=ericadmin@yojik.net
+    > Received: from [192.168.111.150] (unknown [192.168.111.150])
+    > 	by atom.yojik.net (Postfix) with ESMTPSA id AFB9ED004F3
+    > 	for <ericounet26200@gmail.com>; Thu, 31 May 2018 12:09:41 +0200 (CEST)
+    > DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=yojik.net; s=yojik;
+    > 	t=1527761381; bh=ay9Odp/rKTenfDlpDmHqBM+YFfCITM3u/keXU6iwx20=;
+    > 	h=To:From:Subject:Date:From;
+    > 	b=CE0b13iiZgEQgrd7EngBovulGeU6QnSU/cKzia42u9s9B+S/dxUsm1u7JRjBrTLLg
+    > 	 /c/uW05pdE5QS+9y3dvZtji0hogr0H87nRpZE7QBZaFLpVWGpUTukRsJ47JskO+Cwi
+    > 	 4cRYjeyUOLTY8Gc8uQaiS79CDko8E107fsfoUGV8=
 
   Tout est bon ....
 
   **IL est recommandé de changer les clefs DKIM tous les mois!** ... Je pense qu'il va falloir créer des scripts pour toute la maintenance des clefs et de leur renouvellement.
 
-
 ## ADSP
 
-  Author Domain Signing Practices (ADSP)Permalink (technique obsolète ...)
+Author Domain Signing Practices (ADSP)Permalink (technique obsolète ...)
 
-  Nous allons rajouter un enregistrement DNS qui va indiquer que tous les émails issus par yojik.net doivent être signés par DKIM. C'est une sécurité supplémentaire.
+Nous allons rajouter un enregistrement DNS qui va indiquer que tous les émails issus par yojik.net doivent être signés par DKIM. C'est une sécurité supplémentaire.
 
-  La syntaxe est assez simple:
+La syntaxe est assez simple:
 
-  > _adsp._domainkey.yojik.net.      IN      TXT     "dkim=all"
-  >
-  * Le paramètre dkim accepte d'autres valeurs moins strictes, mais j'ai choisi la plus stricte.
-  * Ne pas oublier d'incrémenter le numéro de série du fichier de zone après modification.
-  * Rechargez bind.
+      _adsp._domainkey.yojik.net.      IN      TXT     "dkim=all"
 
-  > service bind9 restart (ou reload)
+* Le paramètre dkim accepte d'autres valeurs moins strictes, mais j'ai choisi la plus stricte.
+* Ne pas oublier d'incrémenter le numéro de série du fichier de zone après modification.
+* Rechargez bind.
 
-  Tout est OK.
+        service bind9 restart (ou reload)
 
-  Note: ADSP et Dmarc remplissent le même rôle. Après consultation d'experts, ADSP est "obsolète". Nous allons donc enlever ce service (commenter la ligne DNS) et configurer DMARC.
+    Tout est OK.
+
+Note: ADSP et Dmarc remplissent le même rôle. Après consultation d'experts, ADSP est "obsolète". Nous allons donc enlever ce service (commenter la ligne DNS) et configurer DMARC.
 
 ## DMARC
 
@@ -442,21 +400,19 @@ La mise en place de DMARC nécessite de configurer/installer opendmarc, de mettr
 
 ### Installation de Opendmarc
 
-```
-root@atom:/home/ericadmin# apt install opendmarc
-Lecture des listes de paquets... Fait
-Construction de l'arbre des dépendances
-Lecture des informations d'état... Fait
-The following additional packages will be installed:
-  libdbd-mysql-perl libdbi-perl libencode-locale-perl libhttp-date-perl libhttp-message-perl libio-html-perl liblwp-mediatypes-perl libopendbx1-mysql libopendmarc2
-  libspf2-2 libtimedate-perl liburi-perl publicsuffix
-etc ...
-
-Paramétrage de libdbd-mysql-perl (4.041-2) ...
-Paramétrage de opendmarc (1.3.2-2+deb9u1) ...
-Traitement des actions différées (« triggers ») pour libc-bin (2.24-11+deb9u3) ...
-Traitement des actions différées (« triggers ») pour systemd (232-25+deb9u3) ...
-```
+    root@atom:/home/ericadmin# apt install opendmarc
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances
+    Lecture des informations d'état... Fait
+    The following additional packages will be installed:
+      libdbd-mysql-perl libdbi-perl libencode-locale-perl libhttp-date-perl libhttp-message-perl libio-html-perl liblwp-mediatypes-perl libopendbx1-mysql libopendmarc2
+      libspf2-2 libtimedate-perl liburi-perl publicsuffix
+    etc ...
+
+    Paramétrage de libdbd-mysql-perl (4.041-2) ...
+    Paramétrage de opendmarc (1.3.2-2+deb9u1) ...
+    Traitement des actions différées (« triggers ») pour libc-bin (2.24-11+deb9u3) ...
+    Traitement des actions différées (« triggers ») pour systemd (232-25+deb9u3) ...
 
 Voilà, opendmarc est installé. Passons à sa configuration.
 
@@ -470,146 +426,133 @@ Comme d'habitude, faite une copie de sauvegarde du fichier d'origine avant modif
 
 **Fichier /etc/opendmarc.conf**:
 
-```shell
-# This is a basic configuration that can easily be adapted to suit a standard
-# installation. For more advanced options, see opendkim.conf(5) and/or
-# /usr/share/doc/opendmarc/examples/opendmarc.conf.sample.
-
-##  AuthservID (string)
-##  <-->defaults to MTA name
-#
-# AuthservID name
-
-##  FailureReports { true | false }
-##  <-->default "false"
-##
-# FailureReports false
-
-PidFile /var/run/opendmarc/opendmarc.pid
-
-##  RejectFailures { true | false }
-##  <-->default "false"
-##
-RejectFailures false
-
-##  Socket socketspec
-##  <-->default (none)
-##
-##  Specifies the socket that should be established by the filter to receive
-##  connections from sendmail(8) in order to provide service.  socketspec is
-##  in one of two forms: local:path, which creates a UNIX domain socket at
-##  the specified path, or inet:port[@host] or inet6:port[@host] which creates
-##  a TCP socket on the specified port for the appropriate protocol family.
-##  If the host is not given as either a hostname or an IP address, the
-##  socket will be listening on all interfaces.  This option is mandatory
-##  either in the configuration file or on the command line.  If an IP
-##  address is used, it must be enclosed in square brackets.
-#
-# Socket local:/var/run/opendmarc/opendmarc.sock
-Socket inet:54444@localhost
-
-##  Syslog { true | false }
-##  <-->default "false"
-##
-##  Log via calls to syslog(3) any interesting activity.
-#
-Syslog true
-
-##  SyslogFacility facility-name
-##  <-->default "mail"
-##
-##  Log via calls to syslog(3) using the named facility.  The facility names
-##  are the same as the ones allowed in syslog.conf(5).
-#
-# SyslogFacility mail
-
-##  TrustedAuthservIDs string
-##  <-->default HOSTNAME
-##
-##  Specifies one or more "authserv-id" values to trust as relaying true
-##  upstream DKIM and SPF results.  The default is to use the name of
-##  the MTA processing the message.  To specify a list, separate each entry
-##  with a comma.  The key word "HOSTNAME" will be replaced by the name of
-##  the host running the filter as reported by the gethostname(3) function.
-#
-# TrustedAuthservIDs HOSTNAME
-
-
-##  UMask mask
-##  <-->default (none)
-##
-##  Requests a specific permissions mask to be used for file creation.  This
-##  only really applies to creation of the socket when Socket specifies a
-##  UNIX domain socket, and to the HistoryFile and PidFile (if any); temporary
-##  files are normally created by the mkstemp(3) function that enforces a
-##  specific file mode on creation regardless of the process umask.  See
-##  umask(2) for more information.
-#
-UMask 0002
-
-##  UserID user[:group]
-##  <-->default (none)
-##
-##  Attempts to become the specified userid before starting operations.
-##  The process will be assigned all of the groups and primary group ID of
-##  the named userid unless an alternate group is specified.
-#
-UserID opendmarc
-
-## Path to system copy of PSL (needed to determine organizational domain)
-#
-PublicSuffixList /usr/share/publicsuffix/
-
-IgnoreHosts /etc/opendmarc/ignore.hosts
-HistoryFile /var/run/opendmarc/opendmarc.dat
-#for testing:
-SoftwareHeader true
-```
+    # This is a basic configuration that can easily be adapted to suit a standard
+    # installation. For more advanced options, see opendkim.conf(5) and/or
+    # /usr/share/doc/opendmarc/examples/opendmarc.conf.sample.
+
+    ##  AuthservID (string)
+    ##  <-->defaults to MTA name
+    #
+    # AuthservID name
+
+    ##  FailureReports { true | false }
+    ##  <-->default "false"
+    ##
+    # FailureReports false
+
+    PidFile /var/run/opendmarc/opendmarc.pid
+
+    ##  RejectFailures { true | false }
+    ##  <-->default "false"
+    ##
+    RejectFailures false
+
+    ##  Socket socketspec
+    ##  <-->default (none)
+    ##
+    ##  Specifies the socket that should be established by the filter to receive
+    ##  connections from sendmail(8) in order to provide service.  socketspec is
+    ##  in one of two forms: local:path, which creates a UNIX domain socket at
+    ##  the specified path, or inet:port[@host] or inet6:port[@host] which creates
+    ##  a TCP socket on the specified port for the appropriate protocol family.
+    ##  If the host is not given as either a hostname or an IP address, the
+    ##  socket will be listening on all interfaces.  This option is mandatory
+    ##  either in the configuration file or on the command line.  If an IP
+    ##  address is used, it must be enclosed in square brackets.
+    #
+    # Socket local:/var/run/opendmarc/opendmarc.sock
+    Socket inet:54444@localhost
+
+    ##  Syslog { true | false }
+    ##  <-->default "false"
+    ##
+    ##  Log via calls to syslog(3) any interesting activity.
+    #
+    Syslog true
+
+    ##  SyslogFacility facility-name
+    ##  <-->default "mail"
+    ##
+    ##  Log via calls to syslog(3) using the named facility.  The facility names
+    ##  are the same as the ones allowed in syslog.conf(5).
+    #
+    # SyslogFacility mail
+
+    ##  TrustedAuthservIDs string
+    ##  <-->default HOSTNAME
+    ##
+    ##  Specifies one or more "authserv-id" values to trust as relaying true
+    ##  upstream DKIM and SPF results.  The default is to use the name of
+    ##  the MTA processing the message.  To specify a list, separate each entry
+    ##  with a comma.  The key word "HOSTNAME" will be replaced by the name of
+    ##  the host running the filter as reported by the gethostname(3) function.
+    #
+    # TrustedAuthservIDs HOSTNAME
+
+
+    ##  UMask mask
+    ##  <-->default (none)
+    ##
+    ##  Requests a specific permissions mask to be used for file creation.  This
+    ##  only really applies to creation of the socket when Socket specifies a
+    ##  UNIX domain socket, and to the HistoryFile and PidFile (if any); temporary
+    ##  files are normally created by the mkstemp(3) function that enforces a
+    ##  specific file mode on creation regardless of the process umask.  See
+    ##  umask(2) for more information.
+    #
+    UMask 0002
+
+    ##  UserID user[:group]
+    ##  <-->default (none)
+    ##
+    ##  Attempts to become the specified userid before starting operations.
+    ##  The process will be assigned all of the groups and primary group ID of
+    ##  the named userid unless an alternate group is specified.
+    #
+    UserID opendmarc
+
+    ## Path to system copy of PSL (needed to determine organizational domain)
+    #
+    PublicSuffixList /usr/share/publicsuffix/
+
+    IgnoreHosts /etc/opendmarc/ignore.hosts
+    HistoryFile /var/run/opendmarc/opendmarc.dat
+    #for testing:
+    SoftwareHeader true
 
 On crée le répertoire suivant: /etc/opendmarc et on crée un fichier qui va contenir la liste des machines auxquelles vous avez confiance.
 
-```shell
-root@atom:/etc# mkdir /etc/opendmarc
-```
+    root@atom:/etc# mkdir /etc/opendmarc
 
 On crée le fichier **/etc/opendmarc/ignore.hosts** avec le contenu suivant (le fichier ignore.hosts a été déclaré dans le fichier /etc/opendmarc.conf):
 
-> localhost
-> 192.168.111.0/24
+    localhost
+    192.168.111.0/24
 
 Les mails envoyés par les machines listées dans ce fichier ne seront pas testés. Ici, le serveur de mail lui-même et les machines du réseau local familial.
 
 On ajoute la ligne suivante à /etc/default/opendmarc:
 
-> SOCKET=inet:54444@localhost
+    SOCKET=inet:54444@localhost
 
 Notre daemon écoutera sur le port 54444. On relance opendmarc par la commande suivante:
 
-> service opendmarc restart
+    service opendmarc restart
 
 Mise en place du hook dans postfix:
 
 Nous modifierons les 2 lignes suivantes dans le fichier: /etc/postfix/main.cf:
 
-> smtpd_milters = inet:localhost:12301,inet:localhost:54444
-> non_smtpd_milters = inet:localhost:12301,inet:localhost:54444
+    smtpd_milters = inet:localhost:12301,inet:localhost:54444
+    non_smtpd_milters = inet:localhost:12301,inet:localhost:54444
 
 On recharge postfix (comme d'habitude ...)
 Configuration de l'enregistrement DNS dans le fichier de zone (ne pas oublier d'incrémenter le compteur!):
 
-> _dmarc.yojik.net.   TXT ( "v=DMARC1; p=none; sp=reject; pct=10; adkim=r;aspf=r;fo=1;ri=86400;rua=mailto:ericadmin@yojik.net")
+    _dmarc.yojik.net.   TXT ( "v=DMARC1; p=none; sp=reject; pct=10; adkim=r;aspf=r;fo=1;ri=86400;rua=mailto:ericadmin@yojik.net")
 
 Test d'envoi de messages:
 
-> Authentication-Results: atom.yojik.net; dmarc=**pass**
+    Authentication-Results: atom.yojik.net; dmarc=**pass**
 
 Ça fonctionne :)
-
-
-
-
-
-
-```
-
-```

docs/Installation-Cerificats-Letsencrypt.md

@@ -1,25 +1,22 @@
 
-## Installation des certificats letsencrypt
+# Installation des certificats letsencrypt
 
-### Installation des programmes
+## Installation des programmes
 
 Il existe plusieurs clients **letsencrypt** pour la gestion des certificats. Nous utiliserons **certbot**, le client officiel de **letsencrypt**.
 
-```shell
-root@atom:/home/ericadmin/bin# apt install certbot python-certbot-apache
-Lecture des listes de paquets... Fait
-Construction de l'arbre des dépendances
-Lecture des informations d'état... Fait
-The following additional packages will be installed:
-  augeas-lenses libaugeas0 python-acme python-augeas python-certbot python-cffi-backend python-chardet python-configargparse python-configobj python-cryptography
-  python-dnspython python-enum34 python-funcsigs python-idna python-ipaddress python-mock python-openssl python-parsedatetime python-pbr python-pkg-resources python-psutil
-  python-pyasn1 python-pyicu python-requests python-rfc3339 python-setuptools python-six python-tz python-urllib3 python-zope.component python-zope.event
-  python-zope.hookable python-zope.interface
+    root@atom:/home/ericadmin/bin# apt install certbot python-certbot-apache
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances
+    Lecture des informations d'état... Fait
+    The following additional packages will be installed:
+      augeas-lenses libaugeas0 python-acme python-augeas python-certbot python-cffi-backend python-chardet python-configargparse python-configobj python-cryptography
+      python-dnspython python-enum34 python-funcsigs python-idna python-ipaddress python-mock python-openssl python-parsedatetime python-pbr python-pkg-resources python-psutil
+      python-pyasn1 python-pyicu python-requests python-rfc3339 python-setuptools python-six python-tz python-urllib3 python-zope.component python-zope.event
+      python-zope.hookable python-zope.interface
+    etc...
 
-etc...
-```
-
-### Création des certificats pour nos domaines
+## Création des certificats pour nos domaines
 
 Bien, les programmes sont installés. Nous allons créer des certificats pour les domaines suivantes, après avoir créé les hôtes virtuels apache.
 
@@ -33,139 +30,127 @@ Lors de l'installation de notre webmail, nous rajouterons le domaine corresponda
 
 Nous ajoutons ici la référence du serveur web, avec un enregistrement  CNAME: www.yojik.eu
 
-```shell
-www             IN CNAME  atom.yojik.net.
-```
+    www             IN CNAME  atom.yojik.net.
 
 Relecture des fichiers de configuration par bind:
 
-```shell
-root@atom:/home/ericadmin# service bind9 reload
-```
-
-### lancement du programme certbot
-
-```shell
-root@atom:/home/ericadmin# certbot --apache
-Saving debug log to /var/log/letsencrypt/letsencrypt.log
-
-Which names would you like to activate HTTPS for?
--
-1: yojik.net
-2: www.yojik.net
--
-Select the appropriate numbers separated by commas and/or spaces, or leave input
-blank to select all options shown (Enter 'c' to cancel):1 2
-Obtaining a new certificate
-Performing the following challenges:
-Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.
-Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.
-```
+    root@atom:/home/ericadmin# service bind9 reload
+
+## lancement du programme certbot
+
+    root@atom:/home/ericadmin# certbot --apache
+    Saving debug log to /var/log/letsencrypt/letsencrypt.log
+
+    Which names would you like to activate HTTPS for?
+    -
+    1: yojik.net
+    2: www.yojik.net
+    -
+    Select the appropriate numbers separated by commas and/or spaces, or leave input
+    blank to select all options shown (Enter 'c' to cancel):1 2
+    Obtaining a new certificate
+    Performing the following challenges:
+    Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.
+    Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.
 
 Bon, il y a un problème ... après recherche sur le web, il se trouve que le programme certbot de Debian/stretch n'est pas à jour (modification due à un problème de sécurité.)
 
 * Voici le lien:
 
-   [certbot sur Debian/Stretch problem and solution](https://community.letsencrypt.org/t/solution-client-with-the-currently-selected-authenticator-does-not-support-any-combination-of-challenges-that-will-satisfy-the-ca/49983)
+      [certbot sur Debian/Stretch problem and solution](https://community.letsencrypt.org/t/solution-client-with-the-currently-selected-authenticator-does-not-support-any-combination-of-challenges-that-will-satisfy-the-ca/49983)
 
 * Ajout des backports dans la liste des dépots:
 
-    Il nous faut ajouter dans /etc/sources.list le dépot **backports** pour obtenir le fichier qui suit:
-    Lien: [Installation des backports](https://backports.debian.org/Instructions/)
+      Il nous faut ajouter dans /etc/sources.list le dépot **backports** pour obtenir le fichier qui suit:
+
+      Lien: [Installation des backports](https://backports.debian.org/Instructions/)
+
+      Voici le contenu du fichier *etc/apt/sources.list*
 
-    Voici le contenu du fichier *etc/apt/sources.list*
+        root@atom:/home/ericadmin# cat /etc/apt/sources.list
+        #
 
-```shell
-root@atom:/home/ericadmin# cat /etc/apt/sources.list
-#
+        # deb cdrom:[Debian GNU/Linux 9.3.0 _Stretch_ - Official amd64 NETINST 20171209-12:10]/ stretch main
 
-# deb cdrom:[Debian GNU/Linux 9.3.0 _Stretch_ - Official amd64 NETINST 20171209-12:10]/ stretch main
+        #deb cdrom:[Debian GNU/Linux 9.3.0 _Stretch_ - Official amd64 NETINST 20171209-12:10]/ stretch main
 
-#deb cdrom:[Debian GNU/Linux 9.3.0 _Stretch_ - Official amd64 NETINST 20171209-12:10]/ stretch main
+        deb http://deb.debian.org/debian/ stretch main contrib
+        deb-src http://deb.debian.org/debian/ stretch main contrib
 
-deb http://deb.debian.org/debian/ stretch main contrib non-free
-deb-src http://deb.debian.org/debian/ stretch main contrib non-free
+        deb http://security.debian.org/debian-security stretch/updates main contrib
+        deb-src http://security.debian.org/debian-security stretch/updates main contrib
 
-deb http://security.debian.org/debian-security stretch/updates main contrib non-free
-deb-src http://security.debian.org/debian-security stretch/updates main contrib non-free
+        # stretch-updates, previously known as 'volatile'
+        deb http://deb.debian.org/debian/ stretch-updates main contrib
+        deb-src http://deb.debian.org/debian/ stretch-updates main contrib
 
-# stretch-updates, previously known as 'volatile'
-deb http://deb.debian.org/debian/ stretch-updates main contrib non-free
-deb-src http://deb.debian.org/debian/ stretch-updates main contrib non-free
+        deb http://ftp.debian.org/debian stretch-backports main contrib
 
-deb http://ftp.debian.org/debian stretch-backports main contrib non-free
-```
+      Notez la dernière ligne rajoutée au fichier. Ensuite,entrez les commandes suivantes:
 
-Notez la dernière ligne rajoutée au fichier. Ensuite,entrez les commandes suivantes:
+        apt update
+        apt-get install python-certbot-apache -t stretch-backports
 
-```shell
-apt update
-apt-get install python-certbot-apache -t stretch-backports
-```
-Un grand nombre de paquets vont être installés ...
+      Un grand nombre de paquets vont être installés ...
 
 On relance le programme certbot:
 
-```shell
-certbot --apache
-```
+    certbot --apache
 
 Cette fois-ci, ça fonctionne.
 
-```shell
-root@atom:/home/ericadmin# certbot --apache
-Saving debug log to /var/log/letsencrypt/letsencrypt.log
-Plugins selected: Authenticator apache, Installer apache
-
-Which names would you like to activate HTTPS for?
--
-1: yojik.net
-2: www.yojik.net
--
-Select the appropriate numbers separated by commas and/or spaces, or leave input
-blank to select all options shown (Enter 'c' to cancel): 1
-Obtaining a new certificate
-Performing the following challenges:
-http-01 challenge for yojik.net
-Waiting for verification...
-Cleaning up challenges
-Created an SSL vhost at /etc/apache2/sites-available/yojiknet-le-ssl.conf
-Deploying Certificate to VirtualHost /etc/apache2/sites-available/yojiknet-le-ssl.conf
-Enabling available site: /etc/apache2/sites-available/yojiknet-le-ssl.conf
-
-Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
--
-1: No redirect - Make no further changes to the webserver configuration.
-2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
-new sites, or if you're confident your site works on HTTPS. You can undo this
-change by editing your web server's configuration.
--
-Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
-Redirecting vhost in /etc/apache2/sites-enabled/yojiknet.conf to ssl vhost in /etc/apache2/sites-available/yojiknet-le-ssl.conf
-
--
-Congratulations! You have successfully enabled https://yojik.net
-
-You should test your configuration at:
-https://www.ssllabs.com/ssltest/analyze.html?d=yojik.net
--
-
-IMPORTANT NOTES:
- - Congratulations! Your certificate and chain have been saved at:
-   /etc/letsencrypt/live/yojik.net/fullchain.pem
-   Your key file has been saved at:
-   /etc/letsencrypt/live/yojik.net/privkey.pem
-   Your cert will expire on 2018-08-19. To obtain a new or tweaked
-   version of this certificate in the future, simply run certbot again
-   with the "certonly" option. To non-interactively renew *all* of
-   your certificates, run "certbot renew"
- - If you like Certbot, please consider supporting our work by:
-
-   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
-   Donating to EFF:                    https://eff.org/donate-le
-
-root@atom:/home/ericadmin#
-```
+    root@atom:/home/ericadmin# certbot --apache
+    Saving debug log to /var/log/letsencrypt/letsencrypt.log
+    Plugins selected: Authenticator apache, Installer apache
+
+    Which names would you like to activate HTTPS for?
+    -
+    1: yojik.net
+    2: www.yojik.net
+    -
+    Select the appropriate numbers separated by commas and/or spaces, or leave input
+    blank to select all options shown (Enter 'c' to cancel): 1
+    Obtaining a new certificate
+    Performing the following challenges:
+    http-01 challenge for yojik.net
+    Waiting for verification...
+    Cleaning up challenges
+    Created an SSL vhost at /etc/apache2/sites-available/yojiknet-le-ssl.conf
+    Deploying Certificate to VirtualHost /etc/apache2/sites-available/yojiknet-le-ssl.conf
+    Enabling available site: /etc/apache2/sites-available/yojiknet-le-ssl.conf
+
+    Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
+    -
+    1: No redirect - Make no further changes to the webserver configuration.
+    2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
+    new sites, or if you're confident your site works on HTTPS. You can undo this
+    change by editing your web server's configuration.
+    -
+    Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
+    Redirecting vhost in /etc/apache2/sites-enabled/yojiknet.conf to ssl vhost in /etc/apache2/sites-available/yojiknet-le-ssl.conf
+
+    -
+    Congratulations! You have successfully enabled https://yojik.net
+
+    You should test your configuration at:
+    https://www.ssllabs.com/ssltest/analyze.html?d=yojik.net
+    -
+
+    IMPORTANT NOTES:
+     - Congratulations! Your certificate and chain have been saved at:
+       /etc/letsencrypt/live/yojik.net/fullchain.pem
+       Your key file has been saved at:
+       /etc/letsencrypt/live/yojik.net/privkey.pem
+       Your cert will expire on 2018-08-19. To obtain a new or tweaked
+       version of this certificate in the future, simply run certbot again
+       with the "certonly" option. To non-interactively renew *all* of
+       your certificates, run "certbot renew"
+     - If you like Certbot, please consider supporting our work by:
+
+       Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
+       Donating to EFF:                    https://eff.org/donate-le
+
+    root@atom:/home/ericadmin#
 
 On retape les mêmes commandes pour générer les certificats pour le domaine **www.yojik.net**.
 
@@ -173,39 +158,37 @@ Testez votre configuration comme indiqué ci-dessus. Vous devez obtenir une note
 
 Il nous faut maintenant créer un certificat pour notre serveur mail:
 
-```shell
-root@atom:/home/ericadmin# certbot certonly -d atom.yojik.net
-Saving debug log to /var/log/letsencrypt/letsencrypt.log
-
-How would you like to authenticate with the ACME CA?
--
-1: Apache Web Server plugin - Beta (apache)
-2: Spin up a temporary webserver (standalone)
-3: Place files in webroot directory (webroot)
--
-Select the appropriate number [1-3] then [enter] (press 'c' to cancel): 1
-Plugins selected: Authenticator apache, Installer None
-Obtaining a new certificate
-Performing the following challenges:
-http-01 challenge for atom.yojik.net
-Waiting for verification...
-Cleaning up challenges
-
-IMPORTANT NOTES:
- - Congratulations! Your certificate and chain have been saved at:
-   /etc/letsencrypt/live/atom.yojik.net/fullchain.pem
-   Your key file has been saved at:
-   /etc/letsencrypt/live/atom.yojik.net/privkey.pem
-   Your cert will expire on 2018-08-19. To obtain a new or tweaked
-   version of this certificate in the future, simply run certbot
-   again. To non-interactively renew *all* of your certificates, run
-   "certbot renew"
- - If you like Certbot, please consider supporting our work by:
-
-   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
-   Donating to EFF:                    https://eff.org/donate-le
-
-root@atom:/home/ericadmin#
-```
+    root@atom:/home/ericadmin# certbot certonly -d atom.yojik.net
+    Saving debug log to /var/log/letsencrypt/letsencrypt.log
+
+    How would you like to authenticate with the ACME CA?
+    -
+    1: Apache Web Server plugin - Beta (apache)
+    2: Spin up a temporary webserver (standalone)
+    3: Place files in webroot directory (webroot)
+    -
+    Select the appropriate number [1-3] then [enter] (press 'c' to cancel): 1
+    Plugins selected: Authenticator apache, Installer None
+    Obtaining a new certificate
+    Performing the following challenges:
+    http-01 challenge for atom.yojik.net
+    Waiting for verification...
+    Cleaning up challenges
+
+    IMPORTANT NOTES:
+     - Congratulations! Your certificate and chain have been saved at:
+       /etc/letsencrypt/live/atom.yojik.net/fullchain.pem
+       Your key file has been saved at:
+       /etc/letsencrypt/live/atom.yojik.net/privkey.pem
+       Your cert will expire on 2018-08-19. To obtain a new or tweaked
+       version of this certificate in the future, simply run certbot
+       again. To non-interactively renew *all* of your certificates, run
+       "certbot renew"
+     - If you like Certbot, please consider supporting our work by:
+
+       Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
+       Donating to EFF:                    https://eff.org/donate-le
+
+    root@atom:/home/ericadmin#
 
 Voilà, nos certificats sont créés. Lors de la configuration, notez que j'ai demandé une redirection automatique vers la version en **https**.

docs/Installation-Fail2ban.md

@@ -1,9 +1,9 @@
 
-## Contrer les attaques de _brute-force_ avec **fail2ban**
+# Contrer les attaques de _brute-force_ avec **fail2ban**
 
 Fail2ban est un programme qui surveille les logs des services en place et détecte les tentatives d'attaques _brute-force_. Il mets automatiquement en quarantaine les IP attaquantes.
 
-### Installation
+## Installation
 
     root@atom:/home/ericadmin# apt install fail2ban
     Lecture des listes de paquets... Fait
@@ -46,7 +46,7 @@ Fail2ban est un programme qui surveille les logs des services en place et détec
     Paramétrage de python3-pyinotify (0.9.6-1) ...
     root@atom:/home/ericadmin#
 
-### Paramétrage de **fail2ban**
+## Paramétrage de **fail2ban**
 
 Pour fail2ban, il n'a rien à configurer pour l'instant. Seul ssh est surveillé.
 

docs/Installation-Parre-Feu.md

@@ -1,13 +1,13 @@
 
-## Installation d'un pare-feu
+# Installation d'un pare-feu
 
-J'ai utilisé depuis toujours **iptables** "brut". Ayant lu beaucoup de bien de **ufw**, je vais tenter une installation de ce dernier.
+J'ai utilisé depuis toujours **iptables** *brut*. Ayant lu beaucoup de bien de **ufw**, je vais tenter une installation de ce dernier.
 
 Après usage, il s'avère difficile de configurer **fail2ban** avec **ufw**.
 
 Je vais quand même laisser la doc de configuration de **ufw**, tout en préférant utiliser **iptables**.
 
-### Installation de iptables
+## Installation de iptables
 
 **Iptables** est installé automatiquement. Nous allons rajouter le paquet **iptables-persistent** pour assurer le lancement automatique de nos règles à l'allumage de la machine.
 
@@ -53,11 +53,11 @@ Ces fichiers sont mis à jour grâce aux commandes suivantes.
 
 Les commandes disponibles pour **netfilter-persistent** sont les suivantes:
 
-*   systemctl start netfilter-persistent
-*   systemctl stop netfilter-persistent
-*   systemctl restart netfilter-persistent
-*   systemctl stop netfilter-persistent
-*   systemctl status netfilter-persistent
+* systemctl start netfilter-persistent
+* systemctl stop netfilter-persistent
+* systemctl restart netfilter-persistent
+* systemctl stop netfilter-persistent
+* systemctl status netfilter-persistent
 
 Exemples d'utilisation suivant l'état de **netfilter-persistent**:
 
@@ -110,7 +110,7 @@ ou
     root@atom:/home/ericadmin# iptables-save > /etc/iptables/rules.v4
     root@atom:/home/ericadmin# ip6tables-save > /etc/iptables/rules.v6
 
-### Configuration des règles iptables
+## Configuration des règles iptables
 
 Nous allons les configurer avec un script donné par Nicolargo: [Site de NicoLargo](https://blog.nicolargo.com/2013/06/ma-methode-pour-gerer-les-regles-iptables.html)
 
@@ -383,21 +383,18 @@ On autorise tout en sortie:
 
     # ip6tables -P OUTPUT ACCEPT
 
-
 Nous allons accepter les connexions déjà établies:
 
     # iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
 
     # ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
 
-
 En entrée, on commence par interdire tout; on ouvrira les ports suivantles besoins:
 
     # iptables -P INPUT DROP
 
     # ip6tables -P INPUT DROP
 
-
 Autorisation des connexions **loopback** (internes):
 
     # iptables -A INPUT -i lo -j ACCEPT
@@ -444,7 +441,6 @@ On rejette les paquets du protocole **icmp unreachable**
 
     # ip6tables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
 
-
 Pour IPV6, nous pouvons rajouter un filtrage pour le "kernel reverse path filter":
 
     # ip6tables -t raw -A PREROUTING -m rpfilter -j ACCEPT
@@ -456,7 +452,6 @@ On accepte les paquets **ssh** sur le port 22 (changez ce port si vous avez conf
 
     # ip6tables -A TCP -p tcp --dport 22 -j ACCEPT
 
-
 Règles pour le DNS et NTP (ports 53 et 41)
 
     # iptables -A INPUT  -p udp -m state --state ESTABLISHED --sport 53 -j ACCEPT
@@ -511,7 +506,7 @@ Listons les règles actuelles, ensuite ajoutons 2 règles et sauvons celles-ci,
     COMMIT
     # Completed on Sun Feb 11 14:28:24 2018
 
-Ne pas oublier de valider la règle d'acceptation des connexions existantes AVANT d'entrer la règle INPUT DROP  sinon, vous perdez toute connexion avec votre serveur :)
+Ne pas oublier de valider la règle d'acceptation des connexions existantes AVANT d'entrer la règle INPUT DROP sinon, vous perdez toute connexion avec votre serveur :).
 
 Il suffit de répéter pour les autres règles puis pour IPV6.
 
@@ -572,7 +567,7 @@ Pour IPV6:
     # Completed on Sun Feb 11 15:33:41 2018
     root@atom:/etc/iptables#
 
-### Test DNS et du serveur de temps (avec iptables actif)
+## Test DNS et du serveur de temps (avec iptables actif)
 
     root@atom:/home/ericadmin# nslookup www.gnome.org
     Server:		192.168.111.254
@@ -598,7 +593,7 @@ Pour IPV6:
 
 Il faut re-tester la connectivité en IPV4 et IPV6
 
-1.  Serveur -> extérieur
-2.  Extérieur -> serveur
+1. Serveur -> extérieur
+2. Extérieur -> serveur
 
 On peut utiliser l'adresse **ipv6.google.com** pour vérifier la connexion IPV6 en dehors du réseau local.

docs/Installation-Serveur-Courrier-Basique.md

@@ -1,7 +1,7 @@
 
-## Installation d'un serveur de courrier basique
+# Installation d'un serveur de courrier basique
 
-Debian installe par défaut **exim4**. Nous allons le remplacer par postix (que nous étendrons ensuite pour avoir un serveur de courrier complet.
+Debian installe par défaut **exim4**. Nous allons le remplacer par postix (que nous étendrons ensuite pour avoir un serveur de courrier complet.)
 
 Pensez à ouvrir les ports **25** (IPV4 et IPV6) du firewall.
 
@@ -122,9 +122,9 @@ Exécutez la même commande sur le poste serveur en cours de configuration.
     Traitement des actions différées (« triggers ») pour libc-bin (2.24-11+deb9u3) ...
     root@atom:~#
 
-### Test d'envoi d'un utilisateur du serveur à l'autre
+## Test d'envoi d'un utilisateur du serveur à l'autre
 
-*   root -> ericadmin
+* root -> ericadmin
 
         root@atom:/etc/fail2ban# mail ericadmin
         Cc:
@@ -154,7 +154,7 @@ Exécutez la même commande sur le poste serveur en cours de configuration.
         1 message sauvegardé dans /home/ericadmin/mbox
         0 message conservé dans /var/mail/ericadmin
 
-*   ericadmin -> root
+* ericadmin -> root
 
         ericadmin@atom:~/bin$ mail root
         Cc:
@@ -182,17 +182,19 @@ Exécutez la même commande sur le poste serveur en cours de configuration.
         Essai 2
         .
 
-L'envoi des messages  entre utilisateurs du serveur serveur marche comme il faut.
+L'envoi des messages entre utilisateurs du serveur marche comme il faut.
 
-### Première étape de configuration de postfix
+## Première étape de configuration de postfix
 
 Modifiez la ligne suivante dans /etc/postfix/main.cf:
-> mydestination = $myhostname, yojik.net, atom.yojik.net, localhost.yojik.net, localhost
+
+    mydestination = $myhostname, yojik.net, atom.yojik.net, localhost.yojik.net, localhost
 
 et relancez postfix avec:
-> service postfix restart
 
-### Test d'envoi de messages à partir de ce serveur sur mon serveur principal
+    service postfix restart
+
+## Test d'envoi de messages à partir de ce serveur sur mon serveur principal
 
 Envoi d'un message sur mon compte de messagerie en .eu:
 
@@ -202,8 +204,7 @@ Le message est bien reçu.
 
 Vérifiez dans le dossier **spam**: comme il n'y a aucune sécurisation du serveur de courrier (pour l'instant), gmail ou autre, soit refuse de courrier, soit le met dans les spams.
 
-### Test d'envoi de messages à partir d'un poste extérieur
-
+## Test d'envoi de messages à partir d'un poste extérieur
 
 Envoi d'un message à partir du poste extérieur **aldebaran** (n'oubliez pas d'ouvrir le port 25 dans les règles iptables ...):
 
@@ -258,12 +259,11 @@ Ce fichier sert à rediriger toutes les adresses émail comme **abuse**, **webma
 
 Il faut lancer la commande **newaliases** pour générer le fichier.db utile à Postfix et on demande à Postfix de recharger ses fichiers.
 
-
     root@atom:~# newaliases
     oot@atom:~# service postfix reload
     root@atom:~#
 
-### Test de l'envoi à root pour vérifier la redirection
+## Test de l'envoi à root pour vérifier la redirection
 
     ericadmin@atom:~/bin$ mail root
     Cc:
@@ -297,11 +297,11 @@ Le serveur de courrier n'autorise que les utilisateurs (users) de la machine, ic
 
 Pour l'envoi à partir d'un poste extérieur, pensez à utiliser l'adresse mail qui contient le nom complet de votre machine:
 
-> toto@atom.yojik.net
+    toto@atom.yojik.net
 
 **et non**
 
-> toto@yojik.net
+    toto@yojik.net
 
 Les domaines ne sont pas encore configurés dans postfix.
 

docs/Installation-Serveur-DNS.md

@@ -1,5 +1,4 @@
 
-
 # Installation du serveur DNS
 
 Nous allons installer **bind**.
@@ -16,15 +15,15 @@ Nous allons installer **bind**.
     root@aijan:/home/ericadmin# netstat -tlpn
     Connexions Internet actives (seulement serveurs)
     Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
-    tcp        0      0 192.168.111.240:53      0.0.0.0:*               LISTEN      13815/named
-    tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      13815/named
-    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      594/sshd
-    tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      13815/named
-    tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      803/master
-    tcp6       0      0 :::53                   :::*                    LISTEN      13815/named
-    tcp6       0      0 :::22                   :::*                    LISTEN      594/sshd
-    tcp6       0      0 ::1:953                 :::*                    LISTEN      13815/named
-    tcp6       0      0 :::25                   :::*                    LISTEN      803/master
+    tcp        0      0 192.168.111.240:53      0.0.0.0:*             LISTEN      13815/named
+    tcp        0      0 127.0.0.1:53            0.0.0.0:*             LISTEN      13815/named
+    tcp        0      0 0.0.0.0:22              0.0.0.0:*             LISTEN      594/sshd
+    tcp        0      0 127.0.0.1:953           0.0.0.0:*             LISTEN      13815/named
+    tcp        0      0 0.0.0.0:25              0.0.0.0:*             LISTEN      803/master
+    tcp6       0      0 :::53                   :::*                  LISTEN      13815/named
+    tcp6       0      0 :::22                   :::*                  LISTEN      594/sshd
+    tcp6       0      0 ::1:953                 :::*                  LISTEN      13815/named
+    tcp6       0      0 :::25                   :::*                  LISTEN      803/master
     root@aijan:/home/ericadmin#
 
 Bien, bind a démarré et écoute sur les ports 53 et 953, en IPV4 et IPV6. Il nous reste à configurer les zones et à ouvrir les ports (firewall). Je vais utiliser comme serveur **dns** secondaire pour la zone **yojik.net** le serveur que j'utilise déjà pour la zone **yojik.eu**.
@@ -33,11 +32,11 @@ Nous configurerons le serveur dns local pour qu'il transfère les zones automati
 
 Voilà la structure générale de mes serveurs DNS:
 
-*   adara.yojik.eu: serveur DNS primaire pour le domaine yojik.eu
+* adara.yojik.eu: serveur DNS primaire pour le domaine yojik.eu
 
-*   polis.yojik.eu:
-    -   serveur DNS secondaire pour le domaine yojik.eu
-    -   serveur DNS secondaire pour le domaine yojik.net
+* polis.yojik.eu:
+  * serveur DNS secondaire pour le domaine yojik.eu
+  * serveur DNS secondaire pour le domaine yojik.net
 
 aijan.yojik.net: serveur DNS primaire pour le site yojik.net
 
@@ -64,7 +63,6 @@ Contenu après ajout de la zone yojik.net:
             file "/etc/bind/db.yojik.net";
         };
 
-
 Dans tous les tutorials, vous verrez la déclaration des zones inverses: après de nombreux échanges avec des spécialistes, il s'avère que ce n'est pas nécessaire, car mes serveurs DNS ne seront jamais interrogés pour la résolution inverse: pour cela, il faudrait que mon registrar me délègue la gestion de la zone. Je n'ai qu'une adresse IPV4 associée à ce domaine et pas de délégation.
 
 Création du fichier de zone **db.yojik.net** dans le répertoire **/etc/bind**.
@@ -93,8 +91,8 @@ Création du fichier de zone **db.yojik.net** dans le répertoire **/etc/bind**.
             IN      MX      10      aijan.yojik.net.
 
     ; domain hosts
-    yojik.net.      IN	    A	    82.64.48.5
-    yojik.net.      IN	    AAAA	2a01:e0a:54:c220:3aea:a7ff:fea6:cf93
+    yojik.net.     IN	    A	    82.64.48.5
+    yojik.net.     IN	    AAAA	2a01:e0a:54:c220:3aea:a7ff:fea6:cf93
     aijan           IN	    A	    82.64.48.5
     aijan           IN	    AAAA	2a01:e0a:54:c220:3aea:a7ff:fea6:cf93
 
@@ -138,9 +136,9 @@ Test de notre enregistrement MX (mail) avec **dig**:
 
 Il nous reste plusieurs éléments à configurer pour que notre serveur dns soit pris en compte.
 
-1.  Configurer notre box pour rediriger les requêtes extérieures DNS sur notre serveur DNS personnel.
-2.  Mettre à jour la configuration de nos enregistrements chez notre registrar.
-3.  Ajouter notre zone à notre serveur DNS secondaire (polis.yojik.eu) et mise à jour de la clef de connexion.
+1. Configurer notre box pour rediriger les requêtes extérieures DNS sur notre serveur DNS personnel.
+2. Mettre à jour la configuration de nos enregistrements chez notre registrar.
+3. Ajouter notre zone à notre serveur DNS secondaire (polis.yojik.eu) et mise à jour de la clef de connexion.
 
 Fichier /etc/bind/conf.named.local
 
@@ -156,14 +154,14 @@ Fichier /etc/bind/conf.named.local
             masters  { 82.64.48.5; };
     };
 
-### Configuration des options: fichier /etc/bind/named.conf.options
+## Configuration des options: fichier /etc/bind/named.conf.options
 
     options {
             directory "/var/cache/bind";
 
             // If there is a firewall between you and nameservers you want
             // to talk to, you may need to fix the firewall to allow multiple
-            // ports to talk.  See http://www.kb.cert.org/vuls/id/800113
+            // ports to talk. See http://www.kb.cert.org/vuls/id/800113
 
             // If your ISP provided one or more IP addresses for stable
             // nameservers, you probably want to use them as forwarders.
@@ -176,7 +174,7 @@ Fichier /etc/bind/conf.named.local
 
             //========================================================================
             // If BIND logs error messages about the root key being expired,
-            // you will need to update your keys.  See https://www.isc.org/bind-keys
+            // you will need to update your keys. See https://www.isc.org/bind-keys
             //========================================================================
             dnssec-validation auto;
 
@@ -191,15 +189,15 @@ Fichier /etc/bind/conf.named.local
 
 Pensez à vérifier que la clef située dans le fichier: /etc/bind/rndc.key est identique sur votre serveur primaire et secondaire.
 
-### Configuration de votre **box** et des enregistrements de votre registrar
+## Configuration de votre **box** et des enregistrements de votre registrar
 
 Cela étant très dépendant de chaque registrar et de chaque **box**, je vous laisse chercher sur le net les informations utiles. Sachez tout de même que peu de fournisseurs d'internet autorisent l'installation d'un serveur émail personnel. I8l vous faudra souvent attendre un peu avant que la configuration ne soit prise en compte chez votre registrar.
 
-### Vérification de la config DNS:
+## Vérification de la config DNS:
 
 Allez sur le site [toolbox](https://toolbox.googleapps.com/apps/dig/) pour tester votre configuration.
 
-### Configuration du reverse DNS
+## Configuration du reverse DNS
 
 Si vous hébergez votre serveur *chez vous*, vous devrez configurer le reverse DNS dans la page d'administration de votre ligne Internet.
 

docs/Installation-Serveur-Temps.md

@@ -1,5 +1,5 @@
 
-## Installation d'un serveur de temps
+# Installation d'un serveur de temps
 
 L'horloge du serveur doit être exacte, et pour cela, nous nous référons à un serveur de temps. Le programme qui se connecte et met à jour l'horloge de notre serveur sera **ntp**.
 
@@ -35,12 +35,12 @@ L'horloge du serveur doit être exacte, et pour cela, nous nous référons à un
     Traitement des actions différées (« triggers ») pour libc-bin (2.24-11+deb9u1) ...
     Traitement des actions différées (« triggers ») pour systemd (232-25+deb9u1) ...
 
-### Test du serveur de temps
+## Test du serveur de temps
 
 2 commandes permettent de vérifier l'état de **ntp**:
 
-> ntpq -p
-timedatectl
+    ntpq -p
+    timedatectl
 
 Voilà le résultat de ces commandes sur mon serveur:
 

docs/Installation-Serveur-Web.md

@@ -1,15 +1,15 @@
 
-## Installation d'un serveur web
+# Installation d'un serveur web
 
 Nous allons installer un serveur Web: **Apache**. C'est juste celui que je connais le mieux. **Nginx** est une possible alternative très prisée et guère plus compliquée à mettre en oeuvre.
 
-  root@aijan:/etc/bind# apt install apache2
-  Lecture des listes de paquets... Fait
-  Construction de l'arbre des dépendances
-  Lecture des informations d'état... Fait
-  The following additional packages will be installed:
-    apache2-bin apache2-data apache2-utils libapr1 libaprutil1 libaprutil1-dbd-sqlite3 libaprutil1-ldap liblua5.2-0
-  etc ...
+    root@aijan:/etc/bind# apt install apache2
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances
+    Lecture des informations d'état... Fait
+    The following additional packages will be installed:
+        apache2-bin apache2-data apache2-utils libapr1 libaprutil1 libaprutil1-dbd-sqlite3 libaprutil1-ldap liblua5.2-0
+    etc ...
 
 Test de notre serveur:
 
@@ -35,21 +35,21 @@ Lignes à rajouter à firewall.sh:
       $IP6T -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
       $IP6T -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
 
-### Sauvegarde de notre nouvelle configuration
+## Sauvegarde de notre nouvelle configuration
 
     root@aijan:#cd /home/ericadmin/bin/
     root@aijan:/home/ericadmin/bin#./firewall.sh  restart
     root@aijan:/home/ericadmin/bin#service netfilter-persistent save
 
-### Création des hôtes virtuels (virtual hosts)
+## Création des hôtes virtuels (virtual hosts)
 
 3 hôtes virtuels à créer:
 
-*   yojik.net
-*   www.yojik.net
-*   yazik.yojik.net
+* yojik.net
+* www.yojik.net
+* yazik.yojik.net
 
-Créez  2 fichiers d'hôtes virtuels. Exemple de fichier:
+Créez 2 fichiers d'hôtes virtuels. Exemple de fichier:
 
 **Virtualhost:  www.yojik.net**
 
@@ -101,26 +101,24 @@ Créez  2 fichiers d'hôtes virtuels. Exemple de fichier:
 
 Validez-les avec:
 
-> a2ensite le_nom_du_fichier (a2ensite site1 site2 (pour moi))
+    a2ensite le_nom_du_fichier (a2ensite site1 site2 (pour moi))
 
 On recharge apache2 pour la prise en compte de nos 2 sites.
 
-> service apache2 reload
+    service apache2 reload
 
-
-### Création des fichiers html
+## Création des fichiers html
 
 Créez 2 répertoires sous /var/www/html:
 
-*   mkdir /var/www/html/yojiknet /var/www/html/yaziknet
-
-*   cd /var/www/html
+    mkdir /var/www/html/yojiknet /var/www/html/yaziknet
+    cd /var/www/html
 
 On crée un fichier **index.html** sous chaque répertoire créé:
 
 Exemple de fichier de base:
 
-**/var/www/html/yojiknet/index.html**
+`/var/www/html/yojiknet/index.html`
 
     <!DOCTYPE html>
 
@@ -136,7 +134,7 @@ Exemple de fichier de base:
         </body>
 </html>
 
-**/var/www/html/yaziknet/index.html**
+`/var/www/html/yaziknet/index.html`
 
     <!DOCTYPE html>
 
@@ -154,20 +152,20 @@ Exemple de fichier de base:
 
 Dans le répertoire **/var/www/html/** on lance la commande suivante pour ajuster les droits et propriétaires des fichiers (pour apache et Debian, c'est **www-data**.)
 
-> chown -Rv www-data.www-data *
+    chown -Rv www-data.www-data *
 
 On relance apache
 
-> service apache2 restart
+    service apache2 restart
 
 On teste avec un navigateur.
 
-*   adresse 1: www.yojik.net
+* adresse 1: www.yojik.net
 
-*   adresse 2: yazik.yojik.net
+* adresse 2: yazik.yojik.net
 
 Vous vous apercevrez que la deuxième ne fonctionne pas: il vous faut ajouter le domaine yazik.yojik.net à votre fichier de zone de bind et relancer bind ensuite:
 
-> yazik		IN	CNAME	atom.yojik.net.
+    yazik		IN	CNAME	atom.yojik.net.
 
 Re-testez: tout marche :)

docs/Installation-Webmail.md

@@ -1,15 +1,15 @@
 
-## Installation de rainloop (webmail)
+# Installation de rainloop (webmail)
 
 Télécharger la version communautaire sur le site, et la décompresser dans votre répertoire web (/home/www/ pour moi.)
 
-### La documentation d'installation est ici:
+## La documentation d'installation est ici
 
   [Documentation de l'installation de rainloop][8595ed87]
 
   [8595ed87]: http://www.rainloop.net/docs/installation/ "Rainloop: installation"
 
-### Installation des dépendances: librairies et programmes
+## Installation des dépendances: librairies et programmes
 
 *Partie à améliorer .....*
 
@@ -17,140 +17,115 @@ Rainloop repose sur le language PHP et il y a beaucoup de librairies nécessaire
 
 Je vais plutôt faire la liste de tous les paquets installés avec php; ce sera plus simple. Vous aurez aussi besoin de **unzip** pour dé-archiver rainloop.
 
-```shell
-apt install unzip
-```
-
-```shell
-root@atom:/var/www/html/yaziknet# dpkg -l | grep php
-ii  libapache2-mod-php7.0        7.0.33-0+deb9u1                i386         server-side, HTML-embedded scripting language (Apache 2 module)
-ii  php-common                   1:49                           all          Common files for PHP packages
-ii  php7.0                       7.0.33-0+deb9u1                all          server-side, HTML-embedded scripting language (metapackage)
-ii  php7.0-cli                   7.0.33-0+deb9u1                i386         command-line interpreter for the PHP scripting language
-ii  php7.0-common                7.0.33-0+deb9u1                i386         documentation, examples and common module for PHP
-ii  php7.0-curl                  7.0.33-0+deb9u1                i386         CURL module for PHP
-ii  php7.0-json                  7.0.33-0+deb9u1                i386         JSON module for PHP
-ii  php7.0-opcache               7.0.33-0+deb9u1                i386         Zend OpCache module for PHP
-ii  php7.0-readline              7.0.33-0+deb9u1                i386         readline module for PHP
-ii  php7.0-sqlite3               7.0.33-0+deb9u1                i386         SQLite3 module for PHP
-ii  php7.0-xml                   7.0.33-0+deb9u1                i386         DOM, SimpleXML, WDDX, XML, and XSL module for PHP
-root@atom:/var/www/html/yaziknet#
-```
-
-### Création du répertoire où sera installé rainloop:
+    apt install unzip
+
+    root@atom:/var/www/html/yaziknet# dpkg -l | grep php
+    ii  libapache2-mod-php7.0        7.0.33-0+deb9u1                i386         server-side, HTML-embedded scripting language (Apache 2 module)
+    ii  php-common                   1:49                           all          Common files for PHP packages
+    ii  php7.0                       7.0.33-0+deb9u1                all          server-side, HTML-embedded scripting language (metapackage)
+    ii  php7.0-cli                   7.0.33-0+deb9u1                i386         command-line interpreter for the PHP scripting language
+    ii  php7.0-common                7.0.33-0+deb9u1                i386         documentation, examples and common module for PHP
+    ii  php7.0-curl                  7.0.33-0+deb9u1                i386         CURL module for PHP
+    ii  php7.0-json                  7.0.33-0+deb9u1                i386         JSON module for PHP
+    ii  php7.0-opcache               7.0.33-0+deb9u1                i386         Zend OpCache module for PHP
+    ii  php7.0-readline              7.0.33-0+deb9u1                i386         readline module for PHP
+    ii  php7.0-sqlite3               7.0.33-0+deb9u1                i386         SQLite3 module for PHP
+    ii  php7.0-xml                   7.0.33-0+deb9u1                i386         DOM, SimpleXML, WDDX, XML, and XSL module for PHP
+    root@atom:/var/www/html/yaziknet#
+
+## Création du répertoire où sera installé rainloop:
 
 Nous installerons rainloop dans le répertoire par défaut de apache:
 
-```shell
-/var/www/html/
-```
+    /var/www/html/
 
-```shell
-root@atom:/home/www# cd /var/www/html
-root@atom:/var/www/html# mkdir rainloop
-root@atom:/var/www/html# cd rainloop
-```
+    root@atom:/home/www# cd /var/www/html
+    root@atom:/var/www/html# mkdir rainloop
+    root@atom:/var/www/html# cd rainloop
 
-### Téléchargement du programme et décompression dans son répertoire d'accueil
+## Téléchargement du programme et décompression dans son répertoire d'accueil
 
-```shell
-wget http://www.rainloop.net/repository/webmail/rainloop-community-latest.zip
-unzip rainloop-latest.zip -d /var/www/html/rainloop
-```
+        wget http://www.rainloop.net/repository/webmail/rainloop-community-latest.zip
+        unzip rainloop-latest.zip -d /var/www/html/rainloop
 
 Il existe dans la documentation une approche différente **tout en un**, qui fait appel à un script **qui fait tout**. Voyez la documentation correspondante. Remplacez bien sûr **repository** dans les commandes suivantes par le répertoire dans lequel vous avez installé rainloop.
 
-```shell
-url -sL https://repository.rainloop.net/installer.php | php
+        url -sL https://repository.rainloop.net/installer.php | php
 
 ou
 
-wget -qO- https://repository.rainloop.net/installer.php | php
-```
-### Configuration des permissions
+        wget -qO- https://repository.rainloop.net/installer.php | php
+
+## Configuration des permissions
 
 Voilà les étapes à suivre:
 
 • Donner les droits de lecture/écriture correspondants et nécessaires à l'application:
 
-```shell
-cd /var/www/html/rainloop
-find . -type d -exec chmod 755 {} \;
-find . -type f -exec chmod 644 {} \;
-```
+        cd /var/www/html/rainloop
+        find . -type d -exec chmod 755 {} \;
+        find . -type f -exec chmod 644 {} \;
 
 • Déterminer l'utilisateur (pour nous, www-data du groupe www-data):
 
-```shell
-cd /var/www/html/rainloop
-chown -R www-data:www-data .
-```
+        cd /var/www/html/rainloop
+        chown -R www-data:www-data .
 
-### Mise en route du webmail dans apache
+## Mise en route du webmail dans apache
 
 Un example de site web apache (dans /etc/apache2/sites-available), que j'ai appelé **webmail.conf**:
 
-```shell
-<VirtualHost *:80>
+    <VirtualHost *:80>
 
-ServerAdmin webmaster@yojik.net
-ServerName webmail.yojik.net
+    ServerAdmin webmaster@yojik.net
+    ServerName webmail.yojik.net
 
-DocumentRoot /var/www/html/rainloop/
+    DocumentRoot /var/www/html/rainloop/
 
-<Directory "/var/www/html/rainloop/">
-        Options Indexes MultiViews
-        AllowOverride FileInfo AuthConfig Indexes
-        Order allow,deny
-        allow from all
-        Require all granted
-</Directory>
+    <Directory "/var/www/html/rainloop/">
+            Options Indexes MultiViews
+            AllowOverride FileInfo AuthConfig Indexes
+            Order allow,deny
+            allow from all
+            Require all granted
+    </Directory>
 
-ErrorLog ${APACHE_LOG_DIR}/error.log
-CustomLog ${APACHE_LOG_DIR}/access.log combined
+    ErrorLog ${APACHE_LOG_DIR}/error.log
+    CustomLog ${APACHE_LOG_DIR}/access.log combined
+
+    </VirtualHost>
 
-</VirtualHost>
-```
 Le webmail sera accessible sous: **webmail.yojik.net**
 
-#### Validation du site dans apache et rechargement de apache:
+## Validation du site dans apache et rechargement de apache:
 
-```shell
-root@atom:/etc# a2ensite webmail
-root@adara:/home/www/rainloop# service apache2 restart
-```
+    root@atom:/etc# a2ensite webmail
+    root@adara:/home/www/rainloop# service apache2 restart
 
-### Installation de l'interface sqlite de php
+## Installation de l'interface sqlite de php
 
 Pour certaines parties de rainloop, une base de données est nécessaire; il y a le choix entre plusieurs bases de données, comme mysql, postgresql et sqlite, que j'ai choisie.
 
 Il nous faut donc installer les dépendances php correspondantes:
 
-```shell
-root@adara:/home/www/rainloop# apt install php7.0-sqlite3
-etc...
-```
+    root@adara:/home/www/rainloop# apt install php7.0-sqlite3
+    etc...
+
 On relance apache:
 
-```shell
-root@adara:/home/www/rainloop# service apache2 restart
-root@adara:/home/www/rainloop#
-```
+        root@adara:/home/www/rainloop# service apache2 restart
+        root@adara:/home/www/rainloop#
 
-### Ajout de l'accès en **https** de notre webmail (avec le programme certbot de letsencrypt):
+## Ajout de l'accès en **https** de notre webmail (avec le programme certbot de letsencrypt):
 
-```shell
-root@adara:/home/www/rainloop# certbot --apache
-```
+    root@adara:/home/www/rainloop# certbot --apache
 
 et suivre les instructions.
 
 Relancez apache:
 
-```shell
-root@adara:/home/www/rainloop# service apache2 restart
-root@adara:/home/www/rainloop#
-```
+    root@adara:/home/www/rainloop# service apache2 restart
+    root@adara:/home/www/rainloop#
 
 Votre webmail est maintenant accessible. Il nous reste à le configurer.
 
@@ -165,7 +140,7 @@ Les identifiants **d'usine** sont les suivants:
 * login: admin
 * password: 12345
 
-Ils ont à changer d'urgence! dans le panneau de configuration.
+Ils ont à changer d'urgence(!) dans le panneau de configuration.
 
 Vous pouvez ensuite ajouter vos domaines ainsi que les comptes de messagerie. Les images suivantes sont celles de la documentation officielle.
 

docs/Installation-de-base.md

@@ -17,7 +17,7 @@ Notre réseau local sera également connecté à la box, soit par câble (filair
 
 ## Prérequis
 
-1.  Un serveur
+1. Un serveur
 
       Il vous faut un serveur, accessible chez vous (je décris ici l'installation d'un "home" serveur, même si la plupart des explications seront également valables pour un serveur hébergé ou dédié.
 
@@ -27,7 +27,7 @@ Notre réseau local sera également connecté à la box, soit par câble (filair
 
       Ce serveur est assez ancien (2007) et l'amorçage n'est pas basé sur UEFI, mais un bios standard. Je rajouterai une partie dédiée à l'amorçage UEFI dès que j'aurai un serveur/machine de bureau supportant ce mécanisme. (oui, mon matériel est ancien ....)
 
-2.  Un nom de domaine
+2. Un nom de domaine
 
       Un nom de domaine est indispensable si vous voulez que votre serveur soit accessible de l'extérieur. Il vous faudra choisir un nom, enregistré chez un “registrar” comme OVH, Gandi ou autre.
 
@@ -35,17 +35,17 @@ Notre réseau local sera également connecté à la box, soit par câble (filair
 
       > **example.com** est un nom de domaine couramment utilisé dans les tutoriels.
 
-3.  Un nom de machine
+3. Un nom de machine
 
       Déterminez le nom de votre machine: le mien sera **atom**.
 
       > Le nom complet de ma machine serait donc: **atom.yojik.net**
 
-4.  Une adresse IP fixe
+4. Une adresse IP fixe
 
       Une adresse IP fixe est nécessaire même s'il est possible de travailler avec des adresses dynamiques. Des FAIs comme Free, OVH proposent des IPs fixes (IPV4) et un pool d'adresses IPV6. D'autres fournisseurs d'accès proposent ces adresses fixes / IPV6 avec un supplément d'abonnement.
 
-5.  Un compte utilisateur
+5. Un compte utilisateur
 
       L'installateur Debian vous demandera un mot de passe pour le compte root (super-utilisteur): notez le bien. Nous le changerons ensuite, après l'installation de base. Nous utiliserons un générateur de mots de passe; il y en a pléthore.
 
@@ -112,7 +112,7 @@ C'est la dernière solution que j'utiliserai.
 
 L'image ISO est dans mon répertoire **Téléchargements**.
 
-> **dd if=./Téléchargements/debian-9.2.1-i386-netinst.iso of=/dev/sdd bs=4096**
+    **dd if=./Téléchargements/debian-9.2.1-i386-netinst.iso of=/dev/sdd bs=4096**
 
 Le paramètre “bs=4096” est nécessaire pour certaines clef USB.
 
@@ -124,21 +124,21 @@ Insérez votre clef et modifiez l'ordre de Boot (quel périphérique sera utilis
 
 ### Lancement de l'installation
 
-Éteignez votre serveur, insérez la clef USB si elle n'y est pas déjà et rallumez votre serveur. Il faudra taper sur une touche "DEL" ou "F12" ou autre pour accéder au menu de démarrage de votre serveur et choisir de démarrer (amorçage, booter) sur votre clef.
+Éteignez votre serveur, insérez la clef USB si elle n'y est pas déjà et rallumez votre serveur. Il faudra taper sur une touche **DEL** ou **F12** ou autre pour accéder au menu de démarrage de votre serveur et choisir de démarrer (amorçage, booter) sur votre clef.
 
 ## Installation du serveur sans chiffrement des partitions
 
 Nous utiliserons le mode texte, mais vous pouvez utiliser le mode graphique si vous voulez. Les écrans sont identiques.
 
-1.  Démarrage
+1. Démarrage
 
       ![Démarrage](Images/Debian-Stretch-01.png)
 
-2.  Choix du mode d'installation
+2. Choix du mode d'installation
 
      **Texte** pour moi.
 
-3.  Choix de la langue (clavier, interface)
+3. Choix de la langue (clavier, interface)
 
       Langue d'installation: **Français**
 
@@ -152,38 +152,38 @@ Nous utiliserons le mode texte, mais vous pouvez utiliser le mode graphique si v
 
       ![Démarrage](Images/Debian-Stretch-04.png)
 
-4.  Choix du nom de la machine
+4. Choix du nom de la machine
 
       Sans le nom de domaine: ici, **atom**
 
       Le nom complet de la machine Debian est défini dans 2 fichiers:
 
-      * `/etc/hostname`: ce fichier contient le nom du serveur, **SANS** le nom de domaine. Ce fichier ne contient qu'une seule ligne (un mot): le nom de votre machine.
+    * `/etc/hostname`: ce fichier contient le nom du serveur, **SANS** le nom de domaine. Ce fichier ne contient qu'une seule ligne (un mot): le nom de votre machine.
 
-      * `/etc/hosts`: ce fichier contient le nom complet de la machine. Il se présente ainsi:
+    * `/etc/hosts`: ce fichier contient le nom complet de la machine. Il se présente ainsi:
 
             127.0.0.1       localhost
-          
+
             # serveurs
-          
+
             192.168.111.160         atom.yojik.net             atom
-          
+
             # The following lines are desirable for IPv6 capable hosts
             ::1     localhost ip6-localhost ip6-loopback
             ff02::1 ip6-allnodes
             ff02::2 ip6-allrouters
 
-      Vous voyez ici la correspondance entre le nom complet du serveur, son nom comme il est écrit dans /etc/hostname ainsi que son adresse IP (ici, IPV4). Nous rajouterons l'adresse IPV6 ensuite, après l'installation.
+        Vous voyez ici la correspondance entre le nom complet du serveur, son nom comme il est écrit dans /etc/hostname ainsi que son adresse IP (ici, IPV4). Nous rajouterons l'adresse IPV6 ensuite, après l'installation.
 
-      ![Démarrage](Images/Debian-Stretch-06.png)
+        ![Démarrage](Images/Debian-Stretch-06.png)
 
-5.  Choix du nom de domaine
+5. Choix du nom de domaine
 
       **yojik.net** (mettez le votre!)
 
       ![Démarrage](Images/Debian-Stretch-08.png)
 
-6.  Saisie du mot de passe root (super-utilisateur)
+6. Saisie du mot de passe root (super-utilisateur)
 
       ![Démarrage](Images/Debian-Stretch-09.png)
 
@@ -191,28 +191,28 @@ Nous utiliserons le mode texte, mais vous pouvez utiliser le mode graphique si v
 
       ![Démarrage](Images/Debian-Stretch-10.png)
 
-7.  Saisie du compte utilisateur
+7. Saisie du compte utilisateur
 
       Ici, notre compte d'administrateur (admin ou celui de votre choix); en effet, nous ne nous connecterons jamais avec le compte **root**, uniquement avec le compte d'administration. L'accès **root** sera bloqué dans le fichier de configuration de **ssh**.
 
       ![Démarrage](Images/Debian-Stretch-12.png)
 
-8.  Saisie du mot de passe utilisateur.
+8. Saisie du mot de passe utilisateur.
 
-      1. Mot de passe
+    1. Mot de passe
 
            ![Démarrage](Images/Debian-Stretch-13.png)
 
-      2. Confirmation de ce mot de passe.
+    2. Confirmation de ce mot de passe.
 
            ![Démarrage](Images/Debian-Stretch-14.png)
 
-9.  Partitionnement du disque
+9. Partitionnement du disque
 
       Ici, nous avons 2 solutions principalement:
 
-      * 1 partitionnement avec chiffrement du disque (manuel ou automatique)
-      * 2 partitionnement sans chiffrement
+    * 1 partitionnement avec chiffrement du disque (manuel ou automatique)
+    * 2 partitionnement sans chiffrement
 
     Nous verrons ici un partitionnement sans chiffrement. Le chiffrement sera vu dans une partie séparée car elle pose le problème de la saisie de la phrase de passe pour un serveur “distant”.
 
@@ -238,75 +238,75 @@ Nous utiliserons le mode texte, mais vous pouvez utiliser le mode graphique si v
 
     ![Démarrage](Images/Debian-Stretch-20.png)
 
-10.  Progression de l'installation
+10. Progression de l'installation
 
-       ![Démarrage](Images/Debian-Stretch-21.png)
+    ![Démarrage](Images/Debian-Stretch-21.png)
 
-11.  Configuration de l'outil de gestion des paquets
+11. Configuration de l'outil de gestion des paquets
 
-       Nous n'avons pas d'autres sources de paquets pour l'instant:
+    Nous n'avons pas d'autres sources de paquets pour l'instant:
 
-       ![Démarrage](Images/Debian-Stretch-22.png)
+    ![Démarrage](Images/Debian-Stretch-22.png)
 
-12.  Choix du miroir
+12. Choix du miroir
 
-       **France** mais choisissez celui qui est le plus proche de votre localisation géographique.
+    **France** mais choisissez celui qui est le plus proche de votre localisation géographique.
 
-       ![Démarrage](Images/Debian-Stretch-23.png)
+    ![Démarrage](Images/Debian-Stretch-23.png)
 
-       Choix du miroir de l'archive Debian: j'ai choisi **deb.debian.org**. Ce miroir renvoie vers le miroir le plus approprié et le plus rapide.
+    Choix du miroir de l'archive Debian: j'ai choisi **deb.debian.org**. Ce miroir renvoie vers le miroir le plus approprié et le plus rapide.
 
-       ![Démarrage](Images/Debian-Stretch-24.png)
+    ![Démarrage](Images/Debian-Stretch-24.png)
 
-13.  Choix du proxy
+13. Choix du proxy
 
-     Choix du proxy: pas de proxy pour moi. Le proxy permet de passer par un serveur intermédiaire, par exemple, situé dans un autre pays.
+    Choix du proxy: pas de proxy pour moi. Le proxy permet de passer par un serveur intermédiaire, par exemple, situé dans un autre pays.
 
-     ![Démarrage](Images/Debian-Stretch-25.png)
+    ![Démarrage](Images/Debian-Stretch-25.png)
 
-     Progression de l'installation ...
+    Progression de l'installation ...
 
-     ![Démarrage](Images/Debian-Stretch-26.png)
+    ![Démarrage](Images/Debian-Stretch-26.png)
 
-14.  Configuration de “popularity contest”
+14. Configuration de “popularity contest”
 
-       J'ai répondu: **oui**. Choisissez si vous voulez participer aux statistiques des paquets les plus employés.
+    J'ai répondu: **oui**. Choisissez si vous voulez participer aux statistiques des paquets les plus employés.
 
-       ![Démarrage](Images/Debian-Stretch-28.png)
+    ![Démarrage](Images/Debian-Stretch-28.png)
 
-15.  Sélection des logiciels
+15. Sélection des logiciels
 
-       Désélectionnez “environnement de bureau” et sélectionnez: **“serveur ssh”** et **“utilitaires usuels du système”**. Validez.
+    Désélectionnez “environnement de bureau” et sélectionnez: **“serveur ssh”** et **“utilitaires usuels du système”**. Validez.
 
-       ![Démarrage](Images/Debian-Stretch-30.png)
+    ![Démarrage](Images/Debian-Stretch-30.png)
 
-16.  Installation de **grub** (gestionnaire d'amorçage) sur le disque.
+16. Installation de **grub** (gestionnaire d'amorçage) sur le disque.
 
-       ![Démarrage](Images/Debian-Stretch-31.png)
+    ![Démarrage](Images/Debian-Stretch-31.png)
 
-17.  Sélection du disque sur lequel installer le programme de démarrage **grub**.
+17. Sélection du disque sur lequel installer le programme de démarrage **grub**.
 
-       J'ai choisi le disque installé dans mon serveur. On aurait aussi pu choisir un média amovible comme une clef USB.
+    J'ai choisi le disque installé dans mon serveur. On aurait aussi pu choisir un média amovible comme une clef USB.
 
-       ![Démarrage](Images/Debian-Stretch_08_21.png)
+    ![Démarrage](Images/Debian-Stretch_08_21.png)
 
-18.  Redémarrage
+18. Redémarrage
 
-       Enlevez la clef USB qui a permis de lancer l'installation et tapez **ENTER**.
+    Enlevez la clef USB qui a permis de lancer l'installation et tapez **ENTER**.
 
-       ![Démarrage](Images/Debian-Stretch_08_56.png)
+    ![Démarrage](Images/Debian-Stretch_08_56.png)
 
-19.  S'identifier (se loguer).
+19. S'identifier (se loguer).
 
-       ![Démarrage](Images/Debian-Stretch-32.png)
+    ![Démarrage](Images/Debian-Stretch-32.png)
 
-       Ici, utilisateur **root**, puis saisie du mot de passe super-utilisateur.
+    Ici, utilisateur **root**, puis saisie du mot de passe super-utilisateur.
 
-       Nous ferons notre première configuration à partir du clavier et de l'écran connectés à notre serveur. Cela n'est valable évidemment que si nous avons un accès physique à notre machine.
+    Nous ferons notre première configuration à partir du clavier et de l'écran connectés à notre serveur. Cela n'est valable évidemment que si nous avons un accès physique à notre machine.
 
-       Pour une machine distante, la procédure est différente et nous nous connecterons avec **ssh**.
+    Pour une machine distante, la procédure est différente et nous nous connecterons avec **ssh**.
 
-       ![Démarrage](Images/Debian-Stretch_08_21.png)
+    ![Démarrage](Images/Debian-Stretch_08_21.png)
 
 Et voilà, l'installation première est terminée.
 
@@ -318,404 +318,407 @@ Pour cela, il faut que le serveur soit accessible ... au démarrage, il vous ser
 
 Les première étapes sont identiques à la version sans chiffrement. Le chiffrement sera configuré lors du partitionnement du disque.
 
-1.  Choix du mode d'Installation
+1. Choix du mode d'Installation
 
-      ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_28_37.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_28_37.png)
 
-2.  Choix de la Langue
+2. Choix de la Langue
 
-      ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_28_55.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_28_55.png)
 
-3.  Choix de la situation géographique
+3. Choix de la situation géographique
 
-      ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_00.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_00.png)
 
-4.  Configuration du clavier
+4. Configuration du clavier
 
-      ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_06.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_06.png)
 
-5.  Installation: début
+5. Installation: début
 
-      ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_12.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_12.png)
 
-6.  Installation: Suite
+6. Installation: Suite
 
-      ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_33.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_33.png)
 
-7.  Configuration du réseau: nom de machine
+7. Configuration du réseau: nom de machine
 
-      ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_44.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_44.png)
 
-8.  Configuration du réseau: nom de Domaine
+8. Configuration du réseau: nom de Domaine
 
-      ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_57.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_29_57.png)
 
-9.  Configuration du réseau: nom de Domaine (suite)
+9. Configuration du réseau: nom de Domaine (suite)
 
-      ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_06.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_06.png)
 
-10.  Configuration du mot de passe super-utilisateur
+10. Configuration du mot de passe super-utilisateur
 
-      ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_13.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_13.png)
 
-11.  Confirmation du mot de passe
+11. Confirmation du mot de passe
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_21.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_21.png)
 
-12.  Configuration d'un premier utilisateur (Nom/prénom)
+12. Configuration d'un premier utilisateur (Nom/prénom)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_29.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_29.png)
 
-13.  Configuration d'un premier utilisateur (suite)
+13. Configuration d'un premier utilisateur (suite)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_36.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_36.png)
 
-14.  Identifiant (login) de cet utilisateur
+14. Identifiant (login) de cet utilisateur
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_40.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_40.png)
 
-15.  Mot de passe de cet utilisateur
+15. Mot de passe de cet utilisateur
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_45.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_45.png)
 
-16.  Confirmation
+16. Confirmation
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_55.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_30_55.png)
 
+17. C'est ici que commencent les changements de configuration. Nous allons partitionner la disque en 3:
 
-17.  C'est ici que commencent les changements de configuration. Nous allons partitionner la disque en 3:
+    * La première partition est la partition /boot, non chiffrée; il est recommandé de réserver 500Mo pour cette partition. (Iiiak)
 
-       - la première partition est la partition /boot, non chiffrée; il est recommandé de réserver 500Mo pour cette partition. (Iiiak)
+    * La partition suivante est la partition swap, chiffrée
 
-       - la partition suivante est la partition swap, chiffrée
-       
-       - la dernière est la partition root "/" chiffrée.
+    * La dernière est la partition root "/" chiffrée.
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_31_10.png)
+        ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_31_10.png)
 
-18.  Nous allons utiliser la méthode manuelle pour pouvoir fixer nous-mêmes la taille de nos partitions:
+18. Nous allons utiliser la méthode manuelle pour pouvoir fixer nous-mêmes la taille de nos partitions:
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_31_14.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_31_14.png)
 
-19.  Choix du disque à partitionner
+19. Choix du disque à partitionner
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_31_41.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_31_41.png)
 
-20.  Création de la table de partition
+20. Création de la table de partition
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_31_54.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_31_54.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_31_59.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_31_59.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_32_02.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_32_02.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_32_06.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_32_06.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_32_19.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_32_19.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_33_20.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_33_20.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_33_35.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_33_35.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_33_41.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_33_41.png)
 
-21.  Choix du système de fichiers et du point de montage de la première partition (/boot).
+21. Choix du système de fichiers et du point de montage de la première partition (/boot).
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_33_47.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_33_47.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_33_53.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_33_53.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_00.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_00.png)
 
-22.  Création des partitions suivantes (swap et "/")
+22. Création des partitions suivantes (swap et "/")
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_20.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_20.png)
 
-23.  Partition swap
+23. Partition swap
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_28.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_28.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_33.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_33.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_47.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_47.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_54.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_34_54.png)
 
-24.  Création de la partition root "/"
+24. Création de la partition root "/"
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_06.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_06.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_13.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_13.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_21.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_21.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_29.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_29.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_44.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_44.png)
 
-25.  Configuration des volumes chiffrés
+25. Configuration des volumes chiffrés
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_49.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_49.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_53.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_53.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_58.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_35_58.png)
 
-26.  Choix des partitions à chiffrer (swap et root)
+26. Choix des partitions à chiffrer (swap et root)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_36_06.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_36_06.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_36_10.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_36_10.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_36_18.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_36_18.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_36_31.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_36_31.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_36_36.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_36_36.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_37_56.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_37_56.png)
 
-       Vous noterez que j'ai choisi de ne PAS effacer les données du disque. En production, il faudra choisir OUI. Cette procédure permet de remplir les partitions avec des données aléatoires et donne une meilleure sécurité. Cette procédure est longue ...
+    Vous noterez que j'ai choisi de ne PAS effacer les données du disque. En production, il faudra choisir OUI. Cette procédure permet de remplir les partitions avec des données aléatoires et donne une meilleure sécurité. Cette procédure est longue ...
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_42_37.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_42_37.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_42_43.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-12_42_43.png)
 
-27.  Choix de la clef de chiffrement
+27. Choix de la clef de chiffrement
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_09_02.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_09_02.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_09_11.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_09_11.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_09_22.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_09_22.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_09_51.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_09_51.png)
 
-28.  Fin du partitionnement
+28. Fin du partitionnement
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_10_17.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_10_17.png)
 
-29.  Oups! oubli ... il nous faut configurer le point de montage "/"
+29. Oups! Oubli ... il nous faut configurer le point de montage **/**
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_10_23.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_10_23.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_10_40.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_10_40.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_12_48.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_12_48.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_10.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_10.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_29.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_29.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_33.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_33.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_39.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_39.png)
 
-30.  Affichage de notre table de partitions
+30. Affichage de notre table de partitions
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_48.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_48.png)
 
-31.  Fin du partitionnement
+31. Fin du partitionnement
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_56.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_56.png)
 
-       ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_59.png)
+    ![Démarrage-chiffré](Images/Debian-Stretch-crypted-13_13_59.png)
 
-       La fin de l'installation est identique à la version non-chiffrée.
+    La fin de l'installation est identique à la version non-chiffrée.
 
 ## Installation de serveur avec chiffrement des partitions (mode assisté LVM)
 
 Le début de l'installation est identique. Nous allons passer directement à la partie partitionnement. (section 12)
 
-1.  Étape 1
+1. Étape 1
 
-      ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_12_04.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_12_04.png)
 
-2.  Étape 2
+2. Étape 2
 
-      ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_12_28.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_12_28.png)
 
-3.  Étape 3
+3. Étape 3
 
-      ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_12_36.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_12_36.png)
 
-4.  Étape 4
+4. Étape 4
 
-      ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_12_44.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_12_44.png)
 
-5.  Étape 5
+5. Étape 5
 
-      ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_13_39.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_13_39.png)
 
-6.  Étape 6
+6. Étape 6
 
-      ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_13_48.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_13_48.png)
 
-7.  Étape 7
+7. Étape 7
 
-      ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_14_10.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_14_10.png)
 
-8.  Étape 8
+8. Étape 8
 
-      ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_14_20.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_14_20.png)
 
-9.  Étape 9
+9. Étape 9
 
-      ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_14_43.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_14_43.png)
 
-10.  Étape 10
+10. Étape 10
 
-      ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_14_48.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_14_48.png)
 
-11.  Étape 11
+11. Étape 11
 
-      ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_15_05.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_15_05.png)
 
-12.  Partitionnement en mode lvm chiffré
+12. Partitionnement en mode lvm chiffré
 
-       On suit ce qui est indiqué sur les captures d'écran.
+    On suit ce qui est indiqué sur les captures d'écran.
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_15_37.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_15_37.png)
 
-13.  Choix du disque à partitionner
+13. Choix du disque à partitionner
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_15_43.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_15_43.png)
 
-14.  Choisissez le mode que vous voulez: tout dans une partition ou des partitions séparées.
+14. Choisissez le mode que vous voulez: tout dans une partition ou des partitions séparées.
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_15_49.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_15_49.png)
 
-15.  On modifie les partitions
+15. On modifie les partitions
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_15_56.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_15_56.png)
 
-16.  Partitionnement en cours
+16. Partitionnement en cours
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_16_08.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_16_08.png)
 
-17.  Effacement des données (écriture de données aléatoires sur le disque)
+17. Effacement des données (écriture de données aléatoires sur le disque)
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_17_26.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_17_26.png)
 
-18.  Saisie de la phrase de passe
+18. Saisie de la phrase de passe
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_30_48.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_30_48.png)
 
-19.  Suite
+19. Suite
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_31_19.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_31_19.png)
 
-20.  Affichage de vos choix
+20. Affichage de vos choix
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_31_43.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_31_43.png)
 
-21.  Confirmation de vos choix
+21. Confirmation de vos choix
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_32_07.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_32_07.png)
 
-22.  Installation du système (comme précédemment)
+22. Installation du système (comme précédemment)
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_32_36.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_32_36.png)
 
-23.  Étape 23
+23. Étape 23
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_45_36.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_45_36.png)
 
-24.  Étape 24
+24. Étape 24
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_45_51.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_45_51.png)
 
-25.  Étape 25
+25. Étape 25
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_45_59.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_45_59.png)
 
-26.  Étape 26
+26. Étape 26
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_46_07.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_46_07.png)
 
-27.  Étape 27
+27. Étape 27
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_46_13.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_46_13.png)
 
-28.  Étape 28
+28. Étape 28
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_46_48.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_46_48.png)
 
-29.  Étape 29
+29. Étape 29
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_49_04.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_49_04.png)
 
-30.  Étape 30
+30. Étape 30
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_49_25.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_09_49_25.png)
 
-31.  Étape 31
+31. Étape 31
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_04_01.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_04_01.png)
 
-32.  Étape 32
+32. Étape 32
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_04_11.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_04_11.png)
 
-33.  Étape 33
+33. Étape 33
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_15_52.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_15_52.png)
 
-34.  Re-démarrage
+34. Re-démarrage
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_16_06.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_16_06.png)
 
-35.  Saisie de la phrase de passe pour débloquer l'accès au disque
+35. Saisie de la phrase de passe pour débloquer l'accès au disque
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_16_15.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_16_15.png)
 
-36.  Et voilà :)
+36. Et voilà :)
 
-       ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_16_31.png)
+    ![Debian-chiffrée-lvm](Images/Debian-chiffrée_14_07_2018_10_16_31.png)
 
 
 ## Installation de serveur avec chiffrement des partitions et clef de chiffrement sur support amovible
 
   **WORK IN PROGRESS !!!**
 
-  Nous allons voir ici une méthode pour éviter d'avoir à saisir la phrase de passe à chaque redémarrage. Nous allons ajouter une clef (en plus de celle que vous avez déjà). Cette clef sera composée par des données aléatoires d'un support amovible (clef usb, carte sdx, etc ... )
+Nous allons voir ici une méthode pour éviter d'avoir à saisir la phrase de passe à chaque redémarrage. Nous allons ajouter une clef (en plus de celle que vous avez déjà). Cette clef sera composée par des données aléatoires d'un support amovible (clef usb, carte sdx, etc ...)
 
-  Nous allons remplir le contenu de ce support avec des données aléatoires, et définir une portion de celle-ci comme clef. Il reste évident qu'il faut avoir un accès physique àa la machine  ...
+Nous allons remplir le contenu de ce support avec des données aléatoires, et définir une portion de celle-ci comme clef. Il reste évident qu'il faut avoir un accès physique àa la machine...
 
 ### Écriture de données aléatoires sur le support amovible.
 
 Vérifiez avec la commande **dmesg** quel est le périphérique amovible utilisé. Pour moi, c'est **sdb**.
 
-> dd if=/dev/urandom of=/dev/sdb bs=4096
+    dd if=/dev/urandom of=/dev/sdb bs=4096
 
 Nous avons utilisé la totalité de la clef. Il est possible aussi de formater la clef d'une façon habituelle en réservant un espace **non-formaté** et **non alloué** pour installer notre clef secrète. Pour cela, vous pouvez utiliser **gparted** par exemple.
 
 ### Extraction de la clef à partir d'un secteur donné de la clef
 
-> dd if=/dev/sdb of=/root/secret.key bs=512 skip=8 count=16
+    dd if=/dev/sdb of=/root/secret.key bs=512 skip=8 count=16
 
 ### Ajout de cette clef à cryptsetup
 
 On liste les partitions:
 
-> blkid
+    blkid
 
 On ajoute la clef dans le slot 1 (le slot 0 contient la phrase de passe entrée lors de l'installation.)
 
-> cryptsetup luksAddKey /dev/sda3 /root/secret.key --key-slot 1
+    cryptsetup luksAddKey /dev/sda3 /root/secret.key --key-slot 1
 
 ### Ajout d'une règle udev
 
-On crée le fichier: /etc/udev/rules.d/99-custom-usb.rules avec le contenu suivant:
+On crée le fichier:
+
+    /etc/udev/rules.d/99-custom-usb.rules
+
+  avec le contenu suivant:
 
-> SUBSYSTEMS=="usb", DRIVERS=="usb",SYMLINK+="usbdevice%n"
+    SUBSYSTEMS=="usb", DRIVERS=="usb",SYMLINK+="usbdevice%n"
 
-Onb relance le serveur et on vérifie que la règle a bien été prise en compte:
+On relance le serveur et on vérifie que la règle a bien été prise en compte:
 
-> ls -l /dev/usbdevices
+    ls -l /dev/usbdevices
 
 C'est bon.
 
 ### Test
 
-pas fini :( ou mieux, "work in progress" !
+pas fini :(ou mieux, *work in progress*!)

docs/Première-Etape-Sécurisation.md

@@ -175,7 +175,7 @@ Redémarrage du service **ssh**
 
     systemctl restart sshd
 
-### Test de connexion:
+### Test de connexion
 
 Sur votre ordinateur principal, dans un terminal, tapez:
 

docs/Surveillance-Serveur.md

@@ -3,44 +3,42 @@
 
 ## Installation
 
-```shell
-# apt install logwatch
-Lecture des listes de paquets... Fait
-Construction de l'arbre des dépendances
-Lecture des informations d'état... Fait
-Paquets suggérés :
-  fortune-mod
-Paquets recommandés :
-  libdate-manip-perl libsys-cpu-perl libsys-meminfo-perl
-Les NOUVEAUX paquets suivants seront installés :
-  logwatch
-0 mis à jour, 1 nouvellement installés, 0 à enlever et 0 non mis à jour.
-Il est nécessaire de prendre 373 ko dans les archives.
-Après cette opération, 2 267 ko d'espace disque supplémentaires seront utilisés.
-Réception de:1 http://debian.mirrors.ovh.net/debian stretch/main amd64 logwatch all 7.4.3+git20161207-2 [373 kB]
-373 ko réceptionnés en 0s (2 054 ko/s)
-Sélection du paquet logwatch précédemment désélectionné.
-(Lecture de la base de données... 30506 fichiers et répertoires déjà installés.)
-Préparation du dépaquetage de .../logwatch_7.4.3+git20161207-2_all.deb ...
-Dépaquetage de logwatch (7.4.3+git20161207-2) ...
-Traitement des actions différées (« triggers ») pour man-db (2.7.6.1-2) ...
-Paramétrage de logwatch (7.4.3+git20161207-2) ...
-```
+    # apt install logwatch
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances
+    Lecture des informations d'état... Fait
+    Paquets suggérés :
+      fortune-mod
+    Paquets recommandés :
+      libdate-manip-perl libsys-cpu-perl libsys-meminfo-perl
+    Les NOUVEAUX paquets suivants seront installés :
+      logwatch
+    0 mis à jour, 1 nouvellement installés, 0 à enlever et 0 non mis à jour.
+    Il est nécessaire de prendre 373 ko dans les archives.
+    Après cette opération, 2 267 ko d'espace disque supplémentaires seront utilisés.
+    Réception de:1 http://debian.mirrors.ovh.net/debian stretch/main amd64 logwatch all 7.4.3+git20161207-2 [373 kB]
+    373 ko réceptionnés en 0s (2 054 ko/s)
+    Sélection du paquet logwatch précédemment désélectionné.
+    (Lecture de la base de données... 30506 fichiers et répertoires déjà installés.)
+    Préparation du dépaquetage de .../logwatch_7.4.3+git20161207-2_all.deb ...
+    Dépaquetage de logwatch (7.4.3+git20161207-2) ...
+    Traitement des actions différées (« triggers ») pour man-db (2.7.6.1-2) ...
+    Paramétrage de logwatch (7.4.3+git20161207-2) ...
 
 ## Configuration
 
-> vim /usr/share/logwatch/default.conf/logwatch.conf
+    vim /usr/share/logwatch/default.conf/logwatch.conf
 
 Il faut changer les lignes suivantes:
 
-> MailTo = root -> Mailto = adresse émail de l'administrateur
->Range = Yesterday -> Range = All
+    MailTo = root -> Mailto = adresse émail de l'administrateur
+    Range = Yesterday -> Range = All
 
 J'ai laissé **Range** à Yesterday pour limiter la taille du rapport.
 
 On teste en le lançant manuellement:
 
-> logwatch --detail Low --mailto admin@example.net --service All --range today
+    logwatch --detail Low --mailto admin@example.net --service All --range today
 
 Bien sûr, remplacez l'adresse émail fictive par celle du compte administrateur de votre serveur.
 Vous devez recevoir le compte-rendu dans votre boîte mail.

docs/Sécurisation-Serveur-Web.md

@@ -1,50 +1,45 @@
 
+# Sécurisation des pages web
 
-## Sécurisation des pages web
+## La configuration SSL
 
-
-### La configuration SSL
-
-La page https://mozilla.github.io/server-side-tls/ssl-config-generator/ permet de configurer mieux les pages servies par les serveurs web (apache pour moi), en donnant des règles concernant les certificats, les protocoles **ssl.**
+La page [Mozilla web server SSL config generator](https://mozilla.github.io/server-side-tls/ssl-config-generator/) permet de configurer mieux les pages servies par les serveurs web (apache pour moi), en donnant des règles concernant les certificats, les protocoles **ssl.**
 
 Voilà un exemple de configuration générée par le site Mozilla indiqué ci-dessus:
 
-```shell
-<VirtualHost *:443>
-    ...
-    SSLEngine on
-    SSLCertificateFile      /path/to/signed_certificate_followed_by_intermediate_certs
-    SSLCertificateKeyFile   /path/to/private/key
+    <VirtualHost *:443>
+        ...
+        SSLEngine on
+        SSLCertificateFile      /path/to/signed_certificate_followed_by_intermediate_certs
+        SSLCertificateKeyFile   /path/to/private/key
 
-    # Uncomment the following directive when using client certificate authentication
-    #SSLCACertificateFile    /path/to/ca_certs_for_client_authentication
+        # Uncomment the following directive when using client certificate authentication
+        #SSLCACertificateFile    /path/to/ca_certs_for_client_authentication
 
 
-    # HSTS (mod_headers is required) (15768000 seconds = 6 months)
-    Header always set Strict-Transport-Security "max-age=15768000"
-    ...
-</VirtualHost>
+        # HSTS (mod_headers is required) (15768000 seconds = 6 months)
+        Header always set Strict-Transport-Security "max-age=15768000"
+        ...
+    </VirtualHost>
 
-# modern configuration, tweak to your needs
-SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
-SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
-SSLHonorCipherOrder     on
-SSLCompression          off
-SSLSessionTickets       off
+    # modern configuration, tweak to your needs
+    SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
+    SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
+    SSLHonorCipherOrder     on
+    SSLCompression          off
+    SSLSessionTickets       off
 
-# OCSP Stapling, only in httpd 2.3.3 and later
-SSLUseStapling          on
-SSLStaplingResponderTimeout 5
-SSLStaplingReturnResponderErrors off
-SSLStaplingCache        shmcb:/var/run/ocsp(128000)
-```
+    # OCSP Stapling, only in httpd 2.3.3 and later
+    SSLUseStapling          on
+    SSLStaplingResponderTimeout 5
+    SSLStaplingReturnResponderErrors off
+    SSLStaplingCache        shmcb:/var/run/ocsp(128000)
 
 Il précise les protocoles recommandés ainsi que les méthodes de chiffrage actuellement sûres.
- 
-###  La configuration des en-têtes.
 
-Les entêtes sont envoyés aux clients, et ils sont libres de les respecter ou non ... 
+## La configuration des en-têtes
+
+Les entêtes sont envoyés aux clients, et ils sont libres de les respecter ou non ...
 On peut utiliser la page de test suivante pour configurer les entêtes renvoyés avec chaque page web: https://observatory.mozilla.org/analyze/www.yojik.net par exemple pour analyser le site www.yojik.net.
 
 Voilà un exemple de résultats, avec certains entêtes configurés et d'autres non; la note globale n'est pas bonne, et il faudra améliorer la configuration.
-

docs/index.md

@@ -11,25 +11,27 @@ Ce ne sera pas “un tutoriel à suivre pas à pas”, mais plutôt un ensemble
 Certains services seront installés, comme un serveur de courriers (Postfix), un serveur DNS bind9, un serveur Web (Apache), un bouncer IRC, un serveur Git.
 Nous aurions pu faire d'autres choix, comme Unbound (DNS), Citadel (courrier), etc.
 
-1.  [Installation du système de base](Installation-de-base.md)
-2.  [Première étapes de sécurisation du serveur](Première-Etape-Sécurisation.md)
-3.  [Configuration du réseau](Configuration-Réseau.md)
-4.  [Installation d'un serveur de temps](Installation-Serveur-Temps.md)
-5.  [Installation d'un pare-feu](Installation-Parre-Feu.md)
-6.  [Contrer les attaques de brute-force avec fail2ban](Installation-Fail2ban.md)
-7.  [Installation d'un serveur de courrier basique](Installation-Serveur-Courrier-Basique.md)
-8.  [Installation du serveur DNS](Installation-Serveur-DNS.md)
-9.  [Installation d'un serveur web](Installation-Serveur-Web.md)
-10. [Installation de dovecot et de l'authentification](Installation-Dovecot-Authentification.md)
-11. [Installation des certificats letsencrypt](Installation-Cerificats-Letsencrypt.md)
-12. [Ajout des enregistrements **spf**, **DKIM**, **DMARC** au fichier de zone DNS](Courrier-SPF-DKIM-OPENDMARC.md)
-13. [Ajout des comptes émail virtuels](Courrier-Comptes-Virtuels.md)
-14. [Installation de programmes de surveillance du serveur](Surveillance-Serveur.md)
-15. [Installation d'un webmail (rainloop)](Installation-Webmail.md)
-[//]: # (16. [Ajout de DNSSEC](Installation-DNSSEC.md))
-[//]: # (17. [Ajout des enregistrements DANE](Installation-Dane.md))
-[//]: # (18. [Gestion de clefs«  SSH multiples](Clefs-SSH-Multiples.md))
-[//]: # (19. [Utilisation d'une carte à puce pour s'authentifier](Authentification-Carte-à-Puce.md))
-[//]: # (20. [Utilisation d'un lecteur NFC et de tags](Authentification-NFC.md))
+1. [Installation du système de base](Installation-de-base.md)
+2. [Démarrage sur serveur OVH(ovh.md)]
+3. [Première étapes de sécurisation du serveur](Première-Etape-Sécurisation.md)
+4. [Configuration du réseau](Configuration-Réseau.md)
+5. [Installation d'un serveur de temps](Installation-Serveur-Temps.md)
+6. [Installation d'un pare-feu](Installation-Parre-Feu.md)
+7. [Contrer les attaques de brute-force avec fail2ban](Installation-Fail2ban.md)
+8. [Installation d'un serveur de courrier basique](Installation-Serveur-Courrier-Basique.md)
+9. [Installation du serveur DNS](Installation-Serveur-DNS.md)
+10. [Installation d'un serveur web](Installation-Serveur-Web.md)
+11. [Installation de dovecot et de l'authentification](Installation-Dovecot-Authentification.md)
+12. [Installation des certificats letsencrypt](Installation-Cerificats-Letsencrypt.md)
+13. [Ajout des enregistrements **spf**, **DKIM**, **DMARC** au fichier de zone DNS](Courrier-SPF-DKIM-OPENDMARC.md)
+14. [Ajout des comptes émail virtuels](Courrier-Comptes-Virtuels.md)
+15. [Installation de programmes de surveillance du serveur](Surveillance-Serveur.md)
+16. [Installation d'un webmail (rainloop)](Installation-Webmail.md)
+17. [Sécurisation d'un serveur WEB](Sécurisation-Serveur-Web)
+[]: # (16. [Ajout de DNSSEC](Installation-DNSSEC.md))
+[]: # (17. [Ajout des enregistrements DANE](Installation-Dane.md))
+[]: # (18. [Gestion de clefs«  SSH multiples](Clefs-SSH-Multiples.md))
+[]: # (19. [Utilisation d'une carte à puce pour s'authentifier](Authentification-Carte-à-Puce.md))
+[]: # (20. [Utilisation d'un lecteur NFC et de tags](Authentification-NFC.md))
 
 **Note**: j'ai voulu utiliser le format **Markdown** pour écrire ce tuto; une manière de tester, d'apprendre le markdown. J'avoue qu'après des années d'utilisation de LaTeX et de Docbook, j'ai vraiment galéré: j'ai mis en place des vérificateurs de syntaxe markdown, utilisé des éditeurs spécialisés comme Stackedit, Dillinger, des extensions spécifiques à VisualCode, SublimeText ou Atom. Toutes ces solutions donnent un markdown valide différent, qui n'est pas transformé correctement si on change de convertisseur. Je sais qu'il y a plusieurs versions de markdown, mais elles pourraient être compatibles entre elles. Des outils comme **mkdocs** sont remarquables, mais markdown, pas à mon goût. J'aime ce qui est clair et reproductible.

docs/ovh.md

@@ -1,25 +1,30 @@
 
 # Boot en mode root avec slef ssh
 
-eric@aldebaran:~$ ssh root@91.121.72.10
-The authenticity of host '91.121.72.10 (91.121.72.10)' can't be established.
-ECDSA key fingerprint is SHA256:eBYgeGPntU9stGkYe5GLltv46hCeVDRIu8xic3MDLbE.
-Are you sure you want to continue connecting (yes/no)? yes
-Warning: Permanently added '91.121.72.10' (ECDSA) to the list of known hosts.
-Linux adara 4.9.103-xxxx-std-ipv6-64 #222672 SMP Mon Jun 4 15:16:03 UTC 2018 x86_64
+Lors du choix du système d'exploitation et des paramètres de l'installation, vous avez le choix entre *se faire envoyer par émail les identifiants/mots de passe* ou fournir votre clef *SSH* publique. Choisissez cette dernière option si vous le pouvez.
 
-    Debian GNU/Linux 9 (stretch)
+Il suffit de copier/coller cette clef dans l'emplacement prévu dans les paramètres.
 
-    Linux adara.yojik.eu 4.9.103-xxxx-std-ipv6-64 #222672 SMP Mon Jun 4 15:16:03 UTC 2018 x86_64 GNU/Linux
+Il est toujours possible de procéder à cet ajout ultérieurement.
 
+    eric@aldebaran:~$ ssh root@91.121.72.10
+    The authenticity of host '91.121.72.10 (91.121.72.10)' can't be established.
+    ECDSA key fingerprint is SHA256:eBYgeGPntU9stGkYe5GLltv46hCeVDRIu8xic3MDLbE.
+    Are you sure you want to continue connecting (yes/no)? yes
+    Warning: Permanently added '91.121.72.10' (ECDSA) to the list of known hosts.
+    Linux adara 4.9.103-xxxx-std-ipv6-64 #222672 SMP Mon Jun 4 15:16:03 UTC 2018 x86_64
+
+        Debian GNU/Linux 9 (stretch)
 
-    Server	: 141519
-    IPv4		: 91.121.72.10
-    IPv6		: 2001:41d0:1:7d0a::1
-    Hostname	: adara.yojik.eu
+        Linux adara.yojik.eu 4.9.103-xxxx-std-ipv6-64 #222672 SMP Mon Jun 4 15:16:03 UTC 2018 x86_64 GNU/Linux
 
-    Last login: Sun Jun 24 12:31:50 2018 from 217.182.145.216
 
+        Server	: 141519
+        IPv4		: 91.121.72.10
+        IPv6		: 2001:41d0:1:7d0a::1
+        Hostname	: adara.yojik.eu
+
+        Last login: Sun Jun 24 12:31:50 2018 from 217.182.145.216
 
 Booter sur le serveur:
 
@@ -74,7 +79,6 @@ Configuration du réseau:  elle est pré-réglée dans l'installation de OVH.
 
 Ajout de l'adresse **IPV6** et de l'adresse du serveur de sauvegarde.
 
-
     root@adara:/home/ericadmin/bin# cat /etc/hosts
     127.0.0.1	localhost
     127.0.1.1	adara.yojik.eu	adara

mkdocs.yml

@@ -2,6 +2,7 @@ site_name: The Yojik Server Installation Guide
 pages:
     - Home: index.md
     - Installation d'un serveur Debian/Stretch sécurisé: Installation-de-base.md
+    - Démarrage sur serveur OVH: ovh.md
     - Premières étapes de sécurisation du serveur: Première-Etape-Sécurisation.md
     - Configuration du réseau: Configuration-Réseau.md
     - Installation d'un serveur de temps: Installation-Serveur-Temps.md
@@ -17,6 +18,7 @@ pages:
     - Installation de programmes de surveillance du serveur: Surveillance-Serveur.md
     - Installation d'un webmail: Installation-Webmail.md
     - Installation de git et de gogs: Installation-Serveur-Git.md
+    - Sécurisation d'un serveur Web: Sécurisation-Serveur-Web.md
     # - Ajout de DNSSEC: Courrier-DNSSEC.md
     # - Ajout des enregistrements DANE: Courrier-DANE.md
     # - Gestion de clefs SSH multiples: Clefs-SSH-Multiples.md