fin (provisoire) du travail sur le raspi

README.md

@@ -1,6 +1,6 @@
 # Le site Yojik.net
 
-Ce serveur "à la maison"  [Yojik.net](https://yazik.jojik.net)vous propose divers tutoriaux dans les domaines suivants:
+Ce serveur "à la maison"  [Yojik.net](https://yazik.jojik.net) vous propose divers tutoriaux dans les domaines suivants:
 
 * Apprentissage des langues:
 

docs/Tutoriels/tutoraspi/Etat-des-lieux.md

@@ -12,7 +12,7 @@ Notre adresse est une adresse domestique, réservée au réseau local, non routa
 
 Pour obtenir l'adresse IPV6 de notre raspi, entrez la commande suivante:
 
-    pi@piras:~ $ ip a
+    pi@raspberrypi:~ $ ip a
     1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
         link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
         inet 127.0.0.1/8 scope host lo
@@ -21,21 +21,23 @@ Pour obtenir l'adresse IPV6 de notre raspi, entrez la commande suivante:
         valid_lft forever preferred_lft forever
     2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
         link/ether b8:27:eb:3a:0b:38 brd ff:ff:ff:ff:ff:ff
-        inet 192.168.111.32/24 brd 192.168.111.255 scope global dynamic noprefixroute eth0
-        valid_lft 35446sec preferred_lft 30046sec
-        inet6 2a01:e0a:d0:3c20:eabd:25ab:9fab:9c62/64 scope global dynamic mngtmpaddr noprefixroute 
-        valid_lft 86110sec preferred_lft 86110sec
-        inet6 fe80::8d5d:618e:97c2:2028/64 scope link 
+        inet 192.168.111.170/24 brd 192.168.111.255 scope global noprefixroute eth0
         valid_lft forever preferred_lft forever
-    pi@piras:~ $ 
+        inet6 2a01:e0a:d0:3c20:a23:93ca:de95:e15b/64 scope global dynamic mngtmpaddr noprefixroute 
+        valid_lft 86388sec preferred_lft 86388sec
+        inet6 2a01:e0a:d0:3c20::170/64 scope global noprefixroute 
+        valid_lft forever preferred_lft forever
+        inet6 fe80::74c8:34d:25f2:3b43/64 scope link 
+        valid_lft forever preferred_lft forever
+    pi@raspberrypi:~ $ 
 
-Nous avons notre adresse IPV6 qui est la suivante:
+Nous avons notre adresse IPV6 qui est la suivante: (après configuration du réseau)
 
-    inet6 2a01:e0a:d0:3c20:eabd:25ab:9fab:9c62/64 scope global dynamic mngtmpaddr
+    inet6 2a01:e0a:d0:3c20::170/64 scope global dynamic mngtmpaddr
 
 L'adresse commençant par fe80 est réservée au trafic sur le réseau local.
 
-Renseignons ensuite notre adresse ipv6 dans le formulaire du site SSH-Audit:
+Renseignons ensuite notre adresse ipv6 dans le formulaire du site SSH-Audit (les captures d'écran utilisent une autre adresse IPV6):
 
 ![résultat](../../Images/tutoraspi/Capture d’écran de 2020-12-11 14-37-01.png)
 
@@ -51,7 +53,7 @@ Nous obtenons une note de "F" ... il y a du travail en perspective pour obtenir
 * le client **ssh**
 
 Le daemon se configure dans /etc/sshd
-Le client dans le répertoire ~/.ssh (dans le home de l'utilisateur)
+Le client dans le répertoire ~/.ssh (dans son home sur la machine cliente)
 
 Nous ferons ça dans le chapitre suivant.
 
@@ -64,3 +66,21 @@ Il y a plusieurs façons de le faire: soit on rajoute une adresse fixe à la con
 ## Le pare-feux (firewall)
 
 Aucun pare-feu n'est défini par défaut. Nous installerons **nftables** qui remplace **iptables** dans les versions **buster** et **bullseye** de Debian.
+
+## Installation de programmes utilistaires
+
+J'installe toujours **vim** et **mc** sur mes machines pour l'édition des fichiers de configuration et me déplcaer dans l'arborescence, visionner les fichiers de configuration/textes.
+
+    pi@raspberrypi:~ $ sudo apt install vim mc
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances       
+    Lecture des informations d'état... Fait
+    Les paquets supplémentaires suivants seront installés : 
+    mc-data vim-runtime
+    ...
+    Paramétrage de vim (2:8.1.0875-5) ...
+    ...
+    Paramétrage de mc (3:4.8.22-1) ...
+    Traitement des actions différées (« triggers ») pour mime-support (3.62) ...
+    Traitement des actions différées (« triggers ») pour man-db (2.8.5-2) ...
+    pi@raspberrypi:~ $ 

docs/Tutoriels/tutoraspi/Fail2ban.md

@@ -1,2 +1,65 @@
 # Installation de fail2ban
 
+Fail2ban nous permet de contrer les attaques de «brute force.»
+
+Il met automatique en quarantaine les IPs attaquantes en analysant les fichiers de log.
+
+## Installation
+
+    pi@raspberrypi:~ $ sudo apt install fail2ban && sudo apt clean
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances       
+    Lecture des informations d'état... Fait
+    Les paquets supplémentaires suivants seront installés : 
+    python3-pyinotify python3-systemd whois
+    Paquets suggérés :
+    mailx monit sqlite3 python-pyinotify-doc
+    Les NOUVEAUX paquets suivants seront installés :
+    fail2ban python3-pyinotify python3-systemd whois
+    0 mis à jour, 4 nouvellement installés, 0 à enlever et 0 non mis à jour.
+    Il est nécessaire de prendre 514 ko dans les archives.
+    Après cette opération, 2 410 ko d'espace disque supplémentaires seront utilisés.
+    Souhaitez-vous continuer ? [O/n] o
+    Réception de :2 http://distrib-coffee.ipsl.jussieu.fr/pub/linux/raspbian/raspbian buster/main armhf fail2ban all 0.10.2-2.1 [385 kB]
+    Réception de :1 http://ftp.igh.cnrs.fr/pub/os/linux/raspbian/raspbian buster/main armhf whois armhf 5.4.3 [68,6 kB]
+    Réception de :3 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf python3-pyinotify all 0.9.6-1 [26,9 kB]
+    Réception de :4 http://ftp.igh.cnrs.fr/pub/os/linux/raspbian/raspbian buster/main armhf python3-systemd armhf 234-2+b1 [34,1 kB]
+    514 ko réceptionnés en 2s (330 ko/s)       
+    Sélection du paquet whois précédemment désélectionné.
+    (Lecture de la base de données... 43868 fichiers et répertoires déjà installés.)
+    Préparation du dépaquetage de .../archives/whois_5.4.3_armhf.deb ...
+    Dépaquetage de whois (5.4.3) ...
+    Sélection du paquet fail2ban précédemment désélectionné.
+    Préparation du dépaquetage de .../fail2ban_0.10.2-2.1_all.deb ...
+    Dépaquetage de fail2ban (0.10.2-2.1) ...
+    Sélection du paquet python3-pyinotify précédemment désélectionné.
+    Préparation du dépaquetage de .../python3-pyinotify_0.9.6-1_all.deb ...
+    Dépaquetage de python3-pyinotify (0.9.6-1) ...
+    Sélection du paquet python3-systemd précédemment désélectionné.
+    Préparation du dépaquetage de .../python3-systemd_234-2+b1_armhf.deb ...
+    Dépaquetage de python3-systemd (234-2+b1) ...
+    Paramétrage de whois (5.4.3) ...
+    Paramétrage de fail2ban (0.10.2-2.1) ...
+    Created symlink /etc/systemd/system/multi-user.target.wants/fail2ban.service → /lib/systemd/system/fail2ban.service.
+    [fail2ban-tmpfiles.conf:1] Line references path below legacy directory /var/run/, updating /var/run/fail2ban → /run/fail2ban; please update the tm
+    pfiles.d/ drop-in file accordingly.
+    Paramétrage de python3-pyinotify (0.9.6-1) ...
+    Paramétrage de python3-systemd (234-2+b1) ...
+    Traitement des actions différées (« triggers ») pour man-db (2.8.5-2) ...
+    Traitement des actions différées (« triggers ») pour systemd (241-7~deb10u6+rpi1) ...
+    pi@raspberrypi:~ $
+
+## Paramétrage de fail2ban
+
+Dans un premier temps, rien n'est à configurer. L'installation de base configure la surveillance de **ssh** par défaut.
+
+Le fichier qui controle ce fonctionnement est /etc/fail2ban/jail.d/defaults-debian.conf
+
+Par défaut, il contient:
+
+    pi@raspberrypi:~ $ sudo cat /etc/fail2ban/jail.d/defaults-debian.conf 
+    [sshd]
+    enabled = true
+    pi@raspberrypi:~ $
+
+Nous rajouterons des ports à surveiller selon les services que nous installerons.

docs/Tutoriels/tutoraspi/Firewall.md

@@ -4,58 +4,29 @@ Il nous faut installer un pare-feux sur notre raspi pour éviter les intrusions.
 
 Nous allons limiter les machines susceptibles de se connecter à celles de notre réseau local, et également limiter les ports accessibles sur notre réseau.
 
-Nous allons utiliser NFTables et Firewalld.
+Nous allons utiliser IPtables et Firewalld.
 
-**Note**: je n'ai jamais utilisé ces programmes. Ce sera l'occasion de les découvrir!
+J'aurai préféré utiliser **nftables** qui est le successeur de **iptables**, mais j'ai eu quelques soucis à l'utilisation. Peut-être est-ce pour ça que la distribution RaspiOS a configuré **firewalld** avec **IPtables**...
+## Installation de IPtables
 
-## Installation de nftables
-
-    pi@piras:~ $ sudo apt install nftables
+IPtables est installé par défaut: rien à faire ici.
 
 ## Test
 
-    pi@piras:~ $ sudo nft list ruleset ip
-    table ip filter {
-        chain INPUT {
-            type filter hook input priority 0; policy accept;
-        }
-
-        chain FORWARD {
-            type filter hook forward priority 0; policy accept;
-        }
-
-        chain OUTPUT {
-            type filter hook output priority 0; policy accept;
-        }
-    }
-    pi@piras:~ $ 
-
-ça marche ...
+Si on tape: 
 
-## Installation de Firewalld
-
-    pi@piras:~ $ sudo apt install firewalld
-
-Test du fonctionnement:
-
-    pi@piras:~ $ sudo systemctl status firewalld
-    ● firewalld.service - firewalld - dynamic firewall daemon
-    Loaded: loaded (/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
-    Active: active (running) since Sat 2020-12-12 18:28:00 CET; 19min ago
-        Docs: man:firewalld(1)
-    Main PID: 3552 (firewalld)
-    CGroup: /system.slice/firewalld.service
-            └─3552 /usr/bin/python3 /usr/sbin/firewalld --nofork --nopid
+    pi@raspberrypi:~ $ sudo iptables -L
+    Chain INPUT (policy ACCEPT)
+    target     prot opt source               destination         
 
-    déc. 12 18:27:47 piras systemd[1]: Starting firewalld - dynamic firewall daemon...
-    déc. 12 18:28:00 piras systemd[1]: Started firewalld - dynamic firewall daemon.
-    pi@piras:~ $ sudo firewall-cmd --state
-    running
-    pi@piras:~ $ 
+    Chain FORWARD (policy ACCEPT)
+    target     prot opt source               destination         
 
-Tout marche.
+    Chain OUTPUT (policy ACCEPT)
+    target     prot opt source               destination         
+    pi@raspberrypi:~ $ 
 
-## Configuration de Firewalld
+On voit que c'est iptables qui a été chosi par RaspiOS.
 
 D'abord, il faut comprendre comment fonctionne Firewalld. Je me suis basé sur les sites suivants:
 
@@ -102,13 +73,9 @@ Ils ont situés à 2 endroits:
 * /usr/lib/firewalld/ : il ne faut pas toucher au contenu de ce répertoire
 * /etc/firewalld/: c'est là que nous mettrons notre configuration, en copiant les fichiers de /usr/lib/firewalld si besoin est.
 
-Dans le répertoire /etc/firewalld, le fichier firewalld.conf permet de configurer la zone par défaut, ainsi que le backtend à ipfilter.
+Dans le répertoire /etc/firewalld, le fichier firewalld.conf permet de configurer la zone par défaut, ainsi que le backtend (iptables, nftables et autre).
 
-Tout à la fin du fichier de configuration, le  FirewallBackend est mis à **iptables**. Comme nous utiliserons nftables, il faudra modifier cette option. Cela est explicite dans le fichier.
-
-    FirewallBackend=nftables
-
-La zone par défaut est **public**: pas de confiance, mais possibilité d'ajuster au cas par cas les règles.
+La zone par défaut est **public**: pas de confiance, mais possibilité d'ajuster au cas par cas les règles. Le seul accès auorisé est l'accès **ssh** et **dhcp**.
 
 ### Quelques commandes
 
@@ -207,7 +174,7 @@ Nous voyons que l'interface **eth0** a bien été attribuée à la zone **public
 
 ### Les services
 
-Il est possible de configurer les serviecs accessibles (ou pas) attribués à la zone active.
+Il est possible de configurer les services accessibles (ou pas) attribués à la zone active.
 
 Pour connaître les différents services disponibles, tapez la commande suivante:
 
@@ -217,7 +184,7 @@ Pour connaître les différents services disponibles, tapez la commande suivante
 
 Chaque détail des services est détaillé dans un fichier xml dans /usr/lib/firewalld.
 
-Voyons quels services sont acuellemnt activés sur notre raspi:
+Voyons quels services sont acuellement activés sur notre raspi:
 
     pi@piras:~ $ ss -t -u -l -a
     Netid          State           Recv-Q          Send-Q                     Local Address:Port                          Peer Address:Port           
@@ -385,232 +352,69 @@ Vérifions les règles établies:
 
 Les règles Iptables ont bien été configurées par Firewalld.
 
-Modifions le fichier de configuration pour l'utilisation de nftables (fichier /etc/firewalld/firewalld.conf, tout à la fin)
-
-Et rebootons notre raspi.
-
-* Test de iptables: les tables doivent être vides maintenant.
-
-        pi@piras:~ $ sudo iptables -L
-        Chain INPUT (policy ACCEPT)
-        target     prot opt source               destination
-
-        Chain FORWARD (policy ACCEPT)
-        target     prot opt source               destination
-
-        Chain OUTPUT (policy ACCEPT)
-        target     prot opt source               destination
-        pi@piras:~ $
-
-* Test de nftables: les tables doivent être configurées.
-
-        pi@piras:~ $ sudo nft list table filter
-        table ip filter {
-            chain INPUT {
-                type filter hook input priority 0; policy accept;
-            }
-
-            chain FORWARD {
-                type filter hook forward priority 0; policy accept;
-            }
-
-            chain OUTPUT {
-                type filter hook output priority 0; policy accept;
-            }
-        }
-        pi@piras:~ $ sudo firewall-cmd --list-all
-        public
-        target: default
-        icmp-block-inversion: no
-        interfaces:
-        sources:
-        services: dhcpv6-client ssh
-        ports:
-        protocols:
-        masquerade: no
-        forward-ports:
-        source-ports:
-        icmp-blocks:
-        rich rules:
-
-        pi@piras:~ $
-
-Nous voyons que rien n'a été conservé, et que les tables nftables sont vides ... ça marchait bien avec iptables ... peut-être est-ce pour ça qu'ils ont configuré le backend à iptables?
+Après reboot, nous voyons que rien n'a été conservé!
 
 Il va falloir investiguer ...
 
 Bien: voilà la procédure à suivre:
 
-1. sudo firewall-cmd --permanent --zone=public --change-interface=eth0
-
-    Permet de changer de façon permanente l'interface associée à la zone **public**.
-
-        Test:
-        pi@piras:~ $ sudo firewall-cmd --permanent --zone=public --change-interface=eth0
-        success
-        pi@piras:~ $ ls -l /etc/firewalld/
-        ls: impossible d'ouvrir le répertoire '/etc/firewalld/': Permission non accordée
-        pi@piras:~ $ sudo ls -l /etc/firewalld/
-        total 28
-        -rw-r--r-- 1 root root 2190 déc.  13 12:45 firewalld.conf
-        drwxr-xr-x 2 root root 4096 févr.  1  2019 helpers
-        drwxr-xr-x 2 root root 4096 févr.  1  2019 icmptypes
-        drwxr-xr-x 2 root root 4096 févr.  1  2019 ipsets
-        -rw-r--r-- 1 root root  272 févr.  1  2019 lockdown-whitelist.xml
-        drwxr-xr-x 2 root root 4096 févr.  1  2019 services
-        drwxr-xr-x 2 root root 4096 déc.  13 15:43 zones
-        pi@piras:~ $ sudo ls -l /etc/firewalld/zones
-        total 4
-        -rw-r--r-- 1 root root 342 déc.  13 15:43 public.xml
-        pi@piras:~ $ sudo cat /etc/firewalld/zones/public.xml
-        <?xml version="1.0" encoding="utf-8"?>
-        <zone>
-        <short>Public</short>
-        <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
-        <interface name="eth0"/>
-        <service name="ssh"/>
-        <service name="dhcpv6-client"/>
-        </zone>
-        pi@piras:~ $
-
-    Nous voyons que firewalld a créé des répertoires et un fichier dans le répertoire **zones** dont le contenu correspond à ce que nous avons demandé.
-
-    Le fichier a été créé, mais si on teste, on voit que l'option n'est pas active.
-
-        pi@piras:~ $ sudo firewall-cmd --get-active-zones
-        pi@piras:~ $ sudo firewall-cmd --list-all
-        public
-        target: default
-        icmp-block-inversion: no
-        interfaces: 
-        sources: 
-        services: dhcpv6-client ssh
-        ports: 
-        protocols: 
-        masquerade: no
-        forward-ports: 
-        source-ports: 
-        icmp-blocks: 
-        rich rules: 
-            
-        pi@piras:~ $
-
-2. sudo firewall-cmd --zone=public --change-interface=eth0
-
-    Permet de changer l'interface de la zone public d'une façon non-permanente.
-
-        pi@piras:~ $ sudo firewall-cmd --zone=public --change-interface=eth0
-        success
-        pi@piras:~ $ sudo firewall-cmd --list-all
-        public (active)
-        target: default
-        icmp-block-inversion: no
-        interfaces: eth0
-        sources: 
-        services: dhcpv6-client ssh
-        ports: 
-        protocols: 
-        masquerade: no
-        forward-ports: 
-        source-ports: 
-        icmp-blocks: 
-        rich rules: 
-            
-        pi@piras:~ $
-
-3. Test après reboot
-
-    Cette fois-ci, ça marche! (Yes!)
-
-        pi@piras:~ $ sudo firewall-cmd --list-all
-        public (active)
-        target: default
-        icmp-block-inversion: no
-        interfaces: eth0
-        sources: 
-        services: dhcpv6-client ssh
-        ports: 
-        protocols: 
-        masquerade: no
-        forward-ports: 
-        source-ports: 
-        icmp-blocks: 
-        rich rules: 
-            
-        pi@piras:~ $
-
-### Ajout d'un protocole
-
-Nous allons ajouter le service **http** à notre zone. Pour commencer, Ajoutons le serveur web **apache**.
-
-Tout d'abord, mise à jour du système, suppression des archives des paquets, installation de apache2 et reboot.
+sudo firewall-cmd **--permanent** --zone=public --change-interface=eth0
 
-    sudo apt update && sudo apt upgrade && sudo apt clean && sudo apt install apache2 && sudo systemctl reboot
+Permet de changer de façon **permanente** l'interface associée à la zone **public**.
 
-* Nous allons tester à partir du raspi le fonctionnement de apache:
-  
-        pi@piras:~ $ ps aux | grep apache
-        root       424  0.0  2.1   7284  3900 ?        Ss   17:18   0:00 /usr/sbin/apache2 -k start
-        www-data   426  0.0  2.0 230832  3712 ?        Sl   17:18   0:00 /usr/sbin/apache2 -k start
-        www-data   427  0.0  2.0 230832  3712 ?        Sl   17:18   0:00 /usr/sbin/apache2 -k start
-        pi         750  0.0  1.1   7352  2028 pts/0    S+   17:19   0:00 grep --color=auto apache
-        pi@piras:~ $ 
-
-    Apache tourne.
-
-        pi@piras:~ $ wget 127.0.0.1:80
-        --2020-12-13 17:21:01--  http://127.0.0.1/
-        Connexion à 127.0.0.1:80… connecté.
-        requête HTTP transmise, en attente de la réponse… 200 OK
-        Taille : 10701 (10K) [text/html]
-        Sauvegarde en : « index.html »
-
-        index.html                           100%[====================================================================>]  10,45K  --.-KB/s    ds 0,001s  
-
-        2020-12-13 17:21:01 (14,6 MB/s) — « index.html » sauvegardé [10701/10701]
-
-        pi@piras:~ $ 
-
-    On accède à la page d'accueil.
-
-* Puis essayer de se connecter à partir du desktop au raspi (en http):
-  
-        Firefox ne peut établir de connexion avec le serveur à l’adresse piras.yojik.net.
+    Test:
+    pi@piras:~ $ sudo firewall-cmd --permanent --zone=public --change-interface=eth0
+    success
 
-    Evidemment, on ne peut pas accéder au serveur http du raspi:
+    pi@piras:~ $ sudo cat /etc/firewalld/zones/public.xml
+    <?xml version="1.0" encoding="utf-8"?>
+    <zone>
+    <short>Public</short>
+    <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
+    <interface name="eth0"/>
+    <service name="ssh"/>
+    <service name="dhcpv6-client"/>
+    </zone>
+    pi@piras:~ $
 
-* Entrons les commandes qui permettent d'ouvrir les ports http et https en IPV4 et IPV6 et de rendre ces règles permanentes:
-  
-        pi@piras:~ $ sudo firewall-cmd --permanent --zone=public --add-service={http,https}
-        success
-        pi@piras:~ $
-        pi@piras:~ $ sudo firewall-cmd --zone=public --add-service={http,https}
-        success
-        pi@piras:~ $
+    Nous voyons que firewalld a créé des répertoires et un fichier dans le répertoire **zones** dont le contenu correspond à ce que nous avons demandé.
 
-    Vérifions que nos nouvelles règles ont bien été enregistrées.
+    pi@piras:~ $ sudo firewall-cmd --list-all
+    public (active)
+    target: default
+    icmp-block-inversion: no
+    interfaces: eth0
+    sources: 
+    services: dhcpv6-client ssh
+    ports: 
+    protocols: 
+    masquerade: no
+    forward-ports: 
+    source-ports: 
+    icmp-blocks: 
+    rich rules: 
+        
+    pi@piras:~ $
 
-        pi@piras:~ $ sudo firewall-cmd --list-all
-        public (active)
-        target: default
-        icmp-block-inversion: no
-        interfaces: eth0
-        sources: 
-        services: dhcpv6-client http https ssh
-        ports: 
-        protocols: 
-        masquerade: no
-        forward-ports: 
-        source-ports: 
-        icmp-blocks: 
-        rich rules: 
-            
-        pi@piras:~ $ 
+Test après reboot
 
-    Elles ont bien été prises en compte.
+Cette fois-ci, ça marche! (Yes!)
 
-* Testons à nouveau: cette fois-ci nous devrions pouvoir accéder au serveur apache à partir du desktop (machine cliente):
-  
-    La page d'accueil de Débian s'affiche (notez l'adresse du raspi comme on l'a configurée dans une étape précédente!)
+    pi@piras:~ $ sudo firewall-cmd --list-all
+    public (active)
+    target: default
+    icmp-block-inversion: no
+    interfaces: eth0
+    sources: 
+    services: dhcpv6-client ssh
+    ports: 
+    protocols: 
+    masquerade: no
+    forward-ports: 
+    source-ports: 
+    icmp-blocks: 
+    rich rules: 
+        
+    pi@piras:~ $
 
-    ![Page d'acceuil de Debian](Images/Capture d’écran de 2020-12-13 17-30-28.png)
+Nous verrons ensuite comment ajouter des règles suivant les services que nous voudrons déployer.

docs/Tutoriels/tutoraspi/Installation-courrier-basique.md

@@ -0,0 +1,274 @@
+# Installation d'un serveur de courrier basique
+
+Debian installe par défaut **exim4**. Nous allons le remplacer par postfix (que nous étendrons par la suite pour obtenir un serveur de mail complet)
+
+Il faut penser à ouvrir les ports 25 en IPV4 et IPV6 avec **firewalld**.
+
+## Installation
+
+    pi@raspberrypi:~ $ sudo apt install postfix
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances       
+    Lecture des informations d'état... Fait
+    Les paquets suivants ont été installés automatiquement et ne sont plus nécessaires :
+    libgnutls-dane0 libunbound8
+    Veuillez utiliser « sudo apt autoremove » pour les supprimer.
+    Les paquets supplémentaires suivants seront installés : 
+    ssl-cert
+    Paquets suggérés :
+    procmail postfix-mysql postfix-pgsql postfix-ldap postfix-pcre postfix-lmdb postfix-sqlite sasl2-bin | dovecot-common postfix-cdb ufw
+    postfix-doc openssl-blacklist
+    Les paquets suivants seront ENLEVÉS :
+    exim4-base exim4-config exim4-daemon-light
+    Les NOUVEAUX paquets suivants seront installés :
+    postfix ssl-cert
+    0 mis à jour, 2 nouvellement installés, 3 à enlever et 0 non mis à jour.
+    Il est nécessaire de prendre 1 423 ko dans les archives.
+    Après cette opération, 0 o d'espace disque supplémentaires seront utilisés.
+    Souhaitez-vous continuer ? [O/n] o
+    Réception de :1 http://ftp.igh.cnrs.fr/pub/os/linux/raspbian/raspbian buster/main armhf postfix armhf 3.4.14-0+deb10u1 [1 402 kB]
+    Réception de :2 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf ssl-cert all 1.0.39 [20,8 kB]
+    1 423 ko réceptionnés en 3s (524 ko/s)                          
+    Préconfiguration des paquets...
+    dpkg: exim4-daemon-light : problème de dépendance, mais suppression comme demandé :
+    logwatch dépend de default-mta | mail-transport-agent ; cependant :
+    Le paquet default-mta n'est pas installé.
+    Le paquet exim4-daemon-light qui fournit default-mta doit être supprimé.
+    Le paquet mail-transport-agent n'est pas installé.
+    Le paquet exim4-daemon-light qui fournit mail-transport-agent doit être supprimé.
+    logwatch dépend de default-mta | mail-transport-agent ; cependant :
+    Le paquet default-mta n'est pas installé.
+    Le paquet exim4-daemon-light qui fournit default-mta doit être supprimé.
+    Le paquet mail-transport-agent n'est pas installé.
+    Le paquet exim4-daemon-light qui fournit mail-transport-agent doit être supprimé.
+
+    (Lecture de la base de données... 46982 fichiers et répertoires déjà installés.)
+    Suppression de exim4-daemon-light (4.92-8+deb10u4) ...
+    dpkg: exim4-config : problème de dépendance, mais suppression comme demandé :
+    exim4-base dépend de exim4-config (>= 4.82) | exim4-config-2 ; cependant :
+    Le paquet exim4-config doit être supprimé.
+    Le paquet exim4-config-2 n'est pas installé.
+    Le paquet exim4-config qui fournit exim4-config-2 doit être supprimé.
+    exim4-base dépend de exim4-config (>= 4.82) | exim4-config-2 ; cependant :
+    Le paquet exim4-config doit être supprimé.
+    Le paquet exim4-config-2 n'est pas installé.
+    Le paquet exim4-config qui fournit exim4-config-2 doit être supprimé.
+
+    Suppression de exim4-config (4.92-8+deb10u4) ...
+    Sélection du paquet postfix précédemment désélectionné.
+    (Lecture de la base de données... 46922 fichiers et répertoires déjà installés.)
+    Préparation du dépaquetage de .../postfix_3.4.14-0+deb10u1_armhf.deb ...
+    Dépaquetage de postfix (3.4.14-0+deb10u1) ...
+    (Lecture de la base de données... 47112 fichiers et répertoires déjà installés.)
+    Suppression de exim4-base (4.92-8+deb10u4) ...
+    Sélection du paquet ssl-cert précédemment désélectionné.
+    (Lecture de la base de données... 47038 fichiers et répertoires déjà installés.)
+    Préparation du dépaquetage de .../ssl-cert_1.0.39_all.deb ...
+    Dépaquetage de ssl-cert (1.0.39) ...
+    Paramétrage de ssl-cert (1.0.39) ...
+    Paramétrage de postfix (3.4.14-0+deb10u1) ...
+    Ajout du groupe « postfix » (GID 118)...
+    Fait.
+    Ajout de l'utilisateur système « postfix » (UID 112) ...
+    Ajout du nouvel utilisateur « postfix » (UID 112) avec pour groupe d'appartenance « postfix » ...
+    Le répertoire personnel « /var/spool/postfix » n'a pas été créé.
+    Creating /etc/postfix/dynamicmaps.cf
+    Ajout du groupe « postdrop » (GID 119)...
+    Fait.
+    setting myhostname: raspberrypi
+    setting alias maps
+    setting alias database
+    changing /etc/mailname to yojik.net
+    setting myorigin
+    setting destinations: $myhostname, yojik.net, raspberrypi, localhost.localdomain, localhost
+    setting relayhost: 
+    setting mynetworks: 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
+    setting mailbox_size_limit: 0
+    setting recipient_delimiter: +
+    setting inet_interfaces: all
+    setting inet_protocols: all
+    WARNING: /etc/aliases exists, but does not have a root alias.
+
+    Postfix (main.cf) is now set up with a default configuration.  If you need to 
+    make changes, edit /etc/postfix/main.cf (and others) as needed.  To view 
+    Postfix configuration values, see postconf(1).
+
+    After modifying main.cf, be sure to run 'service postfix reload'.
+
+    Running newaliases
+    Created symlink /etc/systemd/system/multi-user.target.wants/postfix.service → /lib/systemd/system/postfix.service.
+    Traitement des actions différées (« triggers ») pour systemd (241-7~deb10u6+rpi1) ...
+    Traitement des actions différées (« triggers ») pour man-db (2.8.5-2) ...
+    Traitement des actions différées (« triggers ») pour rsyslog (8.1901.0-1) ...
+    pi@raspberrypi:~ $ 
+
+## Suppression complète de **exim4**
+
+On supprime complètement **exim4**, fichiers de configuration inclus.
+
+    pi@raspberrypi:~ $ sudo apt remove --purge exim4*
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances       
+    Lecture des informations d'état... Fait
+    Note : sélection de exim4-base pour l'expression rationnelle « exim4* »
+    Note : sélection de exim4-config-2 pour l'expression rationnelle « exim4* »
+    Note : sélection de exim4-doc-info pour l'expression rationnelle « exim4* »
+    Note : sélection de exim4-daemon-light pour l'expression rationnelle « exim4* »
+    Note : sélection de exim4-daemon-heavy pour l'expression rationnelle « exim4* »
+    Note : sélection de exim4-daemon-custom pour l'expression rationnelle « exim4* »
+    Note : sélection de exim4-config pour l'expression rationnelle « exim4* »
+    Note : sélection de exim4-doc-html pour l'expression rationnelle « exim4* »
+    Note : sélection de exim4-localscanapi-2.0 pour l'expression rationnelle « exim4* »
+    Note : sélection de exim4-dev pour l'expression rationnelle « exim4* »
+    Note : sélection de exim4 pour l'expression rationnelle « exim4* »
+    Le paquet « exim4-daemon-custom » n'est pas installé, et ne peut donc être supprimé
+    Note : sélection de « exim4-config » au lieu de « exim4-config-2 »
+    Le paquet « exim4 » n'est pas installé, et ne peut donc être supprimé
+    Le paquet « exim4-daemon-heavy » n'est pas installé, et ne peut donc être supprimé
+    Le paquet « exim4-dev » n'est pas installé, et ne peut donc être supprimé
+    Le paquet « exim4-doc-html » n'est pas installé, et ne peut donc être supprimé
+    Le paquet « exim4-doc-info » n'est pas installé, et ne peut donc être supprimé
+    Les paquets suivants ont été installés automatiquement et ne sont plus nécessaires :
+    libgnutls-dane0 libunbound8
+    Veuillez utiliser « sudo apt autoremove » pour les supprimer.
+    Les paquets suivants seront ENLEVÉS :
+    exim4-base* exim4-config* exim4-daemon-light*
+    0 mis à jour, 0 nouvellement installés, 3 à enlever et 0 non mis à jour.
+    Après cette opération, 0 o d'espace disque supplémentaires seront utilisés.
+    Souhaitez-vous continuer ? [O/n] o
+    (Lecture de la base de données... 47047 fichiers et répertoires déjà installés.)
+    Purge des fichiers de configuration de exim4-base (4.92-8+deb10u4) ...
+    Purge des fichiers de configuration de exim4-config (4.92-8+deb10u4) ...
+    dpkg-statoverride: avertissement: pas de dérogation (« override ») présente
+    Purge des fichiers de configuration de exim4-daemon-light (4.92-8+deb10u4) ...
+    Traitement des actions différées (« triggers ») pour systemd (241-7~deb10u6+rpi1) ...
+    pi@raspberrypi:~ $ 
+
+## Configuration basique
+
+## Ouverture des ports 25
+
+## Installation des utilitaire courriers
+
+    pi@raspberrypi:~ $ sudo apt install mailutils
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances       
+    Lecture des informations d'état... Fait
+    mailutils est déjà la version la plus récente (1:3.5-4).
+    mailutils passé en « installé manuellement ».
+    Les paquets suivants ont été installés automatiquement et ne sont plus nécessaires :
+    libgnutls-dane0 libunbound8
+    Veuillez utiliser « sudo apt autoremove » pour les supprimer.
+    0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
+    pi@raspberrypi:~ $ 
+
+Ils étaient déjà installés.
+
+## Test d'envoi de courriers entre comptes internes.
+
+* pi-> root
+
+    Les commandes suivantes permettent de 
+
+    * envoyer un message à **root**(Essai 1)
+  
+            pi@raspberrypi:~ $ mail root
+            Cc: 
+            Subject: Essai1
+            Essai 1
+            .
+            pi@raspberrypi:~ $
+        
+    * passer **root**
+      
+            pi@raspberrypi:~ $ sudo /bin/bash
+            root@raspberrypi:/home/pi#
+            
+    * lancer **mutt**
+        
+            root@raspberrypi:/home/pi# mutt
+            1 gardé(s), 0 effacé(s).
+            root@raspberrypi:/home/pi#
+
+        ![image de mutt](../../Images/tutoraspi/Capture%20d’écran%20de%202021-02-14%2019-11-39.png)
+
+* root -> pi
+
+        root@raspberrypi:/home/pi# mail pi
+        Cc: 
+        Subject: Essai 2
+        .
+        root@raspberrypi:/home/pi# exit
+        Vous avez du nouveau courrier dans /var/mail/pi
+        pi@raspberrypi:~ $ mutt
+        3 gardé(s), 0 effacé(s).
+        pi@raspberrypi:~ $ 
+
+    Nous avions 2 messages avant: le nouveau message est bien arrivé!
+
+## Configuration de **postfix**
+
+Il nous faut configurer **postfix** pour permettre l'envoi de courriers à l'extérieur et en recevoir de l'extérieur.
+
+Pour cela, il nous faut modifier le fichier **/etc/postfix/main.cf**
+
+Modifiez la ligne **mydestination** pour qu'elle ressemble à ce qui suit
+
+> mydestination = $myhostname, yojik.net, atom.yojik.net, localhost.yojik.net, localhost
+
+et relancez **postfix** avec la commande suivante:
+
+> sudo service postfix restart
+
+### Courriers sortants
+
+Envoi d'un message sur mon compte de messagerie gmail (oui, un envoi sur mon compte normal ne fonctionne pas dû à sa configuration):
+
+    pi@piras:~$ echo "Et voilà un petit message" | mail -s "test du courrier sortant" ericounet26200@gmail.com
+
+Le message est bien reçu et dans les spams, bien entendu (pas de dkim, spf, dnnssec etc .)
+
+### Courriers entrants
+
+Envoi d'un message à partir de mon adresse de courrier normale:
+
+Message bien reçu (après mise à jour de mon serveur DNS).
+
+![Mutt](../../Images/tutoraspi/Capture%20d’écran%20de%202021-02-15%2004-59-28.png)
+
+## Amélioration de la gestion du courrier
+
+Nous allons transférer les mails destinés à **root** vers l'utilisateur **pi**. Ainsi que d'autres adresses de courrier standards. Pour cela, nous allons modifier le fichier **/etc/aliases**, le compiler pour être digeste par **postfix** et relancer **postfix**.
+
+Ce fichier sert à rediriger toutes les adresses émail comme **abuse**, **webmaster**, **root** vers un utilisateur **administrateur** de la machine, root puis vers moi **ericadmin**
+
+    # /etc/aliases
+    mailer-daemon: postmaster
+    postmaster: root
+    nobody: root
+    hostmaster: root
+    usenet: root
+    news: root
+    webmaster: root
+    www: root
+    ftp: root
+    abuse: root
+    noc: root
+    security: root
+    root: pi
+
+Il faut lancer la commande **newaliases** pour générer le fichier.db utile à Postfix et on demande à Postfix de recharger ses fichiers.
+
+    pi@piras:~ $ sudo newaliases
+    pi@piras:~ $ 
+
+On relance **postfix**:
+
+    pi@piras:~ $ sudo systemctl restart postfix
+    pi@piras:~ $
+
+Et on teste (envoi d'un courrier à root@piras.yojik.net)
+
+![Transfert](../../Images/tutoraspi/Capture%20d’écran%20de%202021-02-15%2005-07-49.png)
+
+Et voilà, notre serveur de courrier est fonctionnel.

docs/Tutoriels/tutoraspi/Knot.md

@@ -84,4 +84,4 @@ pour obtenir ceci:
 
     static domain_name_servers=127.0.0.1 ::1
 
-Notre raspi fera appel à son propre résolveur DNS (et non à celui de votre box!)
+Notre raspi fera appel dorénavant à son propre résolveur DNS (et non à celui de votre box!)

docs/Tutoriels/tutoraspi/Logwatch.md

@@ -1,2 +1,226 @@
 # Installation de logwatch
 
+Nous allons installer logwatch qui nous enverra chaque jour un rapport de surveillance des services surveillés.
+
+La configuration se fait dans **/usr/share/logwatch/default.conf/logwatch.conf**
+
+## Installation
+
+    pi@raspberrypi:~ $ sudo apt install logwatch
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances       
+    Lecture des informations d'état... Fait
+    Les paquets supplémentaires suivants seront installés : 
+    exim4-base exim4-config exim4-daemon-light guile-2.2-libs libdate-manip-perl libgnutls-dane0 libgsasl7 libkyotocabinet16v5 libltdl7 liblzo2-2
+    libmailutils5 libmariadb3 libntlm0 libpython2.7 libsys-cpu-perl libsys-meminfo-perl libunbound8 mailutils mailutils-common mariadb-common
+    mysql-common
+    Paquets suggérés :
+    exim4-doc-html | exim4-doc-info eximon4 spf-tools-perl swaks mailutils-mh mailutils-doc
+    Les NOUVEAUX paquets suivants seront installés :
+    exim4-base exim4-config exim4-daemon-light guile-2.2-libs libdate-manip-perl libgnutls-dane0 libgsasl7 libkyotocabinet16v5 libltdl7 liblzo2-2
+    libmailutils5 libmariadb3 libntlm0 libpython2.7 libsys-cpu-perl libsys-meminfo-perl libunbound8 logwatch mailutils mailutils-common
+    mariadb-common mysql-common
+    0 mis à jour, 22 nouvellement installés, 0 à enlever et 0 non mis à jour.
+    Il est nécessaire de prendre 13,0 Mo dans les archives.
+    Après cette opération, 72,1 Mo d'espace disque supplémentaires seront utilisés.
+    Souhaitez-vous continuer ? [O/n] o
+    Réception de :1 http://distrib-coffee.ipsl.jussieu.fr/pub/linux/raspbian/raspbian buster/main armhf exim4-config all 4.92-8+deb10u4 [323 kB]
+    Réception de :4 http://distrib-coffee.ipsl.jussieu.fr/pub/linux/raspbian/raspbian buster/main armhf libgnutls-dane0 armhf 3.6.7-4+deb10u6 [315 kB]
+    Réception de :2 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf exim4-base armhf 4.92-8+deb10u4 [1 132 kB]
+    Réception de :3 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf libunbound8 armhf 1.9.0-2+deb10u2 [403 kB]                       
+    Réception de :7 http://ftp.igh.cnrs.fr/pub/os/linux/raspbian/raspbian buster/main armhf guile-2.2-libs armhf 2.2.4+1-2+deb10u1 [4 918 kB]
+    Réception de :5 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf exim4-daemon-light armhf 4.92-8+deb10u4 [492 kB]
+    Réception de :6 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf libltdl7 armhf 2.4.6-9 [387 kB]         
+    Réception de :20 http://distrib-coffee.ipsl.jussieu.fr/pub/linux/raspbian/raspbian buster/main armhf libsys-meminfo-perl armhf 0.99-1+b2 [9 564 B]
+    Réception de :8 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf libdate-manip-perl all 6.76-1 [930 kB]                           
+    Réception de :21 http://distrib-coffee.ipsl.jussieu.fr/pub/linux/raspbian/raspbian buster/main armhf logwatch all 7.5.0-1 [380 kB]
+    Réception de :22 http://distrib-coffee.ipsl.jussieu.fr/pub/linux/raspbian/raspbian buster/main armhf mailutils armhf 1:3.5-4 [566 kB]            
+    Réception de :9 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf libntlm0 armhf 1.5-1+deb10u1 [21,6 kB]
+    Réception de :10 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf libgsasl7 armhf 1.8.0-8+b1 [196 kB]
+    Réception de :11 http://ftp.crifo.org/raspbian/raspbian buster/main armhf liblzo2-2 armhf 2.10-0.1 [48,4 kB]                                     
+    Réception de :14 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf mysql-common all 5.8+1.0.5 [7 324 B]                            
+    Réception de :15 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf mariadb-common all 1:10.3.27-0+deb10u1 [32,2 kB]                
+    Réception de :16 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf libmariadb3 armhf 1:10.3.27-0+deb10u1 [158 kB]                  
+    Réception de :17 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf libpython2.7 armhf 2.7.16-2+deb10u1 [873 kB]                    
+    Réception de :19 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf libsys-cpu-perl armhf 0.61-2+b3 [9 332 B]                       
+    Réception de :12 http://ftp.igh.cnrs.fr/pub/os/linux/raspbian/raspbian buster/main armhf libkyotocabinet16v5 armhf 1.2.76-4.2+rpi1 [280 kB]      
+    Réception de :13 http://ftp.igh.cnrs.fr/pub/os/linux/raspbian/raspbian buster/main armhf mailutils-common all 1:3.5-4 [689 kB]                   
+    Réception de :18 http://ftp.igh.cnrs.fr/pub/os/linux/raspbian/raspbian buster/main armhf libmailutils5 armhf 1:3.5-4 [809 kB]                    
+    13,0 Mo réceptionnés en 11s (1 139 ko/s)                                                                                                         
+    Préconfiguration des paquets...
+    Sélection du paquet exim4-config précédemment désélectionné.
+    (Lecture de la base de données... 44347 fichiers et répertoires déjà installés.)
+    Préparation du dépaquetage de .../00-exim4-config_4.92-8+deb10u4_all.deb ...
+    Dépaquetage de exim4-config (4.92-8+deb10u4) ...
+    Sélection du paquet exim4-base précédemment désélectionné.
+    Préparation du dépaquetage de .../01-exim4-base_4.92-8+deb10u4_armhf.deb ...
+    Dépaquetage de exim4-base (4.92-8+deb10u4) ...
+    Sélection du paquet libunbound8:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../02-libunbound8_1.9.0-2+deb10u2_armhf.deb ...
+    Dépaquetage de libunbound8:armhf (1.9.0-2+deb10u2) ...
+    Sélection du paquet libgnutls-dane0:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../03-libgnutls-dane0_3.6.7-4+deb10u6_armhf.deb ...
+    Dépaquetage de libgnutls-dane0:armhf (3.6.7-4+deb10u6) ...
+    Sélection du paquet exim4-daemon-light précédemment désélectionné.
+    Préparation du dépaquetage de .../04-exim4-daemon-light_4.92-8+deb10u4_armhf.deb ...
+    Dépaquetage de exim4-daemon-light (4.92-8+deb10u4) ...
+    Sélection du paquet libltdl7:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../05-libltdl7_2.4.6-9_armhf.deb ...
+    Dépaquetage de libltdl7:armhf (2.4.6-9) ...
+    Sélection du paquet guile-2.2-libs:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../06-guile-2.2-libs_2.2.4+1-2+deb10u1_armhf.deb ...
+    Dépaquetage de guile-2.2-libs:armhf (2.2.4+1-2+deb10u1) ...
+    Sélection du paquet libdate-manip-perl précédemment désélectionné.
+    Préparation du dépaquetage de .../07-libdate-manip-perl_6.76-1_all.deb ...
+    Dépaquetage de libdate-manip-perl (6.76-1) ...
+    Sélection du paquet libntlm0:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../08-libntlm0_1.5-1+deb10u1_armhf.deb ...
+    Dépaquetage de libntlm0:armhf (1.5-1+deb10u1) ...
+    Sélection du paquet libgsasl7 précédemment désélectionné.
+    Préparation du dépaquetage de .../09-libgsasl7_1.8.0-8+b1_armhf.deb ...
+    Dépaquetage de libgsasl7 (1.8.0-8+b1) ...
+    Sélection du paquet liblzo2-2:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../10-liblzo2-2_2.10-0.1_armhf.deb ...
+    Dépaquetage de liblzo2-2:armhf (2.10-0.1) ...
+    Sélection du paquet libkyotocabinet16v5:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../11-libkyotocabinet16v5_1.2.76-4.2+rpi1_armhf.deb ...
+    Dépaquetage de libkyotocabinet16v5:armhf (1.2.76-4.2+rpi1) ...
+    Sélection du paquet mailutils-common précédemment désélectionné.
+    Préparation du dépaquetage de .../12-mailutils-common_1%3a3.5-4_all.deb ...
+    Dépaquetage de mailutils-common (1:3.5-4) ...
+    Sélection du paquet mysql-common précédemment désélectionné.
+    Préparation du dépaquetage de .../13-mysql-common_5.8+1.0.5_all.deb ...
+    Dépaquetage de mysql-common (5.8+1.0.5) ...
+    Sélection du paquet mariadb-common précédemment désélectionné.
+    Préparation du dépaquetage de .../14-mariadb-common_1%3a10.3.27-0+deb10u1_all.deb ...
+    Dépaquetage de mariadb-common (1:10.3.27-0+deb10u1) ...
+    Sélection du paquet libmariadb3:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../15-libmariadb3_1%3a10.3.27-0+deb10u1_armhf.deb ...
+    Dépaquetage de libmariadb3:armhf (1:10.3.27-0+deb10u1) ...
+    Sélection du paquet libpython2.7:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../16-libpython2.7_2.7.16-2+deb10u1_armhf.deb ...
+    Dépaquetage de libpython2.7:armhf (2.7.16-2+deb10u1) ...
+    Sélection du paquet libmailutils5:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../17-libmailutils5_1%3a3.5-4_armhf.deb ...
+    Dépaquetage de libmailutils5:armhf (1:3.5-4) ...
+    Sélection du paquet libsys-cpu-perl précédemment désélectionné.
+    Préparation du dépaquetage de .../18-libsys-cpu-perl_0.61-2+b3_armhf.deb ...
+    Dépaquetage de libsys-cpu-perl (0.61-2+b3) ...
+    Sélection du paquet libsys-meminfo-perl précédemment désélectionné.
+    Préparation du dépaquetage de .../19-libsys-meminfo-perl_0.99-1+b2_armhf.deb ...
+    Dépaquetage de libsys-meminfo-perl (0.99-1+b2) ...
+    Sélection du paquet logwatch précédemment désélectionné.
+    Préparation du dépaquetage de .../20-logwatch_7.5.0-1_all.deb ...
+    Dépaquetage de logwatch (7.5.0-1) ...
+    Sélection du paquet mailutils précédemment désélectionné.
+    Préparation du dépaquetage de .../21-mailutils_1%3a3.5-4_armhf.deb ...
+    Dépaquetage de mailutils (1:3.5-4) ...
+    Paramétrage de mysql-common (5.8+1.0.5) ...
+    update-alternatives: utilisation de « /etc/mysql/my.cnf.fallback » pour fournir « /etc/mysql/my.cnf » (my.cnf) en mode automatique
+    Paramétrage de libpython2.7:armhf (2.7.16-2+deb10u1) ...
+    Paramétrage de libsys-cpu-perl (0.61-2+b3) ...
+    Paramétrage de liblzo2-2:armhf (2.10-0.1) ...
+    Paramétrage de mariadb-common (1:10.3.27-0+deb10u1) ...
+    update-alternatives: utilisation de « /etc/mysql/mariadb.cnf » pour fournir « /etc/mysql/my.cnf » (my.cnf) en mode automatique
+    Paramétrage de libunbound8:armhf (1.9.0-2+deb10u2) ...
+    Paramétrage de libntlm0:armhf (1.5-1+deb10u1) ...
+    Paramétrage de mailutils-common (1:3.5-4) ...
+    Paramétrage de libmariadb3:armhf (1:10.3.27-0+deb10u1) ...
+    Paramétrage de libltdl7:armhf (2.4.6-9) ...
+    Paramétrage de exim4-config (4.92-8+deb10u4) ...
+    Adding system-user for exim (v4)
+    Paramétrage de libsys-meminfo-perl (0.99-1+b2) ...
+    Paramétrage de guile-2.2-libs:armhf (2.2.4+1-2+deb10u1) ...
+    Paramétrage de libdate-manip-perl (6.76-1) ...
+    Paramétrage de libgnutls-dane0:armhf (3.6.7-4+deb10u6) ...
+    Paramétrage de exim4-base (4.92-8+deb10u4) ...
+    exim: DB upgrade, deleting hints-db
+    Paramétrage de libkyotocabinet16v5:armhf (1.2.76-4.2+rpi1) ...
+    Paramétrage de libgsasl7 (1.8.0-8+b1) ...
+    Paramétrage de exim4-daemon-light (4.92-8+deb10u4) ...
+    Initializing GnuTLS DH parameter file
+    Paramétrage de libmailutils5:armhf (1:3.5-4) ...
+    Paramétrage de logwatch (7.5.0-1) ...
+    Paramétrage de mailutils (1:3.5-4) ...
+    update-alternatives: utilisation de « /usr/bin/frm.mailutils » pour fournir « /usr/bin/frm » (frm) en mode automatique
+    update-alternatives: utilisation de « /usr/bin/from.mailutils » pour fournir « /usr/bin/from » (from) en mode automatique
+    update-alternatives: utilisation de « /usr/bin/messages.mailutils » pour fournir « /usr/bin/messages » (messages) en mode automatique
+    update-alternatives: utilisation de « /usr/bin/movemail.mailutils » pour fournir « /usr/bin/movemail » (movemail) en mode automatique
+    update-alternatives: utilisation de « /usr/bin/readmsg.mailutils » pour fournir « /usr/bin/readmsg » (readmsg) en mode automatique
+    update-alternatives: utilisation de « /usr/bin/dotlock.mailutils » pour fournir « /usr/bin/dotlock » (dotlock) en mode automatique
+    update-alternatives: utilisation de « /usr/bin/mail.mailutils » pour fournir « /usr/bin/mailx » (mailx) en mode automatique
+    Traitement des actions différées (« triggers ») pour systemd (241-7~deb10u6+rpi1) ...
+    Traitement des actions différées (« triggers ») pour man-db (2.8.5-2) ...
+    Traitement des actions différées (« triggers ») pour libc-bin (2.28-10+rpi1) ...
+    pi@raspberrypi:~ $ 
+
+
+
+## Premières configurations
+
+Il faut modifier les lignes suivantes:
+
+MailTo = root   -> Mailto = pi
+Range = yesterday -> Range = all
+
+J'ai laissé la deuxième ligne à yesterday pour limiter la taille du rapport.
+
+## Premiers tests
+
+Nous utiliserons l'utlisateur local destinataire **pi**. Le logiciel de courrier installé n'est pas configuré pour envoyer des mails à l'extérieur.
+
+logwatch --detail Low --mailto pi --service All --range today
+
+Pour lire les courriers, nous installerons **mutt**.
+
+### Installation de **mutt**
+
+    pi@raspberrypi:~ $ sudo apt install mutt
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances       
+    Lecture des informations d'état... Fait
+    Les paquets supplémentaires suivants seront installés : 
+    libgpgme11 libsasl2-modules libtokyocabinet9
+    Paquets suggérés :
+    libsasl2-modules-gssapi-mit | libsasl2-modules-gssapi-heimdal libsasl2-modules-ldap libsasl2-modules-otp libsasl2-modules-sql urlview aspell
+    | ispell mixmaster
+    Les NOUVEAUX paquets suivants seront installés :
+    libgpgme11 libsasl2-modules libtokyocabinet9 mutt
+    0 mis à jour, 4 nouvellement installés, 0 à enlever et 0 non mis à jour.
+    Il est nécessaire de prendre 2 121 ko dans les archives.
+    Après cette opération, 7 626 ko d'espace disque supplémentaires seront utilisés.
+    Souhaitez-vous continuer ? [O/n] o
+    Réception de :1 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf libgpgme11 armhf 1.12.0-6 [230 kB]
+    Réception de :3 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf libtokyocabinet9 armhf 1.4.48-12 [311 kB]
+    Réception de :2 http://ftp.igh.cnrs.fr/pub/os/linux/raspbian/raspbian buster/main armhf libsasl2-modules armhf 2.1.27+dfsg-1+deb10u1 [96,3 kB]
+    Réception de :4 http://mirrors.ircam.fr/pub/raspbian/raspbian buster/main armhf mutt armhf 1.10.1-2.1+deb10u5 [1 484 kB]
+    2 121 ko réceptionnés en 3s (803 ko/s)
+    Sélection du paquet libgpgme11:armhf précédemment désélectionné.
+    (Lecture de la base de données... 46838 fichiers et répertoires déjà installés.)
+    Préparation du dépaquetage de .../libgpgme11_1.12.0-6_armhf.deb ...
+    Dépaquetage de libgpgme11:armhf (1.12.0-6) ...
+    Sélection du paquet libsasl2-modules:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../libsasl2-modules_2.1.27+dfsg-1+deb10u1_armhf.deb ...
+    Dépaquetage de libsasl2-modules:armhf (2.1.27+dfsg-1+deb10u1) ...
+    Sélection du paquet libtokyocabinet9:armhf précédemment désélectionné.
+    Préparation du dépaquetage de .../libtokyocabinet9_1.4.48-12_armhf.deb ...
+    Dépaquetage de libtokyocabinet9:armhf (1.4.48-12) ...
+    Sélection du paquet mutt précédemment désélectionné.
+    Préparation du dépaquetage de .../mutt_1.10.1-2.1+deb10u5_armhf.deb ...
+    Dépaquetage de mutt (1.10.1-2.1+deb10u5) ...
+    Paramétrage de libtokyocabinet9:armhf (1.4.48-12) ...
+    Paramétrage de libsasl2-modules:armhf (2.1.27+dfsg-1+deb10u1) ...
+    Paramétrage de libgpgme11:armhf (1.12.0-6) ...
+    Paramétrage de mutt (1.10.1-2.1+deb10u5) ...
+    Traitement des actions différées (« triggers ») pour man-db (2.8.5-2) ...
+    Traitement des actions différées (« triggers ») pour mime-support (3.62) ...
+    Traitement des actions différées (« triggers ») pour libc-bin (2.28-10+rpi1) ...
+    pi@raspberrypi:~ $ 
+
+### Test de lecture du courrier
+
+![Mutt en fonctionnement](../../Images/tutoraspi/Capture%20d’écran%20de%202021-02-14%2018-48-58.png)
+
+Nous voyons le premier courrier qui indique que **exim4** n'a pas pu envoyer un message à l'extérieur (j'avais mis mon adresse email normale dans la ligne de commande), et le second qui est bien le rapport de **logwatch**.
+
+![Mutt en fonctionnement](../../Images/tutoraspi/Capture%20d’écran%20de%202021-02-14%2018-52-24.png)

docs/Tutoriels/tutoraspi/Pare-feux.md

@@ -1,2 +0,0 @@
-# Installation d'un pare-feux
-

docs/Tutoriels/tutoraspi/Premier-démarrage.md

@@ -148,5 +148,28 @@ et configurez le clavier, la langue, l'extension des partitions à tout l'espace
 
 Rdémarrez votre Raspi.
 
-Cela a été traité sur de nombreux tutoriels et je ne vais pas répêter les instructions.
-Voyez les tutoriaux sur la sections tutoriaux du site [RaspberryPi.org](https://raspberrypi.org).
+Au prochain rédamarrage, faites une mis à jour générale de votre système avec la commande suivante qui redémarrera votre raspi à la fin des opérations:
+
+    pi@raspberrypi:~ $ sudo apt update && sudo apt upgrade && sudo systemctl reboot
+    Réception de :1 http://raspbian.raspberrypi.org/raspbian buster InRelease [15,0 kB]
+    Atteint :2 http://archive.raspberrypi.org/debian buster InRelease                                      
+    Réception de :3 http://packages.microsoft.com/repos/code stable InRelease [10,4 kB]                    
+    Réception de :4 http://raspbian.raspberrypi.org/raspbian buster/main armhf Packages [13,0 MB]
+    Réception de :5 http://packages.microsoft.com/repos/code stable/main armhf Packages [13,6 kB]                                                    
+    Réception de :6 http://packages.microsoft.com/repos/code stable/main arm64 Packages [13,6 kB]                                                    
+    Réception de :7 http://packages.microsoft.com/repos/code stable/main amd64 Packages [13,0 kB]                                                    
+    13,1 Mo réceptionnés en 38s (340 ko/s)                                                                                                           
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances       
+    Lecture des informations d'état... Fait
+    Tous les paquets sont à jour.
+    Lecture des listes de paquets... Fait
+    Construction de l'arbre des dépendances       
+    Lecture des informations d'état... Fait
+    Calcul de la mise à jour... Fait
+    0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
+    pi@raspberrypi:~ $    
+
+Vous trouverez ces instructions sur de nombreux tutoriels et je ne vais pas les répêter.
+
+Voyez les tutoriaux sur la sections tutoriaux du site [RaspberryPi.org](https://raspberrypi.org) par exemple, mais il y en a d'autres.

docs/Tutoriels/tutoraspi/Réseau.md

@@ -19,4 +19,28 @@ Une fois les modifications dans le fichier **/etc/dhcpcd.conf** faites, vous pou
 
 Test:
 
-Les adresses IP de votre serveur doivent correspondre à ce que vous avez entré dans le fichier.
+    pi@raspberrypi:~ $ ip a
+    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
+        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
+        inet 127.0.0.1/8 scope host lo
+        valid_lft forever preferred_lft forever
+        inet6 ::1/128 scope host 
+        valid_lft forever preferred_lft forever
+    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
+        link/ether b8:27:eb:3a:0b:38 brd ff:ff:ff:ff:ff:ff
+        inet 192.168.111.170/24 brd 192.168.111.255 scope global noprefixroute eth0
+        valid_lft forever preferred_lft forever
+        inet6 2a01:e0a:d0:3c20:a23:93ca:de95:e15b/64 scope global dynamic mngtmpaddr noprefixroute 
+        valid_lft 86388sec preferred_lft 86388sec
+        inet6 2a01:e0a:d0:3c20::170/64 scope global noprefixroute 
+        valid_lft forever preferred_lft forever
+        inet6 fe80::74c8:34d:25f2:3b43/64 scope link 
+        valid_lft forever preferred_lft forever
+    pi@raspberrypi:~ $ 
+
+Les adresses IP de votre serveur doivent correspondre à ce que vous avez entré dans le fichier. On a bien:
+
+* inet 192.168.111.170/24
+* inet6 2a01:e0a:d0:3c20::170/64
+
+C'est tout bon!

docs/Tutoriels/tutoraspi/Sécurisation-SSH.md

@@ -1,6 +1,6 @@
 # Sécurisation SSH
 
-Je vais baser cette partie sur plusieurs turoriels auquels vous voudrez bien vous référer pour avoir des explications plus poussées que celles que je vais donner.
+Je vais baser cette partie sur plusieurs tutoriels auquels vous voudrez bien vous référer pour avoir des explications plus poussées que celles que je vais donner.
 
 ## Réferences
 
@@ -57,7 +57,7 @@ Nous utiliserons la commande:
     sh-keygen -o -a 100 -t ed25519 -f ~/.ssh/piras_ed25519 -C "clef SSH de l'utilisateur pi du Raspi"
 
 * -o :  Sauvegarde votre clé dans le nouveau format openssh au lieu de l’ancien format PEM
-* -C : insertion d'un commentaire.
+* -C : insertion d'un commentaire (ce que vous voulez, votre adresse émail ...).
 * -f : nom du fichier à produire
 * -a : le nombre de tours de la clef de dérivation (plus il est élévé, plus il est difficile de la craquer en force brute, mais aussi plus c'est lent)  
 
@@ -124,7 +124,7 @@ C'est bon, elle est là!
 
 ### Essai de connexion avec notre nouvelle clef
 
-    eric@aldebaran:~$ ssh -i ~/.ssh/piras_ed25519.pub 'pi@192.168.111.32'
+    eric@aldebaran:~$ ssh -i ~/.ssh/piras_ed25519 'pi@192.168.111.32'
     Linux piras 5.4.51+ #1333 Mon Aug 10 16:38:02 BST 2020 armv6l
 
     The programs included with the Debian GNU/Linux system are free software;
@@ -154,7 +154,7 @@ Le schéma à utiliser est le suivant:
 
     Host adara adara.yojik.eu
         HostName adara.yojik.eu
-        IdentityFile ~/.ssh/id_rsa.pub
+        IdentityFile ~/.ssh/id_rsa
         User ericadmin
 
     eric@aldebaran:~$ 
@@ -262,7 +262,7 @@ Modification de ./.ssh/config:
 
     Host adara adara.yojik.eu
         HostName adara.yojik.eu
-        IdentityFile ~/.ssh/id_rsa.pub
+        IdentityFile ~/.ssh/id_rsa
         User ericadmin
 
     eric@aldebaran:~$ 
@@ -296,19 +296,17 @@ Nous allons modifier ce fichier pour plus de sécurité:
 * suppression du support des protocoles non sûrs
 * autorisation de connexion sur liste blanche
 * connexion en IPV4 et IPV6
-  
-### Régenération des clefs sur le raspi
 
-Tout d'abord, sauvegarde du fichier de configuration originel:
+Tout d'abord, sauvegarde du répertoire **/etc/ssh**:
 
-    pi@piras:~ $ sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
-    pi@piras:~ $
+    pi@raspberrypi:/etc $ sudo cp -R ssh ssh.orig
+    pi@raspberrypi:/etc $
 
 Ensuite, création du nouveau fichier (après installation de vim, mais vous pouvez prendre l'éditeur de votre choix, nano par exemple qui est installé par défaut):
 
-Pour installer vim, tapez: **sudo apt install vim**
+> Pour installer vim, tapez: **sudo apt install vim**
 
-Voilà une copie du fichier de conf du site troxyworld dont j'ai déjà donné les références:
+Voilà une copie du fichier de conf du site **troxyworld** dont j'ai déjà donné les références:
 
     # Interface & Port
     Port 61022
@@ -437,14 +435,14 @@ Modification et limite des tentatives de connexion
     MaxAuthTries 3
     MaxSessions 5
 
-Les fichiers de clef autoriés
+Les fichiers de clef autorisés
 
     AuthorizedKeysFile      .ssh/authorized_keys .ssh/authorized_keys2
 
 Voici la copie du fichier complet:
 
-    pi@piras:~ $ sudo cat /etc/ssh/sshd_config
-    # $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $
+    pi@raspberrypi:~ $ cat /etc/ssh/sshd_config
+    #	$OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $
 
     # This is the sshd server system-wide configuration file.  See
     # sshd_config(5) for more information.
@@ -456,36 +454,54 @@ Voici la copie du fichier complet:
     # possible, but leave them commented.  Uncommented options override the
     # default value.
 
-    Protocol 2
-
     Port 22
-    AddressFamily any
-    ListenAddress 192.168.111.0
-    ListenAddress 2a01:e0a:d0:3c20::0
-
+    #AddressFamily any
+    # A décommenter après test sur sur site d'audit, car nos réglages ne permettent
+    # que de se connecter à partir de notre réseau local
+    # Si vous voulez que votre serveur soit accessible à partir de l'extérieur
+    # gardez les valeurs par défaut (ou les options commentées)
+    #ListenAddress 0.0.0.0
+    #ListenAddress ::
+    # Nouveaux réglages
+    # ListenAddress 192.168.111.0
+    # ListenAddress 2a01:e0a:d0:3c20::0
+
+    # On ne permet que la connexion avec une clef forte
+    #HostKey /etc/ssh/ssh_host_rsa_key
+    #HostKey /etc/ssh/ssh_host_ecdsa_key
     HostKey /etc/ssh/ssh_host_ed25519_key
 
     # Ciphers and keying
     #RekeyLimit default none
 
     # Logging
-    SyslogFacility AUTHPRIV
+    # Modification du niveau de logging pour plus de détails
+    #SyslogFacility AUTH
+    SysLogFacility AUTHPRIV
+    #LogLevel INFO
     LogLevel VERBOSE
 
     # Authentication:
 
+    # C'est ici que l'on va ne permettre que l'accès par clef partagée
+    # et interdire l'accès par mot de passe
+    # De plus on configure le nombre d'essais et le délai de connexion
+    # à des valeurs plus courtes
     LoginGraceTime 30s
     PermitRootLogin no
     StrictModes yes
     MaxAuthTries 3
     MaxSessions 5
 
+    PubkeyAuthentication yes
+
+    # Ajout d'une liste blanche d'utilisateurs autorisés à se connecter
+    # ici, seulement l'utilisateur pi
     AllowUsers pi
 
-    PubkeyAuthentication yes
 
     # Expect .ssh/authorized_keys2 to be disregarded by default in future.
-    AuthorizedKeysFile   .ssh/authorized_keys .ssh/authorized_keys2
+    AuthorizedKeysFile	.ssh/authorized_keys .ssh/authorized_keys2
 
     #AuthorizedPrincipalsFile none
 
@@ -493,15 +509,17 @@ Voici la copie du fichier complet:
     #AuthorizedKeysCommandUser nobody
 
     # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
-    HostbasedAuthentication no
+    #HostbasedAuthentication no
     # Change to yes if you don't trust ~/.ssh/known_hosts for
     # HostbasedAuthentication
     #IgnoreUserKnownHosts no
     # Don't read the user's ~/.rhosts and ~/.shosts files
-    IgnoreRhosts yes
+    #IgnoreRhosts yes
 
     # To disable tunneled clear text passwords, change to no here!
-    PasswordAuthentication no
+    # Interdiction de connexion pas login/mot de passe
+    PasswordAuthentication yes
+    # Interdiction de mot de passe vides
     PermitEmptyPasswords no
 
     # Change to yes to enable challenge-response passwords (beware issues with
@@ -531,48 +549,99 @@ Voici la copie du fichier complet:
     # and ChallengeResponseAuthentication to 'no'.
     UsePAM yes
 
+    # On va interdire le forwarding
     AllowAgentForwarding no
     AllowTcpForwarding no
     GatewayPorts no
     X11Forwarding no
     #X11DisplayOffset 10
     #X11UseLocalhost yes
-    PermitTTY yes
+    #PermitTTY yes
+    # Pas de message d'acceuil de SSHD
     PrintMotd no
-    PrintLastLog no
+    #PrintLastLog yes
     #TCPKeepAlive yes
     #PermitUserEnvironment no
     #Compression delayed
     #ClientAliveInterval 0
     #ClientAliveCountMax 3
+    # Utilisation du DNS
     UseDNS yes
-    PidFile /var/run/sshd.pid
-    MaxStartups 10:30:100
-    PermitTunnel no
+    #PidFile /var/run/sshd.pid
+    #MaxStartups 10:30:100
+    #PermitTunnel no
     #ChrootDirectory none
-    VersionAddendum none
+    #VersionAddendum none
 
     # no default banner path
-    Banner none
+    #Banner none
 
     # Allow client to pass locale environment variables
     AcceptEnv LANG LC_*
 
     # override default of no subsystems
-    Subsystem    sftp    /usr/lib/openssh/sftp-server
+    Subsystem	sftp	/usr/lib/openssh/sftp-server
 
     # Example of overriding settings on a per-user basis
     #Match User anoncvs
-    #    X11Forwarding no
-    #    AllowTcpForwarding no
-    #    PermitTTY no
-    #    ForceCommand cvs server
-    pi@piras:~ $ 
+    #	X11Forwarding no
+    #	AllowTcpForwarding no
+    #	PermitTTY no
+    #	ForceCommand cvs server
+    pi@raspberrypi:~ $ 
+
 
 On redémarre **sshd**
 
     sudo systemctl restart sshd.service
 
+On teste si le service a bien redémarré sans erreurs:
+
+    pi@raspberrypi:~ $ sudo systemctl status sshd.service
+    ● ssh.service - OpenBSD Secure Shell server
+    Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
+    Active: active (running) since Sun 2021-02-14 14:59:47 CET; 7s ago
+        Docs: man:sshd(8)
+            man:sshd_config(5)
+    Process: 523 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
+    Main PID: 524 (sshd)
+        Tasks: 1 (limit: 269)
+    CGroup: /system.slice/ssh.service
+            └─524 /usr/sbin/sshd -D
+
+    févr. 14 14:59:46 raspberrypi systemd[1]: Starting OpenBSD Secure Shell server...
+    févr. 14 14:59:46 raspberrypi sshd[524]: Server listening on 0.0.0.0 port 22.
+    févr. 14 14:59:47 raspberrypi sshd[524]: Server listening on :: port 22.
+    févr. 14 14:59:47 raspberrypi systemd[1]: Started OpenBSD Secure Shell server.
+    pi@raspberrypi:~ $ 
+
+C'est bon.
+
+Essai de connexion:
+
+    eric@aldebaran:~$ ssh piras
+    The authenticity of host 'piras.yojik.net (192.168.111.170)' can't be established.
+    ED25519 key fingerprint is SHA256:NW70QB3uNQ1cnrTQyfXG1Lu1iTDubEv6Oak4PK+DR1k.
+    Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
+    Warning: Permanently added 'piras.yojik.net,192.168.111.170' (ED25519) to the list of known hosts.
+    Enter passphrase for key '/home/eric/.ssh/piras/piras_ed25519': 
+    Linux raspberrypi 5.10.11+ #1399 Thu Jan 28 12:02:28 GMT 2021 armv6l
+
+    The programs included with the Debian GNU/Linux system are free software;
+    the exact distribution terms for each program are described in the
+    individual files in /usr/share/doc/*/copyright.
+
+    Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
+    permitted by applicable law.
+    Last login: Sun Feb 14 15:02:55 2021 from 192.168.111.150
+    pi@raspberrypi:~ $
+
+C'est bon.
+
+Test sur le site d'audit:
+
+Bien, après avoir effacé toutes les données personnelles de mon browser (données qui entraînent une erreur «The csrf token is invalid»), le test revient toujours avec une mauvaise note. D'où la suite. Les instructions pour améliorer sont également sur le site [SSH-Audit.com recommendations](https://www.ssh-audit.com/hardening_guides.html#ubuntu_20_04_lts)
+
 On va sécuriser les échanges en jouant sur 3 options supplémentaires :
 
 * Ciphers : Le chiffrement utilisé.

docs/Tutoriels/tutoraspi/tutoraspi.md

@@ -16,6 +16,6 @@ Le second équipé de l'écran 7" officiel, dans un boitier adéquat et esthéti
 
 ![Raspi 2](../../Images/tutoraspi/20210210_102712.jpg)
 
-Oui, ils ont un peu «poussiéreux» ...
+Oui, ils sont un peu «poussiéreux» ...
 
 En annexe, je présenterai une autre façon de préparer l'installation de notre Raspi qui permettra dès le départ d'avoir notre réseau configué, ainsi que le hostname et l'autorisation de connexion SSH.

docs/Tutoriels/tutos.md

@@ -2,29 +2,29 @@
 
 ##  **Utilisation de Anki**
 
-    **Anki** est un logiciel d'apprentissage/révision fonctionnant comme des cartes à retourner. Mais en beaucoup plus puissant.
+**Anki** est un logiciel d'apprentissage/révision fonctionnant comme des cartes à retourner. Mais en beaucoup plus puissant.
 
-    Je montrerai comment organiser ses **decks**, créer les **notes** et les ** ** qui permettent d'augmenter considérablement l'utilité et le plaisir d'utilisation du logiciel.
+Je montrerai comment organiser ses **decks**, créer les **notes** et les ** ** qui permettent d'augmenter considérablement l'utilité et le plaisir d'utilisation du logiciel.
 
-    Je développerai également la création de listes de travail (surtout pour l'étude des langues) à partir de cours disponibles sur internet, de listes de fréquence de mots (les mots les plus utilisés), de listes personneles (compilées au fur et à mesure de ses lectures), de l'ajout de sons, images qui étendent encore les possibilités de révision et apprentissage.
+Je développerai également la création de listes de travail (surtout pour l'étude des langues) à partir de cours disponibles sur internet, de listes de fréquence de mots (les mots les plus utilisés), de listes personneles (compilées au fur et à mesure de ses lectures), de l'ajout de sons, images qui étendent encore les possibilités de révision et apprentissage.
 
-    Les listes développées à mon usage personnel (apprentissage du russe et du chinois) sont disponibles sur [git.yojik.eu](https://git.yojik.eu).
+Les listes développées à mon usage personnel (apprentissage du russe et du chinois) sont disponibles sur [git.yojik.eu](https://git.yojik.eu).
 
 ##  **Installation de serveurs**
 
-    Voilà 3 tutoriels dont le sujet est l'installation d'un serveur sécurisé. Il y en a 3 versions:
+Voilà 3 tutoriels dont le sujet est l'installation d'un serveur sécurisé. Il y en a 3 versions:
 
-    *   Première version pour Debian Stretch
-    *   Deuxième version pour Debian Buster
-    *   Troisème version pour Debian/Buster sur RaspberryPI
+*   Première version pour Debian Stretch
+*   Deuxième version pour Debian Buster
+*   Troisème version pour Debian/Buster sur RaspberryPI
 
-    La version pour Debian Stretch n'est pas terminée, mais bien avancée. Un déménagement, un changement de boulot, réfection totale de notre appartement a mis de côté mes travaux sur le tutoriel, de telle façon que Debian a réussi à passer en version Buster avant que je ne finisse! Oui, les travaux ont été très longs (et pas encore finis!)
+La version pour Debian Stretch n'est pas terminée, mais bien avancée. Un déménagement, un changement de boulot, réfection totale de notre appartement a mis de côté mes travaux sur le tutoriel, de telle façon que Debian a réussi à passer en version Buster avant que je ne finisse! Oui, les travaux ont été très longs (et pas encore finis!)
 
-    La version pour Buster verra apparaître un processus d'automatisation avec Ansible que je développerai au fur et à mesure, en parallèle d'une configuration toute manuelle, ainsi que l'apparition de mesures de sécurité renforcée avec OTP (one time password), et gestion de l'authentification par clef **openpgp** sur carte à puce.
+La version pour Buster verra apparaître un processus d'automatisation avec Ansible que je développerai au fur et à mesure, en parallèle d'une configuration toute manuelle, ainsi que l'apparition de mesures de sécurité renforcée avec OTP (one time password), et gestion de l'authentification par clef **openpgp** sur carte à puce.
 
-    Pour des explications en profondeur sur tout ce qui concerne **openpgp**, je vous renvoie à tous les articles de [gouttegd](https://linuxfr.org/users/gouttegd) sur [linuxfr.org](https://linuxfr.org): ils sont excellentissimes et me rappellent avec plaisir "pascalissime", la revue publiée par Collibri dans les années 80/90.
+Pour des explications en profondeur sur tout ce qui concerne **openpgp**, je vous renvoie à tous les articles de [gouttegd](https://linuxfr.org/users/gouttegd) sur [linuxfr.org](https://linuxfr.org): ils sont excellentissimes et me rappellent avec plaisir "pascalissime", la revue publiée par Collibri dans les années 80/90.
 
-    Le choix des logiciels sera aussi différent: **knot** comme serveur **DNS** par exemple.
+Le choix des logiciels sera aussi différent: **knot** comme serveur **DNS** par exemple.
 
 Et tout se fera avec le temps, en fonction de mes disponibilités.
 

mkdocs.yml

@@ -1,7 +1,7 @@
-site_name: Les Tutoriels du Tojik
+site_name: Les Tutoriels du Yojik
 nav:
     - Home: 
-        - Page d'acceuil: 'index.md'
+        - Page d'accueil: 'index.md'
     - Tutoriels: 
         - Introduction: 'Tutoriels/tutos.md'
         - Installation d'un serveur sécurisé, version Debian/Stretch (obsolète):
@@ -29,7 +29,7 @@ nav:
                 #- Gestion de clefs SSH multiples](Clefs-SSH-Multiples.md))
                 #- Utilisation d'une carte à puce pour s'authentifier](Authentification-Carte-à-Puce.md))
                 #- Utilisation d'un lecteur NFC et de tags](Authentification-NFC.md))
-        - Installation d'un serveur sécurisé, version Debian/Buster:
+        - Installation d'un serveur sécurisé, version Debian/Buster (en cours d'écriture):
             - Présentation: 'Tutoriels/tutobuster/1-tutobuster.md'
             - Installation de base: 'Tutoriels/tutobuster/2-Installation-de-base.md'
             - Démarrage sur serveur OVH: 'Tutoriels/tutobuster/3-ovh.md'
@@ -59,13 +59,14 @@ nav:
             - Présentation: 'Tutoriels/tutoraspi/tutoraspi.md'
             - Installation de base: 'Tutoriels/tutoraspi/Installation-de-base.md'
             - Premier démarrage: 'Tutoriels/tutoraspi/Premier-démarrage.md'
-            - État des lieux: 'Tutoriels/tutoraspi/Etat-de-lieux.md'
+            - État des lieux: 'Tutoriels/tutoraspi/Etat-des-lieux.md'
             - Sécurisation SSH: 'Tutoriels/tutoraspi/Sécurisation-SSH.md'
             - Réseau (des IPs fixes): 'Tutoriels/tutoraspi/Réseau.md'
             - Installation de Knot-resolver: 'Tutoriels/tutoraspi/Knot.md'
-            - Installation d'un pare-feux: 'Tutoriels/tutoraspi/Pare-feux.md'
+            - Installation d'un pare-feux: 'Tutoriels/tutoraspi/Firewall.md'
             - Contrer les attaques de force brute: 'Tutoriels/tutoraspi/Fail2ban.md'
             - Surveillance du serveur: 'Tutoriels/tutoraspi/Logwatch.md'
+            - Installation d'un serveur de courriers basique: 'Tutoriels/tutoraspi/Installation-courrier-basique.md'
             - Annexe: 'Tutoriels/tutoraspi/Annexe.md'
 
 

site/404.html

@@ -0,0 +1,212 @@
+<!DOCTYPE html>
+<!--[if IE 8]><html class="no-js lt-ie9" lang="en" > <![endif]-->
+<!--[if gt IE 8]><!--> <html class="no-js" lang="en" > <!--<![endif]-->
+<head>
+  <meta charset="utf-8">
+  <meta http-equiv="X-UA-Compatible" content="IE=edge">
+  <meta name="viewport" content="width=device-width, initial-scale=1.0">
+  
+  
+  
+  <link rel="shortcut icon" href="/img/favicon.ico">
+  <title>Les Tutoriels du Yojik</title>
+  <link rel="stylesheet" href="/css/theme.css" />
+  <link rel="stylesheet" href="/css/theme_extra.css" />
+  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/styles/github.min.css" />
+  
+  <script src="/js/jquery-2.1.1.min.js" defer></script>
+  <script src="/js/modernizr-2.8.3.min.js" defer></script>
+  <script src="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/highlight.min.js"></script>
+  <script>hljs.initHighlightingOnLoad();</script> 
+  
+</head>
+
+<body class="wy-body-for-nav" role="document">
+
+  <div class="wy-grid-for-nav">
+
+    
+    <nav data-toggle="wy-nav-shift" class="wy-nav-side stickynav">
+    <div class="wy-side-scroll">
+      <div class="wy-side-nav-search">
+        <a href="/." class="icon icon-home"> Les Tutoriels du Yojik</a>
+        <div role="search">
+  <form id ="rtd-search-form" class="wy-form" action="//search.html" method="get">
+    <input type="text" name="q" placeholder="Search docs" title="Type search term here" />
+  </form>
+</div>
+      </div>
+
+      <div class="wy-menu wy-menu-vertical" data-spy="affix" role="navigation" aria-label="main navigation">
+                <p class="caption"><span class="caption-text">Home</span></p>
+                <ul>
+                    <li class="toctree-l1"><a class="reference internal" href="/.">Page d'accueil</a>
+                    </li>
+                </ul>
+                <p class="caption"><span class="caption-text">Tutoriels</span></p>
+                <ul>
+                    <li class="toctree-l1"><a class="reference internal" href="/Tutoriels/tutos/">Introduction</a>
+                    </li>
+                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Stretch (obsolète)</a>
+    <ul>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutostretch/tutostretch/">Présentation</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="#">Installation</a>
+    <ul>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Installation-de-base/">Installation du système de base</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/ovh/">Démarrage sur serveur OVH</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Premi%C3%A8re-Etape-S%C3%A9curisation/">Première étapes de sécurisation du serveur</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Configuration-R%C3%A9seau/">Configuration du réseau</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Installation-Serveur-Temps/">Installation d'un serveur de temps</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Installation-Parre-Feu/">Installation d'un pare-feu</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Installation-Fail2ban/">Contrer les attaques de brute-force avec fail2ban</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Installation-Serveur-Courrier-Basique/">Installation d'un serveur de courrier basique</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Installation-Serveur-DNS/">Installation du serveur DNS</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Installation-Serveur-Web/">Installation d'un serveur web</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Installation-Dovecot-Authentification/">Installation de dovecot et de l'authentification</a>
+                </li>
+                <li class="toctree-l3"><a class="" href="/Tutoriels/tutostretch/Installation-Certificats-Letsencrypt.md)">Installation des certificats letsencrypt</a>
+                </li>
+                <li class="toctree-l3"><a class="" href="/Tutoriels/tutostretch/courrier-SPF-DKIM-OPENDMARC.md">Ajout des enregistrements **spf**, **DKIM**, **DMARC** au fichier de zone DNS</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Courrier-Comptes-Virtuels/">Ajout des comptes émail virtuels</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Surveillance-Serveur/">Installation de programmes de surveillance du serveur</a>
+                </li>
+                <li class="toctree-l3"><a class="reference internal" href="/Tutoriels/tutostretch/Installation-Webmail/">Installation d'un webmail (rainloop)</a>
+                </li>
+                <li class="toctree-l3"><a class="" href="/Tutoriels/tutostretch/Sécurisation-Serveur-Web">Sécurisation d'un serveur WEB</a>
+                </li>
+    </ul>
+                </li>
+    </ul>
+                    </li>
+                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Buster (en cours d'écriture)</a>
+    <ul>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutobuster/1-tutobuster/">Présentation</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutobuster/2-Installation-de-base/">Installation de base</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutobuster/3-ovh/">Démarrage sur serveur OVH</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutobuster/4-Plan/">Plan d'ensemble</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutobuster/5-Premi%C3%A8re-Etape-S%C3%A9curisation/">Premières étapes de sécurisation du serveur</a>
+                </li>
+    </ul>
+                    </li>
+                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Buster sur RaspberryPI</a>
+    <ul>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/tutoraspi/">Présentation</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/Installation-de-base/">Installation de base</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/Premier-d%C3%A9marrage/">Premier démarrage</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/Etat-des-lieux/">État des lieux</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/S%C3%A9curisation-SSH/">Sécurisation SSH</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/R%C3%A9seau/">Réseau (des IPs fixes)</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/Knot/">Installation de Knot-resolver</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/Firewall/">Installation d'un pare-feux</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/Fail2ban/">Contrer les attaques de force brute</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/Logwatch/">Surveillance du serveur</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/Installation-courrier-basique/">Installation d'un serveur de courriers basique</a>
+                </li>
+                <li class="toctree-l2"><a class="reference internal" href="/Tutoriels/tutoraspi/Annexe/">Annexe</a>
+                </li>
+    </ul>
+                    </li>
+                </ul>
+      </div>
+    </div>
+    </nav>
+
+    <section data-toggle="wy-nav-shift" class="wy-nav-content-wrap">
+
+      
+      <nav class="wy-nav-top" role="navigation" aria-label="top navigation">
+        <i data-toggle="wy-nav-top" class="fa fa-bars"></i>
+        <a href="/.">Les Tutoriels du Yojik</a>
+      </nav>
+
+      
+      <div class="wy-nav-content">
+        <div class="rst-content">
+          <div role="navigation" aria-label="breadcrumbs navigation">
+  <ul class="wy-breadcrumbs">
+    <li><a href="/.">Docs</a> &raquo;</li>
+    
+    
+    <li class="wy-breadcrumbs-aside">
+      
+    </li>
+  </ul>
+  
+  <hr/>
+</div>
+          <div role="main">
+            <div class="section">
+              
+
+  <h1 id="404-page-not-found">404</h1>
+
+  <p><strong>Page not found</strong></p>
+
+
+            </div>
+          </div>
+          <footer>
+  
+
+  <hr/>
+
+  <div role="contentinfo">
+    <!-- Copyright etc -->
+    
+  </div>
+
+  Built with <a href="https://www.mkdocs.org/">MkDocs</a> using a <a href="https://github.com/snide/sphinx_rtd_theme">theme</a> provided by <a href="https://readthedocs.org">Read the Docs</a>.
+</footer>
+      
+        </div>
+      </div>
+
+    </section>
+
+  </div>
+
+  <div class="rst-versions" role="note" aria-label="versions">
+    <span class="rst-current-version" data-toggle="rst-current-version">
+      
+      
+      
+    </span>
+</div>
+    <script>var base_url = '/';</script>
+    <script src="/js/theme.js" defer></script>
+      <script src="/search/main.js" defer></script>
+    <script defer>
+        window.onload = function () {
+            SphinxRtdTheme.Navigation.enable(true);
+        };
+    </script>
+
+</body>
+</html>