Framboise\nPi, l'ordinateur Linux à 25 $? OK, l'affaire est un peu plus nuancée, mais c'est quand même un tout.\nprojet intéressant. Plus d'informations sur ma page générale RaspberryPi\n(également sur les paramètres, la première utilisation, etc.), cette page est spécifique pour une utilisation en tant que\nserveur domestique (fichiers, accès Internet sécurisé, etc.) et pas vraiment destiné aux débutants. En face de\nExpériences I / O voir ma page de matériel Raspberry.
"},{"id":"text-2","type":"text","heading":"","plain_text":"Cette page a commencé avec le Raspberry Pi 1, en passant à la Framboise\nPi 3, il peut y avoir de légères différences!","html":"Cette page a commencé avec le Raspberry Pi 1, en passant à la Framboise\nPi 3, il peut y avoir de légères différences!
"},{"id":"text-3","type":"text","heading":"","plain_text":"Entre autres choses, j'ai maintenant les services suivants en cours d'exécution (avec assez de place pour plus):\nRaspberry Pi est un serveur idéal pour moi car:","html":"Entre autres choses, j'ai maintenant les services suivants en cours d'exécution (avec assez de place pour plus):\nRaspberry Pi est un serveur idéal pour moi car:
"},{"id":"text-4","type":"text","heading":"","plain_text":"Doit être sur 24 heures par jour, 365 jours par an, et donc la consommation d'énergie est importante: la\nRaspberry Pi utilise seulement un Watt ou 2..3 (soit environ 6 € par an)\nBasé sur Debian standard, de nombreuses applications (serveur) sont prêtes à l'emploi\ndisponible, en tant que serveur de fichiers samba, serveur Web, serveur shell sécurisé, etc.\nEst assez rapide pour bien gérer la plupart des tâches, notamment en tant que NAS\n(lecteur réseau) pour les sauvegardes et autres\nEst petit et peut donc être intégré dans un petit coin (sans moniteur ni clavier)\nnécessaire, je l’utilise à distance); se dresse avec un disque dur dans le placard du compteur","html":"Doit être sur 24 heures par jour, 365 jours par an, et donc la consommation d'énergie est importante: la\nRaspberry Pi utilise seulement un Watt ou 2..3 (soit environ 6 € par an)\nBasé sur Debian standard, de nombreuses applications (serveur) sont prêtes à l'emploi\ndisponible, en tant que serveur de fichiers samba, serveur Web, serveur shell sécurisé, etc.\nEst assez rapide pour bien gérer la plupart des tâches, notamment en tant que NAS\n(lecteur réseau) pour les sauvegardes et autres\nEst petit et peut donc être intégré dans un petit coin (sans moniteur ni clavier)\nnécessaire, je l’utilise à distance); se dresse avec un disque dur dans le placard du compteur
"},{"id":"text-5","type":"text","heading":"","plain_text":"SD prévenir l'usure","html":"SD prévenir l'usure
"},{"id":"text-6","type":"text","heading":"","plain_text":""Raspberry Pi" est une marque de commerce de la Raspberry Pi Foundation.","html":""Raspberry Pi" est une marque de commerce de la Raspberry Pi Foundation.
"},{"id":"text-7","type":"text","heading":"","plain_text":"Un serveur travaille en permanence. Vous ne voulez pas que la carte SD s'use rapidement car il y en a trop\nest écrit trop souvent. J'ai également eu le même problème avec la clé USB sur le NSLU2, où j'ai pris un certain nombre de mesures pour\nréduire l'écriture sur le disque système. La bonne chose à propos du Raspberry Pi est que\n/ courir et / run / lock (et avec ça / var / lock et\n/ var / run, sont liés ici) déjà standard sur elle tmpfs être monté. C'est\nle "système de fichiers temporaire", une sorte de disque RAM. Donc, ils n'écrivent pas sur la carte SD (voir aussi le\narticle Utiliser tmpfs pour\nMinimiser le disque IO). Voir si je me connecte aussi dans mes fichiers / var / log aux tmpfs\nont … Il y a encore quelque chose d'écrit en reste.","html":"Un serveur travaille en permanence. Vous ne voulez pas que la carte SD s'use rapidement car il y en a trop\nest écrit trop souvent. J'ai également eu le même problème avec la clé USB sur le NSLU2, où j'ai pris un certain nombre de mesures pour\nréduire l'écriture sur le disque système. La bonne chose à propos du Raspberry Pi est que\n/ courir et / run / lock (et avec ça / var / lock et\n/ var / run, sont liés ici) déjà standard sur elle tmpfs être monté. C'est\nle "système de fichiers temporaire", une sorte de disque RAM. Donc, ils n'écrivent pas sur la carte SD (voir aussi le\narticle Utiliser tmpfs pour\nMinimiser le disque IO). Voir si je me connecte aussi dans mes fichiers / var / log aux tmpfs\nont … Il y a encore quelque chose d'écrit en reste.
"},{"id":"text-8","type":"text","heading":"","plain_text":"Oups, avec les dernières versions du raspbian / tmp etc ne pas défaut sur\nune tmpfs système de fichiers monté … Je dois donc faire quelque chose, voir le lien\nici! Mettra à jour le texte plus tard. Faites attention, tmpfs système de fichiers (disque mémoire)\nvotre mémoire de travail (même si elle est permutée).\nTaille actuelle de / tmp est inférieur à 100 ko (commande du -hs / tmp )\n/ var / log est 2,4 MByte.","html":"Oups, avec les dernières versions du raspbian / tmp etc ne pas défaut sur\nune tmpfs système de fichiers monté … Je dois donc faire quelque chose, voir le lien\nici! Mettra à jour le texte plus tard. Faites attention, tmpfs système de fichiers (disque mémoire)\nvotre mémoire de travail (même si elle est permutée).\nTaille actuelle de / tmp est inférieur à 100 ko (commande du -hs / tmp )\n/ var / log est 2,4 MByte.
"},{"id":"text-9","type":"text","heading":"","plain_text":"Combien est réellement écrit maintenant? Cela peut être vérifié avec / proc / diskstats,\nqui crache une série de chiffres qui représentent la lecture et l’écriture sur vos "disques". Le 7ème terrain\naprès que le nom de l’appareil correspond au nombre de secteurs écrits, vous souhaitez que le changement soit effectué.\ngardez-le au minimum. Commande indiquant l'état actuel du fichier & # 39; / & # 39; partition sur le\nImpressions sur carte SD (une ligne); quelque chose est écrit toutes les 20 minutes au repos:\ntandis que [ 1 ]; faire cat / proc / diskstats | grep mmcblk0p2; dormir 600; terminé\nVous pouvez trouver quels fichiers ont été récemment écrits en créant d'abord un fichier marqueur\n(touchez marqueur.txt), puis après un moment, vérifiez quels fichiers sont plus récents que\nce marqueur. De cette façon, vous pourriez trouver d'autres fichiers que vous avez mis sur tmpfs vouloir monter (dans\ndans mon cas, par exemple, une ligne est définie toutes les heures /var/log/auth.log\nécrit par cronet quelque chose d'autre se passe / tmp):\nsudo find / var / -xdev -newer marker.txt -print\nAvec le programme \niotop (Semblable à Haut pour l’utilisation du processeur / de la mémoire), vous pouvez (parfois) trouver laquelle\nprogramme travaille actuellement sur le disque (astuce: utiliser les options -o -a). Avec cela est venu\nJ'ai découvert pourquoi mon disque dur ne s'était pas endormi: calamar\nlit régulièrement à ce sujet (eh bien, avait déplacé la cache du calmar au HD dans le\n/etc/squid/squid.config fichier …). Voir si ça va mieux maintenant.","html":"Combien est réellement écrit maintenant? Cela peut être vérifié avec / proc / diskstats,\nqui crache une série de chiffres qui représentent la lecture et l’écriture sur vos "disques". Le 7ème terrain\naprès que le nom de l’appareil correspond au nombre de secteurs écrits, vous souhaitez que le changement soit effectué.\ngardez-le au minimum. Commande indiquant l'état actuel du fichier & # 39; / & # 39; partition sur le\nImpressions sur carte SD (une ligne); quelque chose est écrit toutes les 20 minutes au repos:\ntandis que [ 1 ]; faire cat / proc / diskstats | grep mmcblk0p2; dormir 600; terminé\nVous pouvez trouver quels fichiers ont été récemment écrits en créant d'abord un fichier marqueur\n(touchez marqueur.txt), puis après un moment, vérifiez quels fichiers sont plus récents que\nce marqueur. De cette façon, vous pourriez trouver d'autres fichiers que vous avez mis sur tmpfs vouloir monter (dans\ndans mon cas, par exemple, une ligne est définie toutes les heures /var/log/auth.log\nécrit par cronet quelque chose d'autre se passe / tmp):\nsudo find / var / -xdev -newer marker.txt -print\nAvec le programme \niotop (Semblable à Haut pour l’utilisation du processeur / de la mémoire), vous pouvez (parfois) trouver laquelle\nprogramme travaille actuellement sur le disque (astuce: utiliser les options -o -a). Avec cela est venu\nJ'ai découvert pourquoi mon disque dur ne s'était pas endormi: calamar\nlit régulièrement à ce sujet (eh bien, avait déplacé la cache du calmar au HD dans le\n/etc/squid/squid.config fichier …). Voir si ça va mieux maintenant.
"},{"id":"text-10","type":"text","heading":"","plain_text":"VSécurité et hackers\nRemarque: si vous rendez votre framboise accessible de l’extérieur (comme je l’ai fait pour mon SSH\net serveur VPN), vous avez alors la possibilité que des personnes tentent de pénétrer dans votre système … Assurez-vous d’en avoir un\navoir un pare-feu correctement configuré, travailler avec des fichiers de clés au lieu de mots de passe, etc. (voir\naussi mes pièces SSH et Firewall\nau-delà). Et même alors, ils savent où vous trouver, comme dans le journal ci-dessous (extrait de\n/var/log/auth.log), bien que je n’exécute pas mon SSH sur le port standard.\nDes listes entières de noms d’utilisateurs standard (et de mots de passe par défaut?) Viennent-elles d’être modifiées … Tidy\navec délai, pour que les mécanismes qui bloquent autant de tentatives par minute ne soient pas activés\ndevenir. Mais ils ne sont pas entrés!\nAuth.log tentatives de connexion non valides:1 novembre 23:08:51 raspberry3 sshd[23074]: Invité utilisateur non valide à partir de 101.95.6.21 nov. 23:10:18 raspberry3 sshd[23132]: Invité utilisateur non valide à partir de 101.95.6.2… (beaucoup plus courte, plus de 400 lignes) …2 nov. 10:31:53 raspberry3 sshd[30670]: Utilisateur1 non valide à partir de 101.95.6.22 nov. 10:33:03 raspberry3 sshd[30678]: Utilisateur demo1 non valide à partir de 101.95.6.22 nov. 10:34:14 raspberry3 sshd[30691]: Utilisateur demo1 non valide à partir de 101.95.6.2\nJ'ai maintenant & # 39;Porto\ncognement& # 39; mis en utilisant iptablesCela signifie que vous rencontrez d’abord\nles autres ports doivent être corrects avant que le port SSH ne s'ouvre. OK, je sais, la sécurité à travers\nL’obscurité est une sécurité factice, mais elle arrête un certain nombre de pirates informatiques, je n’en ai pas autant.\nnotifications dans mon fichier journal. Mais pour une réelle sécurité, vous devez encore prendre de vraies mesures, telles que\nse connecter avec des fichiers de clé (comme je l'ai).","html":"VSécurité et hackers\nRemarque: si vous rendez votre framboise accessible de l’extérieur (comme je l’ai fait pour mon SSH\net serveur VPN), vous avez alors la possibilité que des personnes tentent de pénétrer dans votre système … Assurez-vous d’en avoir un\navoir un pare-feu correctement configuré, travailler avec des fichiers de clés au lieu de mots de passe, etc. (voir\naussi mes pièces SSH et Firewall\nau-delà). Et même alors, ils savent où vous trouver, comme dans le journal ci-dessous (extrait de\n/var/log/auth.log), bien que je n’exécute pas mon SSH sur le port standard.\nDes listes entières de noms d’utilisateurs standard (et de mots de passe par défaut?) Viennent-elles d’être modifiées … Tidy\navec délai, pour que les mécanismes qui bloquent autant de tentatives par minute ne soient pas activés\ndevenir. Mais ils ne sont pas entrés!\nAuth.log tentatives de connexion non valides:1 novembre 23:08:51 raspberry3 sshd[23074]: Invité utilisateur non valide à partir de 101.95.6.21 nov. 23:10:18 raspberry3 sshd[23132]: Invité utilisateur non valide à partir de 101.95.6.2… (beaucoup plus courte, plus de 400 lignes) …2 nov. 10:31:53 raspberry3 sshd[30670]: Utilisateur1 non valide à partir de 101.95.6.22 nov. 10:33:03 raspberry3 sshd[30678]: Utilisateur demo1 non valide à partir de 101.95.6.22 nov. 10:34:14 raspberry3 sshd[30691]: Utilisateur demo1 non valide à partir de 101.95.6.2\nJ'ai maintenant & # 39;Porto\ncognement& # 39; mis en utilisant iptablesCela signifie que vous rencontrez d’abord\nles autres ports doivent être corrects avant que le port SSH ne s'ouvre. OK, je sais, la sécurité à travers\nL’obscurité est une sécurité factice, mais elle arrête un certain nombre de pirates informatiques, je n’en ai pas autant.\nnotifications dans mon fichier journal. Mais pour une réelle sécurité, vous devez encore prendre de vraies mesures, telles que\nse connecter avec des fichiers de clé (comme je l'ai).
"},{"id":"text-11","type":"text","heading":"","plain_text":"Osous forme de fichier Samba\nserveur\nL’une des tâches les plus importantes est de travailler en tant que disque réseau, en particulier pour la sauvegarde, mais aussi pour\nstockage central des photos, par exemple. La première étape consiste à configurer un serveur.\naccéder aux fichiers du disque via le réseau (mais ne pas de l'extérieur, uniquement localement),\npour Windows et Linux. J'installe un serveur samba pour cela, comme avant sur mon ordinateur.\nNSLU2: voir mes pages samba et NSLU2, les\nPage eLinux R-Pi NAS et celle-ci aussi Framboise\nSamba page. La première étape consiste bien entendu à installer et à configurer le serveur:","html":"Osous forme de fichier Samba\nserveur\nL’une des tâches les plus importantes est de travailler en tant que disque réseau, en particulier pour la sauvegarde, mais aussi pour\nstockage central des photos, par exemple. La première étape consiste à configurer un serveur.\naccéder aux fichiers du disque via le réseau (mais ne pas de l'extérieur, uniquement localement),\npour Windows et Linux. J'installe un serveur samba pour cela, comme avant sur mon ordinateur.\nNSLU2: voir mes pages samba et NSLU2, les\nPage eLinux R-Pi NAS et celle-ci aussi Framboise\nSamba page. La première étape consiste bien entendu à installer et à configurer le serveur:
"},{"id":"text-12","type":"text","heading":"","plain_text":"Remplacement pour NSLU2\nUne grande partie de la configuration est similaire à celle de mon ancien NSLU2, alors regardez\nil pour plus de détails","html":"Remplacement pour NSLU2\nUne grande partie de la configuration est similaire à celle de mon ancien NSLU2, alors regardez\nil pour plus de détails
"},{"id":"text-13","type":"text","heading":"","plain_text":"sudo mkdir / mnt / datasudo apt-get installez samba samba-common-bin# ajustez votre configuration dans la session d’édition (voir ci-dessous):sudo nano / etc / samba / smb.conf# smbpasswd demande le mot de passe (et en retire immédiatement l'utilisateur pi\njeter):sudo smbpasswd -a keessudo smbpasswd -d pisudo smbpasswd -d personne# vérifie si la configuration est correcte:sudo testparm -ssudo /etc/init.d/samba restart","html":"sudo mkdir / mnt / datasudo apt-get installez samba samba-common-bin# ajustez votre configuration dans la session d’édition (voir ci-dessous):sudo nano / etc / samba / smb.conf# smbpasswd demande le mot de passe (et en retire immédiatement l'utilisateur pi\njeter):sudo smbpasswd -a keessudo smbpasswd -d pisudo smbpasswd -d personne# vérifie si la configuration est correcte:sudo testparm -ssudo /etc/init.d/samba restart
"},{"id":"text-14","type":"text","heading":"","plain_text":"N’oubliez pas le (à cause de sécurité = utilisateur) pour ajouter des utilisateurs existants à samba\najouter avec smbpasswd -a (liste des requêtes des utilisateurs existants:\npdbedit -w -L )\nL’ajout d’utilisateurs Linux supplémentaires va de pair avec (éventuellement avec --uid ):adduser ; usermod -g utilisateurs \nVoulez-vous pouvoir vous connecter sans mot de passe? Voir Samba: Comment partager des fichiers sans\nmot de passe de l'utilisateur","html":"N’oubliez pas le (à cause de sécurité = utilisateur) pour ajouter des utilisateurs existants à samba\najouter avec smbpasswd -a (liste des requêtes des utilisateurs existants:\npdbedit -w -L )\nL’ajout d’utilisateurs Linux supplémentaires va de pair avec (éventuellement avec --uid ):adduser ; usermod -g utilisateurs \nVoulez-vous pouvoir vous connecter sans mot de passe? Voir Samba: Comment partager des fichiers sans\nmot de passe de l'utilisateur
"},{"id":"text-15","type":"text","heading":"","plain_text":"Configuration samba\ndans le /etc/samba/smb.conf J'ai inclus la section ci-dessous à la fin\npartage de disque commun (voir aussi Samba.org et le Guide de configuration de Samba pour Linux). J'ai aussi tout dedans\n[printers] et [print$] commenté et également avec l'impression\nimpression = bsd et nom printcap = / dev / null mettre; empêche la lenteur et\nmessages d'erreur dans les journaux. sécurité = utilisateur allumé, et dans le [homes]\nsection navigable = non de sorte que seul le dossier partagé est visible. N'oubliez pas\naprès un changement de configuration samba pour redémarrer (si, samba recharge le\nsmb.conf toutes les 60 secondes?): /etc/init.d/samba restart.\n[shared] comment = Fichiers joints chemin = / mnt / data / public groupe de force = utilisateurs utilisateurs valides = @ utilisateurs large à gauche = non créer un masque = 0660 mode création forcée = 0660 mode de répertoire de force = 0770 accessible en écriture = oui navigable = oui","html":"Configuration samba\ndans le /etc/samba/smb.conf J'ai inclus la section ci-dessous à la fin\npartage de disque commun (voir aussi Samba.org et le Guide de configuration de Samba pour Linux). J'ai aussi tout dedans\n[printers] et [print$] commenté et également avec l'impression\nimpression = bsd et nom printcap = / dev / null mettre; empêche la lenteur et\nmessages d'erreur dans les journaux. sécurité = utilisateur allumé, et dans le [homes]\nsection navigable = non de sorte que seul le dossier partagé est visible. N'oubliez pas\naprès un changement de configuration samba pour redémarrer (si, samba recharge le\nsmb.conf toutes les 60 secondes?): /etc/init.d/samba restart.\n[shared] comment = Fichiers joints chemin = / mnt / data / public groupe de force = utilisateurs utilisateurs valides = @ utilisateurs large à gauche = non créer un masque = 0660 mode création forcée = 0660 mode de répertoire de force = 0770 accessible en écriture = oui navigable = oui
"},{"id":"text-16","type":"text","heading":"","plain_text":"Désactiver NetBIOS\nNetbios n'est pas vraiment sûr, et n'est plus nécessaire … Vous pouvez vous éteindre avec dans le monde\nsection:\n[global]désactiver netbios = yesports smb = 445","html":"Désactiver NetBIOS\nNetbios n'est pas vraiment sûr, et n'est plus nécessaire … Vous pouvez vous éteindre avec dans le monde\nsection:\n[global]désactiver netbios = yesports smb = 445
"},{"id":"text-17","type":"text","heading":"","plain_text":"Le dépliant / mnt / data / public J'ai créé sur ma carte SD avec certains\nfichiers, pour tester sans le disque USB connecté. Plus tard, ceci est remplacé par\nla Publique répertoire sur mon disque USB externe, en transférant cette / mnt / data à\nmonter (voir ma page debian nslu). Cela passe par un\nfait maison init.d scénario, mount_data.sh avec accompagnement\nfichier de configuration mount_data.conf. Pour le\ninstallation voir le fichier .sh. Dans mon cas, le disque USB se met automatiquement en veille pendant un moment\nN'est pas utilisé; pour les autres disques, vous devrez peut-être utiliser un logiciel: voir la page NSLU.\nVitesse: 6,8 Mo / s (55 Mbit / s) en lecture et 5,8 Mo / s en écriture de gros fichiers, pensez-y avec\nle nom est déterminé par mon réseau local (100 mbit / s) car le disque USB a une vitesse de lecture de 27 Mo / s sur le Raspberry, et la charge du processeur\nsur la framboise n'est que de 55% (en écriture).\nCryptage de disque\nNe voulez-vous pas que les données fuient avec vos données, par exemple en cas de vol?\ndisque? Cryptez votre disque alors. Cela peut être fait de plusieurs manières, par exemple avec le cryptage de la\ndisque entier avec par exemple LUKS / dm-crypt\nou TrueCrypt, ou\nseuls certains répertoires avec eCryptFS ou encFS. Avoir\nJ'ai choisi ce dernier parce que j'en ai déjà beaucoup et que je n'ai pas de disque disponible en main\nconfigurer les données temporairement pendant que je crypte le disque (les données sont ainsi perdues). À\nl'installation est demandée pour le mot de passe et les options, pour moi: cipher:,\nclé:, texte en clair:, cryptage du nom de fichier:; dépend\nloin de votre objectif, mais rappelez-vous que les noms de fichiers peuvent contenir des informations sensibles, car ils indiquent\nfichier il va (donc les noms de fichiers non cryptés & # 39; fuites & # 39; informations). Les commandes pour cela\nMise en place:\nmkdir / chemin / vers / crypté; # si pas encore\nexistemkdir / chemin / vers / déchiffré; # s'il n'existe pas encoresudo apt-get install ecryptfs-utils; # installer ecryptfssudo mount -t ecryptfs "/ chemin / vers / chiffré" "/ chemin / vers / déchiffré"; # écrire\nsur la signature FNEK!\nAvec le système de fichiers eCryptfs, vous ne devez pas réserver d’espace à l’avance, les fichiers sont tout simplement.\nindividuellement sur le disque. Vous pouvez également simplement les copier, par exemple pour les sauvegarder. Note: par fichier\nune graine aléatoire différente est utilisée (due à une "métadonnée" au début du fichier)\nest stocké, voir ce très technique conception eCryptfs\nLa descriptionsection 4.3); par exemple, deux fichiers identiques sous forme cryptée n'ont pas les mêmes\nsomme de contrôle (si vous les regardez, bien sûr, vous le ferez).\nLe démontage va de pair avec sudo umount / chemin / vers / déchiffré. Monter à nouveau\nplus difficile, et vous avez besoin de la signature FNEK générée précédemment! Si vous ne chiffrez pas les noms de fichier\nAs-tu le ecryptfs_fnek_sig paramètre non nécessaire. Ci-dessous est une\nrègle. Mettez toutes les options après le -O les uns aux autres sans espaces !!!\nsudo mount -t ecryptfs "/ chemin / vers / chiffré" "/ chemin / vers / déchiffré" -o\necryptfs_sig =ecryptfs_fnek_sig =ecryptfs_cipher = aes,\necryptfs_key_bytes = 32, ecryptfs_unlink_sigs, ecryptfs_passthrough = non, clé = phrase secrète\nEt bien sûr, il vous sera demandé le mot de passe … Donc, je ne peux le faire que lorsque je suis connecté\nsur la framboise, car je ne veux pas mettre le mot de passe dans un fichier. Faites attention; quelqu'un avec physique\nl'accès à votre système est possible, tant que le système est allumé, rien n'est sécurisé. Mais si le disque\nest glissé et / ou si le système est éteint, les dossiers cryptés sont inutilisables pour les autres.\nVous pouvez sauvegarder le dossier crypté. mais je sauvegarde la version non chiffrée parce que mon long terme\nLe disque de sauvegarde lui-même a une partition cryptée.\nIncidemment, cela a un impact non négligeable sur les performances, la vitesse d'écriture se fait sur le réseau\npassant de 5,8 Mo / s à 2,4 Mo / s (2,75 Mo / s avec une clé 16 bits). Mais, parce qu’il s’agit principalement de\nles sauvegardes à court terme ne sont pas un tel point pour moi. Cryptage de disque entier avec LUKS / dm-crypt\na de meilleures performances, je comprends. A propos, je n'ai pas chiffré la carte SD,\nseulement (parties de) le disque USB.","html":"Le dépliant / mnt / data / public J'ai créé sur ma carte SD avec certains\nfichiers, pour tester sans le disque USB connecté. Plus tard, ceci est remplacé par\nla Publique répertoire sur mon disque USB externe, en transférant cette / mnt / data à\nmonter (voir ma page debian nslu). Cela passe par un\nfait maison init.d scénario, mount_data.sh avec accompagnement\nfichier de configuration mount_data.conf. Pour le\ninstallation voir le fichier .sh. Dans mon cas, le disque USB se met automatiquement en veille pendant un moment\nN'est pas utilisé; pour les autres disques, vous devrez peut-être utiliser un logiciel: voir la page NSLU.\nVitesse: 6,8 Mo / s (55 Mbit / s) en lecture et 5,8 Mo / s en écriture de gros fichiers, pensez-y avec\nle nom est déterminé par mon réseau local (100 mbit / s) car le disque USB a une vitesse de lecture de 27 Mo / s sur le Raspberry, et la charge du processeur\nsur la framboise n'est que de 55% (en écriture).\nCryptage de disque\nNe voulez-vous pas que les données fuient avec vos données, par exemple en cas de vol?\ndisque? Cryptez votre disque alors. Cela peut être fait de plusieurs manières, par exemple avec le cryptage de la\ndisque entier avec par exemple LUKS / dm-crypt\nou TrueCrypt, ou\nseuls certains répertoires avec eCryptFS ou encFS. Avoir\nJ'ai choisi ce dernier parce que j'en ai déjà beaucoup et que je n'ai pas de disque disponible en main\nconfigurer les données temporairement pendant que je crypte le disque (les données sont ainsi perdues). À\nl'installation est demandée pour le mot de passe et les options, pour moi: cipher:,\nclé:, texte en clair:, cryptage du nom de fichier:; dépend\nloin de votre objectif, mais rappelez-vous que les noms de fichiers peuvent contenir des informations sensibles, car ils indiquent\nfichier il va (donc les noms de fichiers non cryptés & # 39; fuites & # 39; informations). Les commandes pour cela\nMise en place:\nmkdir / chemin / vers / crypté; # si pas encore\nexistemkdir / chemin / vers / déchiffré; # s'il n'existe pas encoresudo apt-get install ecryptfs-utils; # installer ecryptfssudo mount -t ecryptfs "/ chemin / vers / chiffré" "/ chemin / vers / déchiffré"; # écrire\nsur la signature FNEK!\nAvec le système de fichiers eCryptfs, vous ne devez pas réserver d’espace à l’avance, les fichiers sont tout simplement.\nindividuellement sur le disque. Vous pouvez également simplement les copier, par exemple pour les sauvegarder. Note: par fichier\nune graine aléatoire différente est utilisée (due à une "métadonnée" au début du fichier)\nest stocké, voir ce très technique conception eCryptfs\nLa descriptionsection 4.3); par exemple, deux fichiers identiques sous forme cryptée n'ont pas les mêmes\nsomme de contrôle (si vous les regardez, bien sûr, vous le ferez).\nLe démontage va de pair avec sudo umount / chemin / vers / déchiffré. Monter à nouveau\nplus difficile, et vous avez besoin de la signature FNEK générée précédemment! Si vous ne chiffrez pas les noms de fichier\nAs-tu le ecryptfs_fnek_sig paramètre non nécessaire. Ci-dessous est une\nrègle. Mettez toutes les options après le -O les uns aux autres sans espaces !!!\nsudo mount -t ecryptfs "/ chemin / vers / chiffré" "/ chemin / vers / déchiffré" -o\necryptfs_sig =ecryptfs_fnek_sig =ecryptfs_cipher = aes,\necryptfs_key_bytes = 32, ecryptfs_unlink_sigs, ecryptfs_passthrough = non, clé = phrase secrète\nEt bien sûr, il vous sera demandé le mot de passe … Donc, je ne peux le faire que lorsque je suis connecté\nsur la framboise, car je ne veux pas mettre le mot de passe dans un fichier. Faites attention; quelqu'un avec physique\nl'accès à votre système est possible, tant que le système est allumé, rien n'est sécurisé. Mais si le disque\nest glissé et / ou si le système est éteint, les dossiers cryptés sont inutilisables pour les autres.\nVous pouvez sauvegarder le dossier crypté. mais je sauvegarde la version non chiffrée parce que mon long terme\nLe disque de sauvegarde lui-même a une partition cryptée.\nIncidemment, cela a un impact non négligeable sur les performances, la vitesse d'écriture se fait sur le réseau\npassant de 5,8 Mo / s à 2,4 Mo / s (2,75 Mo / s avec une clé 16 bits). Mais, parce qu’il s’agit principalement de\nles sauvegardes à court terme ne sont pas un tel point pour moi. Cryptage de disque entier avec LUKS / dm-crypt\na de meilleures performances, je comprends. A propos, je n'ai pas chiffré la carte SD,\nseulement (parties de) le disque USB.
"},{"id":"text-18","type":"text","heading":"","plain_text":"réServeur NS / DHCP\nDnsmasq\nEt puis j'ai déménagé et j'ai eu un nouveau modem / routeur (Docsis 3 de UPC). Belle,\navec le sans fil et autres, mais avec beaucoup moins d'options pour les réglages que mon précédent\nLinkSys pimped (avec le logiciel Tomato). Ce qui me manque le plus, c'est de les distribuer\nLes adresses IP basées sur l’adresse MAC et donnant des noms de périphériques clairs basés sur\nde l'adresse IP. Donc, je veux que mon framboise ne s'appelle pas 192.168.1.5, mais framboise\n(ou framboise.lan) …\nMaintenant, je ne peux pas facilement mettre à niveau le modem UPC en termes de logiciel. Et je ne me sens pas comme le mien non plus\naccrocher un ancien routeur Linksys derrière le modem UPC (un autre périphérique à allumer 24h / 24 et 7j / 7) …\nMa framboise ne peut-elle pas aider? Oui, en tant que DNS (domaine\nname Server, lie les adresses IP aux noms et, si nécessaire, les recherche sur Internet) et le serveur DHCP (Dynamic Host Configuration Protocol, distribue les adresses IP)\npour le faire fonctionner. Et pour cela, un programme est disponible: Dnsmasq. A plusieurs\navantages, il est également possible de configurer vos propres serveurs DNS de cette manière (par exemple\ncelui qui bloque les liens malveillants, voir quad9.net), et DNSSEC (nom de domaine)\nSystem Security Extensions).\nMaintenant vous devez Dnsmasq être correctement configuré; sinon votre internet ne fonctionnera plus.\nAlors je suis allé chercher dans les pages de manuel de Dnsmasq et autres\nDnsmasq\nla gauche. Et\nil existe également une section claire dans LXF170 (page 92)\nsur. Installez-le d'abord, puis arrêtez-le immédiatement, puis configurez-le:\nsudo apt-get install dnsmasqsudo service dnsmasq stop","html":"réServeur NS / DHCP\nDnsmasq\nEt puis j'ai déménagé et j'ai eu un nouveau modem / routeur (Docsis 3 de UPC). Belle,\navec le sans fil et autres, mais avec beaucoup moins d'options pour les réglages que mon précédent\nLinkSys pimped (avec le logiciel Tomato). Ce qui me manque le plus, c'est de les distribuer\nLes adresses IP basées sur l’adresse MAC et donnant des noms de périphériques clairs basés sur\nde l'adresse IP. Donc, je veux que mon framboise ne s'appelle pas 192.168.1.5, mais framboise\n(ou framboise.lan) …\nMaintenant, je ne peux pas facilement mettre à niveau le modem UPC en termes de logiciel. Et je ne me sens pas comme le mien non plus\naccrocher un ancien routeur Linksys derrière le modem UPC (un autre périphérique à allumer 24h / 24 et 7j / 7) …\nMa framboise ne peut-elle pas aider? Oui, en tant que DNS (domaine\nname Server, lie les adresses IP aux noms et, si nécessaire, les recherche sur Internet) et le serveur DHCP (Dynamic Host Configuration Protocol, distribue les adresses IP)\npour le faire fonctionner. Et pour cela, un programme est disponible: Dnsmasq. A plusieurs\navantages, il est également possible de configurer vos propres serveurs DNS de cette manière (par exemple\ncelui qui bloque les liens malveillants, voir quad9.net), et DNSSEC (nom de domaine)\nSystem Security Extensions).\nMaintenant vous devez Dnsmasq être correctement configuré; sinon votre internet ne fonctionnera plus.\nAlors je suis allé chercher dans les pages de manuel de Dnsmasq et autres\nDnsmasq\nla gauche. Et\nil existe également une section claire dans LXF170 (page 92)\nsur. Installez-le d'abord, puis arrêtez-le immédiatement, puis configurez-le:\nsudo apt-get install dnsmasqsudo service dnsmasq stop
"},{"id":"text-19","type":"text","heading":"","plain_text":"Quels services fonctionnent réellement? Avec netstat -el --numeric-ports pouvez-vous regarder\nquels ports votre framboise écoute.","html":"Quels services fonctionnent réellement? Avec netstat -el --numeric-ports pouvez-vous regarder\nquels ports votre framboise écoute.
"},{"id":"text-20","type":"text","heading":"","plain_text":"Puis entrez les paramètres /etc/dnsmasq.conf:\n# Le nom de domaine localdévelopper les hôtesdomaine = lan# resolv-file = / etc / resolv.dnsmasqmin-port = 4096# Les serveurs DNS au cas où Dnsmasq ne le connaît pas lui-même: # routeur lui-même, #OpenDNS,\n#Google, Quad9# serveur = 192.168.1.1# serveur = 208.67.222.222# serveur = 8.8.8.8serveur = 9.9.9.9# La taille maximale du cache que dnsmasq peut gérer est 10 000taille du cache = 10000# Activer DNSSEC, vérifier si les noms DNS sont certifiés\nêtreconf-file = / usr / share / dnsmasq / trust-anchors.confDNSSECdnssec-check-unsigned# Les paramètres ci-dessous concernent dhcp.# Commentez si vous ne voulez pas d’adresses IP de dnsmasq\ndistribuer# plage-dhcp = 192.168.1.100.192.168.1.149.255.255.255.0.1440m# dhcp-option = option: routeur, 192.168.1.1# Et les adresses IP fixes (ou via / etc / ethers, / etc / hosts avec\n– lire les éthers)dhcp-host = 00: 22: 15: 41: 5A: 33, dualcore, 192.168.1.200, infinitxt-record = dualcore, "Ceci est mon PC dual-core"\nVous pouvez tester l'exactitude du fichier de configuration avec le --tester option. La liste\nsouvent avec des serveurs DNS externes /etc/resolv.conf, comme la première adresse là-bas\n127.0.0.1 (localhost) est savoir Dnsmasq que le reste est pour lui mais celui-ci\ndoit d’abord être ignoré (c’est-à-dire lui-même) et en être un distinct /etc/resolv.dnsmasq ne pas\nChamps obligatoires.\nMaintenant, bien sûr, configurez vos systèmes pour utiliser Raspberry en tant que serveur DNS\nau lieu de votre routeur. Cela commence dans Ubuntu\ndans le / etc / network / interfaces fichier, ajoutez la ligne dans votre réseau\n" serveurs de noms DNS 9.9.9.9\n& # 39; (remarque, entrez les bonnes adresses et la ligne\ndentelé).\nDNS met également en cache les recherches précédentes afin que la commande suivante soit plus rapide.\nessayé (avec creuser de mon ordinateur Ubuntu): en effet le\ntemps de recherche (après la première fois) de 12 ms via OpenDNS à 1 ms via Raspberry.","html":"Puis entrez les paramètres /etc/dnsmasq.conf:\n# Le nom de domaine localdévelopper les hôtesdomaine = lan# resolv-file = / etc / resolv.dnsmasqmin-port = 4096# Les serveurs DNS au cas où Dnsmasq ne le connaît pas lui-même: # routeur lui-même, #OpenDNS,\n#Google, Quad9# serveur = 192.168.1.1# serveur = 208.67.222.222# serveur = 8.8.8.8serveur = 9.9.9.9# La taille maximale du cache que dnsmasq peut gérer est 10 000taille du cache = 10000# Activer DNSSEC, vérifier si les noms DNS sont certifiés\nêtreconf-file = / usr / share / dnsmasq / trust-anchors.confDNSSECdnssec-check-unsigned# Les paramètres ci-dessous concernent dhcp.# Commentez si vous ne voulez pas d’adresses IP de dnsmasq\ndistribuer# plage-dhcp = 192.168.1.100.192.168.1.149.255.255.255.0.1440m# dhcp-option = option: routeur, 192.168.1.1# Et les adresses IP fixes (ou via / etc / ethers, / etc / hosts avec\n– lire les éthers)dhcp-host = 00: 22: 15: 41: 5A: 33, dualcore, 192.168.1.200, infinitxt-record = dualcore, "Ceci est mon PC dual-core"\nVous pouvez tester l'exactitude du fichier de configuration avec le --tester option. La liste\nsouvent avec des serveurs DNS externes /etc/resolv.conf, comme la première adresse là-bas\n127.0.0.1 (localhost) est savoir Dnsmasq que le reste est pour lui mais celui-ci\ndoit d’abord être ignoré (c’est-à-dire lui-même) et en être un distinct /etc/resolv.dnsmasq ne pas\nChamps obligatoires.\nMaintenant, bien sûr, configurez vos systèmes pour utiliser Raspberry en tant que serveur DNS\nau lieu de votre routeur. Cela commence dans Ubuntu\ndans le / etc / network / interfaces fichier, ajoutez la ligne dans votre réseau\n" serveurs de noms DNS 9.9.9.9\n& # 39; (remarque, entrez les bonnes adresses et la ligne\ndentelé).\nDNS met également en cache les recherches précédentes afin que la commande suivante soit plus rapide.\nessayé (avec creuser de mon ordinateur Ubuntu): en effet le\ntemps de recherche (après la première fois) de 12 ms via OpenDNS à 1 ms via Raspberry.
"},{"id":"text-21","type":"text","heading":"","plain_text":"VAccès de l'extérieur\nRaspberry comme passerelle sécurisée vers le réseau\nIl est important de disposer d'une connexion Internet sûre lors de vos déplacements, par exemple si vous souhaitez vous installer sur une terrasse ou dans un hôtel.\nservices bancaires sur Internet. Il semble assez facile de prendre en charge ou de suivre un "point d'accès" & # 39;\net ainsi exploiter votre connexion. Avec une page internet sécurisée (https) c'est quelque chose\nplus difficile, mais une attaque d'homme au milieu est parfois possible. Je préférerais en mettre un moi-même\nconnexion sécurisée à mon réseau domestique et laisser mon trafic Internet le parcourir, si\nsécurité supplémentaire.\nIl existe différentes options pour cela, notamment:","html":"VAccès de l'extérieur\nRaspberry comme passerelle sécurisée vers le réseau\nIl est important de disposer d'une connexion Internet sûre lors de vos déplacements, par exemple si vous souhaitez vous installer sur une terrasse ou dans un hôtel.\nservices bancaires sur Internet. Il semble assez facile de prendre en charge ou de suivre un "point d'accès" & # 39;\net ainsi exploiter votre connexion. Avec une page internet sécurisée (https) c'est quelque chose\nplus difficile, mais une attaque d'homme au milieu est parfois possible. Je préférerais en mettre un moi-même\nconnexion sécurisée à mon réseau domestique et laisser mon trafic Internet le parcourir, si\nsécurité supplémentaire.\nIl existe différentes options pour cela, notamment:
"},{"id":"text-22","type":"text","heading":"","plain_text":"Une connexion VPN (réseau privé virtuel), une connexion cryptée ou un "tunnel". à\nvotre réseau domestique sur lequel tout le trafic Internet circule (mais vous l'avez sur un PC / ordinateur portable)\ndroits d'administrateur requis)\nUn tunnel SSH avec proxy, sur lequel vous avez sélectionné le trafic Internet, avec\nen particulier le trafic web; mais est un peu plus difficile à utiliser qu'un VPN.","html":"Une connexion VPN (réseau privé virtuel), une connexion cryptée ou un "tunnel". à\nvotre réseau domestique sur lequel tout le trafic Internet circule (mais vous l'avez sur un PC / ordinateur portable)\ndroits d'administrateur requis)\nUn tunnel SSH avec proxy, sur lequel vous avez sélectionné le trafic Internet, avec\nen particulier le trafic web; mais est un peu plus difficile à utiliser qu'un VPN.
"},{"id":"text-23","type":"text","heading":"","plain_text":"Voir aussi la photo de droite, avec le rouge la situation non sécurisée et le vert en sécurité.\ntunnel avec trafic en jaune: Internet ne va que de mon réseau domestique de confiance\nsur.\nOpenVPN serveur\nAvec un VPN, vous configurez un tunnel sécurisé (crypté) vers votre réseau domestique et laissez tous les\nle trafic Internet sur ce tunnel. J'ai pour cela OpenVPN car il est bien pris en charge à la fois sur le\nFramboise (en tant que serveur) et sur Android (en tant que client).","html":"Voir aussi la photo de droite, avec le rouge la situation non sécurisée et le vert en sécurité.\ntunnel avec trafic en jaune: Internet ne va que de mon réseau domestique de confiance\nsur.\nOpenVPN serveur\nAvec un VPN, vous configurez un tunnel sécurisé (crypté) vers votre réseau domestique et laissez tous les\nle trafic Internet sur ce tunnel. J'ai pour cela OpenVPN car il est bien pris en charge à la fois sur le\nFramboise (en tant que serveur) et sur Android (en tant que client).
"},{"id":"text-24","type":"text","heading":"","plain_text":"Si applicable: Assurez-vous que le pare-feu est correct sur votre Raspberry\nensemble, en particulier pour le transfert de tun0\nVous devez également transférer le port VPN choisi (port UDP standard 1194) sur votre modem / routeur.\nFramboise.","html":"Si applicable: Assurez-vous que le pare-feu est correct sur votre Raspberry\nensemble, en particulier pour le transfert de tun0\nVous devez également transférer le port VPN choisi (port UDP standard 1194) sur votre modem / routeur.\nFramboise.
"},{"id":"text-25","type":"text","heading":"","plain_text":"Un article complet sur OpenVPN / Raspberry avec un manuel (en annexe) et\nVous pouvez trouver des informations générales sur la sécurité, etc. "SOHO\nVPN d'accès distant. Facile comme bonjour, Raspberry Pi …"Bien qu'il y ait quelques erreurs mineures dedans, tout va bien\nlire et penser aux messages d'erreur. Aussi sur les pages de procédures openVPN (et\nla FAQ) et 16 conseils sur la sécurité OpenVPN en disent long\nexplication. Après l'installation (ou à d'autres moments), vérifiez que tout fonctionne correctement: consultez le fichier journal\n/var/log/openvpn.log s'il y a des erreurs et / ou des avertissements. \nMaintenant, créez un nouvel utilisateur et le résultat\n.ovpn fichier sûr copier sur l'appareil depuis le\nutilisateur (par exemple via une carte SD ou une clé USB, ou une connexion FTP locale). Vous pouvez sur Android\npuis avec OpenVPN Connect\net votre fichier .ovpn établissent une connexion sécurisée. Bien sûr, vous pouvez aussi utiliser Windows, iOS ou Linux\nutilisez une connexion OpenVPN.\nsudo su; # Créer un utilisateur; très utile si\nsuper utilisateurcd / etc / openvpn / easy-rsa; source vars; ./build-key-pass ; # pas de mot de passe de défi!openssl rsa -in keys / revoke1.key -des3 -out keys / revoke1.3des.key; clés cd;../MakeOVPN.sh; # Et copier le .ovpn à votre client (par exemple\nAndroid mobile)","html":"Un article complet sur OpenVPN / Raspberry avec un manuel (en annexe) et\nVous pouvez trouver des informations générales sur la sécurité, etc. "SOHO\nVPN d'accès distant. Facile comme bonjour, Raspberry Pi …"Bien qu'il y ait quelques erreurs mineures dedans, tout va bien\nlire et penser aux messages d'erreur. Aussi sur les pages de procédures openVPN (et\nla FAQ) et 16 conseils sur la sécurité OpenVPN en disent long\nexplication. Après l'installation (ou à d'autres moments), vérifiez que tout fonctionne correctement: consultez le fichier journal\n/var/log/openvpn.log s'il y a des erreurs et / ou des avertissements. \nMaintenant, créez un nouvel utilisateur et le résultat\n.ovpn fichier sûr copier sur l'appareil depuis le\nutilisateur (par exemple via une carte SD ou une clé USB, ou une connexion FTP locale). Vous pouvez sur Android\npuis avec OpenVPN Connect\net votre fichier .ovpn établissent une connexion sécurisée. Bien sûr, vous pouvez aussi utiliser Windows, iOS ou Linux\nutilisez une connexion OpenVPN.\nsudo su; # Créer un utilisateur; très utile si\nsuper utilisateurcd / etc / openvpn / easy-rsa; source vars; ./build-key-pass ; # pas de mot de passe de défi!openssl rsa -in keys / revoke1.key -des3 -out keys / revoke1.3des.key; clés cd;../MakeOVPN.sh; # Et copier le .ovpn à votre client (par exemple\nAndroid mobile)
"},{"id":"text-26","type":"text","heading":"","plain_text":"Est le dossier .... / exemples / easy-rsa pas présent (vous êtes bloqué à la page 17 dans la\nManuel SOHO)? Ensuite, vous avez probablement une version plus récente de Debian, et le paquet est\neasy-rsa pas installé. Voir Erreur\ninstaller OpenVPN, et aussi \nInstaller OpenVPN sur Ubuntu avec le même problème entre les versions 12 et 14 …","html":"Est le dossier .... / exemples / easy-rsa pas présent (vous êtes bloqué à la page 17 dans la\nManuel SOHO)? Ensuite, vous avez probablement une version plus récente de Debian, et le paquet est\neasy-rsa pas installé. Voir Erreur\ninstaller OpenVPN, et aussi \nInstaller OpenVPN sur Ubuntu avec le même problème entre les versions 12 et 14 …
"},{"id":"text-27","type":"text","heading":"","plain_text":"Vous pouvez OpenVPN testez normalement sur votre réseau local pour pouvoir vérifier si tout va bien\nclés et si bien installé. Tu dois être en toi .ovpn fichier\nil suffit de changer la configuration; remplace habituellement par mot clé éloigné le nom de toi\nserveur en utilisant l’adresse IP Raspberry sur votre réseau local. Beaucoup de choses fonctionnent, mais pas toutes\nles programmes fonctionneront assez bien: parce que vous êtes de votre propre réseau sur votre propre réseau\nparfois il y a une certaine confusion …\nSupprimez le certificat (& révoquez & # 39;), par exemple parce que vous pensez que quelqu'un a eu tort\nl'utilise? Prends soin que vous ayez d’abord (une fois) sur la base du manuel cette bonne\nont configuré et openvpn ont redémarré ( service openvpn redémarrer )!\nEnsuite, par certificat que vous souhaitez retirer. Remarque: la commande revoke-full entend une\nMessage d'erreur "erreur 23 à 0 recherche de profondeur: certificat révoqué& # 39; pour donner; c'est\nun signe que le certificat ne fonctionne plus:\nsudo su; # Revoke: c'est très utile en tant que super utilisateur\nfairecd / etc / openvpn / easy-rsa; source vars; ./revoke-full cp keys / crl.pem / etc / openvpn /\nOh oui, j'ai changé les règles ci-dessous dans le server.conf fichier relatif à\nexemple à la page 30 du manuel SOHO, et bien sûr le cas échéant les adresses IP et autres\najusté.\n# Le & # 39; push & # 39; déconnecte proprement le client (moins de messages d'erreur\ndans le journal), & # 39; muet & # 39; restreint les copies du même message et le verbe & # 39; met en place le niveau de log\n4push "explicit-exit-notify 3"verbe 4muet 20crl-verify /etc/openvpn/crl.pem\nTester! Comment savez-vous si cela fonctionne bien? Testez votre adresse IP en déplacement dans votre navigateur\npar exemple via Quel est mon ip (également pour https). Vous auriez maintenant l'adresse IP externe de votre réseau domestique\nvoir, car le trafic n’y va que sur Internet (vous avez besoin de votre adresse IP\nbien sûr, demandé une fois à la maison, ou avec un DNS dynamique\nun service peut demander un nom). Et envoyez un mail de test et regardez à la maison dans les en-têtes\n(par exemple dans Thunderbird: View -> Message Source): vous le feriez dans le premier\n& # 39; Reçu: & # 39; – règle dans l'en-tête que vous devez également reconnaître votre propre adresse IP en tant qu'expéditeur.\nSSH serveur","html":"Vous pouvez OpenVPN testez normalement sur votre réseau local pour pouvoir vérifier si tout va bien\nclés et si bien installé. Tu dois être en toi .ovpn fichier\nil suffit de changer la configuration; remplace habituellement par mot clé éloigné le nom de toi\nserveur en utilisant l’adresse IP Raspberry sur votre réseau local. Beaucoup de choses fonctionnent, mais pas toutes\nles programmes fonctionneront assez bien: parce que vous êtes de votre propre réseau sur votre propre réseau\nparfois il y a une certaine confusion …\nSupprimez le certificat (& révoquez & # 39;), par exemple parce que vous pensez que quelqu'un a eu tort\nl'utilise? Prends soin que vous ayez d’abord (une fois) sur la base du manuel cette bonne\nont configuré et openvpn ont redémarré ( service openvpn redémarrer )!\nEnsuite, par certificat que vous souhaitez retirer. Remarque: la commande revoke-full entend une\nMessage d'erreur "erreur 23 à 0 recherche de profondeur: certificat révoqué& # 39; pour donner; c'est\nun signe que le certificat ne fonctionne plus:\nsudo su; # Revoke: c'est très utile en tant que super utilisateur\nfairecd / etc / openvpn / easy-rsa; source vars; ./revoke-full cp keys / crl.pem / etc / openvpn /\nOh oui, j'ai changé les règles ci-dessous dans le server.conf fichier relatif à\nexemple à la page 30 du manuel SOHO, et bien sûr le cas échéant les adresses IP et autres\najusté.\n# Le & # 39; push & # 39; déconnecte proprement le client (moins de messages d'erreur\ndans le journal), & # 39; muet & # 39; restreint les copies du même message et le verbe & # 39; met en place le niveau de log\n4push "explicit-exit-notify 3"verbe 4muet 20crl-verify /etc/openvpn/crl.pem\nTester! Comment savez-vous si cela fonctionne bien? Testez votre adresse IP en déplacement dans votre navigateur\npar exemple via Quel est mon ip (également pour https). Vous auriez maintenant l'adresse IP externe de votre réseau domestique\nvoir, car le trafic n’y va que sur Internet (vous avez besoin de votre adresse IP\nbien sûr, demandé une fois à la maison, ou avec un DNS dynamique\nun service peut demander un nom). Et envoyez un mail de test et regardez à la maison dans les en-têtes\n(par exemple dans Thunderbird: View -> Message Source): vous le feriez dans le premier\n& # 39; Reçu: & # 39; – règle dans l'en-tête que vous devez également reconnaître votre propre adresse IP en tant qu'expéditeur.\nSSH serveur
"},{"id":"text-28","type":"text","heading":"","plain_text":"SSH et Android\nJ'utilise ConnectBot pour Android\npour configurer le tunnel SSH, y compris la redirection de port proxy. Avec ProxyDroid, vous pouvez\nJ'active ensuite le proxy (voir la page de mon HTC).","html":"SSH et Android\nJ'utilise ConnectBot pour Android\npour configurer le tunnel SSH, y compris la redirection de port proxy. Avec ProxyDroid, vous pouvez\nJ'active ensuite le proxy (voir la page de mon HTC).
"},{"id":"text-29","type":"text","heading":"","plain_text":"SSH représente Sbien sûr SHaune. Sécurisé signifie ici que tout\nla communication est cryptée; même le processus de connexion. Plus d'infos sur mon Page SSH et bien sûr sur les pages de manuel de SSH, et voir aussi\nmon texte en haut de cette page sur la sécurité. SSH\noffre un certain nombre d'options:","html":"SSH représente Sbien sûr SHaune. Sécurisé signifie ici que tout\nla communication est cryptée; même le processus de connexion. Plus d'infos sur mon Page SSH et bien sûr sur les pages de manuel de SSH, et voir aussi\nmon texte en haut de cette page sur la sécurité. SSH\noffre un certain nombre d'options:
"},{"id":"text-30","type":"text","heading":"","plain_text":"Ouverture d’une invite de commande sur un ordinateur distant de manière sécurisée (et même\nles programmes graphiques peuvent s'exécuter, à condition que vous disposiez d'un serveur X non standard sous Windows\nle cas est).\nMise en place d'un tunnel sécurisé entre des programmes spécifiques sur des programmes différents\nordinateurs (par exemple, entre votre programme de messagerie et le serveur de messagerie de votre fournisseur, tel que SSH\nsoutien; ou sur votre serveur de fichiers samba)\nSFTP, FTP sécurisé; un remplacement pour FTP où tous\nchiffre les données sur Internet, y compris vos informations de connexion et SCPCopie sécurisée;\nune variante sûre du Linux CP (copie).","html":"Ouverture d’une invite de commande sur un ordinateur distant de manière sécurisée (et même\nles programmes graphiques peuvent s'exécuter, à condition que vous disposiez d'un serveur X non standard sous Windows\nle cas est).\nMise en place d'un tunnel sécurisé entre des programmes spécifiques sur des programmes différents\nordinateurs (par exemple, entre votre programme de messagerie et le serveur de messagerie de votre fournisseur, tel que SSH\nsoutien; ou sur votre serveur de fichiers samba)\nSFTP, FTP sécurisé; un remplacement pour FTP où tous\nchiffre les données sur Internet, y compris vos informations de connexion et SCPCopie sécurisée;\nune variante sûre du Linux CP (copie).
"},{"id":"text-31","type":"text","heading":"","plain_text":"Je dois décrire la configuration SSH en détail (plus de détails sur la page de manuel sshd_config), mais en résumé les étapes les plus importantes:\n/ etc / ssh / sshd_config au moins, désactivez votre session en tant qu'utilisateur root. et mot de passe\ndésactiver l'authentification (Authentification par mot de passe non, ne fonctionne qu'avec des clés privées / publiques\nembouteillages). J'autorise également qu'un utilisateur spécifique (AllowUsers ). je\nJ'ai également déplacé le port de la norme 22 vers une valeur différente, enregistre beaucoup d'attaques\nà l'extérieur. Ensuite, ouvrez ce port sur votre pare-feu / routeur avec la redirection de port\nAdresse I / O de votre Raspberry: c'est fait!\nCalamar Serveur proxy (avec\nSSH)\nPour naviguer sur Internet depuis une terrasse en toute sécurité, OpenVPN est le\nméthode la plus simple. Une alternative consiste à surfer sur un tunnel sécurisé configuré avec SSH (voir\nphoto ci-dessus). Cela ne se produit pas simplement, vous avez également besoin d'un "proxy". pour cela, un programme\ncontre lequel un navigateur a parlé comme s'il s'agissait de l'Internet. Tout le trafic passe ensuite\nmaison cryptée, et à partir de là sur Internet normalement. C’est possible avec le SSH et le combi\ncalamar, un package de proxy. La conception de cette\nest assez similaire à mon ancien NSLU, voir ma page NSLU2 …\nL’idée est de mettre en place un tunnel sécurisé SSH vers lequel vous allez\nle proxy en tant que configuration de transfert de port (-L3128: hôte local: 3128), puis sur ce tunnel la\nutilisez proxy pour surfer, etc. Ceci peut (selon le système sur lequel vous surfez) ou par\nprogramme en définissant un proxy dans le programme (par exemple avec le navigateur Firefox), ou en\ndéfinir ceci globalement sur votre système en tant que proxy. De Ubuntu, vous pouvez descendre de la manière suivante\nmettre en place un tunnel à un autre endroit, y compris le transfert de votre proxy et le transfert de votre part\nsystème de fichiers samba. La deuxième ligne montre comment vous conduisez\nmonter comme / media / lecteur distant (voir mon samba\npage). Remarque, 2 lignes:\nssh -p 11122 -L 3128: localhost: 3128 -L 12345: localhost: 445\n@sudo monter -t cifs // netdisk / shared / media / remotedrive -o\ninformations d'identification = / home //credentials,ip=127.0.0.1,port=12345,rw,uid=\nComment savez-vous si calamar fonctionne bien? Pour vraiment tester cela, vous devez être sur un autre réseau que\nvotre réseau normal (au travail, par exemple), puis la connexion SSH à la maison\nMise en place. Ensuite, allez dans votre navigateur et configurez-le (via options -> réseau) afin qu’il passe par le\nle proxy va sur internet. Vérifiez ensuite quelle est votre adresse IP avec WhatIsMyIP (et ici pour https). Il s’agit de l’adresse IP de votre réseau domestique (où vous pouvez\nframboise), et non celle du réseau à partir duquel vous testez …\nSeul problème: Android sur mon plus ancien mobile n'a pas de proxy par défaut, du moins pas\ndans la version Android 2.x … Et cela pour un système d'exploitation basé sur Linux, sloppy. Avoir plus de gens à gauche\ns'est plaint mais pas de réponse de Google. Firefox sur Android peut le gérer; et avec le proxy\nL'extension mobile peut être changée assez rapidement. Pour laisser toutes les applications Android 2.x via le proxy\nVous devez exécuter une application proxy comme celle-ci ProxyDroid\net pour cela vous avez besoin d'un Android en rotation. Au plus tard\nLes androïdes (au moins 4.x) sont possibles, et je les utilise Procuration\nRéglages pour basculer facilement entre avec et sans. Ps: mise en place d'un tunnel SSH\npratique avec cela gratuitement ConnectBot.\nKit de prison\nPour les utilisateurs avancés: Pour laisser les autres avec le disque dur (avec sftp), mais pas trop\nêtre capable de tout faire avec le système tout de suite, une prison "chroot" est pratique. Si quelqu'un\nla connexion à votre Raspberry via SSH n’aura que peu d’options. Tu peux le faire toi-même\npar exemple, définir quels programmes sont disponibles ou non, de sorte que l'utilisateur l'apprécie\nétaient dans une prison (prison) sur la framboise, dont vous êtes la garde. Je l'utilise pour\npermettre à mes fils étudiants d'accéder au disque réseau / de sauvegarde en toute sécurité, à distance.\nTéléchargez le kit de prison et décompressez sur vous\nFramboise (tar -xvf jailkit-2.15.tar.gz). Dans le nouveau dossier Jailkit-2.15 trouver\nvous un install.txt avec des explications sur la manière de compiler et d'installer. Et alors\nselon l'exemple une prison\nmais partout où cela est nécessaire & # 39;sudo& # 39; pour.\nMalheureusement, cela ne s'est pas passé sans problèmes:","html":"Je dois décrire la configuration SSH en détail (plus de détails sur la page de manuel sshd_config), mais en résumé les étapes les plus importantes:\n/ etc / ssh / sshd_config au moins, désactivez votre session en tant qu'utilisateur root. et mot de passe\ndésactiver l'authentification (Authentification par mot de passe non, ne fonctionne qu'avec des clés privées / publiques\nembouteillages). J'autorise également qu'un utilisateur spécifique (AllowUsers ). je\nJ'ai également déplacé le port de la norme 22 vers une valeur différente, enregistre beaucoup d'attaques\nà l'extérieur. Ensuite, ouvrez ce port sur votre pare-feu / routeur avec la redirection de port\nAdresse I / O de votre Raspberry: c'est fait!\nCalamar Serveur proxy (avec\nSSH)\nPour naviguer sur Internet depuis une terrasse en toute sécurité, OpenVPN est le\nméthode la plus simple. Une alternative consiste à surfer sur un tunnel sécurisé configuré avec SSH (voir\nphoto ci-dessus). Cela ne se produit pas simplement, vous avez également besoin d'un "proxy". pour cela, un programme\ncontre lequel un navigateur a parlé comme s'il s'agissait de l'Internet. Tout le trafic passe ensuite\nmaison cryptée, et à partir de là sur Internet normalement. C’est possible avec le SSH et le combi\ncalamar, un package de proxy. La conception de cette\nest assez similaire à mon ancien NSLU, voir ma page NSLU2 …\nL’idée est de mettre en place un tunnel sécurisé SSH vers lequel vous allez\nle proxy en tant que configuration de transfert de port (-L3128: hôte local: 3128), puis sur ce tunnel la\nutilisez proxy pour surfer, etc. Ceci peut (selon le système sur lequel vous surfez) ou par\nprogramme en définissant un proxy dans le programme (par exemple avec le navigateur Firefox), ou en\ndéfinir ceci globalement sur votre système en tant que proxy. De Ubuntu, vous pouvez descendre de la manière suivante\nmettre en place un tunnel à un autre endroit, y compris le transfert de votre proxy et le transfert de votre part\nsystème de fichiers samba. La deuxième ligne montre comment vous conduisez\nmonter comme / media / lecteur distant (voir mon samba\npage). Remarque, 2 lignes:\nssh -p 11122 -L 3128: localhost: 3128 -L 12345: localhost: 445\n@sudo monter -t cifs // netdisk / shared / media / remotedrive -o\ninformations d'identification = / home //credentials,ip=127.0.0.1,port=12345,rw,uid=\nComment savez-vous si calamar fonctionne bien? Pour vraiment tester cela, vous devez être sur un autre réseau que\nvotre réseau normal (au travail, par exemple), puis la connexion SSH à la maison\nMise en place. Ensuite, allez dans votre navigateur et configurez-le (via options -> réseau) afin qu’il passe par le\nle proxy va sur internet. Vérifiez ensuite quelle est votre adresse IP avec WhatIsMyIP (et ici pour https). Il s’agit de l’adresse IP de votre réseau domestique (où vous pouvez\nframboise), et non celle du réseau à partir duquel vous testez …\nSeul problème: Android sur mon plus ancien mobile n'a pas de proxy par défaut, du moins pas\ndans la version Android 2.x … Et cela pour un système d'exploitation basé sur Linux, sloppy. Avoir plus de gens à gauche\ns'est plaint mais pas de réponse de Google. Firefox sur Android peut le gérer; et avec le proxy\nL'extension mobile peut être changée assez rapidement. Pour laisser toutes les applications Android 2.x via le proxy\nVous devez exécuter une application proxy comme celle-ci ProxyDroid\net pour cela vous avez besoin d'un Android en rotation. Au plus tard\nLes androïdes (au moins 4.x) sont possibles, et je les utilise Procuration\nRéglages pour basculer facilement entre avec et sans. Ps: mise en place d'un tunnel SSH\npratique avec cela gratuitement ConnectBot.\nKit de prison\nPour les utilisateurs avancés: Pour laisser les autres avec le disque dur (avec sftp), mais pas trop\nêtre capable de tout faire avec le système tout de suite, une prison "chroot" est pratique. Si quelqu'un\nla connexion à votre Raspberry via SSH n’aura que peu d’options. Tu peux le faire toi-même\npar exemple, définir quels programmes sont disponibles ou non, de sorte que l'utilisateur l'apprécie\nétaient dans une prison (prison) sur la framboise, dont vous êtes la garde. Je l'utilise pour\npermettre à mes fils étudiants d'accéder au disque réseau / de sauvegarde en toute sécurité, à distance.\nTéléchargez le kit de prison et décompressez sur vous\nFramboise (tar -xvf jailkit-2.15.tar.gz). Dans le nouveau dossier Jailkit-2.15 trouver\nvous un install.txt avec des explications sur la manière de compiler et d'installer. Et alors\nselon l'exemple une prison\nmais partout où cela est nécessaire & # 39;sudo& # 39; pour.\nMalheureusement, cela ne s'est pas passé sans problèmes:
"},{"id":"text-32","type":"text","heading":"","plain_text":"l'exemple est périmé; au lieu de jk_addjailuser Dois tu\njk_jailuser utilisation:sudo jk_jailuser -m -j / home / jailroot \nN'oubliez pas d'ajouter l'utilisateur avec sudo nano\n/home/jailroot/etc/jailkit/jk_lsh.ini\nIl restait également des bibliothèques manquantes (message d'erreur "impossible de trouver les informations d'utilisateur pour\nUSER "): copie / lib / arm-linux-gnueabihf / libnss * et\n/ lib / arm-linux-gnueabihf / libnsl * à\n/ home / jailroot / lib / arm-linux-gnueabihf / et chmod 755 ils (qui sont là\nexactement nécessaire?).\nPuis le message que l'utilisateur serveur sftp essayé de courir, ce qui n'est pas standard\nautorisé: changer / usr / lib / sftp server à\n/ usr / lib /openssh /serveur sftp dans\n/home/jailroot/etc/jailkit/jk_lsh.ini.\nEt maintenant, l'utilisateur peut l'utiliser FileZilla via le protocole ftp sécurisé sur!","html":"l'exemple est périmé; au lieu de jk_addjailuser Dois tu\njk_jailuser utilisation:sudo jk_jailuser -m -j / home / jailroot \nN'oubliez pas d'ajouter l'utilisateur avec sudo nano\n/home/jailroot/etc/jailkit/jk_lsh.ini\nIl restait également des bibliothèques manquantes (message d'erreur "impossible de trouver les informations d'utilisateur pour\nUSER "): copie / lib / arm-linux-gnueabihf / libnss * et\n/ lib / arm-linux-gnueabihf / libnsl * à\n/ home / jailroot / lib / arm-linux-gnueabihf / et chmod 755 ils (qui sont là\nexactement nécessaire?).\nPuis le message que l'utilisateur serveur sftp essayé de courir, ce qui n'est pas standard\nautorisé: changer / usr / lib / sftp server à\n/ usr / lib /openssh /serveur sftp dans\n/home/jailroot/etc/jailkit/jk_lsh.ini.\nEt maintenant, l'utilisateur peut l'utiliser FileZilla via le protocole ftp sécurisé sur!
"},{"id":"text-33","type":"text","heading":"","plain_text":"Maintenant, un utilisateur emprisonné ne peut plus sortir de prison, et ainsi (même si sftp Permis)\ntoujours pas avec le disque dur … Et vous ne pouvez pas vous connecter à un dossier situé en dehors de la prison.\nDonc, l’inverse (voir aussi le kit de prison\nFAQ): en tant que root, montez le disque (ou dossier) dans la prison. Dans mon cas, il s'agit du dossier\n/ Publique: mkdir / home / prison / public; mount -o bind / mnt / data / public\n/ maison / prison / publicRendre visible dans les répertoires de base n’est pas autorisé avec des chemins absolus, mais avec sudo\nln -s ../../public hard disk.\nÊtre vraiment un ssh invite à vous donner un accès limité\nfaire un peu plus: / home / prison / etc / passwd edit (fournit à l’utilisateur le bon shell,\n/ bin / bash). La norme limitée jk_lsh est utile pour\nsftp/scp et pour samba à distance\nmonter, mais ne pas pour un interactif ssh coquille. bien jk_lsh.ini\nalors soit jk_chrootsh.ini Complétez avec les commandes autorisées (voir par exemple doc jk_lsh)!\nPare-feu\nSi votre Raspberry est l’entrée de votre réseau domestique, vous pouvez également y installer un pare-feu.\n(voir mon texte ci-dessus sur la sécurité …). Avec cela vous avez\ncontrôle de ce qui entre et sort via Ethernet (et Internet).","html":"Maintenant, un utilisateur emprisonné ne peut plus sortir de prison, et ainsi (même si sftp Permis)\ntoujours pas avec le disque dur … Et vous ne pouvez pas vous connecter à un dossier situé en dehors de la prison.\nDonc, l’inverse (voir aussi le kit de prison\nFAQ): en tant que root, montez le disque (ou dossier) dans la prison. Dans mon cas, il s'agit du dossier\n/ Publique: mkdir / home / prison / public; mount -o bind / mnt / data / public\n/ maison / prison / publicRendre visible dans les répertoires de base n’est pas autorisé avec des chemins absolus, mais avec sudo\nln -s ../../public hard disk.\nÊtre vraiment un ssh invite à vous donner un accès limité\nfaire un peu plus: / home / prison / etc / passwd edit (fournit à l’utilisateur le bon shell,\n/ bin / bash). La norme limitée jk_lsh est utile pour\nsftp/scp et pour samba à distance\nmonter, mais ne pas pour un interactif ssh coquille. bien jk_lsh.ini\nalors soit jk_chrootsh.ini Complétez avec les commandes autorisées (voir par exemple doc jk_lsh)!\nPare-feu\nSi votre Raspberry est l’entrée de votre réseau domestique, vous pouvez également y installer un pare-feu.\n(voir mon texte ci-dessus sur la sécurité …). Avec cela vous avez\ncontrôle de ce qui entre et sort via Ethernet (et Internet).
"},{"id":"text-34","type":"text","heading":"","plain_text":"Veillez à ne pas vous verrouiller pendant la configuration; par exemple, est intelligent dans un\nshell séparé pour démarrer une commande qui désactive le pare-feu après une demi-heure … Voir la page de mon pare-feu pour plus de détails (voir la rubrique & # 39; en cas d'urgence & # 39;).","html":"Veillez à ne pas vous verrouiller pendant la configuration; par exemple, est intelligent dans un\nshell séparé pour démarrer une commande qui désactive le pare-feu après une demi-heure … Voir la page de mon pare-feu pour plus de détails (voir la rubrique & # 39; en cas d'urgence & # 39;).
"},{"id":"text-35","type":"text","heading":"","plain_text":"Initialement opté pour ufw, Simple\nPare-feu. Mais plus tard, passé en réglage direct iptables, avez-vous une\nmeilleure idée de ce qui se passe, et vous pouvez le définir plus précisément (était également pratique parce que je voulais un VPN\nla mise en place nécessite des règles spécifiques). iptables est un peu plus compliqué, c’est pourquoi je l’ai\nune pièce consacrée à la mienne page pare-feu. Pratique pour toi\nen mettant des commandes dans un script, vous pouvez rapidement retourner votre configuration par défaut\nmettre.","html":"Initialement opté pour ufw, Simple\nPare-feu. Mais plus tard, passé en réglage direct iptables, avez-vous une\nmeilleure idée de ce qui se passe, et vous pouvez le définir plus précisément (était également pratique parce que je voulais un VPN\nla mise en place nécessite des règles spécifiques). iptables est un peu plus compliqué, c’est pourquoi je l’ai\nune pièce consacrée à la mienne page pare-feu. Pratique pour toi\nen mettant des commandes dans un script, vous pouvez rapidement retourner votre configuration par défaut\nmettre.
"},{"id":"text-36","type":"text","heading":"","plain_text":"FSynchronisation des fichiers et\nSauvegarde\nIl existe plusieurs méthodes de sauvegarde. Pendant un moment j'ai rsync utilisé que\neffectué une copie de sauvegarde de mes & # 39; documents & # 39; dossier sur mon bureau à la framboise. Mais maintenant moi aussi\nPour utiliser davantage mon ordinateur portable, j'ai besoin d'un outil capable de synchroniser plusieurs ordinateurs.\nJ'ai pour ça Unisson\nchoisi. Ceci garde une trace des modifications des dossiers spécifiés par ordinateur et permet ainsi de voir quand\nles fichiers ont été modifiés; puis envoie les fichiers corrects dans les deux sens. Même lorsque les embouteillages sont jetés\ncela est géré correctement.\nLe seul problème était que la même version d'Unison devait être utilisée sur tous les systèmes …\nEt la version la plus récente (telle qu’elle est utilisée dans Ubuntu) est apparemment difficile sur Raspberry.\nse mettre au travail J'ai choisi la version partout 2.40.102 comme sur la framboise aussi\nexécutez et "corrigez" cette version pour empêcher un ordinateur de se mettre à jour à partir du\ncommence juste à marcher. "Comment\ninstaller Unison 2.40 sur Ubuntu 16.04& # 39; a aidé [link naar binary]. Téléchargé sur Ubuntu (op\nVous pouvez simplement utiliser la framboise & # 39;apt-get install& # 39; utilisation), et cela ne garantit pas immédiatement qu'il\nles nouvelles versions écrasent:\nsudo dpkg –install ./unison-gtk_2.40.102-2ubuntu1_amd64.debsudo apt-mark hold unison-gtksudo apt-mark à l'unisson\nVous pouvez exécuter Unison via SSH (une connexion sécurisée, utile si\nun de vos ordinateurs est situé ailleurs dans le monde), ou via une prise TCP locale (non sécurisée)\nAlors!). Vous avez opté pour la prise TCP plus simple sur le port 12345. Ouvrez le pare-feu de votre réseau local / PC, mais bien sûr, pas celui vers le\nmonde extérieur / internet! Fichier de configuration unison.prf dans la carte\n~ / .unison dans mon cas, à peu près comme dans ce fichier de configuration à l'unisson. Et sur\nlancez Raspberry Unison en tant que serveur:\nprise à l'unisson 12345 &\nTour Unisson maintenant à la main (vérifiez si tout se passe bien), mais souhaitez-le plus tard\nfaites-le automatiquement dans les scripts de démarrage et de fermeture.","html":"FSynchronisation des fichiers et\nSauvegarde\nIl existe plusieurs méthodes de sauvegarde. Pendant un moment j'ai rsync utilisé que\neffectué une copie de sauvegarde de mes & # 39; documents & # 39; dossier sur mon bureau à la framboise. Mais maintenant moi aussi\nPour utiliser davantage mon ordinateur portable, j'ai besoin d'un outil capable de synchroniser plusieurs ordinateurs.\nJ'ai pour ça Unisson\nchoisi. Ceci garde une trace des modifications des dossiers spécifiés par ordinateur et permet ainsi de voir quand\nles fichiers ont été modifiés; puis envoie les fichiers corrects dans les deux sens. Même lorsque les embouteillages sont jetés\ncela est géré correctement.\nLe seul problème était que la même version d'Unison devait être utilisée sur tous les systèmes …\nEt la version la plus récente (telle qu’elle est utilisée dans Ubuntu) est apparemment difficile sur Raspberry.\nse mettre au travail J'ai choisi la version partout 2.40.102 comme sur la framboise aussi\nexécutez et "corrigez" cette version pour empêcher un ordinateur de se mettre à jour à partir du\ncommence juste à marcher. "Comment\ninstaller Unison 2.40 sur Ubuntu 16.04& # 39; a aidé [link naar binary]. Téléchargé sur Ubuntu (op\nVous pouvez simplement utiliser la framboise & # 39;apt-get install& # 39; utilisation), et cela ne garantit pas immédiatement qu'il\nles nouvelles versions écrasent:\nsudo dpkg –install ./unison-gtk_2.40.102-2ubuntu1_amd64.debsudo apt-mark hold unison-gtksudo apt-mark à l'unisson\nVous pouvez exécuter Unison via SSH (une connexion sécurisée, utile si\nun de vos ordinateurs est situé ailleurs dans le monde), ou via une prise TCP locale (non sécurisée)\nAlors!). Vous avez opté pour la prise TCP plus simple sur le port 12345. Ouvrez le pare-feu de votre réseau local / PC, mais bien sûr, pas celui vers le\nmonde extérieur / internet! Fichier de configuration unison.prf dans la carte\n~ / .unison dans mon cas, à peu près comme dans ce fichier de configuration à l'unisson. Et sur\nlancez Raspberry Unison en tant que serveur:\nprise à l'unisson 12345 &\nTour Unisson maintenant à la main (vérifiez si tout se passe bien), mais souhaitez-le plus tard\nfaites-le automatiquement dans les scripts de démarrage et de fermeture.
"},{"id":"text-37","type":"text","heading":"","plain_text":"Mserveur edia\nmédiatombe","html":"Mserveur edia\nmédiatombe
"},{"id":"text-38","type":"text","heading":"","plain_text":"Inspecteur UPnP\nAvec inspecteur upnp\nCliquez ici pour afficher la liste des serveurs, cliquez ici pour afficher le texte original Raspberry niet vinden\nmijn TV als zowel een mediaRenderer als een RemoteControlReceiver)","html":"Inspecteur UPnP\nAvec inspecteur upnp\nCliquez ici pour afficher la liste des serveurs, cliquez ici pour afficher le texte original Raspberry niet vinden\nmijn TV als zowel een mediaRenderer als een RemoteControlReceiver)
"},{"id":"text-39","type":"text","heading":"","plain_text":"Ik ben niet dirige directement son lecteur multimédia sur XBMC (sur Raspbmc, sur XBian et sur OpenELEC), sur le serveur multimédia\n(rencontré le nom audio dans la photo de la télévision slim avec le Samsung AllShare) est le meilleur plan\nben (via DNLA / UPnP rencontré de médiatombe\nserveur.\nInstallation et maintenance standard apt-get, en daarna kan je vanuit je web\nnavigateur sur je lokale netwerk médiatombe vertellen welke media hij beschikbaar moet stellen\nals server (standaard op http: // <adresse_pip-framboise>: 49152). N / a\ninstaller des films sur le monde avec la télévision, en savoir plus sur ce qui se passe\nconfiguratiefile plaats vinden. Problèmes liés à la télévision Samsung avec les en-têtes http standard\n(zie deze médiatombe\nconfiguration pagina), plus de médias supplémentaires disponibles, et plus encore.\nMaar, toen werkte het nog niet. Ik avait blijkbaar op een de andere manier tijdens het proberen\nmijn médiatombe base de données sur les entreprises, vous voulez en savoir plus sur ce produit\nWerkte het opeens wel: zowel op mijn TV, mijn téléphone Android (MediaHouse),\nen mijn PC rencontré VLC (al vind die médiatombe soms pas na een lange tijd). Porte de\nautoscan optie in mijn /etc/mediatomb/config.xml bouwt\nmédiatombe base de données automatique de weed op weer.\nsudo /etc/init.d/mediatomb stopsudo rm /var/lib/mediatomb/mediatomb.dbsudo /etc/init.d/mediatomb start","html":"Ik ben niet dirige directement son lecteur multimédia sur XBMC (sur Raspbmc, sur XBian et sur OpenELEC), sur le serveur multimédia\n(rencontré le nom audio dans la photo de la télévision slim avec le Samsung AllShare) est le meilleur plan\nben (via DNLA / UPnP rencontré de médiatombe\nserveur.\nInstallation et maintenance standard apt-get, en daarna kan je vanuit je web\nnavigateur sur je lokale netwerk médiatombe vertellen welke media hij beschikbaar moet stellen\nals server (standaard op http: // <adresse_pip-framboise>: 49152). N / a\ninstaller des films sur le monde avec la télévision, en savoir plus sur ce qui se passe\nconfiguratiefile plaats vinden. Problèmes liés à la télévision Samsung avec les en-têtes http standard\n(zie deze médiatombe\nconfiguration pagina), plus de médias supplémentaires disponibles, et plus encore.\nMaar, toen werkte het nog niet. Ik avait blijkbaar op een de andere manier tijdens het proberen\nmijn médiatombe base de données sur les entreprises, vous voulez en savoir plus sur ce produit\nWerkte het opeens wel: zowel op mijn TV, mijn téléphone Android (MediaHouse),\nen mijn PC rencontré VLC (al vind die médiatombe soms pas na een lange tijd). Porte de\nautoscan optie in mijn /etc/mediatomb/config.xml bouwt\nmédiatombe base de données automatique de weed op weer.\nsudo /etc/init.d/mediatomb stopsudo rm /var/lib/mediatomb/mediatomb.dbsudo /etc/init.d/mediatomb start
"},{"id":"text-40","type":"text","heading":"","plain_text":"VLC en DLNA\nRencontré VLC Merci beaucoup pour le serveur DLNA médiatombe verbinden via View ->\nListe de lecture -> Réseau local -> Universal Plug’n Play. Wel même geduld hebben, duurt même\nvoordat de servers gevonden worden.","html":"VLC en DLNA\nRencontré VLC Merci beaucoup pour le serveur DLNA médiatombe verbinden via View ->\nListe de lecture -> Réseau local -> Universal Plug’n Play. Wel même geduld hebben, duurt même\nvoordat de servers gevonden worden.
"},{"id":"text-41","type":"text","heading":"","plain_text":"Zowel een mpeg4 que efen avi vidéo speelden nu goed af (verks verhalen dat Samsung TV & s\nTout ce que vous devez savoir sur le format DLNA, ik avait\nblijkbaar geluk en hoef niet transcoden). Film 1280 x 720 H.264 (1,5 Mo / s)\nkoste travaille sur 2% de la charge du processeur. Les fichiers audio MP3 sont primés (à la télévision, les fichiers WMA sont:\nomzetten naar MP3 met wma2mp3). Alleen de folderstructuur\nop mijn TV est la première personne à choisir une nouvelle série de photos … Série Sommige\nil y a deux mois, vous avez rencontré ma première photo de photos. In een andere folder is die\nserie dan wel weer helemaal te zien. Vreemd, nog eens uitzoeken.","html":"Zowel een mpeg4 que efen avi vidéo speelden nu goed af (verks verhalen dat Samsung TV & s\nTout ce que vous devez savoir sur le format DLNA, ik avait\nblijkbaar geluk en hoef niet transcoden). Film 1280 x 720 H.264 (1,5 Mo / s)\nkoste travaille sur 2% de la charge du processeur. Les fichiers audio MP3 sont primés (à la télévision, les fichiers WMA sont:\nomzetten naar MP3 met wma2mp3). Alleen de folderstructuur\nop mijn TV est la première personne à choisir une nouvelle série de photos … Série Sommige\nil y a deux mois, vous avez rencontré ma première photo de photos. In een andere folder is die\nserie dan wel weer helemaal te zien. Vreemd, nog eens uitzoeken.
"},{"id":"text-42","type":"text","heading":"","plain_text":"Home Control en MQTT\nEen van de taken van mijn home server is ook home control en automation (domotica). Maar, voor\nje wilt controleren: meten is weten… Vandaar mijn interesse om ook bijvoorbeeld I²C\nsensoren (als een temperatuursensor in de huiskamer) aan te kunnen sluiten, zie mijn Raspberry Pi hardware pagina. Een simpel voorbeeld van meten: hoe vaak en lang\nstaat mijn PC eigenlijk aan? En mijn TV (met internet)? Geen sensoren voor nodig; je kan dit gewoon\nmet het ping-commando: als je een antwoord terug\nkrijgt (in $?, 0=OK) staat het apparaat aan. Stop dit in een script samen met een time-stamp, en je\nkunt het eenvoudig bijhouden.","html":"Home Control en MQTT\nEen van de taken van mijn home server is ook home control en automation (domotica). Maar, voor\nje wilt controleren: meten is weten… Vandaar mijn interesse om ook bijvoorbeeld I²C\nsensoren (als een temperatuursensor in de huiskamer) aan te kunnen sluiten, zie mijn Raspberry Pi hardware pagina. Een simpel voorbeeld van meten: hoe vaak en lang\nstaat mijn PC eigenlijk aan? En mijn TV (met internet)? Geen sensoren voor nodig; je kan dit gewoon\nmet het ping-commando: als je een antwoord terug\nkrijgt (in $?, 0=OK) staat het apparaat aan. Stop dit in een script samen met een time-stamp, en je\nkunt het eenvoudig bijhouden.
"},{"id":"text-43","type":"text","heading":"","plain_text":"Rode lijnen met de hand er in gezet: daalt de temperatuur\nbuiten overdag onder de 18° dan gaat de kachel blijkbaar aan…\nDit kan natuurlijk veel slimmer… Een voorbeeld daarvan is het uitlezen van de 'slimme\nenergiemeter', zodat je je energiegebruik goed in de gaten kunt houden. Je kan dit natuurlijk\n'uitbesteden', maar ik wil eigenlijk niet dat anderen mij in de gaten kunnen houden. Bovendien is\nzelf doen leuker en leerzamer. Ik heb mijn slimme energiemeter met zijn P1-poort via een\nserieel-naar-USB kabeltje aangesloten op de Raspberry. Daar komt nu elke 10 seconden een datagram\nvolgens de DSMR (Dutch Smart\nMeter Requirements) 4.2 standaard met de gebruiksgegevens van elektra en gas binnen[hier een\noverzicht voor diverse smart\nmètres, onderaan pagina]. Op de Raspberry loopt een klein 'servertje', die deze gegevens\nopvangt. Via UDP kan nu elke computer op mijn netwerk dit weer opvragen. Op dezelfde Raspberry\nloopt ook mijn logging, zodat ik 'mooie' overzichten krijg, geeft best inzicht in waar je\nelektriciteit en gas blijft.","html":"Rode lijnen met de hand er in gezet: daalt de temperatuur\nbuiten overdag onder de 18° dan gaat de kachel blijkbaar aan…\nDit kan natuurlijk veel slimmer… Een voorbeeld daarvan is het uitlezen van de 'slimme\nenergiemeter', zodat je je energiegebruik goed in de gaten kunt houden. Je kan dit natuurlijk\n'uitbesteden', maar ik wil eigenlijk niet dat anderen mij in de gaten kunnen houden. Bovendien is\nzelf doen leuker en leerzamer. Ik heb mijn slimme energiemeter met zijn P1-poort via een\nserieel-naar-USB kabeltje aangesloten op de Raspberry. Daar komt nu elke 10 seconden een datagram\nvolgens de DSMR (Dutch Smart\nMeter Requirements) 4.2 standaard met de gebruiksgegevens van elektra en gas binnen[hier een\noverzicht voor diverse smart\nmètres, onderaan pagina]. Op de Raspberry loopt een klein 'servertje', die deze gegevens\nopvangt. Via UDP kan nu elke computer op mijn netwerk dit weer opvragen. Op dezelfde Raspberry\nloopt ook mijn logging, zodat ik 'mooie' overzichten krijg, geeft best inzicht in waar je\nelektriciteit en gas blijft.
"},{"id":"text-44","type":"text","heading":"","plain_text":"Geel is elektra\ngroen is gas","html":"Geel is elektra\ngroen is gas
"},{"id":"text-45","type":"text","heading":"","plain_text":"Langzaam begint er ook een écht home control netwerk te ontstaan. Hierbij wordt niet alles\ndirect door de Raspberry bestuurd, maar heb ik 'lokale intelligentie'; slimme kleine nodes\ngebaseerd op de AVR ATtiny (zou ook met b.v. Arduino Nano\nkunnen). Deze hangen dan via een 3-draads seriële bus aan de Raspberry (Ethernet is veel te 'zwaar'\nvoor dit doel). Je kan het het best vergelijken met hoe een lichaam werkt: de Raspberry is het\ncentrale brein, maar een heleboel taken worden lokaal door reflexen afgehandeld, en de zintuigen\nzijn daarmee verbonden. Voordeel is dat deze reflexen doorlopen ook als het brein tijdelijk met\niets anders bezig is (of plat ligt).\nEen voorbeeld hiervan is de afzuiging in de douche: een ATtiny is een lokale node, met daarop\nals 'zintuig' een I2C temperatuursensor aan de warmwatertoevoer (handiger dan via de lamp). Als er\ngedoucht wordt wordt de leiding warm, en schakelt de ATtiny zelfstandig de afzuiger aan via een\nsolid state schakelaar: de reflexreactie van de ATtiny. De ATtiny regelt ook de 'nalooptijd': hoe\nlang moet de ventilator doorlopen als er gestopt is met douchen. Maar, dit alles wordt ook\ndoorgegeven aan het brein, en dat kan bijvoorbeeld besluiten de reflex te onderdrukken, of de\nnalooptijd aan te passen. Ook is het geheugen in het brein: de temperatuur wordt hier weer gelogd\n(en nu en dan centraal opgevraagd).","html":"Langzaam begint er ook een écht home control netwerk te ontstaan. Hierbij wordt niet alles\ndirect door de Raspberry bestuurd, maar heb ik 'lokale intelligentie'; slimme kleine nodes\ngebaseerd op de AVR ATtiny (zou ook met b.v. Arduino Nano\nkunnen). Deze hangen dan via een 3-draads seriële bus aan de Raspberry (Ethernet is veel te 'zwaar'\nvoor dit doel). Je kan het het best vergelijken met hoe een lichaam werkt: de Raspberry is het\ncentrale brein, maar een heleboel taken worden lokaal door reflexen afgehandeld, en de zintuigen\nzijn daarmee verbonden. Voordeel is dat deze reflexen doorlopen ook als het brein tijdelijk met\niets anders bezig is (of plat ligt).\nEen voorbeeld hiervan is de afzuiging in de douche: een ATtiny is een lokale node, met daarop\nals 'zintuig' een I2C temperatuursensor aan de warmwatertoevoer (handiger dan via de lamp). Als er\ngedoucht wordt wordt de leiding warm, en schakelt de ATtiny zelfstandig de afzuiger aan via een\nsolid state schakelaar: de reflexreactie van de ATtiny. De ATtiny regelt ook de 'nalooptijd': hoe\nlang moet de ventilator doorlopen als er gestopt is met douchen. Maar, dit alles wordt ook\ndoorgegeven aan het brein, en dat kan bijvoorbeeld besluiten de reflex te onderdrukken, of de\nnalooptijd aan te passen. Ook is het geheugen in het brein: de temperatuur wordt hier weer gelogd\n(en nu en dan centraal opgevraagd).
"},{"id":"text-46","type":"text","heading":"","plain_text":"Android MQTT Dash,\nmet de kerstboom op de Sonoff1 module","html":"Android MQTT Dash,\nmet de kerstboom op de Sonoff1 module
"},{"id":"text-47","type":"text","heading":"","plain_text":"Ik heb over de eerste opbouw van het systeem en het netwerk een lezing gehouden op 20 augustus\n2013 bij EmSE (Embedded Systems Eindhoven, een\nhobby-club); hier de Home Control\npresentatie (pdf). Web pagina's met details maak ik nog wel eens, maar zie ook mijn Arduino pagina.\nHoe komen alle gegevens bij elkaar? Dit kan het handigst via een 'data broker', waar sensoren de\ngegevens kunnen publiceren, en toepassingen zich op gegevens kunnen abonneren. De distributie wordt\ndan automatisch via de broker gedaan. Ik gebruik hiervoor de mosquitto (open source MQTT message broker)\nserver. mosquitto implementeerd het standaard "Message Queuing\nTelemetry Transport" protocol, dat door veel systemen ondersteund wordt. Zie voor\ninstallatie bijvoorbeeld de Youtube MQTT basics video.\nEr zijn ook bijvoorbeeld Android app's om de data te bekijken/te wijzigen, zodat ik ook een\nmakkelijker user interface heb (in plaats van mijn simpele lighttpd web interface). Het geheel is wel bewust alleen\nvanaf mijn lokale netwerk te benaderen, dus minder risico voor 'inbraak'. Via MQTT (en bijvoorbeeld\nMQTT Dash) kan ik\ndiverse modules besturen, zoals ook mijn Sonoff wifi-gestuurde switch met eigen software (zie mijn\nArduino pagina), en mijn 'IoT\nEnergieverklikker'-lamp, waarvan de kleur zich aanpast aan het energiegebruik op dat\nmoment.\nHet leuke van MQTT is dat je zo makkelijk allerlei losse componenten/programma's aan elkaar kan\nknopen. Ik heb dus bijvoorbeeld de Sonoff WiFi 220V schakelaar. Op de Raspberry heb ik een 'timer'\nscript gemaakt (als in een digitale tijdschakelklok) in Python; zie plaatje rechts, 'Sonoff1Timer'.\nDit script publiceert de aan/uit stand van de timer, de Sonoff1 (met de kerstboom) luistert hier\nnaar. Maar, nu heb ik een kerstster, op een andere module aangesloten. Questie van deze ook naar\ndie Sonoff timer te laten luisteren, en hij schakelt braaf mee. Op beide modules zit ook een\nschakelaar, deze laat ik ook de lamp schakelen: ze publiceren ook naar het timer-kanaal, en\nluisteren daardoor met elkaar mee.","html":"Ik heb over de eerste opbouw van het systeem en het netwerk een lezing gehouden op 20 augustus\n2013 bij EmSE (Embedded Systems Eindhoven, een\nhobby-club); hier de Home Control\npresentatie (pdf). Web pagina's met details maak ik nog wel eens, maar zie ook mijn Arduino pagina.\nHoe komen alle gegevens bij elkaar? Dit kan het handigst via een 'data broker', waar sensoren de\ngegevens kunnen publiceren, en toepassingen zich op gegevens kunnen abonneren. De distributie wordt\ndan automatisch via de broker gedaan. Ik gebruik hiervoor de mosquitto (open source MQTT message broker)\nserver. mosquitto implementeerd het standaard "Message Queuing\nTelemetry Transport" protocol, dat door veel systemen ondersteund wordt. Zie voor\ninstallatie bijvoorbeeld de Youtube MQTT basics video.\nEr zijn ook bijvoorbeeld Android app's om de data te bekijken/te wijzigen, zodat ik ook een\nmakkelijker user interface heb (in plaats van mijn simpele lighttpd web interface). Het geheel is wel bewust alleen\nvanaf mijn lokale netwerk te benaderen, dus minder risico voor 'inbraak'. Via MQTT (en bijvoorbeeld\nMQTT Dash) kan ik\ndiverse modules besturen, zoals ook mijn Sonoff wifi-gestuurde switch met eigen software (zie mijn\nArduino pagina), en mijn 'IoT\nEnergieverklikker'-lamp, waarvan de kleur zich aanpast aan het energiegebruik op dat\nmoment.\nHet leuke van MQTT is dat je zo makkelijk allerlei losse componenten/programma's aan elkaar kan\nknopen. Ik heb dus bijvoorbeeld de Sonoff WiFi 220V schakelaar. Op de Raspberry heb ik een 'timer'\nscript gemaakt (als in een digitale tijdschakelklok) in Python; zie plaatje rechts, 'Sonoff1Timer'.\nDit script publiceert de aan/uit stand van de timer, de Sonoff1 (met de kerstboom) luistert hier\nnaar. Maar, nu heb ik een kerstster, op een andere module aangesloten. Questie van deze ook naar\ndie Sonoff timer te laten luisteren, en hij schakelt braaf mee. Op beide modules zit ook een\nschakelaar, deze laat ik ook de lamp schakelen: ze publiceren ook naar het timer-kanaal, en\nluisteren daardoor met elkaar mee.
"},{"id":"text-48","type":"text","heading":"","plain_text":"Minimale Mail Server\nexim4\nSoms is het ook handig als je Raspberry server je een emailtje kan sturen, voor wekelijkse\nstatusrapporten of als er bijvoorbeeld iets mis is. Heb een scriptje in\n/etc/cron.weekly gezet die me wekelijks op maandag een mail stuurt, met bijvoorbeeld\nhet geheugengebruik (libre), de vrije SDcard-ruimte en zo voort. Ik wilde het programma\ncourrier hiervoor gebruiken; blijkbaar moet je hiervoor een mail server als exim4 ou sendmail draaien:\nsudo apt-get install mailutilssudo rm /var/log/exim4/paniclogsudo dpkg-reconfigure exim4-config","html":"Minimale Mail Server\nexim4\nSoms is het ook handig als je Raspberry server je een emailtje kan sturen, voor wekelijkse\nstatusrapporten of als er bijvoorbeeld iets mis is. Heb een scriptje in\n/etc/cron.weekly gezet die me wekelijks op maandag een mail stuurt, met bijvoorbeeld\nhet geheugengebruik (libre), de vrije SDcard-ruimte en zo voort. Ik wilde het programma\ncourrier hiervoor gebruiken; blijkbaar moet je hiervoor een mail server als exim4 ou sendmail draaien:\nsudo apt-get install mailutilssudo rm /var/log/exim4/paniclogsudo dpkg-reconfigure exim4-config
"},{"id":"text-49","type":"text","heading":"","plain_text":"Problemen: zie de logfile /var/log/exim4/mainlog en eventueel\n/var/log/exim4/paniclog.\nSoms worden mails vastgehouden als er iets niet werkt. Dan\nis het handig vanaf nul te beginnen, queue legen als in clear outgoing exim4 queue:\nexim -bp | awk '/^ *[0-9]+[mhd]/print "exim -Mrm " $3' | sh (als root). xxx\nexim4-config stelt een aantal vragen; zie hiervoor Send-only\nMail Server maar kies 'mail send by smarthost; no local mail& # 39; en verwijder het IPv6\nadres in 'IP addresses to listen on…'. Na configuratie moet je ook de file\n/etc/email-addresses updaten met in ieder geval root:\n@upcmail·NL (voor mail verzonden als root, in ieder\ngeval UPC vind het niet leuk als je mail verzend waarbij de zender niet een geldig @upcmail·nl\nemailadres vermeld). En nu werkt bijvoorbeeld (één regel):\necho "Dit is een test" | mail -s Testing\n@keesmoerman·nl\nOm disk-access te reduceren misschien goed om het interval waarmee exim4 de queue\nverwerkt wat hoger te zetten (bv van 30 minuten naar 4 uur), als je geen tijd-kritische mail hebt:\nsudo update-exim4defaults -f --queuetime 4h, scheelt in het schrijven van de log file.\nNog eens uitzoeken waar ik log_level moet zetten; zo lang maar even met de hand naar\n/tmp/exim4 verhuisd, wel terugverhuizen voor je afsluit als je ze nog ooit wil lezen\n(nog een keer automatiseren; en exim4_old is een kopie van /var/log/exim4\nna installatie):\nsudo mv /var/log/exim4 /var/log/exim4_oldsudo cp -rap /var/log/exim4_old /tmp/exim4sudo ln -s /tmp/exim4 /var/log/exim4\nWil je de configuratie handmatig aanpassen (zonder dpkg-reconfigure), dan kan je de\nfile met settings wijzigen:\nsudo service exim4 stopsudo nano /etc/exim4/update-exim4.conf.confsudo update-exim4.confsudo service exim4 start","html":"Problemen: zie de logfile /var/log/exim4/mainlog en eventueel\n/var/log/exim4/paniclog.\nSoms worden mails vastgehouden als er iets niet werkt. Dan\nis het handig vanaf nul te beginnen, queue legen als in clear outgoing exim4 queue:\nexim -bp | awk '/^ *[0-9]+[mhd]/print "exim -Mrm " $3' | sh (als root). xxx\nexim4-config stelt een aantal vragen; zie hiervoor Send-only\nMail Server maar kies 'mail send by smarthost; no local mail& # 39; en verwijder het IPv6\nadres in 'IP addresses to listen on…'. Na configuratie moet je ook de file\n/etc/email-addresses updaten met in ieder geval root:\n@upcmail·NL (voor mail verzonden als root, in ieder\ngeval UPC vind het niet leuk als je mail verzend waarbij de zender niet een geldig @upcmail·nl\nemailadres vermeld). En nu werkt bijvoorbeeld (één regel):\necho "Dit is een test" | mail -s Testing\n@keesmoerman·nl\nOm disk-access te reduceren misschien goed om het interval waarmee exim4 de queue\nverwerkt wat hoger te zetten (bv van 30 minuten naar 4 uur), als je geen tijd-kritische mail hebt:\nsudo update-exim4defaults -f --queuetime 4h, scheelt in het schrijven van de log file.\nNog eens uitzoeken waar ik log_level moet zetten; zo lang maar even met de hand naar\n/tmp/exim4 verhuisd, wel terugverhuizen voor je afsluit als je ze nog ooit wil lezen\n(nog een keer automatiseren; en exim4_old is een kopie van /var/log/exim4\nna installatie):\nsudo mv /var/log/exim4 /var/log/exim4_oldsudo cp -rap /var/log/exim4_old /tmp/exim4sudo ln -s /tmp/exim4 /var/log/exim4\nWil je de configuratie handmatig aanpassen (zonder dpkg-reconfigure), dan kan je de\nfile met settings wijzigen:\nsudo service exim4 stopsudo nano /etc/exim4/update-exim4.conf.confsudo update-exim4.confsudo service exim4 start
"},{"id":"text-50","type":"text","heading":"","plain_text":"Web server\nlighttpd\nAls web-server (dus om webpagina's beschikbaar te maken) gebruik ik het lichtgewicht lighttpd. Apache is uiteraard krachtiger, maar ook zwaarder\nvoor die arme Pi… Mooi is dat lighttpd ook naar Python (en Perl) kan interfacen volgens de\nCGI-standaard, zodat ik dynamische webpages kan maken met Python scripts om zo ook een interface te\nhebben naar mijn home control systeem. Installatie staat goed uitgelegd op 'Installing\nLighttpd with Python CGI support& # 39; en op 'Comment\nto get Python to work with Lighttpd?& # 39; (inclusief Python voorbeeldje). Had natuurlijk ook een\nPython server kunnen gebruiken, maar dit is denk ik toch minder werk. Ps: ik heb deze webpages\nalleen beschikbaar op mijn lokale netwerk; niet direct van buitenaf (maar zie SSH met port forwarding) dus aanvallen heeft geen zin.","html":"Web server\nlighttpd\nAls web-server (dus om webpagina's beschikbaar te maken) gebruik ik het lichtgewicht lighttpd. Apache is uiteraard krachtiger, maar ook zwaarder\nvoor die arme Pi… Mooi is dat lighttpd ook naar Python (en Perl) kan interfacen volgens de\nCGI-standaard, zodat ik dynamische webpages kan maken met Python scripts om zo ook een interface te\nhebben naar mijn home control systeem. Installatie staat goed uitgelegd op 'Installing\nLighttpd with Python CGI support& # 39; en op 'Comment\nto get Python to work with Lighttpd?& # 39; (inclusief Python voorbeeldje). Had natuurlijk ook een\nPython server kunnen gebruiken, maar dit is denk ik toch minder werk. Ps: ik heb deze webpages\nalleen beschikbaar op mijn lokale netwerk; niet direct van buitenaf (maar zie SSH met port forwarding) dus aanvallen heeft geen zin.
"},{"id":"text-51","type":"text","heading":"","plain_text":"Volgens mij kan het aanzetten van (Python voor) CGI (Common Gateway Interface) scripts\neenvoudiger dan beschreven, volgens de welkom-page: "CGI scripts are looked for in\n/usr/lib/cgi-bin, which is where Debian packages will place their scripts. Vous pouvez\nenable cgi module by using command "lighty-enable-mod cgi". Maar, ik had de eerste\nmethode al gebruikt…","html":"Volgens mij kan het aanzetten van (Python voor) CGI (Common Gateway Interface) scripts\neenvoudiger dan beschreven, volgens de welkom-page: "CGI scripts are looked for in\n/usr/lib/cgi-bin, which is where Debian packages will place their scripts. Vous pouvez\nenable cgi module by using command "lighty-enable-mod cgi". Maar, ik had de eerste\nmethode al gebruikt…
"},{"id":"text-52","type":"text","heading":"","plain_text":"En dan natuurlijk: hoe werkt Python met\nCGI (meer uitleg)? Ik heb nog weinig\nervaring met Python, maar wel veel met Perl CGI programming. Blijkt\nniet zo heel veel verschil in te zitten, CGI is natuurlijk toch een standaard interface. Enige\nlastige is dat fouten niet in de error log (sudo cat /var/log/lighttpd/error.log)\nterecht komen, maar je kunt ook vanuit een terminal testen en dan krijg je de fouten gewoon daarin.\nAlternatief: met de onderstaande code in je Python CGI-script komt de foutmelding in je webbrowser\nte staan:\nimport cgi # Dit\nnatuurlijk sowieso voor cgi programmingimport cgitb # voor de foutmeldingencgitb.enable() # of naar file: cgitb.enable(display=0,\nlogdir="/path/to/logdir")","html":"En dan natuurlijk: hoe werkt Python met\nCGI (meer uitleg)? Ik heb nog weinig\nervaring met Python, maar wel veel met Perl CGI programming. Blijkt\nniet zo heel veel verschil in te zitten, CGI is natuurlijk toch een standaard interface. Enige\nlastige is dat fouten niet in de error log (sudo cat /var/log/lighttpd/error.log)\nterecht komen, maar je kunt ook vanuit een terminal testen en dan krijg je de fouten gewoon daarin.\nAlternatief: met de onderstaande code in je Python CGI-script komt de foutmelding in je webbrowser\nte staan:\nimport cgi # Dit\nnatuurlijk sowieso voor cgi programmingimport cgitb # voor de foutmeldingencgitb.enable() # of naar file: cgitb.enable(display=0,\nlogdir="/path/to/logdir")
"},{"id":"text-53","type":"text","heading":"","plain_text":"réynamic IP adres\nTja, nu heb je je server netjes ingesteld, maar hoe kunnen anderen die nu van buitenaf vinden?\nNormaal hebben servers een domeinnaam (b.v. keesmoerman.nl). Via deze naam kunnen\nanderen dan het IP-adres van de server opvragen, en dan via dat IP adres contact leggen. Maar, de\nmeeste mensen hebben meestal geen domein naam voor de thuiscomputer; alleen maar een IP als\ntoegewezen door de provider. En dat is vaak dynamisch; dat wil zeggen het kan zonder melding\nwijzigen. Voor tijdelijk gebruik is dit goed te doen; geef naar anderen je IP adres door. Maar,\nmooier is via een 'dynamic DNS service' je huisnetwerk ook een naam te geven.\nEr zijn heel wat providers voor Dynamic\nDNS. Ik ben zelf nu overgestapt naar een gratis dynamic IP address updater van dynu.com (dyndns is niet meer gratis), dus mijn thuissysteem is nu van\nbuitenaf te bereiken via .dynu.com. In het kort: meld je aan bij\ndynu, en zet na bevestiging je Raspberry op om regelmatig te\nchecken en door te geven aan dynu of je IP-adres veranderd is, via ddclient. Je krijgt dan zelfs een mailtje\nals je IP-adres is veranderd! In het kort:\nsudo apt-get install ddclient #\ninstallerensudo /etc/init.d/ddclient stop # stoppen vóór het\nconfigurerensudo nano /etc/ddclient.conf # edit config (user\nname/passwd), download defaults van\ndynu.comsudo ddclient -daemon=0 -debug -verbose -noquiet # debug: check of de\nzaak wel werkt#sudo /etc/init.d/ddclient restart # Alles OK? –> final start (op\nde oude manier)sudo service ddclient start # Alles OK? –> final\nDébut","html":"réynamic IP adres\nTja, nu heb je je server netjes ingesteld, maar hoe kunnen anderen die nu van buitenaf vinden?\nNormaal hebben servers een domeinnaam (b.v. keesmoerman.nl). Via deze naam kunnen\nanderen dan het IP-adres van de server opvragen, en dan via dat IP adres contact leggen. Maar, de\nmeeste mensen hebben meestal geen domein naam voor de thuiscomputer; alleen maar een IP als\ntoegewezen door de provider. En dat is vaak dynamisch; dat wil zeggen het kan zonder melding\nwijzigen. Voor tijdelijk gebruik is dit goed te doen; geef naar anderen je IP adres door. Maar,\nmooier is via een 'dynamic DNS service' je huisnetwerk ook een naam te geven.\nEr zijn heel wat providers voor Dynamic\nDNS. Ik ben zelf nu overgestapt naar een gratis dynamic IP address updater van dynu.com (dyndns is niet meer gratis), dus mijn thuissysteem is nu van\nbuitenaf te bereiken via .dynu.com. In het kort: meld je aan bij\ndynu, en zet na bevestiging je Raspberry op om regelmatig te\nchecken en door te geven aan dynu of je IP-adres veranderd is, via ddclient. Je krijgt dan zelfs een mailtje\nals je IP-adres is veranderd! In het kort:\nsudo apt-get install ddclient #\ninstallerensudo /etc/init.d/ddclient stop # stoppen vóór het\nconfigurerensudo nano /etc/ddclient.conf # edit config (user\nname/passwd), download defaults van\ndynu.comsudo ddclient -daemon=0 -debug -verbose -noquiet # debug: check of de\nzaak wel werkt#sudo /etc/init.d/ddclient restart # Alles OK? –> final start (op\nde oude manier)sudo service ddclient start # Alles OK? –> final\nDébut
"},{"id":"text-54","type":"text","heading":"","plain_text":"Niet nodig\nEr lopen ook vast services die niet nodig zijn. Zo kwam ik modem-manager tegen, die zorgt\nvoor telefooncommunicatie via USB. Ik hang toch geen GSM modem aan mijn raspberry, dus die heb ik\ngestopt met de onderstaande regel (één regel). Alleen killall modem-manager werkt\nnamelijk niet; wordt automatisch weer gestart door de network manager…\nsudo mv /usr/share/dbus-1/system-services/org.freedesktop.ModemManager.service\n/usr/share/dbus-1/system-services/org.freedesktop.ModemManager.service.disabled","html":"Niet nodig\nEr lopen ook vast services die niet nodig zijn. Zo kwam ik modem-manager tegen, die zorgt\nvoor telefooncommunicatie via USB. Ik hang toch geen GSM modem aan mijn raspberry, dus die heb ik\ngestopt met de onderstaande regel (één regel). Alleen killall modem-manager werkt\nnamelijk niet; wordt automatisch weer gestart door de network manager…\nsudo mv /usr/share/dbus-1/system-services/org.freedesktop.ModemManager.service\n/usr/share/dbus-1/system-services/org.freedesktop.ModemManager.service.disabled
"},{"id":"text-55","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Framboise\nPi, l'ordinateur Linux à 25 $? OK, l'affaire est un peu plus nuancée, mais c'est quand même un tout.\nprojet intéressant. Plus d'informations sur ma page générale RaspberryPi\n(également sur les paramètres, la première utilisation, etc.), cette page est spécifique pour une utilisation en tant que\nserveur domestique (fichiers, accès Internet sécurisé, etc.) et pas vraiment destiné aux débutants. En face de\nExpériences I / O voir ma page de matériel Raspberry."},{"id":"text-2","heading":"Text","content":"Cette page a commencé avec le Raspberry Pi 1, en passant à la Framboise\nPi 3, il peut y avoir de légères différences!"},{"id":"text-3","heading":"Text","content":"Entre autres choses, j'ai maintenant les services suivants en cours d'exécution (avec assez de place pour plus):\nRaspberry Pi est un serveur idéal pour moi car:"},{"id":"text-4","heading":"Text","content":"Doit être sur 24 heures par jour, 365 jours par an, et donc la consommation d'énergie est importante: la\nRaspberry Pi utilise seulement un Watt ou 2..3 (soit environ 6 € par an)\nBasé sur Debian standard, de nombreuses applications (serveur) sont prêtes à l'emploi\ndisponible, en tant que serveur de fichiers samba, serveur Web, serveur shell sécurisé, etc.\nEst assez rapide pour bien gérer la plupart des tâches, notamment en tant que NAS\n(lecteur réseau) pour les sauvegardes et autres\nEst petit et peut donc être intégré dans un petit coin (sans moniteur ni clavier)\nnécessaire, je l’utilise à distance); se dresse avec un disque dur dans le placard du compteur"},{"id":"text-5","heading":"Text","content":"SD prévenir l'usure"},{"id":"text-6","heading":"Text","content":""Raspberry Pi" est une marque de commerce de la Raspberry Pi Foundation."},{"id":"text-7","heading":"Text","content":"Un serveur travaille en permanence. Vous ne voulez pas que la carte SD s'use rapidement car il y en a trop\nest écrit trop souvent. J'ai également eu le même problème avec la clé USB sur le NSLU2, où j'ai pris un certain nombre de mesures pour\nréduire l'écriture sur le disque système. La bonne chose à propos du Raspberry Pi est que\n/ courir et / run / lock (et avec ça / var / lock et\n/ var / run, sont liés ici) déjà standard sur elle tmpfs être monté. C'est\nle "système de fichiers temporaire", une sorte de disque RAM. Donc, ils n'écrivent pas sur la carte SD (voir aussi le\narticle Utiliser tmpfs pour\nMinimiser le disque IO). Voir si je me connecte aussi dans mes fichiers / var / log aux tmpfs\nont … Il y a encore quelque chose d'écrit en reste."},{"id":"text-8","heading":"Text","content":"Oups, avec les dernières versions du raspbian / tmp etc ne pas défaut sur\nune tmpfs système de fichiers monté … Je dois donc faire quelque chose, voir le lien\nici! Mettra à jour le texte plus tard. Faites attention, tmpfs système de fichiers (disque mémoire)\nvotre mémoire de travail (même si elle est permutée).\nTaille actuelle de / tmp est inférieur à 100 ko (commande du -hs / tmp )\n/ var / log est 2,4 MByte."},{"id":"text-9","heading":"Text","content":"Combien est réellement écrit maintenant? Cela peut être vérifié avec / proc / diskstats,\nqui crache une série de chiffres qui représentent la lecture et l’écriture sur vos "disques". Le 7ème terrain\naprès que le nom de l’appareil correspond au nombre de secteurs écrits, vous souhaitez que le changement soit effectué.\ngardez-le au minimum. Commande indiquant l'état actuel du fichier & # 39; / & # 39; partition sur le\nImpressions sur carte SD (une ligne); quelque chose est écrit toutes les 20 minutes au repos:\ntandis que [ 1 ]; faire cat / proc / diskstats | grep mmcblk0p2; dormir 600; terminé\nVous pouvez trouver quels fichiers ont été récemment écrits en créant d'abord un fichier marqueur\n(touchez marqueur.txt), puis après un moment, vérifiez quels fichiers sont plus récents que\nce marqueur. De cette façon, vous pourriez trouver d'autres fichiers que vous avez mis sur tmpfs vouloir monter (dans\ndans mon cas, par exemple, une ligne est définie toutes les heures /var/log/auth.log\nécrit par cronet quelque chose d'autre se passe / tmp):\nsudo find / var / -xdev -newer marker.txt -print\nAvec le programme \niotop (Semblable à Haut pour l’utilisation du processeur / de la mémoire), vous pouvez (parfois) trouver laquelle\nprogramme travaille actuellement sur le disque (astuce: utiliser les options -o -a). Avec cela est venu\nJ'ai découvert pourquoi mon disque dur ne s'était pas endormi: calamar\nlit régulièrement à ce sujet (eh bien, avait déplacé la cache du calmar au HD dans le\n/etc/squid/squid.config fichier …). Voir si ça va mieux maintenant."},{"id":"text-10","heading":"Text","content":"VSécurité et hackers\nRemarque: si vous rendez votre framboise accessible de l’extérieur (comme je l’ai fait pour mon SSH\net serveur VPN), vous avez alors la possibilité que des personnes tentent de pénétrer dans votre système … Assurez-vous d’en avoir un\navoir un pare-feu correctement configuré, travailler avec des fichiers de clés au lieu de mots de passe, etc. (voir\naussi mes pièces SSH et Firewall\nau-delà). Et même alors, ils savent où vous trouver, comme dans le journal ci-dessous (extrait de\n/var/log/auth.log), bien que je n’exécute pas mon SSH sur le port standard.\nDes listes entières de noms d’utilisateurs standard (et de mots de passe par défaut?) Viennent-elles d’être modifiées … Tidy\navec délai, pour que les mécanismes qui bloquent autant de tentatives par minute ne soient pas activés\ndevenir. Mais ils ne sont pas entrés!\nAuth.log tentatives de connexion non valides:1 novembre 23:08:51 raspberry3 sshd[23074]: Invité utilisateur non valide à partir de 101.95.6.21 nov. 23:10:18 raspberry3 sshd[23132]: Invité utilisateur non valide à partir de 101.95.6.2… (beaucoup plus courte, plus de 400 lignes) …2 nov. 10:31:53 raspberry3 sshd[30670]: Utilisateur1 non valide à partir de 101.95.6.22 nov. 10:33:03 raspberry3 sshd[30678]: Utilisateur demo1 non valide à partir de 101.95.6.22 nov. 10:34:14 raspberry3 sshd[30691]: Utilisateur demo1 non valide à partir de 101.95.6.2\nJ'ai maintenant & # 39;Porto\ncognement& # 39; mis en utilisant iptablesCela signifie que vous rencontrez d’abord\nles autres ports doivent être corrects avant que le port SSH ne s'ouvre. OK, je sais, la sécurité à travers\nL’obscurité est une sécurité factice, mais elle arrête un certain nombre de pirates informatiques, je n’en ai pas autant.\nnotifications dans mon fichier journal. Mais pour une réelle sécurité, vous devez encore prendre de vraies mesures, telles que\nse connecter avec des fichiers de clé (comme je l'ai)."},{"id":"text-11","heading":"Text","content":"Osous forme de fichier Samba\nserveur\nL’une des tâches les plus importantes est de travailler en tant que disque réseau, en particulier pour la sauvegarde, mais aussi pour\nstockage central des photos, par exemple. La première étape consiste à configurer un serveur.\naccéder aux fichiers du disque via le réseau (mais ne pas de l'extérieur, uniquement localement),\npour Windows et Linux. J'installe un serveur samba pour cela, comme avant sur mon ordinateur.\nNSLU2: voir mes pages samba et NSLU2, les\nPage eLinux R-Pi NAS et celle-ci aussi Framboise\nSamba page. La première étape consiste bien entendu à installer et à configurer le serveur:"},{"id":"text-12","heading":"Text","content":"Remplacement pour NSLU2\nUne grande partie de la configuration est similaire à celle de mon ancien NSLU2, alors regardez\nil pour plus de détails"},{"id":"text-13","heading":"Text","content":"sudo mkdir / mnt / datasudo apt-get installez samba samba-common-bin# ajustez votre configuration dans la session d’édition (voir ci-dessous):sudo nano / etc / samba / smb.conf# smbpasswd demande le mot de passe (et en retire immédiatement l'utilisateur pi\njeter):sudo smbpasswd -a keessudo smbpasswd -d pisudo smbpasswd -d personne# vérifie si la configuration est correcte:sudo testparm -ssudo /etc/init.d/samba restart"},{"id":"text-14","heading":"Text","content":"N’oubliez pas le (à cause de sécurité = utilisateur) pour ajouter des utilisateurs existants à samba\najouter avec smbpasswd -a (liste des requêtes des utilisateurs existants:\npdbedit -w -L )\nL’ajout d’utilisateurs Linux supplémentaires va de pair avec (éventuellement avec --uid ):adduser ; usermod -g utilisateurs \nVoulez-vous pouvoir vous connecter sans mot de passe? Voir Samba: Comment partager des fichiers sans\nmot de passe de l'utilisateur"},{"id":"text-15","heading":"Text","content":"Configuration samba\ndans le /etc/samba/smb.conf J'ai inclus la section ci-dessous à la fin\npartage de disque commun (voir aussi Samba.org et le Guide de configuration de Samba pour Linux). J'ai aussi tout dedans\n[printers] et [print$] commenté et également avec l'impression\nimpression = bsd et nom printcap = / dev / null mettre; empêche la lenteur et\nmessages d'erreur dans les journaux. sécurité = utilisateur allumé, et dans le [homes]\nsection navigable = non de sorte que seul le dossier partagé est visible. N'oubliez pas\naprès un changement de configuration samba pour redémarrer (si, samba recharge le\nsmb.conf toutes les 60 secondes?): /etc/init.d/samba restart.\n[shared] comment = Fichiers joints chemin = / mnt / data / public groupe de force = utilisateurs utilisateurs valides = @ utilisateurs large à gauche = non créer un masque = 0660 mode création forcée = 0660 mode de répertoire de force = 0770 accessible en écriture = oui navigable = oui"},{"id":"text-16","heading":"Text","content":"Désactiver NetBIOS\nNetbios n'est pas vraiment sûr, et n'est plus nécessaire … Vous pouvez vous éteindre avec dans le monde\nsection:\n[global]désactiver netbios = yesports smb = 445"},{"id":"text-17","heading":"Text","content":"Le dépliant / mnt / data / public J'ai créé sur ma carte SD avec certains\nfichiers, pour tester sans le disque USB connecté. Plus tard, ceci est remplacé par\nla Publique répertoire sur mon disque USB externe, en transférant cette / mnt / data à\nmonter (voir ma page debian nslu). Cela passe par un\nfait maison init.d scénario, mount_data.sh avec accompagnement\nfichier de configuration mount_data.conf. Pour le\ninstallation voir le fichier .sh. Dans mon cas, le disque USB se met automatiquement en veille pendant un moment\nN'est pas utilisé; pour les autres disques, vous devrez peut-être utiliser un logiciel: voir la page NSLU.\nVitesse: 6,8 Mo / s (55 Mbit / s) en lecture et 5,8 Mo / s en écriture de gros fichiers, pensez-y avec\nle nom est déterminé par mon réseau local (100 mbit / s) car le disque USB a une vitesse de lecture de 27 Mo / s sur le Raspberry, et la charge du processeur\nsur la framboise n'est que de 55% (en écriture).\nCryptage de disque\nNe voulez-vous pas que les données fuient avec vos données, par exemple en cas de vol?\ndisque? Cryptez votre disque alors. Cela peut être fait de plusieurs manières, par exemple avec le cryptage de la\ndisque entier avec par exemple LUKS / dm-crypt\nou TrueCrypt, ou\nseuls certains répertoires avec eCryptFS ou encFS. Avoir\nJ'ai choisi ce dernier parce que j'en ai déjà beaucoup et que je n'ai pas de disque disponible en main\nconfigurer les données temporairement pendant que je crypte le disque (les données sont ainsi perdues). À\nl'installation est demandée pour le mot de passe et les options, pour moi: cipher:,\nclé:, texte en clair:, cryptage du nom de fichier:; dépend\nloin de votre objectif, mais rappelez-vous que les noms de fichiers peuvent contenir des informations sensibles, car ils indiquent\nfichier il va (donc les noms de fichiers non cryptés & # 39; fuites & # 39; informations). Les commandes pour cela\nMise en place:\nmkdir / chemin / vers / crypté; # si pas encore\nexistemkdir / chemin / vers / déchiffré; # s'il n'existe pas encoresudo apt-get install ecryptfs-utils; # installer ecryptfssudo mount -t ecryptfs "/ chemin / vers / chiffré" "/ chemin / vers / déchiffré"; # écrire\nsur la signature FNEK!\nAvec le système de fichiers eCryptfs, vous ne devez pas réserver d’espace à l’avance, les fichiers sont tout simplement.\nindividuellement sur le disque. Vous pouvez également simplement les copier, par exemple pour les sauvegarder. Note: par fichier\nune graine aléatoire différente est utilisée (due à une "métadonnée" au début du fichier)\nest stocké, voir ce très technique conception eCryptfs\nLa descriptionsection 4.3); par exemple, deux fichiers identiques sous forme cryptée n'ont pas les mêmes\nsomme de contrôle (si vous les regardez, bien sûr, vous le ferez).\nLe démontage va de pair avec sudo umount / chemin / vers / déchiffré. Monter à nouveau\nplus difficile, et vous avez besoin de la signature FNEK générée précédemment! Si vous ne chiffrez pas les noms de fichier\nAs-tu le ecryptfs_fnek_sig paramètre non nécessaire. Ci-dessous est une\nrègle. Mettez toutes les options après le -O les uns aux autres sans espaces !!!\nsudo mount -t ecryptfs "/ chemin / vers / chiffré" "/ chemin / vers / déchiffré" -o\necryptfs_sig =ecryptfs_fnek_sig =ecryptfs_cipher = aes,\necryptfs_key_bytes = 32, ecryptfs_unlink_sigs, ecryptfs_passthrough = non, clé = phrase secrète\nEt bien sûr, il vous sera demandé le mot de passe … Donc, je ne peux le faire que lorsque je suis connecté\nsur la framboise, car je ne veux pas mettre le mot de passe dans un fichier. Faites attention; quelqu'un avec physique\nl'accès à votre système est possible, tant que le système est allumé, rien n'est sécurisé. Mais si le disque\nest glissé et / ou si le système est éteint, les dossiers cryptés sont inutilisables pour les autres.\nVous pouvez sauvegarder le dossier crypté. mais je sauvegarde la version non chiffrée parce que mon long terme\nLe disque de sauvegarde lui-même a une partition cryptée.\nIncidemment, cela a un impact non négligeable sur les performances, la vitesse d'écriture se fait sur le réseau\npassant de 5,8 Mo / s à 2,4 Mo / s (2,75 Mo / s avec une clé 16 bits). Mais, parce qu’il s’agit principalement de\nles sauvegardes à court terme ne sont pas un tel point pour moi. Cryptage de disque entier avec LUKS / dm-crypt\na de meilleures performances, je comprends. A propos, je n'ai pas chiffré la carte SD,\nseulement (parties de) le disque USB."},{"id":"text-18","heading":"Text","content":"réServeur NS / DHCP\nDnsmasq\nEt puis j'ai déménagé et j'ai eu un nouveau modem / routeur (Docsis 3 de UPC). Belle,\navec le sans fil et autres, mais avec beaucoup moins d'options pour les réglages que mon précédent\nLinkSys pimped (avec le logiciel Tomato). Ce qui me manque le plus, c'est de les distribuer\nLes adresses IP basées sur l’adresse MAC et donnant des noms de périphériques clairs basés sur\nde l'adresse IP. Donc, je veux que mon framboise ne s'appelle pas 192.168.1.5, mais framboise\n(ou framboise.lan) …\nMaintenant, je ne peux pas facilement mettre à niveau le modem UPC en termes de logiciel. Et je ne me sens pas comme le mien non plus\naccrocher un ancien routeur Linksys derrière le modem UPC (un autre périphérique à allumer 24h / 24 et 7j / 7) …\nMa framboise ne peut-elle pas aider? Oui, en tant que DNS (domaine\nname Server, lie les adresses IP aux noms et, si nécessaire, les recherche sur Internet) et le serveur DHCP (Dynamic Host Configuration Protocol, distribue les adresses IP)\npour le faire fonctionner. Et pour cela, un programme est disponible: Dnsmasq. A plusieurs\navantages, il est également possible de configurer vos propres serveurs DNS de cette manière (par exemple\ncelui qui bloque les liens malveillants, voir quad9.net), et DNSSEC (nom de domaine)\nSystem Security Extensions).\nMaintenant vous devez Dnsmasq être correctement configuré; sinon votre internet ne fonctionnera plus.\nAlors je suis allé chercher dans les pages de manuel de Dnsmasq et autres\nDnsmasq\nla gauche. Et\nil existe également une section claire dans LXF170 (page 92)\nsur. Installez-le d'abord, puis arrêtez-le immédiatement, puis configurez-le:\nsudo apt-get install dnsmasqsudo service dnsmasq stop"},{"id":"text-19","heading":"Text","content":"Quels services fonctionnent réellement? Avec netstat -el --numeric-ports pouvez-vous regarder\nquels ports votre framboise écoute."},{"id":"text-20","heading":"Text","content":"Puis entrez les paramètres /etc/dnsmasq.conf:\n# Le nom de domaine localdévelopper les hôtesdomaine = lan# resolv-file = / etc / resolv.dnsmasqmin-port = 4096# Les serveurs DNS au cas où Dnsmasq ne le connaît pas lui-même: # routeur lui-même, #OpenDNS,\n#Google, Quad9# serveur = 192.168.1.1# serveur = 208.67.222.222# serveur = 8.8.8.8serveur = 9.9.9.9# La taille maximale du cache que dnsmasq peut gérer est 10 000taille du cache = 10000# Activer DNSSEC, vérifier si les noms DNS sont certifiés\nêtreconf-file = / usr / share / dnsmasq / trust-anchors.confDNSSECdnssec-check-unsigned# Les paramètres ci-dessous concernent dhcp.# Commentez si vous ne voulez pas d’adresses IP de dnsmasq\ndistribuer# plage-dhcp = 192.168.1.100.192.168.1.149.255.255.255.0.1440m# dhcp-option = option: routeur, 192.168.1.1# Et les adresses IP fixes (ou via / etc / ethers, / etc / hosts avec\n– lire les éthers)dhcp-host = 00: 22: 15: 41: 5A: 33, dualcore, 192.168.1.200, infinitxt-record = dualcore, "Ceci est mon PC dual-core"\nVous pouvez tester l'exactitude du fichier de configuration avec le --tester option. La liste\nsouvent avec des serveurs DNS externes /etc/resolv.conf, comme la première adresse là-bas\n127.0.0.1 (localhost) est savoir Dnsmasq que le reste est pour lui mais celui-ci\ndoit d’abord être ignoré (c’est-à-dire lui-même) et en être un distinct /etc/resolv.dnsmasq ne pas\nChamps obligatoires.\nMaintenant, bien sûr, configurez vos systèmes pour utiliser Raspberry en tant que serveur DNS\nau lieu de votre routeur. Cela commence dans Ubuntu\ndans le / etc / network / interfaces fichier, ajoutez la ligne dans votre réseau\n" serveurs de noms DNS 9.9.9.9\n& # 39; (remarque, entrez les bonnes adresses et la ligne\ndentelé).\nDNS met également en cache les recherches précédentes afin que la commande suivante soit plus rapide.\nessayé (avec creuser de mon ordinateur Ubuntu): en effet le\ntemps de recherche (après la première fois) de 12 ms via OpenDNS à 1 ms via Raspberry."},{"id":"text-21","heading":"Text","content":"VAccès de l'extérieur\nRaspberry comme passerelle sécurisée vers le réseau\nIl est important de disposer d'une connexion Internet sûre lors de vos déplacements, par exemple si vous souhaitez vous installer sur une terrasse ou dans un hôtel.\nservices bancaires sur Internet. Il semble assez facile de prendre en charge ou de suivre un "point d'accès" & # 39;\net ainsi exploiter votre connexion. Avec une page internet sécurisée (https) c'est quelque chose\nplus difficile, mais une attaque d'homme au milieu est parfois possible. Je préférerais en mettre un moi-même\nconnexion sécurisée à mon réseau domestique et laisser mon trafic Internet le parcourir, si\nsécurité supplémentaire.\nIl existe différentes options pour cela, notamment:"},{"id":"text-22","heading":"Text","content":"Une connexion VPN (réseau privé virtuel), une connexion cryptée ou un "tunnel". à\nvotre réseau domestique sur lequel tout le trafic Internet circule (mais vous l'avez sur un PC / ordinateur portable)\ndroits d'administrateur requis)\nUn tunnel SSH avec proxy, sur lequel vous avez sélectionné le trafic Internet, avec\nen particulier le trafic web; mais est un peu plus difficile à utiliser qu'un VPN."},{"id":"text-23","heading":"Text","content":"Voir aussi la photo de droite, avec le rouge la situation non sécurisée et le vert en sécurité.\ntunnel avec trafic en jaune: Internet ne va que de mon réseau domestique de confiance\nsur.\nOpenVPN serveur\nAvec un VPN, vous configurez un tunnel sécurisé (crypté) vers votre réseau domestique et laissez tous les\nle trafic Internet sur ce tunnel. J'ai pour cela OpenVPN car il est bien pris en charge à la fois sur le\nFramboise (en tant que serveur) et sur Android (en tant que client)."},{"id":"text-24","heading":"Text","content":"Si applicable: Assurez-vous que le pare-feu est correct sur votre Raspberry\nensemble, en particulier pour le transfert de tun0\nVous devez également transférer le port VPN choisi (port UDP standard 1194) sur votre modem / routeur.\nFramboise."},{"id":"text-25","heading":"Text","content":"Un article complet sur OpenVPN / Raspberry avec un manuel (en annexe) et\nVous pouvez trouver des informations générales sur la sécurité, etc. "SOHO\nVPN d'accès distant. Facile comme bonjour, Raspberry Pi …"Bien qu'il y ait quelques erreurs mineures dedans, tout va bien\nlire et penser aux messages d'erreur. Aussi sur les pages de procédures openVPN (et\nla FAQ) et 16 conseils sur la sécurité OpenVPN en disent long\nexplication. Après l'installation (ou à d'autres moments), vérifiez que tout fonctionne correctement: consultez le fichier journal\n/var/log/openvpn.log s'il y a des erreurs et / ou des avertissements. \nMaintenant, créez un nouvel utilisateur et le résultat\n.ovpn fichier sûr copier sur l'appareil depuis le\nutilisateur (par exemple via une carte SD ou une clé USB, ou une connexion FTP locale). Vous pouvez sur Android\npuis avec OpenVPN Connect\net votre fichier .ovpn établissent une connexion sécurisée. Bien sûr, vous pouvez aussi utiliser Windows, iOS ou Linux\nutilisez une connexion OpenVPN.\nsudo su; # Créer un utilisateur; très utile si\nsuper utilisateurcd / etc / openvpn / easy-rsa; source vars; ./build-key-pass ; # pas de mot de passe de défi!openssl rsa -in keys / revoke1.key -des3 -out keys / revoke1.3des.key; clés cd;../MakeOVPN.sh; # Et copier le .ovpn à votre client (par exemple\nAndroid mobile)"},{"id":"text-26","heading":"Text","content":"Est le dossier .... / exemples / easy-rsa pas présent (vous êtes bloqué à la page 17 dans la\nManuel SOHO)? Ensuite, vous avez probablement une version plus récente de Debian, et le paquet est\neasy-rsa pas installé. Voir Erreur\ninstaller OpenVPN, et aussi \nInstaller OpenVPN sur Ubuntu avec le même problème entre les versions 12 et 14 …"},{"id":"text-27","heading":"Text","content":"Vous pouvez OpenVPN testez normalement sur votre réseau local pour pouvoir vérifier si tout va bien\nclés et si bien installé. Tu dois être en toi .ovpn fichier\nil suffit de changer la configuration; remplace habituellement par mot clé éloigné le nom de toi\nserveur en utilisant l’adresse IP Raspberry sur votre réseau local. Beaucoup de choses fonctionnent, mais pas toutes\nles programmes fonctionneront assez bien: parce que vous êtes de votre propre réseau sur votre propre réseau\nparfois il y a une certaine confusion …\nSupprimez le certificat (& révoquez & # 39;), par exemple parce que vous pensez que quelqu'un a eu tort\nl'utilise? Prends soin que vous ayez d’abord (une fois) sur la base du manuel cette bonne\nont configuré et openvpn ont redémarré ( service openvpn redémarrer )!\nEnsuite, par certificat que vous souhaitez retirer. Remarque: la commande revoke-full entend une\nMessage d'erreur "erreur 23 à 0 recherche de profondeur: certificat révoqué& # 39; pour donner; c'est\nun signe que le certificat ne fonctionne plus:\nsudo su; # Revoke: c'est très utile en tant que super utilisateur\nfairecd / etc / openvpn / easy-rsa; source vars; ./revoke-full cp keys / crl.pem / etc / openvpn /\nOh oui, j'ai changé les règles ci-dessous dans le server.conf fichier relatif à\nexemple à la page 30 du manuel SOHO, et bien sûr le cas échéant les adresses IP et autres\najusté.\n# Le & # 39; push & # 39; déconnecte proprement le client (moins de messages d'erreur\ndans le journal), & # 39; muet & # 39; restreint les copies du même message et le verbe & # 39; met en place le niveau de log\n4push "explicit-exit-notify 3"verbe 4muet 20crl-verify /etc/openvpn/crl.pem\nTester! Comment savez-vous si cela fonctionne bien? Testez votre adresse IP en déplacement dans votre navigateur\npar exemple via Quel est mon ip (également pour https). Vous auriez maintenant l'adresse IP externe de votre réseau domestique\nvoir, car le trafic n’y va que sur Internet (vous avez besoin de votre adresse IP\nbien sûr, demandé une fois à la maison, ou avec un DNS dynamique\nun service peut demander un nom). Et envoyez un mail de test et regardez à la maison dans les en-têtes\n(par exemple dans Thunderbird: View -> Message Source): vous le feriez dans le premier\n& # 39; Reçu: & # 39; – règle dans l'en-tête que vous devez également reconnaître votre propre adresse IP en tant qu'expéditeur.\nSSH serveur"},{"id":"text-28","heading":"Text","content":"SSH et Android\nJ'utilise ConnectBot pour Android\npour configurer le tunnel SSH, y compris la redirection de port proxy. Avec ProxyDroid, vous pouvez\nJ'active ensuite le proxy (voir la page de mon HTC)."},{"id":"text-29","heading":"Text","content":"SSH représente Sbien sûr SHaune. Sécurisé signifie ici que tout\nla communication est cryptée; même le processus de connexion. Plus d'infos sur mon Page SSH et bien sûr sur les pages de manuel de SSH, et voir aussi\nmon texte en haut de cette page sur la sécurité. SSH\noffre un certain nombre d'options:"},{"id":"text-30","heading":"Text","content":"Ouverture d’une invite de commande sur un ordinateur distant de manière sécurisée (et même\nles programmes graphiques peuvent s'exécuter, à condition que vous disposiez d'un serveur X non standard sous Windows\nle cas est).\nMise en place d'un tunnel sécurisé entre des programmes spécifiques sur des programmes différents\nordinateurs (par exemple, entre votre programme de messagerie et le serveur de messagerie de votre fournisseur, tel que SSH\nsoutien; ou sur votre serveur de fichiers samba)\nSFTP, FTP sécurisé; un remplacement pour FTP où tous\nchiffre les données sur Internet, y compris vos informations de connexion et SCPCopie sécurisée;\nune variante sûre du Linux CP (copie)."},{"id":"text-31","heading":"Text","content":"Je dois décrire la configuration SSH en détail (plus de détails sur la page de manuel sshd_config), mais en résumé les étapes les plus importantes:\n/ etc / ssh / sshd_config au moins, désactivez votre session en tant qu'utilisateur root. et mot de passe\ndésactiver l'authentification (Authentification par mot de passe non, ne fonctionne qu'avec des clés privées / publiques\nembouteillages). J'autorise également qu'un utilisateur spécifique (AllowUsers ). je\nJ'ai également déplacé le port de la norme 22 vers une valeur différente, enregistre beaucoup d'attaques\nà l'extérieur. Ensuite, ouvrez ce port sur votre pare-feu / routeur avec la redirection de port\nAdresse I / O de votre Raspberry: c'est fait!\nCalamar Serveur proxy (avec\nSSH)\nPour naviguer sur Internet depuis une terrasse en toute sécurité, OpenVPN est le\nméthode la plus simple. Une alternative consiste à surfer sur un tunnel sécurisé configuré avec SSH (voir\nphoto ci-dessus). Cela ne se produit pas simplement, vous avez également besoin d'un "proxy". pour cela, un programme\ncontre lequel un navigateur a parlé comme s'il s'agissait de l'Internet. Tout le trafic passe ensuite\nmaison cryptée, et à partir de là sur Internet normalement. C’est possible avec le SSH et le combi\ncalamar, un package de proxy. La conception de cette\nest assez similaire à mon ancien NSLU, voir ma page NSLU2 …\nL’idée est de mettre en place un tunnel sécurisé SSH vers lequel vous allez\nle proxy en tant que configuration de transfert de port (-L3128: hôte local: 3128), puis sur ce tunnel la\nutilisez proxy pour surfer, etc. Ceci peut (selon le système sur lequel vous surfez) ou par\nprogramme en définissant un proxy dans le programme (par exemple avec le navigateur Firefox), ou en\ndéfinir ceci globalement sur votre système en tant que proxy. De Ubuntu, vous pouvez descendre de la manière suivante\nmettre en place un tunnel à un autre endroit, y compris le transfert de votre proxy et le transfert de votre part\nsystème de fichiers samba. La deuxième ligne montre comment vous conduisez\nmonter comme / media / lecteur distant (voir mon samba\npage). Remarque, 2 lignes:\nssh -p 11122 -L 3128: localhost: 3128 -L 12345: localhost: 445\n@sudo monter -t cifs // netdisk / shared / media / remotedrive -o\ninformations d'identification = / home //credentials,ip=127.0.0.1,port=12345,rw,uid=\nComment savez-vous si calamar fonctionne bien? Pour vraiment tester cela, vous devez être sur un autre réseau que\nvotre réseau normal (au travail, par exemple), puis la connexion SSH à la maison\nMise en place. Ensuite, allez dans votre navigateur et configurez-le (via options -> réseau) afin qu’il passe par le\nle proxy va sur internet. Vérifiez ensuite quelle est votre adresse IP avec WhatIsMyIP (et ici pour https). Il s’agit de l’adresse IP de votre réseau domestique (où vous pouvez\nframboise), et non celle du réseau à partir duquel vous testez …\nSeul problème: Android sur mon plus ancien mobile n'a pas de proxy par défaut, du moins pas\ndans la version Android 2.x … Et cela pour un système d'exploitation basé sur Linux, sloppy. Avoir plus de gens à gauche\ns'est plaint mais pas de réponse de Google. Firefox sur Android peut le gérer; et avec le proxy\nL'extension mobile peut être changée assez rapidement. Pour laisser toutes les applications Android 2.x via le proxy\nVous devez exécuter une application proxy comme celle-ci ProxyDroid\net pour cela vous avez besoin d'un Android en rotation. Au plus tard\nLes androïdes (au moins 4.x) sont possibles, et je les utilise Procuration\nRéglages pour basculer facilement entre avec et sans. Ps: mise en place d'un tunnel SSH\npratique avec cela gratuitement ConnectBot.\nKit de prison\nPour les utilisateurs avancés: Pour laisser les autres avec le disque dur (avec sftp), mais pas trop\nêtre capable de tout faire avec le système tout de suite, une prison "chroot" est pratique. Si quelqu'un\nla connexion à votre Raspberry via SSH n’aura que peu d’options. Tu peux le faire toi-même\npar exemple, définir quels programmes sont disponibles ou non, de sorte que l'utilisateur l'apprécie\nétaient dans une prison (prison) sur la framboise, dont vous êtes la garde. Je l'utilise pour\npermettre à mes fils étudiants d'accéder au disque réseau / de sauvegarde en toute sécurité, à distance.\nTéléchargez le kit de prison et décompressez sur vous\nFramboise (tar -xvf jailkit-2.15.tar.gz). Dans le nouveau dossier Jailkit-2.15 trouver\nvous un install.txt avec des explications sur la manière de compiler et d'installer. Et alors\nselon l'exemple une prison\nmais partout où cela est nécessaire & # 39;sudo& # 39; pour.\nMalheureusement, cela ne s'est pas passé sans problèmes:"},{"id":"text-32","heading":"Text","content":"l'exemple est périmé; au lieu de jk_addjailuser Dois tu\njk_jailuser utilisation:sudo jk_jailuser -m -j / home / jailroot \nN'oubliez pas d'ajouter l'utilisateur avec sudo nano\n/home/jailroot/etc/jailkit/jk_lsh.ini\nIl restait également des bibliothèques manquantes (message d'erreur "impossible de trouver les informations d'utilisateur pour\nUSER "): copie / lib / arm-linux-gnueabihf / libnss * et\n/ lib / arm-linux-gnueabihf / libnsl * à\n/ home / jailroot / lib / arm-linux-gnueabihf / et chmod 755 ils (qui sont là\nexactement nécessaire?).\nPuis le message que l'utilisateur serveur sftp essayé de courir, ce qui n'est pas standard\nautorisé: changer / usr / lib / sftp server à\n/ usr / lib /openssh /serveur sftp dans\n/home/jailroot/etc/jailkit/jk_lsh.ini.\nEt maintenant, l'utilisateur peut l'utiliser FileZilla via le protocole ftp sécurisé sur!"},{"id":"text-33","heading":"Text","content":"Maintenant, un utilisateur emprisonné ne peut plus sortir de prison, et ainsi (même si sftp Permis)\ntoujours pas avec le disque dur … Et vous ne pouvez pas vous connecter à un dossier situé en dehors de la prison.\nDonc, l’inverse (voir aussi le kit de prison\nFAQ): en tant que root, montez le disque (ou dossier) dans la prison. Dans mon cas, il s'agit du dossier\n/ Publique: mkdir / home / prison / public; mount -o bind / mnt / data / public\n/ maison / prison / publicRendre visible dans les répertoires de base n’est pas autorisé avec des chemins absolus, mais avec sudo\nln -s ../../public hard disk.\nÊtre vraiment un ssh invite à vous donner un accès limité\nfaire un peu plus: / home / prison / etc / passwd edit (fournit à l’utilisateur le bon shell,\n/ bin / bash). La norme limitée jk_lsh est utile pour\nsftp/scp et pour samba à distance\nmonter, mais ne pas pour un interactif ssh coquille. bien jk_lsh.ini\nalors soit jk_chrootsh.ini Complétez avec les commandes autorisées (voir par exemple doc jk_lsh)!\nPare-feu\nSi votre Raspberry est l’entrée de votre réseau domestique, vous pouvez également y installer un pare-feu.\n(voir mon texte ci-dessus sur la sécurité …). Avec cela vous avez\ncontrôle de ce qui entre et sort via Ethernet (et Internet)."},{"id":"text-34","heading":"Text","content":"Veillez à ne pas vous verrouiller pendant la configuration; par exemple, est intelligent dans un\nshell séparé pour démarrer une commande qui désactive le pare-feu après une demi-heure … Voir la page de mon pare-feu pour plus de détails (voir la rubrique & # 39; en cas d'urgence & # 39;)."},{"id":"text-35","heading":"Text","content":"Initialement opté pour ufw, Simple\nPare-feu. Mais plus tard, passé en réglage direct iptables, avez-vous une\nmeilleure idée de ce qui se passe, et vous pouvez le définir plus précisément (était également pratique parce que je voulais un VPN\nla mise en place nécessite des règles spécifiques). iptables est un peu plus compliqué, c’est pourquoi je l’ai\nune pièce consacrée à la mienne page pare-feu. Pratique pour toi\nen mettant des commandes dans un script, vous pouvez rapidement retourner votre configuration par défaut\nmettre."},{"id":"text-36","heading":"Text","content":"FSynchronisation des fichiers et\nSauvegarde\nIl existe plusieurs méthodes de sauvegarde. Pendant un moment j'ai rsync utilisé que\neffectué une copie de sauvegarde de mes & # 39; documents & # 39; dossier sur mon bureau à la framboise. Mais maintenant moi aussi\nPour utiliser davantage mon ordinateur portable, j'ai besoin d'un outil capable de synchroniser plusieurs ordinateurs.\nJ'ai pour ça Unisson\nchoisi. Ceci garde une trace des modifications des dossiers spécifiés par ordinateur et permet ainsi de voir quand\nles fichiers ont été modifiés; puis envoie les fichiers corrects dans les deux sens. Même lorsque les embouteillages sont jetés\ncela est géré correctement.\nLe seul problème était que la même version d'Unison devait être utilisée sur tous les systèmes …\nEt la version la plus récente (telle qu’elle est utilisée dans Ubuntu) est apparemment difficile sur Raspberry.\nse mettre au travail J'ai choisi la version partout 2.40.102 comme sur la framboise aussi\nexécutez et "corrigez" cette version pour empêcher un ordinateur de se mettre à jour à partir du\ncommence juste à marcher. "Comment\ninstaller Unison 2.40 sur Ubuntu 16.04& # 39; a aidé [link naar binary]. Téléchargé sur Ubuntu (op\nVous pouvez simplement utiliser la framboise & # 39;apt-get install& # 39; utilisation), et cela ne garantit pas immédiatement qu'il\nles nouvelles versions écrasent:\nsudo dpkg –install ./unison-gtk_2.40.102-2ubuntu1_amd64.debsudo apt-mark hold unison-gtksudo apt-mark à l'unisson\nVous pouvez exécuter Unison via SSH (une connexion sécurisée, utile si\nun de vos ordinateurs est situé ailleurs dans le monde), ou via une prise TCP locale (non sécurisée)\nAlors!). Vous avez opté pour la prise TCP plus simple sur le port 12345. Ouvrez le pare-feu de votre réseau local / PC, mais bien sûr, pas celui vers le\nmonde extérieur / internet! Fichier de configuration unison.prf dans la carte\n~ / .unison dans mon cas, à peu près comme dans ce fichier de configuration à l'unisson. Et sur\nlancez Raspberry Unison en tant que serveur:\nprise à l'unisson 12345 &\nTour Unisson maintenant à la main (vérifiez si tout se passe bien), mais souhaitez-le plus tard\nfaites-le automatiquement dans les scripts de démarrage et de fermeture."},{"id":"text-37","heading":"Text","content":"Mserveur edia\nmédiatombe"},{"id":"text-38","heading":"Text","content":"Inspecteur UPnP\nAvec inspecteur upnp\nCliquez ici pour afficher la liste des serveurs, cliquez ici pour afficher le texte original Raspberry niet vinden\nmijn TV als zowel een mediaRenderer als een RemoteControlReceiver)"},{"id":"text-39","heading":"Text","content":"Ik ben niet dirige directement son lecteur multimédia sur XBMC (sur Raspbmc, sur XBian et sur OpenELEC), sur le serveur multimédia\n(rencontré le nom audio dans la photo de la télévision slim avec le Samsung AllShare) est le meilleur plan\nben (via DNLA / UPnP rencontré de médiatombe\nserveur.\nInstallation et maintenance standard apt-get, en daarna kan je vanuit je web\nnavigateur sur je lokale netwerk médiatombe vertellen welke media hij beschikbaar moet stellen\nals server (standaard op http: // <adresse_pip-framboise>: 49152). N / a\ninstaller des films sur le monde avec la télévision, en savoir plus sur ce qui se passe\nconfiguratiefile plaats vinden. Problèmes liés à la télévision Samsung avec les en-têtes http standard\n(zie deze médiatombe\nconfiguration pagina), plus de médias supplémentaires disponibles, et plus encore.\nMaar, toen werkte het nog niet. Ik avait blijkbaar op een de andere manier tijdens het proberen\nmijn médiatombe base de données sur les entreprises, vous voulez en savoir plus sur ce produit\nWerkte het opeens wel: zowel op mijn TV, mijn téléphone Android (MediaHouse),\nen mijn PC rencontré VLC (al vind die médiatombe soms pas na een lange tijd). Porte de\nautoscan optie in mijn /etc/mediatomb/config.xml bouwt\nmédiatombe base de données automatique de weed op weer.\nsudo /etc/init.d/mediatomb stopsudo rm /var/lib/mediatomb/mediatomb.dbsudo /etc/init.d/mediatomb start"},{"id":"text-40","heading":"Text","content":"VLC en DLNA\nRencontré VLC Merci beaucoup pour le serveur DLNA médiatombe verbinden via View ->\nListe de lecture -> Réseau local -> Universal Plug’n Play. Wel même geduld hebben, duurt même\nvoordat de servers gevonden worden."},{"id":"text-41","heading":"Text","content":"Zowel een mpeg4 que efen avi vidéo speelden nu goed af (verks verhalen dat Samsung TV & s\nTout ce que vous devez savoir sur le format DLNA, ik avait\nblijkbaar geluk en hoef niet transcoden). Film 1280 x 720 H.264 (1,5 Mo / s)\nkoste travaille sur 2% de la charge du processeur. Les fichiers audio MP3 sont primés (à la télévision, les fichiers WMA sont:\nomzetten naar MP3 met wma2mp3). Alleen de folderstructuur\nop mijn TV est la première personne à choisir une nouvelle série de photos … Série Sommige\nil y a deux mois, vous avez rencontré ma première photo de photos. In een andere folder is die\nserie dan wel weer helemaal te zien. Vreemd, nog eens uitzoeken."},{"id":"text-42","heading":"Text","content":"Home Control en MQTT\nEen van de taken van mijn home server is ook home control en automation (domotica). Maar, voor\nje wilt controleren: meten is weten… Vandaar mijn interesse om ook bijvoorbeeld I²C\nsensoren (als een temperatuursensor in de huiskamer) aan te kunnen sluiten, zie mijn Raspberry Pi hardware pagina. Een simpel voorbeeld van meten: hoe vaak en lang\nstaat mijn PC eigenlijk aan? En mijn TV (met internet)? Geen sensoren voor nodig; je kan dit gewoon\nmet het ping-commando: als je een antwoord terug\nkrijgt (in $?, 0=OK) staat het apparaat aan. Stop dit in een script samen met een time-stamp, en je\nkunt het eenvoudig bijhouden."},{"id":"text-43","heading":"Text","content":"Rode lijnen met de hand er in gezet: daalt de temperatuur\nbuiten overdag onder de 18° dan gaat de kachel blijkbaar aan…\nDit kan natuurlijk veel slimmer… Een voorbeeld daarvan is het uitlezen van de 'slimme\nenergiemeter', zodat je je energiegebruik goed in de gaten kunt houden. Je kan dit natuurlijk\n'uitbesteden', maar ik wil eigenlijk niet dat anderen mij in de gaten kunnen houden. Bovendien is\nzelf doen leuker en leerzamer. Ik heb mijn slimme energiemeter met zijn P1-poort via een\nserieel-naar-USB kabeltje aangesloten op de Raspberry. Daar komt nu elke 10 seconden een datagram\nvolgens de DSMR (Dutch Smart\nMeter Requirements) 4.2 standaard met de gebruiksgegevens van elektra en gas binnen[hier een\noverzicht voor diverse smart\nmètres, onderaan pagina]. Op de Raspberry loopt een klein 'servertje', die deze gegevens\nopvangt. Via UDP kan nu elke computer op mijn netwerk dit weer opvragen. Op dezelfde Raspberry\nloopt ook mijn logging, zodat ik 'mooie' overzichten krijg, geeft best inzicht in waar je\nelektriciteit en gas blijft."},{"id":"text-44","heading":"Text","content":"Geel is elektra\ngroen is gas"},{"id":"text-45","heading":"Text","content":"Langzaam begint er ook een écht home control netwerk te ontstaan. Hierbij wordt niet alles\ndirect door de Raspberry bestuurd, maar heb ik 'lokale intelligentie'; slimme kleine nodes\ngebaseerd op de AVR ATtiny (zou ook met b.v. Arduino Nano\nkunnen). Deze hangen dan via een 3-draads seriële bus aan de Raspberry (Ethernet is veel te 'zwaar'\nvoor dit doel). Je kan het het best vergelijken met hoe een lichaam werkt: de Raspberry is het\ncentrale brein, maar een heleboel taken worden lokaal door reflexen afgehandeld, en de zintuigen\nzijn daarmee verbonden. Voordeel is dat deze reflexen doorlopen ook als het brein tijdelijk met\niets anders bezig is (of plat ligt).\nEen voorbeeld hiervan is de afzuiging in de douche: een ATtiny is een lokale node, met daarop\nals 'zintuig' een I2C temperatuursensor aan de warmwatertoevoer (handiger dan via de lamp). Als er\ngedoucht wordt wordt de leiding warm, en schakelt de ATtiny zelfstandig de afzuiger aan via een\nsolid state schakelaar: de reflexreactie van de ATtiny. De ATtiny regelt ook de 'nalooptijd': hoe\nlang moet de ventilator doorlopen als er gestopt is met douchen. Maar, dit alles wordt ook\ndoorgegeven aan het brein, en dat kan bijvoorbeeld besluiten de reflex te onderdrukken, of de\nnalooptijd aan te passen. Ook is het geheugen in het brein: de temperatuur wordt hier weer gelogd\n(en nu en dan centraal opgevraagd)."},{"id":"text-46","heading":"Text","content":"Android MQTT Dash,\nmet de kerstboom op de Sonoff1 module"},{"id":"text-47","heading":"Text","content":"Ik heb over de eerste opbouw van het systeem en het netwerk een lezing gehouden op 20 augustus\n2013 bij EmSE (Embedded Systems Eindhoven, een\nhobby-club); hier de Home Control\npresentatie (pdf). Web pagina's met details maak ik nog wel eens, maar zie ook mijn Arduino pagina.\nHoe komen alle gegevens bij elkaar? Dit kan het handigst via een 'data broker', waar sensoren de\ngegevens kunnen publiceren, en toepassingen zich op gegevens kunnen abonneren. De distributie wordt\ndan automatisch via de broker gedaan. Ik gebruik hiervoor de mosquitto (open source MQTT message broker)\nserver. mosquitto implementeerd het standaard "Message Queuing\nTelemetry Transport" protocol, dat door veel systemen ondersteund wordt. Zie voor\ninstallatie bijvoorbeeld de Youtube MQTT basics video.\nEr zijn ook bijvoorbeeld Android app's om de data te bekijken/te wijzigen, zodat ik ook een\nmakkelijker user interface heb (in plaats van mijn simpele lighttpd web interface). Het geheel is wel bewust alleen\nvanaf mijn lokale netwerk te benaderen, dus minder risico voor 'inbraak'. Via MQTT (en bijvoorbeeld\nMQTT Dash) kan ik\ndiverse modules besturen, zoals ook mijn Sonoff wifi-gestuurde switch met eigen software (zie mijn\nArduino pagina), en mijn 'IoT\nEnergieverklikker'-lamp, waarvan de kleur zich aanpast aan het energiegebruik op dat\nmoment.\nHet leuke van MQTT is dat je zo makkelijk allerlei losse componenten/programma's aan elkaar kan\nknopen. Ik heb dus bijvoorbeeld de Sonoff WiFi 220V schakelaar. Op de Raspberry heb ik een 'timer'\nscript gemaakt (als in een digitale tijdschakelklok) in Python; zie plaatje rechts, 'Sonoff1Timer'.\nDit script publiceert de aan/uit stand van de timer, de Sonoff1 (met de kerstboom) luistert hier\nnaar. Maar, nu heb ik een kerstster, op een andere module aangesloten. Questie van deze ook naar\ndie Sonoff timer te laten luisteren, en hij schakelt braaf mee. Op beide modules zit ook een\nschakelaar, deze laat ik ook de lamp schakelen: ze publiceren ook naar het timer-kanaal, en\nluisteren daardoor met elkaar mee."},{"id":"text-48","heading":"Text","content":"Minimale Mail Server\nexim4\nSoms is het ook handig als je Raspberry server je een emailtje kan sturen, voor wekelijkse\nstatusrapporten of als er bijvoorbeeld iets mis is. Heb een scriptje in\n/etc/cron.weekly gezet die me wekelijks op maandag een mail stuurt, met bijvoorbeeld\nhet geheugengebruik (libre), de vrije SDcard-ruimte en zo voort. Ik wilde het programma\ncourrier hiervoor gebruiken; blijkbaar moet je hiervoor een mail server als exim4 ou sendmail draaien:\nsudo apt-get install mailutilssudo rm /var/log/exim4/paniclogsudo dpkg-reconfigure exim4-config"},{"id":"text-49","heading":"Text","content":"Problemen: zie de logfile /var/log/exim4/mainlog en eventueel\n/var/log/exim4/paniclog.\nSoms worden mails vastgehouden als er iets niet werkt. Dan\nis het handig vanaf nul te beginnen, queue legen als in clear outgoing exim4 queue:\nexim -bp | awk '/^ *[0-9]+[mhd]/print "exim -Mrm " $3' | sh (als root). xxx\nexim4-config stelt een aantal vragen; zie hiervoor Send-only\nMail Server maar kies 'mail send by smarthost; no local mail& # 39; en verwijder het IPv6\nadres in 'IP addresses to listen on…'. Na configuratie moet je ook de file\n/etc/email-addresses updaten met in ieder geval root:\n@upcmail·NL (voor mail verzonden als root, in ieder\ngeval UPC vind het niet leuk als je mail verzend waarbij de zender niet een geldig @upcmail·nl\nemailadres vermeld). En nu werkt bijvoorbeeld (één regel):\necho "Dit is een test" | mail -s Testing\n@keesmoerman·nl\nOm disk-access te reduceren misschien goed om het interval waarmee exim4 de queue\nverwerkt wat hoger te zetten (bv van 30 minuten naar 4 uur), als je geen tijd-kritische mail hebt:\nsudo update-exim4defaults -f --queuetime 4h, scheelt in het schrijven van de log file.\nNog eens uitzoeken waar ik log_level moet zetten; zo lang maar even met de hand naar\n/tmp/exim4 verhuisd, wel terugverhuizen voor je afsluit als je ze nog ooit wil lezen\n(nog een keer automatiseren; en exim4_old is een kopie van /var/log/exim4\nna installatie):\nsudo mv /var/log/exim4 /var/log/exim4_oldsudo cp -rap /var/log/exim4_old /tmp/exim4sudo ln -s /tmp/exim4 /var/log/exim4\nWil je de configuratie handmatig aanpassen (zonder dpkg-reconfigure), dan kan je de\nfile met settings wijzigen:\nsudo service exim4 stopsudo nano /etc/exim4/update-exim4.conf.confsudo update-exim4.confsudo service exim4 start"},{"id":"text-50","heading":"Text","content":"Web server\nlighttpd\nAls web-server (dus om webpagina's beschikbaar te maken) gebruik ik het lichtgewicht lighttpd. Apache is uiteraard krachtiger, maar ook zwaarder\nvoor die arme Pi… Mooi is dat lighttpd ook naar Python (en Perl) kan interfacen volgens de\nCGI-standaard, zodat ik dynamische webpages kan maken met Python scripts om zo ook een interface te\nhebben naar mijn home control systeem. Installatie staat goed uitgelegd op 'Installing\nLighttpd with Python CGI support& # 39; en op 'Comment\nto get Python to work with Lighttpd?& # 39; (inclusief Python voorbeeldje). Had natuurlijk ook een\nPython server kunnen gebruiken, maar dit is denk ik toch minder werk. Ps: ik heb deze webpages\nalleen beschikbaar op mijn lokale netwerk; niet direct van buitenaf (maar zie SSH met port forwarding) dus aanvallen heeft geen zin."},{"id":"text-51","heading":"Text","content":"Volgens mij kan het aanzetten van (Python voor) CGI (Common Gateway Interface) scripts\neenvoudiger dan beschreven, volgens de welkom-page: "CGI scripts are looked for in\n/usr/lib/cgi-bin, which is where Debian packages will place their scripts. Vous pouvez\nenable cgi module by using command "lighty-enable-mod cgi". Maar, ik had de eerste\nmethode al gebruikt…"},{"id":"text-52","heading":"Text","content":"En dan natuurlijk: hoe werkt Python met\nCGI (meer uitleg)? Ik heb nog weinig\nervaring met Python, maar wel veel met Perl CGI programming. Blijkt\nniet zo heel veel verschil in te zitten, CGI is natuurlijk toch een standaard interface. Enige\nlastige is dat fouten niet in de error log (sudo cat /var/log/lighttpd/error.log)\nterecht komen, maar je kunt ook vanuit een terminal testen en dan krijg je de fouten gewoon daarin.\nAlternatief: met de onderstaande code in je Python CGI-script komt de foutmelding in je webbrowser\nte staan:\nimport cgi # Dit\nnatuurlijk sowieso voor cgi programmingimport cgitb # voor de foutmeldingencgitb.enable() # of naar file: cgitb.enable(display=0,\nlogdir="/path/to/logdir")"},{"id":"text-53","heading":"Text","content":"réynamic IP adres\nTja, nu heb je je server netjes ingesteld, maar hoe kunnen anderen die nu van buitenaf vinden?\nNormaal hebben servers een domeinnaam (b.v. keesmoerman.nl). Via deze naam kunnen\nanderen dan het IP-adres van de server opvragen, en dan via dat IP adres contact leggen. Maar, de\nmeeste mensen hebben meestal geen domein naam voor de thuiscomputer; alleen maar een IP als\ntoegewezen door de provider. En dat is vaak dynamisch; dat wil zeggen het kan zonder melding\nwijzigen. Voor tijdelijk gebruik is dit goed te doen; geef naar anderen je IP adres door. Maar,\nmooier is via een 'dynamic DNS service' je huisnetwerk ook een naam te geven.\nEr zijn heel wat providers voor Dynamic\nDNS. Ik ben zelf nu overgestapt naar een gratis dynamic IP address updater van dynu.com (dyndns is niet meer gratis), dus mijn thuissysteem is nu van\nbuitenaf te bereiken via .dynu.com. In het kort: meld je aan bij\ndynu, en zet na bevestiging je Raspberry op om regelmatig te\nchecken en door te geven aan dynu of je IP-adres veranderd is, via ddclient. Je krijgt dan zelfs een mailtje\nals je IP-adres is veranderd! In het kort:\nsudo apt-get install ddclient #\ninstallerensudo /etc/init.d/ddclient stop # stoppen vóór het\nconfigurerensudo nano /etc/ddclient.conf # edit config (user\nname/passwd), download defaults van\ndynu.comsudo ddclient -daemon=0 -debug -verbose -noquiet # debug: check of de\nzaak wel werkt#sudo /etc/init.d/ddclient restart # Alles OK? –> final start (op\nde oude manier)sudo service ddclient start # Alles OK? –> final\nDébut"},{"id":"text-54","heading":"Text","content":"Niet nodig\nEr lopen ook vast services die niet nodig zijn. Zo kwam ik modem-manager tegen, die zorgt\nvoor telefooncommunicatie via USB. Ik hang toch geen GSM modem aan mijn raspberry, dus die heb ik\ngestopt met de onderstaande regel (één regel). Alleen killall modem-manager werkt\nnamelijk niet; wordt automatisch weer gestart door de network manager…\nsudo mv /usr/share/dbus-1/system-services/org.freedesktop.ModemManager.service\n/usr/share/dbus-1/system-services/org.freedesktop.ModemManager.service.disabled"},{"id":"text-55","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/05/raspberry.png"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/05/02/moerman-raspberry-pi-en-tant-que-serveur-bien-choisir-son-serveur-d-impression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/05/02/moerman-raspberry-pi-en-tant-que-serveur-bien-choisir-son-serveur-d-impression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/05/02/moerman-raspberry-pi-en-tant-que-serveur-bien-choisir-son-serveur-d-impression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}