Archives de catégorie : sur le vif

Nftable Conntrack sur trafic sortant

Ça m’aura bouffer un max de temps et pourtant c’était simple.

Depuis plus d’un an j’étais inquiet de voir des connexions sortant sur mon serveur vers des ports et des adresses inconnues. Donc pour éviter les dégats je listait et dropait ces paquets.

Le deuxième temps de la brasse a été l’utilisation de pctpdump et de auditd pour essayer de coincer le process coupable sans jamais rien obtenir de probant. Bien sur ça m’a poussé à faire un ménage sérieux sur la machine. Et alors que j’ai déjà lu une bonne centaine de fois mes logs …

2025-06-29T01:46:57.611976+02:00 vps kernel: [2367637.155868] IN= OUT=eth0 SRC=137.74.47.15 DST=61.230.109.100 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=62010 DF PROTO=TCP SPT=443 DPT=64105 WINDOW=501 RES=0x00 ACK URGP=0

Je me suis exclamé mékilécon le premier paquet d’un connexion doit avoir les flags SYN,ACK et là je n’ai que des ACK -> ce ne sont donc pas des nouvelles connexions et Conntrack doit se baser sur les séquences et là probablement que l’on a une répétition de l’envoi de l’acquittement d’un paquet.

Donc je ne me suis pas fait poutrer et ma machine n’est pas utilisée pour emm… le monde. Franchement c’est rassurant.

ehci_hcd should always be loaded before uhci_hcd not after

Bon j’avais l’erreur de l’objet sur ma Debian Trixie avec comme effet un scanner plutôt lent.

Après avoir cherché sur le net des solutions aucune ne me satisfaisait vraiment. Donc j’ai creusé et je suis tombé sur les softdeps . (man 5 modprobe.d)

La solution à affiner est de créer un fichier dans /etc/modprobe.d moi je l’ai appelé ehci_hcd.conf

dans ce fichier j’ai mis les lignes :

#devrais forcer le chargement d'EHCI avant OHCI 
softdep ehci_hcd post: ohci_hcd uhci_hcd
softdep ohci_hcd pre: ehci_hcd
softdep uhci_hcd pre: ehci_hcd

un depmod -a suivi de update-initramfs -u et le tour est joué.

En fait le premier softdep ne suffisait pas je n’ai pas creusé mais il devait y avoir un jeu de dépendances qui bloquait, peut être le fait d’imposer le chargement ohci_cd avant uhci_cd. Donc j’ai bétonné avec les deux autre lignes.

Je trouve la solution assez élégante même si pour l’instant c’est un peu brut de fonderie. En tout cas ça fait le job.

 

 

 

Où trouver les fichiers .klt pour syslinux ou lilo / where to find .klt file for syslinux or lilo

Grosse partie de plaisir pour adapter le keymap de sysconfig sur Debian Trixie.
En fait une grande partie de la documentation est dépassée et l’utilitaire keymap-lillo.pl est souvent une version qui ne fonctionne pas, il faut trouver une version adapté dans repo syslinux j’ai trouvé  un bon/good keytab-lilo sous forme d’un fichier texte mais ça reste encore du boulot pénible le paquet kbd ne fournissant pas les keymap.

La voie de la simplicité est sur ce repo où on trouve Les fichiers .ktl/the .ktl files.

Voilà peut être gagnerez vous deux heures de recherches à vous arracher les cheveux.

les bot d’OpenAI et de Meta me saturaient le serveur

Depuis un certain temps les traces du serveur étaient devenues inexploitables, et donc avec le risque de laisser passer une vraie attaque, et ça à cause des bot d’OpenAI et Meta qui se mettaient à délirer et à pilonner le serveur avec des requêtes avec la chaîne . »atom » répétée un certain nombre de fois dans la query string.

Ç’aura été l’occasion de replonger dans les paramétrage de lighttpd et de fail2ban, pour les mettre à jour, les simplifier et les rendre plus maintenables et bien sur durcir la durée de rétention du jail recidive.

Sur le principe au niveau fail2ban j’ai une règle qui porte sur les erreurs 40x (au lieu de plusieurs) et au niveau lighttpd une erreur 403 est générée lorsque la chaîne fautive et détectée. Pour que les bot qui balayent systématiquement l’internet à la recherche de faille soient moins présent une règle lighttpd passe en 403 les accès sur un domaine non admis, tant pis pour les script kiddy et les chercheurs en sécurité mais ils me gavaient grave, voir passer 10 fois par jour les mêmes tests argh …

A l’ocassion aussi j’ai nettoyé la base sqlite de fail2ban (requête VACUUM;)  ce qui l’a fait passer de plus de 500Mo à une petite dizaine. Toujours ça de gagner.

On peut en résumé dire que j’ai appliqué les deux règles :
– simplifier
– diminuer la surface d’attaque

Suis je serein ? non mais ayant baissé le niveau de bruit dans les logs je me sens plus prêt pour réagir en cas de nouvelle attaque. Dans tous les cas un serveur sur Internet demande un peu d’attention journalière.

Voyager simplement/rustiquement en van (NV200)

Deux mots sur mon NV200 avec aménagement minimal.

Déjà ce que j’apprécie le plus c’est pouvoir prendre des routes étroites il fait moins d’1m80 de large, utiliser n’importe quel parking, il passe sous les barres de 1m90 et sa consommation (1,5DCi 85cv) très raisonnable (4,5l /100).
Ce qui est moins bien, la suspension arrière est sèche occasionnant des coups de raquettes, la motricité est parfois très limite dès que la pente est forte et un peu glissante (pavé sous la pluie, chemin de terre, cailloux), bien sur le freinage n’est pas très bon ça va de paire, c’est bruyant et avoir un hayon au lieu de portes arrières aurait été plus pratique.

Acheté d’occasion il y a 5 ans l’aménagement a consister à supprimer la paroi de séparation de l’habitacle, faire une grosse étagère en bois à l’arrière, poser un canapé clic/clac à 150€ chez Conforama, (1,9mx1,2m), un rideau entre le poste de pilotage et l’arrière, une bonne couette, un jerrycan de 20l deux chaises et table de camping, un réchaud bleuet un peu de vaisselle et nous sommes parti faire le tour de l’écosse.

Depuis j’ai rajouté une caméra de recul ce qui est plus que nécessaire, réparer les bosses que j’ai pu faire et ajouter deux aérations d’habitacle REIMO AIRVENT Au bout de 5 ans avec un voyage en Écosse,en Norvège, et un demi-tour de l’Irlande, la Sardaigne, le sud de l’Italie, Les lacs Italien et le sud de l’Espagne plus pas mal de ballade en France on est toujours heureux de notre choix.

Pour le confort, rustique vous dis-je, néanmoins même sans chauffage nous avons déjà passé des nuits à des températures approchant les zéro degré avec réveil sous la neige mais ce n’est acceptable que de manière transitoire, il faut aussi que les jours soit assez longs pour pouvoir profiter pleinement de la vie en plein air.

Un jour bien sur il faudra changer, il est diesel crit’air3, mais je doute que je retrouverai dans le futur un véhicule aussi compact, rustique et pratique. Ah le coût ? entre les différents achats moins de 6000€.

GNV plus jamais (Grande Navi Voleurs)

Bonjour,

Un article comme je n’aurais jamais pensé devoir en faire. Fin mai je suis parti faire un voyage avec mon minuscule fourgon (Nissan Nv200) en passant par la Sicile. Corsica Ferries ayant supprimée la desserte de l’Île, pourquoi pas GNV le prix semblait mesuré.

Et bien tout faux, et commençons par la fin. La compagnie un mois après n’a pas daigné répondre à ma réclamation donc si vous avez un soucis sachez que vous n’aurez aucun service client digne de ce nom.

Sur le bateau quasiment aucun prix n’est affiché dans l’espoir je pense de soutirer le maximum d’argent aux passagers. La cabine était juste propre en tout cas bien fatiguée.

Le débarquement et l’embarquement ont été très long et plutôt en mode panique. Et la station de départ à Gêne est compliqué d’accès, avec un GPS on s’arrache les cheveux, il faut laisser la voiture à un parking pour aller valider son billet puis refaire un grand détour pour se retrouver nassé dans un dédale souterrain.

Et là … alors que toutes les compagnie de ferry que j’ai pu utiliser jusqu’à présent (Corsica, Color Lines, Fjord Lines, P&O, Calmac) ont toujours accepté le nv200 dans la catégorie de véhicule correspondant à ses dimensions, un pré-contrôle nous a bloqué dans un coin a mis un coup de tampon sur notre billet et nous a renvoyé vers l’accueil sans explication et là on nous a escroqué de 80 euros en nous disant qu’on nous faisait une fleur et à la limite en nous traitant de tricheur. Franchement avec le stress du départ on a craqué mais si je n’avais pas été autant coincé j’aurais annulé le voyage. Donc dans une démarche qui frise l’escroquerie sachez que leurs prix d’appel ont des exceptions comme le nombre de vitres du véhicule ou suivant ce que vous transporter (Bagage ou caisse en carton)  ou l’usage ce qui n’a aucun rapport bien sur avec leur coûts pour un véhicule de 4m40 moins lourd qu’une 5008 j’ai dû  « après geste commercial, foutage de g. » payer le même tarif qu’un gros camping car de 6,20m. Et je le répète une fois engagé dans l’entrée de l’embarquement vous êtes coincé vous ne pouvez pas renoncer à votre voyage et faire demi tour GNV s’y entend pour coincer le pigeon. Visiblement on était quelques un.

Et bien sur un mois après toujours pas de signe de vie de de leur part, ils m’ont roulé une fois ils ne me rouleront pas deux fois. Ah si par je ne sais quel délire de leur part ils m’ont invité à leur programme de fidélité.

google search : « à vouloir être intelligent on est plus con »

Franchement  plus ça va plus ça se dégrade sur google. A force de vouloir apporter de l’intelligence on arrive à des situations d’une débilité profonde. Si on rajoute le poids de plus en plus élevé des annonces commerciales qui sont hélas remontées systématiquement en tête ça devient le grand bazar.

La dernière ne date, devant l’appavrissement des types de fourgon et fourgonette j’ai voulu voir ce qui existait encore en fourgon avec cabine avancée (comme l’ancien Toyota Hi-Ace, Nissan vanette, Estafette, Vw T4 etc ..).

Sur la recherche fourgon cabine avancée ce con de google croit malin de faire la recherche fourgon cabine approfondie … ça n’a rien à voir c’est ce que j’apelle de la crétinerie profonde, en gros on a envie de dire à l’algo fait juste ton boulot connard répond à ma question pas à n’importe quoi.

Par contre si on cherhce cabine avancée … là il n’y a pas de problème avancée n’est plus approfondie.

Mon pronostic … c’est bientôt la fin du moteur de recherche de google.

Problème AHCI avec carte PCIe ASM1061 et Debian11

Lors du passage en Debian11 et donc en Kernel 5 j’ai rencontré un problème de non reconnaissance de mes disques durs connectés sur la carte PCIe, avec des temps de boot très longs.

En faisant dmesg j’avais pu déduire que c’était à l’inscription du module ahci que se déclenchait l’erreur, le kernel n’arrivait pas à calibrer les disques et donc à les reconnaîtres.Après avoir jouer avec les paramètre de libata et de libahci et sans succès, j’ai constaté que dans dmesg le module AHCI prenait des niveaux d’interuption qui me semblaient un peu élevés par rapport à la plage d’interruptions fournie par le bios.

Cette constatation m’a amené à me dire que le problème était peut être de ce côté et en cherchant sur le Net je suis tombé sur des articles citant des problèmes avec d’autres cartes Sata PCIe, sans aucun rapport avec la mienne. Donc j’ai tenté le paramètre noapic qui m’a gentiment planté puis le paramètre pci=nomsi. et ça a fait l’affaire.

Ce paramètre désactive un mode avancé de gestion des interruptions qui est probablement mal reconnu soit de ma carte PCIe soit par l’Apic de mon PC.

un lien citant la solution : https://forum.ubuntu-fr.org/viewtopic.php?id=1638921 ou https://askubuntu.com/questions/1104219/what-does-pci-noaer-or-pci-nomsi-mean.

Ce qui confirme qu’il ne faut jamais baisser les bras, si on ne comprend pas aujourd’hui on comprendra plus tard.

 

Mise à jour décembre 2024 :
Ce réglage n’est plus nécessaire avec les noyaux 6.11 et peut être un peu antérieur de Debian Sid. Un autre problème de boot est apparu avec des difficultés d’initialisation de la partie video et donc la console qui bloque et c’est en essayant de régler ce problème que j’ai testé la suppression du paramètre. Le plus drôle c’est que ça améliore un peu les difficultés de boot. Je pense que ce problème aléatoire actuel est lié à un timing trop resserré pour ma vielle bécane.

connexion simplifiée d’un casque audio bluetooth sur Debian 11

On trouve beaucoup de documentation sur la connexion bluetooth d’un casque sur le web mais c’est assez touffu et si vous essayer d’appliquer toutes les recettes et bien ça ne marche pas.
Après pas mal de manip j’ai fini âr désinstaller tout ce que j’avais tenté et je suis parti du plus simple :

 sudo apt install blueman bluez-firmware

Et ça suffit 🙂

Et j’admide de plus en plus ma debian avec lxqt sur mon vieux PC c’est propre net et je peux regarder Molotov dessus (qui d’ailleurs fonctione mieux que sous windows et notamment avec un son et un volume de meilleur qualité). Prochaine étape voir comment éviter que xsceensaver n’interrompe le visionnage.