En passant

acme.sh en mode test

Petite note, pour mettre en avant l’option test de acme.sh, qui permet d’envoyer toutes les requêtes d’obtention d’un certificat Let’s Encrypt vers les serveurs de test, et non vers ceux de production. Incontournable lorsque l’on teste l’exécution de scripts de déploiement automatique et que l’on se retrouve à demander plusieurs fois un certificat wildcard dans la même journée, pour un même domaine, et que l’on atteint de ce fait les limites en nombre de création/renouvellement du service.

--test

Une autre solution, si l’on se contente de relancer le script de déploiement plusieurs fois, après avoir corrigé les étapes en erreur et sans reprendre le déploiement sur une machine vierge, consiste à vérifier l’absence des fichiers de certificats avant de faire une nouvelle demande de certificat.

Source: Acme.sh supports ACME v2 wildcard now

[Note de service] Migration

Unicoda migre vers un nouveau serveur. En théorie, le changement devrait être transparent pour les lecteurs, le script de réinstallation s’étant exécuté sans erreur et puisque j’écris depuis la nouvelle instance. Cette nouvelle instance deviendra progressivement accessible avec la propagation de la nouvelle version de la zone DNS.

Si vous lisez ce texte, vous accédez donc bien à la nouvelle instance !

Boot natif sur support de stockage USB pour raspberry pi 4 en bêta

Brève information qui mérite d’être mentionnée, puisque qu’une version bêta du boot direct sur un support de stockage USB a été annoncée via le forum de la fondation Raspberry Pi. Espérons que cette fonctionnalité quittera rapidement son statut de version bêta pour trouver sa place sur nos Pi.

FreshTomato v2020.2

J’ai migré mon router vers la version 2020.2 de FreshTomato. Quelques sueurs froides en essayant de me reconnecter à l’interface d’admin. Le couple login/mot de passe à utiliser cette fois est : root/password.

Idem, si vous n’avez pas changer le nom du compte dans votre configuration, après restauration, il faudra utiliser root à la place de admin.

À première vue, toutes les fonctionnalités que j’utilise semblent fonctionner correctement. Toutefois, comme sur la version précédente, la tentative de création d’une interface sans fil virtuelle, pour la mise en place d’un réseau wifi invité séparé du réseau principal, ne fonctionne pas, car celle-ci conduit à rendre inutilisable l’ensemble des réseaux wifi configurés.

Restreindre les actions d’une clé ssh

Petite découverte qui mérite d’être notée, il est possible d’appliquer des restrictions à une clé SSH sur la machine cible. Dans le fichier authorized_keys, on pourra en particulier restreindre la clé à une IP source, une plage d’IP, ou encore un domaine avec le paramètre from (Voir la documentation pour la syntaxe). Le paramètre command, permet quant à lui de restreindre les possibilités d’exécution de commande en forçant l’exécution de la commande configurée une fois l’authentification réussie. Le résultat de la commande est renvoyé en retour immédiat de la commande ssh. Il existe également un certain nombre d’autres options, par exemple no-port-forwarding ou no-x11-forwarding comme précisé dans le manuel. Voir aussi « Configuring authorized_keys for OpenSSH ».

from="192.168.10.42",command="/bin/date",no-port-forwarding,no-x11-forwarding,no-agent-forwarding ssh-rsa xxxx exemple@unicoda.com