Tuesday, December 20, 2022
support@conference.yunohost.org
December
Mon Tue Wed Thu Fri Sat Sun
      1
 2
 3
 4
5
 6
 7
 8
 9
 10
 11
12
 13
 14
 15
 16
 17
 18
19
 20
 21
 22
 23
 24
 25
26
 27
 28
 29
 30
 31
  
             

[10:32:20] <gredin67> Which services should be restarted/reloaded after `sudo yunohost settings set security.ssh.port -v <new_ssh_port_number>`
[10:32:21] <gredin67> https://yunohost.org/en/security could be improved with some instructions on how to test the alteration
[10:32:21] <gredin67> I restarted ssh, which is now listening to the new port, but in the firewall the old port is still open and the new one is closed...
[10:32:22] <gredin67> it's a VPS
[10:32:22] <tufek> > <@gredin67:matrix.fdn.fr> I restarted ssh, which is now listening to the new port, but in the firewall the old port is still open and the new one is closed...

What do you mean by "in the firewall the old port is still open"? Did you change your router's NAT parameters to bind the new port to your device?
[10:32:23] <gredin67> I mean in the yunohost web admin, in the firewall section
[11:29:53] <希望> 😶‍🌫️
[15:52:58] <tufek> ok, that's weird, indeed yunohost should handle that
[15:53:23] <tufek> low hanging fruit: maybe restart sshd.service and/or reboot the whole system if you didn't try yet?
[15:53:51] <gredin67> > <@tufek:matrix.fdn.fr> low hanging fruit: maybe restart sshd.service and/or reboot the whole system if you didn't try yet?

already tried, I would like to avoid to reboot ;)
[15:53:59] <tufek> > <@gredin67:matrix.fdn.fr> already tried, I would like to avoid to reboot ;)

I get that
[15:54:37] <Fumasus> Bonjour,
[15:54:42] <Fumasus> J'aurais besoin d'aide concernant la configuration de mon serveur.
[15:54:47] <Fumasus> J'ai changer de FAI récemment mais je n'arrive pas à ouvrir les ports d'accès. Pour être plus précis les ports sont ouverts pour mon serveur mais quand je fais un diagnostic le serveur m'indique qu'ils sont fermés. Mon serveur n'est pas accessible depuis l'extérieur ce qui corrobore les dires du diagnostics.
[15:54:52] <Fumasus> Je vous remercie pour votre aide.
[15:54:54] <Fumasus> Fumasus
[15:54:57] <Aleks (he/him/il/lui)> Fumasus: et tu es sur d'avoir forwardé les ports vers la bonne IP ?
[15:55:00] <Fumasus> Oui, je lui ai attribuer la même ip fixe qu'avec mon précédent routeur
[15:55:02] <Aleks (he/him/il/lui)> zblerg
[15:55:07] <Aleks (he/him/il/lui)> et c'est quoi comme opérateur ?
[15:55:10] <Fumasus> Vialis un opérateur local. Mon routeur est un calix854g-2
[15:55:14] <Fumasus> à priori je possède une ipfixe
[15:55:16] <Aleks (he/him/il/lui)> behmouarf si c'est un routeur custom je checkerais en ligne si y'a de la doc sur les redirections de port ...
[15:55:19] <Fumasus> ça m'a l'air d'être un routeur stock. Pas de branding de mon opérateur ni sur le carton, le routeur en lui même et ni sur l'interface web d'administration.
[15:55:31] <Fumasus> je dois reconnaitre que la doc que j'ai trouver en ne m'a pas beaucoup aidé. Il y a un tuto qui explique exactement ce que j'ai fait. Je dois rater quelque chose...
[15:55:41] <Aleks (he/him/il/lui)> ¯\_(ツ)_/¯
[15:55:55] <Fumasus> '=D
[15:56:09] <Aleks (he/him/il/lui)> beh en tout cas je sais pas trop quoi te dire, c'est pas un problème du côté de YunoHost apriori
[15:56:20] <Fumasus> je pense aussi que cela vient du côté de mon routeur. J'ai poster un topic sur forum je verrais bien.
[15:56:32] <Fumasus> Ce que j'ai trouver étrange c'est que lors de la première connexion de mon serveur à mon nouveau routeur, celui-ci avait déjà reconnu mon serveur avec son nom et lui avais attribuer la même adresse ip qu'avec mon ancien routeur. Je précise que l'adresse ip est 192.168.1.23 et que je n'ai pour sûr pas connecter 23 appareils avant de
[15:56:49] <Fumasus> reconnectera mon serveur... Est-ce que quelque chose est codé en dur sur yunohost et qu'il faut que je change cela ?
[15:57:04] <Aleks (he/him/il/lui)> beh apriori non les redirections de ports c'est un truc normalement assez simple et purement côté routeur quoi
[15:57:19] <Fumasus> okay ça marche, je te remercie pour ton aide !
[15:57:34] <gredin67> > <@gredin67:matrix.fdn.fr> I restarted ssh, which is now listening to the new port, but in the firewall the old port is still open and the new one is closed...

only thing that I found working was to reboot the server, but maybe restarting fail2ban would have done the job? I think either something is broken in SSH port changing, or the doc is incomplete. I wrote this https://github.com/YunoHost/doc/pull/2168
[15:57:45] <Guillaume Bouzige> does anyone is hosting from home with yunohost behind a reverse_proxy (and a router) ? I am curious how they manage the cerficate part...
[17:19:26] <Aleks (he/him/il/lui)> Guillaume Bouzige: yeah that's annoying
[17:19:42] <Guillaume Bouzige> indeed, I did a trick but dirty
[17:19:50] <Aleks (he/him/il/lui)> you basically either have to distable the HTTP->HTTPS redirect on Yunohost, and make the proxy host handle the certificate with certbot or whatever
[17:19:58] <Aleks (he/him/il/lui)> the cool thing would be to dig into SNI-based reverse proxy (on NGINX but maybe supported by other servers)
[17:20:11] <Guillaume Bouzige> I use caddy as reverse_proxy, I yeah SNI reverse I have heard of it
[17:20:19] <Aleks (he/him/il/lui)> which allows the host to forward encrypted traffic using the SNI (which is basically the destination domain which is in clear inside the HTTP request somehow)
[17:20:25] <Guillaume Bouzige> yeah SNI that's a way to digg
[17:20:41] <Guillaume Bouzige> now I use a special directive on caddy to forget about insecure tls + in etc/hosts the domain with ip and I force yunohost with the final domain...so I have clean front HTTPS from caddy and a broken one in yunohost but at least apps are configured with correct domain.
[17:20:53] <Guillaume Bouzige> > <@Alekswag:matrix.org> which allows the host to forward encrypted traffic using the SNI (which is basically the destination domain which is in clear inside the HTTP request somehow)

would that be it https://github.com/caddyserver/caddy/issues/4834
[17:21:06] <Aleks (he/him/il/lui)> uuugh maybe idk naively this sound like something even more advanced
[17:21:14] <Guillaume Bouzige> or this https://www.bamsoftware.com/papers/fronting/
[23:50:42] <pti-jean> Bonsoir,
[23:51:27] <pti-jean> J'ai un problème... je n'arrive plus à faire fonctionner fetchmail...
[23:51:53] <pti-jean> et ce, après la migration 32 vers 64bits!
[23:51:57] <pti-jean> une idée
[23:53:01] <pti-jean> $ sudo service fetchmail start
Job for fetchmail.service failed because the control process exited with error code.
See "systemctl status fetchmail.service" and "journalctl -xe" for details.
[23:53:29] <pti-jean> $ systemctl status fetchmail.service
● fetchmail.service - LSB: init-Script for system wide fetchmail daemon
Loaded: loaded (/etc/init.d/fetchmail; generated)
Active: failed (Result: exit-code) since Wed 2022-12-21 00:52:17 CET; 58s ago
Docs: man:systemd-sysv-generator(8)
Process: 4793 ExecStart=/etc/init.d/fetchmail start (code=exited, status=1/FAILURE)
CPU: 38ms