Matériel: Raspberry Pi à la maison Version de YunoHost: 4.1.7.1 J’ai accès à mon serveur : En SSH | Par la webadmin Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : Oui. Samba a été installé indépendamment de Yunohost
Description du problème
En bon élève, j’ai appliqué certains conseils de la doc de Yunohost afin d’améliorer la sécurité de mon serveur. J’ai notamment mis en place l’authentification SSH par clé et modifié le port par défaut.
Déjà, ça m’a posé problème au moment d’installer Simple Torrent, car l’installation se heurtait à un problème de fichier sshd_config personnalisé, le script n’osait donc pas le modifier… J’ai dû réinitialiser le fichier sshd_config via yunohost tools regen-conf ssh --force, installer Simple Torrent, et ensuite refaire la modif de la ligne concernant le numéro de port.
Bref, ce n’est pas la raison de mon message, mais il se trouve que depuis que j’ai changé manuellement le numéro de port dans le fichier sshd_config, je reçois chaque jour un mail automatique titré “Issues found by automatic diagnosis” (provenant de mon serveur) qui dit ceci :
[WARNING] Configuration file /etc/ssh/sshd_config appears to have been manually modified.
This is probably OK if you know what you’re doing! YunoHost will stop updating this file automatically… But beware that YunoHost upgrades could contain important recommended changes. If you want to, you can inspect the differences with ‘yunohost tools regen-conf ssh --dry-run --with-diff’ and force the reset to the recommended configuration with ‘yunohost tools regen-conf ssh --force’
Du coup, si je comprends bien, le diagnostic automatique me reproche d’avoir fait une modification manuelle pourtant salutaire… Peut-être qu’il y a un moyen plus “valide” de faire les modifications dans le fichier sshd_config ?
Ou alors existe-t-il un moyen de désactiver ce message automatique ?
C’est un peu le principe du diagnostique, de vérifier si tout va bien et si il y a eu des modifications. Pour ignorer les avertissements quand tu sais la raison comme ici, le plus simple est de le faire de la Webadmin rubrique Diagnostic puis de cliquer sur “Configurations système” et Ignorer l’erreur.
Je te conseille après une mise à jour de paquets yunohost de vérifier si il y a eu des modifications apportées à ce fichier par l’équipe. A partir du moment ou tu modifies ce fichier, il n’a plus les modifications poussées par les Dev. C’est rare pour ce fichier mais ça arrive.
Pour vérifier les modifications avec le fichier d’origine:
Merci @metyun pour ta réponse j’avais pas pensé à aller dans la WebAdmin pour ignorer l’avertissement alors que depuis le début je trouve ce système de diagnostic super pratique et bien présenté !.. (D’ailleurs, je suppose que plus on a d’avertissements ignorés, plus c’est source de bugs… J’en suis à 4, quand j’arriverai à 10, je paye ma tournée ! )
Enfin c’est ballot je trouve car effectivement il arrive que ce fichier soit modifié par une installation de paquet quelconque (exemple avec Simple Torrent dont je parlais)… Du coup ça “oblige” à fouiller pour savoir quelle est la modification demandée (pour l’instant je ne sais pas faire ça) ou réinitialiser le fichier sshd_conf le temps de l’installation et refaire les modifs à la main ensuite (ça, je sais faire)… C’est fastidieux pour un gars comme moi habitué par Microsoft à des trucs automatiques …
Le top, serait que l’installation des paquets détecte les changements et, en fonction, sache ce qui doit être modifié ou non… Bref, faire une analyse du fichier sshd_conf au lieu de dire “ça a été modifié, j’y touche pas !”
Ah, question peut-être bête, mais n’y a-t-il pas un moyen de spécifier quelque part que (pour mon infrastructure en tout cas), un bon fichier sshd_conf “sain” contiendrait un port SSH personnalisé ?
Pour détecter que ce fichier a été modifié, le script de diagnostic doit sûrement se baser sur un “modèle”, non ? Un fichier de base quelque part… Donc si dans ce fichier de base je mettais le port SSH que je veux, le diagnostic ne détecterait pas de modification, non ? si ? J’ai définitivement rien compris ?
Euh, non si tu sais ce que tu fais. J’ai pas mal de choses ignorées,
suffisamment pour payer ma tournée mais je sais pourquoi je l’ai fais, du coup ça ne pose pas de soucis.
La commande que j’ai donné précédemment permet justement de voir les modifications apportées.
Je ne me suis pas intéressé au fonctionnement du diagnostic, cependant les vérifications sont lancées de l’extérieur, donc le fichier de base ne se trouve pas sur ton serveur, du coup tu ne peux pas le modifier.
Il y a sans doute possibilité de modifier le fichier avec un “hook” de façon que les mises à jours passent quand même. Je ne peux pas t’en dire beaucoup plus, la seule fois ou j’ai essayé d’en faire un j’ai été confronté à un bug, du coup je n’ai pas retenté depuis. Peut-être @Aleks peut en dire plus à ce sujet, ou tout au moins confirmer si c’est réalisable.
)
…