Blog Marc JESTIN

CloudFlare de plus en plus intrusif : la Gestapo chez vous et avec vous 24 heures sur 24

Thu, 14 May 2026 00:00:00 +0000

Bonjour,

Ce jour, je me rends sur un site web pour m’informer et chercher une réponse technique, comme à l’accoutumée, quand tout à coup !

La « sécurité » a bon dos !

Préambule
#

La plupart des applications que vous utilisez sur vos ordiphones, voitures, bracelets, colliers, sonettes, cafetières, aspirateurs, cuvettes de chiotte, etc. sont connectées 24 heures sur 24 à des tonnes de serveurs qui téléchargent, stockent et dupliquent des quantités faramineuses de données.

Attaque par force brute lente distribuée, 12 mai 2026

Tue, 12 May 2026 00:00:00 +0000

Bonjour,

Aujourd’hui, comme cela faisait un moment que je voyais des échecs de tentatives de connexion d’un groupe d’adresses suspect sur les journaux (logs) de mon serveur de messagerie Postfix / Dovecot, je suis passé voir les logs de l’outil de protection Fail2Ban.

J’ai vu passer une belle brochette d’adresses qui étaient retirées du bannissement temporaire :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.84/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.44/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.181/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.174/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.62/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.66/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.142/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.49/32
[…]
# et pas mal d'autres…

Et un peu plus loin, des tentatives de connexion depuis ce même réseau qui continuaient tranquillement comme si de rien n’était :

Comment désactiver ipv6 sur une Debian

Tue, 12 May 2026 00:00:00 +0000

Bonjour,

Il est possible de désactiver IP v6 définitivement sur une machine qui n’en a pas besoin.

Attention aux conséquences possibles sur certains services qui essaient de s’en servir !

Désactiver ipv6
#

Pour désactiver ipv6 (ip v6) dans une distribution Debian, il suffit d’éditer le fichier etc/sysctl.conf et d’ajouter ces lignes :

1
2
3
4
5


net.ipv6.conf.all.disable_ipv6=1
net.ipv6.conf.default.disable_ipv6=1
net.ipv6.conf.lo.disable_ipv6=1
net.ipv6.conf.all.autoconf=0
net.ipv6.conf.default.autoconf=0

La commande sysctl -p applique les paramètres immédiatement.

Comment mieux gérer les crochets (hooks) git et les intégrer aux suivis de versions du dépôt

Tue, 12 May 2026 00:00:00 +0000

Bonjour,

Lorsque nous travaillons sur des projets de développement, nous apprécions pouvoir compter sur notre gestionnaire de dépôt pour réaliser des opérations automatiquement lorsque se produisent certains événements.

C’est le cas ici pour moi lorsque je commit mes modifications dans ce blog Hugo : un script exécute la compilation et transfère les modifications sur le serveur sans que j’aie à m’en préoccuper.

Nous parlons ici bien sûr des crochets client (côté machine de développement).

Comment purger un ensemble de services (stack) Docker

Tue, 12 May 2026 00:00:00 +0000

Bonjour,

Docker est pratique pour monter des projets pour le plaisir d’apprendre, de tester, d’approfondir, etc.

Il arrive souvent que nous ayons besoin de faire du ménage.

Voici un petit pense-bête.

Faire l’inventaire des données persistantes
#

Bien souvent, nous créons des données dans des dossiers du système hôte.

Il convient d’en maintenir un inventaire à jour et de veiller à les sauvegarder et / ou supprimer lorsque nous en avons terminé.

Quand le serveur d'inscription à la gestion antispam de Microsoft envoie du spam potentiel et se comporte comme un spammeur

Tue, 12 May 2026 00:00:00 +0000

Bonjour,

Pour que notre serveur de messagerie soit correctement traité par les serveurs de Microsoft, nous devons signer les contrats SNDS (Smart Network Data Services) et JMRP (Junk Mail Reporting Partner Program) de Microsoft en nous rendant sur leur serveur https://postmaster.live.com/snds/JMRP.aspx?wa=wsignin1.0.

Pas de bol : le courriel de vérification d’adresse envoyé par leur serveur ressemble trop à du spam.

Première mauvaise nouvelle
#

Pour commencer, nous devons créer un compte Microsoft.

Protéger sélectivement des liens avec NPM (Nginx Proxy Manager)

Mon, 11 May 2026 00:00:00 +0000

Bonjour,

Nous pouvons protéger sélectivement des liens (ou dossiers) avec NPM (Nginx Proxy Manager).

Quand j’écris nous pouvons, je pense en réalité nous devrions très très fort lorsqu’il s’agit de liens d’accès à des niveaux de privilèges dans les sites ou applications que nous déployons. Les opportunités ne manquent pas d’utiliser ce type d’outil pour protéger nos serveurs, ne passons pas à côté.

J’illustre mon propos avec l’accès à l’administration et à l’administration de domaines dans Mailcow, un serveur de messagerie Internet très complet.

Comment l'incident de Let's Encrypt m'a obligé à aller grenouiller dans la base sqlite de mon NPM (Nginx Proxy Manager)

Sat, 09 May 2026 00:00:00 +0000

Bonjour,

Alors que je tentais de créer un nouveau service dans NPM (Nginx Proxy Manager) ce vendredi soir, tout a bloqué des suites d’un incident sur les serveurs de production de lets’ Encrypt ¹.

Après que leur service soit rétabli, j’ai voulu reprendre mon travail normalement et là, patatras !

Plus rien ne fonctionnait comme il faut.

J’ai dû ouvrir le capot et rentrer dans le moteur pour rétablir le bon fonctionnement de mon système :

Les ACL pour une gestion avancée des droits sur les dossiers et fichiers dans Debian

Sat, 09 May 2026 00:00:00 +0000

Bonjour,

Il nous arrive bien souvent de devoir intervenir dans des dossiers où plusieurs utilisateurs se télescopent.

C’est le cas par exemple si nous souhaitons effacer des caches écrits par des composants du serveur web.

Nous nous heurtons alors à des problèmes de propriété et de droits associés.

Nous disposons de « mauvaises bonnes solutions » comme par exemple

intégrer notre utilisateur à un groupe (dont il ne fait pas réellement partie, en réalité) ;
ajouter une règle sudo sur mesure (qui finit bien souvent en règle trop générale, qui crée une superbe faille de sécurité).

La gestion des ACL dans Debian permet de gérer cela très simplement.

Comment désactiver sudo dans Debian

Fri, 08 May 2026 00:00:00 +0000

Bonjour,

Bonnes pratiques de sécurité
#

Une machine sécurisée est une machine dans laquelle n’importe qui ne peut pas faire n’importe quoi.

Une machine sécurisée est une machine dans laquelle il faut se connecter à un compte qui bénéficie de privilèges élevés pour effectuer des tâches d’administration.

Ce peut être le compte root lui-même ou d’autres comptes, mais ce ne devrait pas être n’importe quel compte utilisateur, même si c’est le propriétaire de la machine.

Comment retirer les droits sudo à un utilisateur dans Debian

Fri, 08 May 2026 00:00:00 +0000

Bonjour,

Bonnes pratiques de sécurité
#

Une machine sécurisée est une machine dans laquelle n’importe qui ne peut pas faire n’importe quoi.

Une machine sécurisée est une machine dans laquelle il faut se connecter à un compte qui bénéficie de privilèges élevés pour effectuer des tâches d’administration.

Ce peut être le compte root lui-même ou d’autres comptes, mais ce ne devrait pas être n’importe quel compte utilisateur, même si c’est le propriétaire de la machine.

Let's Encrypt empêtré dans le syndrome de la maintenance du vendredi soir

Fri, 08 May 2026 00:00:00 +0000

Bonjour,

Alors que je m’apprêtais à déployer un nouveau service pour visualiser mes statistiques de trafic, j’ai cru un temps que j’avais cassé ma configuration NPM (Nginx Proxy Manager). En effet, j’obtenais des erreurs (peu loquaces) et, quand je vérifiais dans le dossier ad hoc, je ne voyais pas de nouveau dossier pour la clef et le certificat que je tentais d’obtenir.

C’est en me rendant dans les logs du conteneur Docker que j’ai compris que le problème ne venait pas de moi.

Empêcher la mise en veille sur un serveur Debian

Wed, 06 May 2026 00:00:00 +0000

Bonjour,

Un serveur doit être disponible 24 heures sur 24 et ne doit évidemment pas se mettre en veille, surtout si nous ne disposons pas d’outils pour le « réveiller ».

Par défaut ou suite à l’installation de certains paquets, une distribution Debian peut conserver des réglages d’économie d’énergie. Résultat : notre machine « s’endort » après une période d’inactivité et nous ne pouvons plus y accéder à distance. ¹

C’est le cas notamment pour des systèmes installés dans une version Desktop (= avec le gestionnaire de bureau, type GNOME ou autre).

Enfin libre

Tue, 05 May 2026 00:00:00 +0000

Bonjour,

Je peux maintenant l’annoncer officiellement : j’ai franchi le Rubicon de l’auto-hébergement : le fait d’héberger ses serveur(s) et/ou service(s) Internet chez soi pour TOUS mes outils Internet.

Depuis plusieurs années, j’expérimentais et testais différentes solutions pour héberger des services sur des serveurs dédiés ou directement chez moi. Quelques-un·e·s de mes client·e·s ont eu l’occasion de s’en servir.

Je relançais le dossier régulièrement à l’approche de la date anniversaire de mon contrat d’hébergement pour le courriel et les serveurs web.

Veni, vidi, abii

Tue, 05 May 2026 00:00:00 +0000

Bonjour,

Hier et la nuit dernière, j’ai installé une instance Mastodon glitch-soc sur mon serveur.

Ce ne fut pas de tout repos, mais j’ai fini par y arriver.

J’en ai profité pour apprendre et pour dénicher quelques défauts sinon bogues de Dokploy.

Apprendre et savoir faire
#

Je n’ai déployé cet outil que pour savoir le faire.

Voilà, c’est fait !

De Profundis

Mon, 04 May 2026 00:00:00 +0000

Bonjour,

Orion et moi avons de nouveau croisé cette dame avec son chien au trouble de comportement évident.

Le chien n’est pas le seul à présenter des troubles du comportement, je le crains…

Premières agressions
#

Ce chien a déjà foncé vers Orion en mode agression plusieurs fois.

La première fois que cela est arrivé, nous jouions paisiblement Orion et moi, comme nous en avons l’habitude, pendant notre balade sur un chemin entre les champs. Je lançais la balle et Orion allait la chercher. Ce chien est arrivé de nulle part derrière nous en courant à toute allure. Il a foncé droit vers Orion et l’a agressé une première fois.

Webhooks & CI/CD : Quand Dokploy et Gitea refusent de se parler

Mon, 04 May 2026 00:00:00 +0000

Bonjour,

J’ai un peu galéré pour faire tourner mon flux de travail (workflow) pour automatiser les mises à jour automatiques de ce blog lorsque je publie (push) la branche main de mon dépôt sur mon serveur gitea.

Le défi : Automatiser le déploiement
#

L’objectif était simple : utiliser les Gitea Actions pour que chaque git push déclenche automatiquement la mise à jour du conteneur de mon site sur mon instance Dokploy.

Mon Premier Article

Sun, 03 May 2026 00:00:00 +0000

Bonjour et bienvenue dans ce nouveau blog.

J’ai choisi d’utiliser le moteur de gestion de contenus et générateur de sites statiques Hugo associé à Caddy.

Le tout est déployé dans une infrastructure Docker gérée avec Dokploy. Caddy n’est donc ici utilisé que pour le rendu rapide de pages statiques.

Le proxy inverse (reverse proxy) du serveur est Traefik.

Je n’ai pas encore réussi à faire tourner mes gitea actions correctement pour la mise à jour automatique lorsque je commit, mais cela ne saurait tarder. 😉

Blog Marc JESTIN

CloudFlare de plus en plus intrusif : la Gestapo chez vous et avec vous 24 heures sur 24

Préambule #

Attaque par force brute lente distribuée, 12 mai 2026

Comment désactiver ipv6 sur une Debian

Désactiver ipv6 #

Comment mieux gérer les crochets (hooks) git et les intégrer aux suivis de versions du dépôt

Comment purger un ensemble de services (stack) Docker

Faire l’inventaire des données persistantes #

Quand le serveur d'inscription à la gestion antispam de Microsoft envoie du spam potentiel et se comporte comme un spammeur

Première mauvaise nouvelle #

Protéger sélectivement des liens avec NPM (Nginx Proxy Manager)

Comment l'incident de Let's Encrypt m'a obligé à aller grenouiller dans la base sqlite de mon NPM (Nginx Proxy Manager)

Les ACL pour une gestion avancée des droits sur les dossiers et fichiers dans Debian

Comment désactiver sudo dans Debian

Bonnes pratiques de sécurité #

Comment retirer les droits sudo à un utilisateur dans Debian

Bonnes pratiques de sécurité #

Let's Encrypt empêtré dans le syndrome de la maintenance du vendredi soir

Empêcher la mise en veille sur un serveur Debian

Enfin libre

Veni, vidi, abii

Apprendre et savoir faire #

De Profundis

Premières agressions #

Webhooks & CI/CD : Quand Dokploy et Gitea refusent de se parler

Le défi : Automatiser le déploiement #

Mon Premier Article

Préambule
#

Désactiver ipv6
#

Faire l’inventaire des données persistantes
#

Première mauvaise nouvelle
#

Bonnes pratiques de sécurité
#

Bonnes pratiques de sécurité
#

Apprendre et savoir faire
#

Premières agressions
#

Le défi : Automatiser le déploiement
#