Bienvenue sur Sampai-OS 2.1
LinkedIn: linkedin.com/in/xavier-sampaio
Github: github.com/xaviersampaio
Erreur de Chargement de l'heure
Charge système: 0.08 Processus: 148
Usage de /: 45.2% of 19.56GB Utilisateurs: 2
Usage mémoire: 23% Adresse IPv4 eth0: 192.168.1.100
Usage swap: 0%
Derniere connexion: Aucune date depuis Localhost
Utiliser help pour plus de commandes
Utiliser mansampaio pour dérouler le portfolio
Xavier Sampaio
Étudiant BTS SIO SISR · Administrateur systèmes & réseaux
Passionné d'administration Linux, de self-hosting et de développement web. Je conçois et maintiens des infrastructures réseau, des serveurs auto-hébergés et des projets web from scratch tels que ce portfolio.
Systèmes & infrastructure
Développement web
Réseau
Depuis le lycée, je me suis orienté dans le réseau informatique
Lycée
BTS SIO SISR — 1re année
BTS SIO SISR — 2e année
D'un raspberry pi 5 a un routeur sous ubuntu LTS 26.04
Portfolio Sampaio Xavier | Routeur×
Je suis parti sur un Raspberry Pi 5 avec un Hats qui fait Nvme 2230
net.ipv4.ip_forward = 1 //dans le /etc/sysctl.conf
par défaut le net.ipv4.ip_forward est a 0
ip a
Les interfaces sont generalement ensXX ethX
Penser a autoriser le ssh avant de mettre en places vos regles
Sur Ubuntu LTS 24/26, nftables est le successeur moderne d’iptables : il unifie IPv4/IPv6, simplifie la syntaxe et améliore la performance et la gestion des règles. iptables reste surtout présent pour la compatibilité, souvent via une couche de traduction, donc les anciennes commandes peuvent encore fonctionner. (pour mon plus grand desarois, je me suis rendu compte que c'etais nftables apres 10h de recherche).
Depuis le noyau 2.4 de linux (aujourd'hui superieur a 6.XX).
Le routage du noyau linux est basé sur netfilter un FrameWork de parefeu.
Le routage peut se faire:
- PREROUTING : avant la décision de routage. Plus orienté DNAT conntrack
- POSTROUTING : après la décision de routage, juste avant la sortie. Plus orienté Snat masq
avant le routage(prerouting qui contient DNAT/conntrack) ou apres(postrouting qui contient SNAT/Masq)
Netfilter est un cadriciel du noyau Linux permettant le filtrage réseau, le NAT et le suivi des connexions.
Il est intégré au noyau Linux à partir de la version 2.4. Le projet netfilter/iptables a été lancé en 1998 par Rusty Russell.
DNAT = Destination Nat SNAT = Sources Nat
Iptables utilise des tables pour ses diferente chaines (des lignes de passage pour l'image) qui sont de plusieurs type:
| Table | Role | Chaine Disponibles |
|---|---|---|
| filter | Filtre | INPUT,OUTPUT,FORWARD |
| nat | Translation d'adress | PREROUTING, OUTPUT, POSTROUTING |
| mangle | Modification | TOUT |
| raw | Bypass de conntrack | PREROUTING, OUTPUT |
Iptables utilise des cibles(targets) dans sa gestions de règles du style
Pour chaque regles il faut une table uen chain un match puis un target voici les match
iptables -t [table] -A [chain] [match] -j [target]
# -A = Append -I = Insert (en tête) -D = Delete
# Autoriser SSH entrant
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Bloquer une IP
iptables -A INPUT -s 192.168.1.50 -j DROP
# Voir les connexions
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Afficher les règles avec numéros
iptables -L -n -v --line-numbers
# Sauvegarder / restaurer
# faut installer l'outils iptables-persistent
apt install iptables-persistent
netfilter-persistent save # premiere sauvegarde
iptables-save > /etc/iptables/rules.v4
iptables-restore < /etc/iptables/rules.v4
nftables est le remplaçant moderne d’iptables et il est installé/activé par défaut sur de nombreuses distributions récentes
(dont Ubuntu 22.04 et suivantes). Il fournit une CLI unique (nft) qui unifie IPv4/IPv6 et simplifie la gestion des règles.
nftables a une hierarchie qui est Table => chain => rules
Par défaut, il n'y a pas de règles pre remplis il faut les creer sois meme (certain service ou distribution le font par default)
Contrairement à iptables où il y a plusieurs commandes distinctes
(iptables, ip6tables, arptables, ebtables), nftables gère tout depuis la même interface
La tables la plus courante pour nftables est inet elle gere IPV4 et IPV6
# Créer une table
nft add table inet filter
# Créer une chain (type filter, hook input, priorité 0)
nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
# Ajouter une règle
nft add rule inet filter input tcp dport 22 accept
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
chain input {
type filter hook input priority 0; policy drop;
# Loopback
iif "lo" accept
# Connexions établies
ct state established,related accept
# SSH
tcp dport 22 accept
# HTTP/S
tcp dport { 80, 443 } accept
# Ping
icmp type echo-request accept
icmpv6 type echo-request accept
# Tout le reste = drop (policy)
}
chain forward {
type filter hook forward priority 0; policy drop;
}
chain output {
type filter hook output priority 0; policy accept;
}
}
table ip nat {
chain postrouting {
type nat hook postrouting priority 100;
oif "eth0" masquerade
}
}
nft -f /etc/nftables.conf #pour charger le code
systemctl enable --now nftables
nft list ruleset # Voir tout
nft list table inet filter # Une table
nft flush ruleset # Tout effacer
nft -f /etc/nftables.conf # Charger un fichier
# Supprimer une règle par handle
nft list ruleset -a # Affiche les handles
nft delete rule inet filter input handle 5
Penser a mettre en place un dhcp pour la simplicité
Accès web via vps/wireguard/Ha Proxy (en cours de realisation)
Portfolio Sampaio Xavier | VPS/HA×
# Un VPS (Hetzner recommandé car EU, ou Oracle pour du gratuit)
# Une machine locale avec les services à exposer
Hetzner CX23 (Intel®/AMD, 4.48€/mois) suffit largement pour ce rôle de point d'entrée.
J'ai choisi Hetzner car je prevois de faire un serveur de Mail.
# Sur le VPS et la machine locale : apt install wireguard
# Voir section WireGuard de la documentation
Le VPS devient la passerelle publique — le homelab reste injoignable directement depuis internet.
apt install haproxy
# Voir section HAProxy de la documentation
HAProxy reçoit les requêtes publiques et les redirige vers le homelab via le tunnel WireGuard.
# /etc/haproxy/haproxy.cfg frontend web_public bind *:80 bind *:443 ssl crt /etc/haproxy/certs/example.pem default_backend homelab backend homelab server nas 10.0.0.2:80 check # IP WireGuard du homelab
L'IP 10.0.0.2 est l'adresse WireGuard de
la machine locale — pas l'IP publique.
ufw default deny incoming ufw allow 22/tcp # SSH ufw allow 80/tcp # HTTP ufw allow 443/tcp # HTTPS ufw allow 51820/udp # WireGuard ufw enable
Ajouter le port 22 a UFW avant de l'activer.
apt install certbot
certbot certonly --standalone -d example.com
# Voir section Certbot de la documentation
Le certificat est généré sur le VPS — c'est lui qui termine le TLS, le homelab reçoit du HTTP en clair via WireGuard.
Nas a 3 disques en raid 5 Nextcloud en app + Repository linux pour distribution (en cours de realisation)
Portfolio Sampaio Xavier | NAS×
# Un serveur ou NAS sous Ubuntu LTS (22.04 ou 24.04)
# Au minimum 2 disques pour le RAID
# Docker et Docker Compose installés
Ubuntu 24.04 LTS recommandé — nftables remplace iptables, à garder en tête pour les règles firewall.
# Voir l'état général
cat /proc/mdstat
# Détail de l'array
mdadm --detail /dev/md0
S'assurer que l'array est en état "clean" avant de continuer. Un array "degraded" signifie qu'un disque est absent ou défaillant.
# Créer le point de montage mkdir -p /mnt/raid # Montage manuel mount /dev/md0 /mnt/raid # Montage automatique au boot — ajouter dans /etc/fstab /dev/md0 /mnt/raid ext4 defaults,nofail 0 2
L'option nofail évite un blocage au boot si le RAID n'est pas disponible.
mkdir -p /mnt/raid/nextcloud/data
mkdir -p /mnt/raid/nextcloud/db
chown -R www-data:www-data /mnt/raid/nextcloud/data
Les données Nextcloud et la base de données sont stockées directement sur le RAID.
# /opt/nextcloud/docker-compose.yml
services:
db:
image: mariadb:11
restart: always
volumes:
- /mnt/raid/nextcloud/db:/var/lib/mysql
environment:
MYSQL_ROOT_PASSWORD: rootpasswd
MYSQL_DATABASE: nextcloud
MYSQL_USER: nextcloud
MYSQL_PASSWORD: nextcloudpasswd
nextcloud:
image: nextcloud:apache
restart: always
ports:
- "8080:80"
volumes:
- /mnt/raid/nextcloud/data:/var/www/html
environment:
MYSQL_HOST: db
MYSQL_DATABASE: nextcloud
MYSQL_USER: nextcloud
MYSQL_PASSWORD: nextcloudpasswd
depends_on:
- db
L'image nextcloud:apache inclut Apache — pas besoin de l'installer séparément.
cd /opt/nextcloud
docker compose up -d
# Vérifier que tout tourne
docker compose ps
# /etc/apache2/sites-available/nextcloud.conf
<VirtualHost *:80>
ServerName cloud.example.com
ProxyPass / http://localhost:8080/
ProxyPassReverse / http://localhost:8080/
</VirtualHost>
a2enmod proxy proxy_http
a2ensite nextcloud
systemctl reload apache2
Apache sur l'hôte fait office de reverse proxy vers le conteneur Nextcloud sur le port 8080.
# Logs Nextcloud
docker compose logs -f nextcloud
# Vérifier l'état du RAID pendant l'utilisation
watch -n 5 'cat /proc/mdstat'
Pour surveiller l'espace disque du RAID en temps réel :
watch -n 10 'df -h /mnt/raid'
Portfolio interactif inspiré d’un terminal Linux, permettant de naviguer dans mes projets à travers une interface originale et immersive.
Portfolio Sampaio Xavier | Portfolio×
Date de réalisation : 09/02/26 - Aujourd'hui
Mise en place d'un portfolio technique dans le but de monter mon expertise et mon amour pour linux en open source (GPLV3). Vous pouvez également retrouver sur mon github/gitea(en cours de constructions) d'autres projet réalisé. Ce choix technique a été fait pour montrer ma technique aupres des techniciens.
Ce portfolio possede une arborescence simulé en javascript et un versionning que je tente de maintenir
Un projet dans le but de decouvrir le css
Portfolio Sampaio Xavier | CSS Zengarden×
Date de realisation: 07/11/25 19/12/25
Un projet réalisé dans l'objectif de decouvrir le CSS au travers d'un projet qui est le zengarden
Lien
Diplôme national — systèmes, réseaux, sécurité
Sysadmin Linux certifiée, exam pratique sur terminal
IaC, providers, state
conteneurisation avancée, networking Docker,securité
Certif sécurité reconnue mondialement
IAC -- Provider, module, State Backend
LXC, VMs, clustering, stockage
Stacks complètes : Mailcow, Gitea, Ollama, HAProxy
WireGuard dual-tunnel, HAProxy SNI/TLS, VLAN, pare-feu
Mailcow, Postfix relay, SPF/DKIM/DMARC, DNS
Admin système, scripting, LUKS, RAID mdadm, systemd, NixOS/Wayland
Parce qu'on ne peut pas tout retenir, je documente ici chaque étape de mes projets système. Cet onglet me sert de base de connaissances pour reproduire mes environnements de travail.
1. Installer l'outils :
# Debian/Ubuntu : apt install smartmontools
# RHEL/CentOS : dnf install smartmontools
# Arch : pacman -S smartmontools
2. Vérification manuelle de la santé :
sudo smartctl -H /dev/sda
Chercher la ligne : "SMART overall-health self-assessment test result: PASSED"
3. Script de monitoring global :
# Récupérer la santé globale
health=$(smartctl -H /dev/sda | grep "test result" | awk '{print $6}')
# Récupérer la température
temp=$(smartctl -A /dev/sda | grep "Temperature_Celsius" | awk '{print $10}')
Pour surveiller en temps réel (toutes les 5s) :
watch -n 5 './check-disk-temp.sh'
1. Installation et activation :
sudo apt install cron
sudo systemctl enable --now cron
2. Comprendre la syntaxe (Les 5 étoiles) :
* * * * * commande │ │ │ │ │ │ │ │ │ └── Jour de la semaine (0-6) │ │ │ └──── Mois (1-12) │ │ └────── Jour du mois (1-31) │ └──────── Heure (0-23) └────────── Minute (0-59)
3. Script de sauvegarde (Tous les dimanches à 3h) :
0 3 * * 0 /home/adm-nc/rsync.sh >> /var/log/repo-sync.log 2>&1
Note : "2>&1" redirige les erreurs (stderr) vers le même fichier que les logs standards (stdout).
crontab -e
crontab -l
1. Générer la paire de clés (ED25519) :
ssh-keygen -t ed25519 -C "votre_email@exemple.com"
Le commentaire peut etre sous n'importe quel forme
2. Envoyer la clé sur le serveur :
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@ip_du_serveur
3. Configurer l'alias (~/.ssh/config) :
Host nas
HostName ip_du_nas
User votre_utilisateur
IdentityFile ~/.ssh/id_ed25519Succès : Désormais, tapez simplement ssh nas
Surveille les logs système et bannit les IPs suspectes via le pare-feu.
1. Configuration SSH (/etc/fail2ban/jail.local)
[sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 bantime = 1h ignoreip = 127.0.0.1/8 192.168.1.0/24
2. Cas d'usages avancés
HA Proxy
Bannit les IPs qui génèrent trop d'erreurs HTTP 404 ou 403 (scanners de vulnérabilités).
3. Commandes d'administration
fail2ban-client status sshd
Voir les IPs
bannies
fail2ban-client set sshd unbanip <IP>
Débannir une IP
Attention : Toujours ajouter votre IP dans
ignoreip pour éviter de vous auto-bannir par erreur
lors de tests !
1. Types de records essentiels :
A example.com. 3600 IN A 192.168.1.10
CNAME www.example.com. 3600 IN CNAME example.com.
MX example.com. 3600 IN MX 10 mail.example.com.
TXT example.com. 3600 IN TXT "v=spf1 mx ~all"
2. Vérifier la propagation d'un record :
dig A example.com @8.8.8.8
Chercher "ANSWER SECTION" — si vide, le record n'est pas encore propagé.
3. Script de vérification multi-records :
DOMAIN="example.com"
for TYPE in A MX TXT; do
echo "--- $TYPE ---"
dig $TYPE $DOMAIN +short
done
Surveiller la propagation toutes les 30s :
watch -n 30 'dig A example.com +short'
1. Installer Unbound :
# Debian/Ubuntu : apt install unbound
# RHEL/CentOS : dnf install unbound
# Arch : pacman -S unbound
2. Configuration minimale
/etc/unbound/unbound.conf :
server:
interface: 127.0.0.1
port: 53
access-control: 127.0.0.0/8 allow
access-control: 192.168.0.0/16 allow
hide-identity: yes
hide-version: yes
harden-dnssec-stripped: yes
use-caps-for-id: yes
Activer puis démarrer :
systemctl enable --now unbound
3. Script de vérification du résolveur :
# Tester la résolution locale
result=$(dig example.com @127.0.0.1 +short)
if [ -z "$result" ]; then
echo "ERREUR : Unbound ne répond pas"
else
echo "OK : $result"
fi
# Vérifier le statut du service
systemctl is-active unbound
Tester DNSSEC et les stats en temps réel :
watch -n 5 'unbound-control stats_noreset | grep -E "total|cache"'
1. Format du fichier /etc/hosts :
127.0.0.1 localhost
192.168.1.10 nas.local nas
192.168.1.20 proxmox.local proxmox
192.168.1.1 router.local
2. Vérifier la résolution d'un nom local :
getent hosts nas.local
Si vide : vérifier que files est bien présent
avant dns dans /etc/nsswitch.conf à la ligne
hosts:.
3. Script d'audit des entrées locales :
echo "=== Entrées /etc/hosts (hors loopback) ==="
grep -v "^#\|^$\|127\.\|::1" /etc/hosts
echo "=== Test de résolution ==="
while read -r ip host _; do
result=$(getent hosts "$host" | awk '{print $1}')
[ "$result" = "$ip" ] && echo "OK $host -> $ip" \
|| echo "ERR $host (attendu $ip, obtenu $result)"
done < <(grep -v "^#\|^$\|127\.\|::1" /etc/hosts)
Éditer rapidement sans risquer de casser le fichier :
sudo cp /etc/hosts /etc/hosts.bak && sudo nano /etc/hosts
1. Installer HAProxy :
# Debian/Ubuntu : apt install haproxy
# RHEL/CentOS : dnf install haproxy
# Arch : pacman -S haproxy
2. Structure de base
/etc/haproxy/haproxy.cfg :
global
log /dev/log local0
maxconn 2000
defaults
mode http
timeout connect 5s
timeout client 30s
timeout server 30s
log global
frontend mon_frontend
bind *:80
default_backend mes_serveurs
backend mes_serveurs
balance roundrobin
server web1 192.168.1.10:80 check
server web2 192.168.1.11:80 check
balance roundrobin distribue les requêtes à tour
de rôle entre les serveurs.
3. Vérifier la configuration et redémarrer :
haproxy -c -f /etc/haproxy/haproxy.cfg
Si "Configuration file is valid" :
systemctl reload haproxy
Surveiller l'état des backends en temps réel :
watch -n 3 'echo "show stat" | socat stdio /run/haproxy/admin.sock | cut -d, -f1,2,18'
1. ACL – Routage conditionnel par nom de domaine :
frontend mon_frontend
bind *:80
bind *:443 ssl crt /etc/haproxy/certs/example.pem
# Définition des ACL
acl host_app1 hdr(host) -i app1.example.com
acl host_app2 hdr(host) -i app2.example.com
# Routage selon l'ACL
use_backend backend_app1 if host_app1
use_backend backend_app2 if host_app2
default_backend backend_app1
backend backend_app1
balance leastconn
server app1a 192.168.1.20:8080 check
server app1b 192.168.1.21:8080 check
backend backend_app2
balance roundrobin
server app2a 192.168.1.30:8080 check
leastconn envoie vers le serveur avec le moins de
connexions actives — adapté aux longues sessions.
2. Redirection HTTP → HTTPS et stats :
frontend mon_frontend
bind *:80
# Rediriger tout le HTTP vers HTTPS
redirect scheme https code 301 if !{ ssl_fc }
listen stats
bind *:8404
stats enable
stats uri /stats
stats refresh 5s
stats auth admin:motdepasse
Interface web de stats accessible sur
http://ip:8404/stats
3. Script de vérification des backends :
echo "=== État des backends ==="
echo "show stat" | socat stdio /run/haproxy/admin.sock \
| awk -F, 'NR>1 && $2 != "BACKEND" {
printf "%-20s %-10s %s\n", $1, $2, $18
}'
# $18 = status (UP/DOWN)
Tester une ACL sans recharger la config :
echo "show acl" | socat stdio /run/haproxy/admin.sock
1. Installer Apache2 :
# Debian/Ubuntu : apt install apache2
# RHEL/CentOS : dnf install httpd
# Arch : pacman -S apache
2. Créer un VirtualHost
/etc/apache2/sites-available/monsite.conf :
<VirtualHost *:80>
ServerName monsite.example.com
DocumentRoot /var/www/monsite
<Directory /var/www/monsite>
AllowOverride All
Require all granted
</Directory>
ErrorLog ${APACHE_LOG_DIR}/monsite_error.log
CustomLog ${APACHE_LOG_DIR}/monsite_access.log combined
</VirtualHost>
Activer le site :
a2ensite monsite.conf && systemctl reload apache2
3. Modules utiles à activer :
a2enmod rewrite # Réécriture d'URL (.htaccess) a2enmod ssl # HTTPS a2enmod headers # Manipulation des en-têtes HTTP a2enmod proxy proxy_http # Reverse proxy systemctl reload apache2
Lister les modules actifs : apache2ctl -M
Tester la config et suivre les erreurs en temps réel :
apache2ctl configtest && tail -f /var/log/apache2/error.log
1. Installer mdadm :
# Debian/Ubuntu : apt install mdadm
# RHEL/CentOS : dnf install mdadm
# Arch : pacman -S mdadm
2. Niveaux RAID et redondance apportée :
RAID 0 — Aucune redondance. Données réparties sur N disques.
Perte d'1 disque = perte totale des données.
Avantage : performances maximales en lecture/écriture.
RAID 1 — Miroir complet. Chaque disque est une copie exacte.
Tolère la panne de N-1 disques.
Avantage : lecture rapide, reconstruction simple.
RAID 5 — Parité distribuée sur au moins 3 disques.
Tolère la panne d'1 disque sans perte de données.
Avantage : bon compromis espace / redondance.
RAID 6 — Double parité sur au moins 4 disques.
Tolère la panne simultanée de 2 disques.
Avantage : sécurité accrue pour les grands volumes.
Le RAID ne remplace pas une sauvegarde — il protège contre la panne matérielle, pas contre la suppression accidentelle.
3. Créer un RAID 5 et surveiller la reconstruction :
# Créer le RAID 5 sur 3 disques
mdadm --create /dev/md0 --level=5 --raid-devices=3 \
/dev/sdb /dev/sdc /dev/sdd
# Suivre la progression de la reconstruction
watch -n 2 'cat /proc/mdstat'
# Vérifier l'état détaillé
mdadm --detail /dev/md0
Chercher State : clean — tant que c'est
degraded ou recovering, la reconstruction est en
cours.
Simuler une panne et ré-ajouter un disque :
mdadm /dev/md0 --fail /dev/sdd && mdadm /dev/md0 --remove /dev/sdd && mdadm /dev/md0 --add /dev/sdd
Développeur & Sysadmin