Убедитесь, что установлен python3-pip

# apt install python3-pip python3-venv

Создайте виртуальное окружение в удобном месте (например, в /opt/certbot)

# python3 -m venv /opt/certbot-env

Активируйте окружение и установите пакеты

# source /opt/certbot-env/bin/activate
# pip install --upgrade pip
# pip install certbot certbot-dns-timeweb

Теперь для использования certbot вам нужно либо активировать окружение,
либо вызывать его напрямую:

# /opt/certbot-env/bin/certbot certonly --authenticator dns-timeweb \
    --dns-timeweb-credentials /opt/certbot-env/timeweb-creds.ini \
    --dns-timeweb-propagation-seconds 120 \
    -d domain.ru -d *.domain.ru --dry-run

В конфиг /etc/ssh/sshd_config добавляем

ForceCommand logger -p user.notice "$SSH_ORIGINAL_COMMAND"; bash -c "$SSH_ORIGINAL_COMMAND"; bash

Проверяем и релоадим ssh

sshd -t
service sshd reload

Теперь запросы вида

ssh user@ip ls -la

будут логироваться либо в messages либо в syslog в зависимости от дистрибутива

Oct 29 11:34:14 localhost user[1100022]: ls -la

В debian 12 вымарали поддержку самбы в ffmpeg. И соответственно стандартные плееры типа mpv или parole перестали воспроизводить видео по самбе. Ментейнеры предлагают тем кому нужна самба, собирать ffmpeg из сорцев. Этим и займемся.
Поставим зависимости необходимые для сборки.

apt install libavcodec-dev libavformat-dev libavutil-dev libchromaprint-tools libchromaprint-dev libchromaprint-tools libchromaprint-dev frei0r-plugins-dev gnutls-dev libunistring-dev libgnutls28-dev libunistring-dev libgnutls28-dev gnutls-dev qttools5-dev qttools5-dev-tools libqt5svg5-dev ladspa-sdk git cmake libsndfile1-dev libsamplerate-ocaml-dev libjack-jackd2-dev liblilv-dev libiec61883-dev libass-dev libbluray-dev libbs2b-dev libcaca-dev libcodec2-dev libdav1d-dev libdc1394-dev libdrm-dev libshaderc-dev libgme-dev libgsm1-dev libjxl-dev libmfx-dev libmp3lame-dev libmysofa-dev libopenjp2-7-dev libopenmpt-dev libplacebo-dev libpulse-dev librabbitmq-dev librav1e-dev librist-dev librsvg2-dev librubberband-dev libshine-dev libsmbclient-dev libsnappy-dev libsoxr-dev libssh-dev libspeex-dev libsrt-gnutls-dev libsvtav1-dev libsvtav1enc-dev libtheora-dev libtwolame-dev libvidstab-dev libvpx-dev libx264-dev libx265-dev libxvidcore-dev libzimg-dev cppzmq-dev libzmq3-dev libzvbi-dev libopenal-dev ocl-icd-opencl-dev libomxil-bellagio-dev libpocketsphinx-dev libcdio-dev libcdparanoia-dev libsdl2-dev

Скачаем ffmpeg тут, я скачал версию 5.1.3, такую же как в репах debian 12.
Распакуем куда-нибудь, и не забываем создать каталог куда будем собирать /opt/ffmpeg

Теперь configure, я взял стандартный configure из дебы, его можно получить выполнив ffmpeg в консоли, там в выхлопе будут параметры с которым его собирали. Добавил туда «—enable-libsmbclient» и ещё несколько параметров. Получилось вот так.

./configure --prefix=/opt/ffmpeg --extra-version=1 --toolchain=hardened --libdir=/usr/lib/x86_64-linux-gnu --incdir=/usr/include/x86_64-linux-gnu --arch=amd64 --enable-gpl --disable-stripping --enable-gnutls --enable-ladspa --disable-libaom --enable-libass --enable-libbluray --enable-libbs2b --enable-libcaca --enable-libcdio --enable-libcodec2 --enable-libdav1d --enable-libfontconfig --enable-libfreetype --enable-libfribidi --enable-libglslang --enable-libgme --enable-libgsm --enable-libjack --enable-libmp3lame --enable-libmysofa --enable-libopenjpeg --enable-libopenmpt --enable-libopus --enable-libpulse --enable-librabbitmq --enable-librist --enable-librubberband --enable-libshine --enable-libsnappy --enable-libsoxr --enable-libspeex --enable-libsrt --enable-libssh --enable-libsvtav1 --enable-libtheora --enable-libtwolame --enable-libvidstab --enable-libvorbis --enable-libvpx --enable-libwebp --enable-libx265 --enable-libxml2 --enable-libxvid --enable-libzimg --enable-libzmq --enable-libzvbi --enable-lv2 --enable-omx --enable-openal --enable-opencl --enable-opengl --enable-sdl2 --disable-sndio --enable-libjxl --enable-pocketsphinx --enable-librsvg --enable-libmfx --enable-libdc1394 --enable-libdrm --enable-chromaprint --enable-frei0r --enable-libx264 --enable-libplacebo --enable-librav1e --enable-shared --enable-libsmbclient --enable-version3 --disable-x86asm

Конфигурим, затем

make
make install

И сделаем симлинки в /usr/bin, предварительно убрав от туда бинарники ffmpeg из репозитория.

ln -s /opt/ffmpeg/bin/ffplay /usr/bin/ffplay
ln -s /opt/ffmpeg/bin/ffprobe /usr/bin/ffprobe
ln -s /opt/ffmpeg/bin/ffmpeg /usr/bin/ffmpeg

Описание

Метеостанция с двумя датчиками и отправкой данных на сайт народный мониторинг
Плата используется nodemcuv3, уличный датчик ds18b20, датчик в доме aht10.
Плата установлена в доме в распределительной коробке для открытой проводки. От коробки идет витая пара к датчикам. Домашний датчик установлен в метре от пола у уличной стены. На улице датчик располагается в чашечном корпусе. Корпус заказывал у Constantin.

Распиновка

Припаиваем датчики к соответствующим пинам

aht10:
vin - 3v3
gnd - gnd
scl - D1
sda - D2

ds18b20:
vin - 3v3
data - D5
gnd - gnd

В ds18b20 между data и vin нужен подтягивающий резистор по документации 4.7 кОм. Я впаивал не именно такой, а какой-то близкий по номиналу, на работу не влияет.

Прошивка

Нужно скачать код прошивки(обновлен 04.03.2025 под новую версию esphome) ознакомится с комментариями и отредактировать в соответствии со своими данными. Затем скомпилировать прошивку в esphome и прошить. Если плата прошивается первый раз, то шить по проводу. В дальнейшем можно шить через ota.

Скомпилированный бинарник можно прошить также через esptool. Это может быть удобно если в результате прошивки по воздуху что-то пошло не так и плата не отвечает, но она уже смонтирована и нет возможности её демонтировать и тащить прошивать к тачке с esphome. Тогда берем ноутбук, провод и скомпилированный бинарник и шьем плату на месте. Не забудьте откинуть БП перед прошивкой.

После прошивки можно открыть ip платы в браузере. Там будет веб-морда

Ну и через 5 минут проверить пришли ли данные в narodmon. В веб-морде есть лог, можно будет увидеть ошибки, если они будут. Устройство можно также добавить в home assistant если требуется.

При использовании апельсинки в качестве роутера с модемом Huawei, модем периодически зависал, причем не помогала даже перезагрузка апельсины. Проблему решало только физическое передергивание питания модема, что не всегда возможно ввиду отсутствия кого-либо в месте установки этого устройства. Я хотел уже городить какие-то костыли на реле и прочее, но наткнулся на эту тему.

В общем апельсина умеет выключать и включать питание на otg разъеме. Нужно только его включить и воткнуть свисток через переходник типа этого

Запускаем armbian-config, там проходим в Sytem — Dtc
Видим редактор, там находим usb@1c19000, редактируем

status = "okay";

Находим usb0-vbus и редактируем

gpio = <0x00 0x02 0x00>;

Сохраняем, закрываем и компилируем.
Ребутимся.
При включение активируем управление otg

/usr/bin/echo "354" | /usr/bin/tee /sys/class/gpio/export
/usr/bin/echo "out" | /usr/bin/tee /sys/class/gpio/gpio354/direction

Чтобы включить питание usb

/usr/bin/echo "1" | /usr/bin/tee /sys/class/gpio/gpio354/value

Чтобы выключить питание usb

/usr/bin/echo "0" | /usr/bin/tee /sys/class/gpio/gpio354/value

Теперь можно написать небольшой скрипт, который при отсутствии интернета отключит питание на usb и через несколько секунд включит обратно...

Добавляем в виртуальный хост дополнительный location

location /.well-known/acme-challenge/ {
    root /var/www/nginx;
    default_type text/plain;
  }

Запускаем проверку с верификацией через webroot

certbot certonly --webroot -w /var/www/nginx -d domain.com --dry-run

Если все в порядке убираем —dry-run и продлеваем сертификат

certbot certonly --webroot -w /var/www/nginx -d domain.com

Репозиторий содержит 6 ролей для debian/ubuntu

repository — добавляет репозиторий virtualbox
vbox — ставит и конфигурит virtualbox
download_extension — скачивает и устанавливает Extension Pack
nginx — устанавливает nginx
nginx_configure — конфигурит nginx и генерит ключи для https
phpvirtbox — устанавливает phpvirtualbox

в group_vars/vb лежат глобальные переменные для всех ролей
vbox.yml — файл плейбука с тегами

Репозиторий:

https://github.com/petranikin/vbox

Получаем ошибку «Connection established using SSL» и соединение сбрасывается. Виндовые клиенты также не могут подключиться.
Ставим freerdp

apt install freerdp2-x11

Заходим

xfreerdp /u:"administrator" /p:"пароль" /v:ip-сервера

Идем в «Система» — «Настройки удаленного доступа»
Там убираем птичку «Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети».

Скрипт создания таблицы с адресами

#!/bin/sh

rm /tmp/reestr.txt
rm /tmp/reestrbsd.txt
/usr/local/bin/wget -O - https://reestr.rublacklist.net/api/v2/ips/json|tr ',' '\n'|tr -d '"'|tr -d ']'|tr -d '[' > /tmp/reestr.txt
grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}" /tmp/reestr.txt > /tmp/reestrbsd.txt

file="/tmp/reestrbsd.txt"
ipfw table 1 flush
while read line
do
ipfw table 1 add $line
done < $file

Фаервол:

#!/bin/sh -

# прописываем роут для setfib 1
setfib 1 route del default
setfib 1 route add default -interface tun1

fwcmd="/sbin/ipfw"
${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} nat 1 delete
${fwcmd} nat 2 delete

if_local1="re0" # локалка
if_inet1="ng0" # интерфейс интернета
if_rkn="tun1"  # интерфейс openvpn

       # заруливаем все обращения к ip из таблицы в setfib 1
       ${fwcmd} add setfib 1 ip from any to table\(1\) recv ${if_local1}

       # основной нат
       ${fwcmd} nat 1 config if ${if_inet1} same_ports
       ${fwcmd} add nat 1 ip from any to any via ${if_inet1}

       # нат для ip из таблицы
       ${fwcmd} nat 2 config if ${if_rkn} same_ports
       ${fwcmd} add nat 2 ip from any to any via ${if_rkn}

       ${fwcmd} add allow all from any to any

Появился новый промо-тариф за 1 евро, на котором доступен мой образ vestacp-multiphp. А также новый шаблон Debian-10-HestiaCP с версиями php от 5.6 до 8.0. Заказать можно по ссылке. Количество ограничено.