Différences

Ci-dessous, les différences entre deux révisions de la page.

--- doc:forgejo [2024/06/19 18:47] – [Upgrade] Niveaux de titres... Zatalyz
+++ doc:forgejo [2025/06/16 19:00] (Version actuelle) – [Installation] Deed
@@ Ligne 123: / Ligne 123: @@
 page à check : https://forgejo.org/docs/latest/admin/upgrade/
+==== Gestion des badbot ====
+Y'a des bots malpolis sur le web... Sur Forgejo, leur impact peut être vraiment gênant.
+=== Remplissage des archives ===
+Lorsque quelqu'un télécharge une archive d'un dépôt (en zip ou tar.gz), cela génère une "archive". Par défaut, elles ont juste stockées. Mais cela peut rapidement remplir l'espace disque. On va donc faire que ce soit purgé régulièrement.
+<code ini /etc/forgejo/app.ini>[repository]
+ARCHIVE_RETENTION_DAYS = 1</code>
+On peut évidement mettre plus si on a réglé le souci des badbots, parce que générer les archives prends aussi un peu de puissance sur le serveur (donc "moins" c'est parfois mieux).
+Redémarrer le service :
+  sudo systemctl restart forgejo
+=== Bannir les vilains via nftables et Fail2ban ===
+<WRAP center round tip 60%>
+Si le proxy gère les accès, cela se paramètre sur le proxy.
+</WRAP>
+Configuration de nftables :
+<code bash /etc/nftables.conf>
+table inet filter {
+    # création du set où les vilaines ip seront notées
+    set bad_ips {
+        type ipv4_addr;
+        flags dynamic;
+        timeout 24h;
+    }
+    chain input {
+        type filter hook input priority 0; policy accept;
+        # action sur ces vilaines ip : les balancer dans le vide
+        ip saddr @bad_ips drop;
+    }
+}
+</code>
+Recharger nftables :
+  sudo nft -f /etc/nftables.conf
+Pour bloquer une ip suspecte qu'on n'a pas encore "eu" via un filtre de fail2ban :
+  sudo nft add element inet filter bad_ips { xx.xxx.xxx.xxx }
+Voir les IPs bannies :
+  sudo nft list set inet filter bad_ips
+Débloquer une IP :
+  sudo nft delete element inet filter bad_ips { xx.xxx.xxx.xxx }
+Puis on installe Fail2Ban et on le paramètre avec ces deux fichiers
+<code bash /etc/fail2ban/filter.d/nginx-runner.conf>
+[Definition]
+failregex = ^<HOST> - .*"POST /api/actions/runner.* HTTP.*"
+ignoreregex =
+</code>
+<code bash /etc/fail2ban/jail.d/custom.conf>
+[DEFAULT]
+maxRetry = 4
+findtime = 3h
+bantime = 3d
+banaction = nftables-multiport
+[nginx-runner]
+enabled = true
+filter = nginx-runner
+port = http,https
+logpath = /var/log/nginx/forgejo.access.log
+maxretry = 1
+findtime = 600
+bantime = 86400
+banaction = nftables-multiport
+</code>
+Et on active le service :
+  sudo systemctl enable fail2ban
+  sudo systemctl restart fail2ban
+Pour voir quelles ips sont dans la jail :
+  sudo fail2ban-client status nginx-runner
+=====RUNNER=====
+====Installation====
+Source: https://forgejo.org/docs/latest/admin/runner-installation
+===Dépendance===
+  apt install wget
+Installation de Docker:
+Source: https://docs.docker.com/engine/install
+Ajoute la Clé GPG:
+  sudo apt update
+  sudo apt install ca-certificates curl
+  sudo install -m 0755 -d /etc/apt/keyrings
+  sudo curl -fsSL https://download.docker.com/linux/debian/gpg -o /etc/apt/keyrings/docker.asc
+  sudo chmod a+r /etc/apt/keyrings/docker.asc
+Ajouter les sources:
+  echo \
+    "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/debian \
+    $(. /etc/os-release && echo "$VERSION_CODENAME") stable" | \
+    sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
+Installer Docker:
+  sudo apt update
+  sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
+===Config Daemon===
+Fichier Daemon:
+  [Unit]
+  Description=Forgejo Runner
+  Documentation=https://forgejo.org/docs/latest/admin/actions/
+  After=docker.service
+  [Service]
+  ExecStart=forgejo-runner daemon --config /home/runner/config.yml
+  ExecReload=/bin/kill -s HUP $MAINPID
+  # This user and working directory must already exist
+  User=runner
+  WorkingDirectory=/home/runner
+  Restart=on-failure
+  TimeoutSec=0
+  RestartSec=10
+  [Install]
+Reload le systemd:
+  sudo systemctl daemon-reload
+===Télécharger et Installer===
+Télécharger:
+  export RUNNER_VERSION=$(curl -X 'GET' https://data.forgejo.org/api/v1/repos/forgejo/runner/releases/latest | jq .name -r | cut -c 2-)
+  wget -O forgejo-runner https://code.forgejo.org/forgejo/runner/releases/download/v${RUNNER_VERSION}/forgejo-runner-${RUNNER_VERSION}-linux-amd64
+  chmod +x forgejo-runner
+  wget -O forgejo-runner.asc https://code.forgejo.org/forgejo/runner/releases/download/v${RUNNER_VERSION}/forgejo-runner-${RUNNER_VERSION}-linux-amd64.asc
+  gpg --keyserver keys.openpgp.org --recv EB114F5E6C0DC2BCDD183550A4B61A2DC5923710
+  gpg --verify forgejo-runner.asc forgejo-runner
+Installer:
+   sudo cp forgejo-runner /usr/local/bin/forgejo-runner
+Configurer le Home:
+  useradd --create-home runner
+  usermod -aG docker runner
+Configurer les dossiers dans le home:
+  sudo su - runner
+  mkdir -p data
+  touch data/.runner
+  mkdir -p data/.cache
+  chown -R 1001:1001 data/.runner
+  chown -R 1001:1001 data/.cache
+  chmod 775 data/.runner
+  chmod 775 data/.cache
+  chmod g+s data/.runner
+  chmod g+s data/.cache
+Enregistrer le Runner:
+  sudo -u runner forgejo-runner register
+Démarrer le Runner:
+  sudo service forgejo-runner start
+====Update====
+  export RUNNER_VERSION=$(curl -X 'GET' https://data.forgejo.org/api/v1/repos/forgejo/runner/releases/latest | jq .name -r | cut -c 2-)
+  wget -O forgejo-runner https://code.forgejo.org/forgejo/runner/releases/download/v${RUNNER_VERSION}/forgejo-runner-${RUNNER_VERSION}-linux-amd64
+  sudo service forgejo-runner stop
+  sudo chmod +x forgejo-runner
+  sudo cp forgejo-runner /usr/local/bin/forgejo-runner
+  sudo service forgejo-runner start
 {{tag>Brouillon Documentation}}