Utilisateurs, groupes & SSH¶

Comptes¶

jonathan (uid 1000, gid 1000, shell bash) — utilisateur principal/admin.
root (bash).
~25 comptes de service en nologin (dnsmasq, Debian-exim, _aide…).

Groupes de `jonathan`¶

jonathan tty dialout cdrom floppy sudo audio dip video plugdev users
systemd-journal netdev docker(996) nordvpn(992)

sudo : élévation de privilèges.
docker (gid 996) : pilote Docker sans sudo. → c'est pourquoi les conteneurs tournent souvent en user: "1000:996" (jonathan:docker) afin que les fichiers des volumes restent propriété de jonathan. Le wiki suit cette convention.
systemd-journal : lecture des journaux. netdev, video, dialout : réseau / GPU / série.

SSH¶

Réglage	Valeur
Port	22 (ouvert WAN + LAN par le firewall)
Config	`/etc/ssh/sshd_config` + `sshd_config.d/*.conf`
`KbdInteractiveAuthentication`	`no`
`UsePAM`	`yes`
`X11Forwarding`	`yes`
SFTP	activé (`/usr/lib/openssh/sftp-server`)

Note

Erreurs Winbind/PAM récurrentes dans les logs SSH : Samba tente une auth contre un domaine AD inexistant (samba-ad-dc enabled mais non configuré). Sans impact fonctionnel mais bruyant — voir Pièges.

Samba (partages de fichiers)¶

Serveur standalone (/etc/samba/smb.conf) — services smbd + nmbd + winbind.
Partages (RW, valid users = jonathan) : raid (/mnt/raid), hdd (/mnt/hdd), frigate (/mnt/frigate), et ssd / sdcard.
Accès restreint : 127.0.0.0/8, 192.168.2.0/24 (LAN), 10.8.0.0/24 (WireGuard), 172.16.0.0/24 (Docker) ; tout le reste refusé.