Club LinuX Nord-Pas de Calais

Tutoriel : comment créer une bibliobox à partir d'une piratebox sur un raspberry pi 3

Frédéric Gautier — 2017-05-04T17:57:59Z

Matériel :

raspberrypi 3 (rpi3) car la carte wifi est intégrée (et très bien gérée par l'image de la piratebox pour raspberrypi 2 et 3)
alimentation pour raspberry 3 = 5V et 2,5 A mini.
boîtier pour raspberry Pi (boîtier officiel rouge et blanc ou autre)
carte microSD rapide Classe 10 minimum qui recevra le système d'exploitation et les applications
clé USB formatée en fat 32 et qui servira à stocker les livres numériques.

Le rpi3 a tendance à chauffer donc prévoir éventuellement un ensemble radiateur + ventilateur.
Pour avoir un confort d'utilisation maximal, il est utile de prévoir un interrupteur sur le câble d'alimentation pour éteindre le rpi3. Il faut alors opter pour une alimentation avec ports USB afin d'y connecter le câble avec interrupteur cf https://www.kubii.fr/1807-bouton-po...

Tous ce matériel est disponible chez des commerçants en ligne, par exemple :
http://www.kubii.fr

Une fois le rpi3 monté dans son boîtier, il faut récupérer l'image d'un système pour piratebox et le transférer sur la carte microSD.

Tout est expliqué dans cette page :
l'image pour le rpi3 (et pour le raspberry PI 2) est à récupérer via bitorrent" class="spip_url spip_out" rel="external">https://piratebox.cc/raspberry_pi:d...

Pour la suite, c'est-à-dire la transformation de la piratebox en bibliobox, il est utilise de lire le contenu des pages suivantes :
https://piratebox.cc/raspberry_pi:mods => pour savoir où changer le ssid du réseau wifi de la piratebox
https://piratebox.cc/raspberry_pi:d...

Le système Linux d'une piratebox est une archLinux (http://https://wiki.archlinux.fr/Accueil).
Afin de rendre l'affichage des fichiers et des dossiers stockés sur la clé USB de la bibliobox, il faut installer un outil plus ergonomique que celui qui est intégré par défaut (un simple affichage en liste). Le script php h5ai (https://larsjung.de/h5ai/) permet d'apporter des options très intéressantes : moteur de recherche, filtre pour cacher certains fichiers tels que README.txt, désactivation de la lecture automatique des vidéos, interface en français, etc.

La méthode :

Lors du premier démarrage, une fois que modifié la configuration par défaut de la piratebox cf le fichier /etc/motd (mot de passe, date et activation de l'utilisation de la clé USB), il faut activer php.

Il faut se connecter en ssh sur la piratebox. On peut en profiter changer certains paramètres dans les fichiers du répertoire /opt/piratebox/conf/, piratebox.conf, json.conf par exemple ou chat-init.txt.

Personnellement, je conseille de commenter les modifications. C'est très utile pour déboguer par la suite.

Extrait de piratebox.conf ---------------- #Start droopy? - Enable upload?
# modif par Fred yes->no
DROOPY_ENABLED="no"
#Image-SRC
IMAGENAME="piratebox-logo-small.png"
IMAGE="$PIRATEBOX_FOLDER/src/$IMAGENAME"
DROOPY_TXT=""
DROOPY_PORT="8080"
# Set correct permissions for an uploaded file
# The following line needs to be commented for FAT32 / vfat partitions
# modif par Fred ->#
#DROOPY_CHMOD="755" ----------------Extrait de piratebox.conf

Pour relancer la config de la piratebox (à effectuer après chaque modification des fichiers de configuration) :

sudo systemctl restart piratebox

Pour activer php, il faut modifier 2 fichiers : lighttpd.conf et pour utiliser h5ai, fastcgi-php.conf.

sudo nano /opt/piratebox/conf/lighttpd/lighttpd.conf

Dans /opt/piratebox/conf/lighttpd/lighttpd.conf (à la fin du fichier), il faut décommenter la ligne d'include qui active le php.

# modif par Fred # →
include "/opt/piratebox/conf/lighttpd/fastcgi-php.conf"

Pour relancer la config de la piratebox (à effectuer après chaque modification des fichiers de configuration)

sudo systemctl restart piratebox

cf https://piratebox.cc/raspberry_pi:m... pour avoir des idées sur le fonctionnement de la piratebox. mais il ne faut pas tout prendre au pied de la lettre.

Puis, dans fastcgi-php.conf, il faut indiquer les dossiers dans lesquels php doit être actif. Par défaut, c'est le dossier /content/ (dans /opt/piratebox/www) dans lequel les scripts php peuvent s'exécuter.

sudo nano /opt/piratebox/conf/lighttpd/fastcgi-php.conf

Et il faut remplacer "/content/" par "/" afin d'obtenir :

#-------------------- FAST CGI stuff
# modif par Fred content->Shared->/
$HTTP["url"] =~ "^/" { fastcgi.server = ( ".php" => (( "bin-path" => "/usr/bin/php-cgi", "socket" => "/tmp/php.socket", "max-procs" => 1 )) )
}

Et oui, on voit que j'ai tenté de remplacer /content/ par /Shared/ grâce au commentaire.

On relance le service piratebox (mais en fait, je crois que ce n'est pas nécessaire pour la modification de fastcgi-php.conf).

sudo systemctl restart piratebox

Sur un PC, il faut récupérer ensuite h5ai sur le site de Larsjung.de https://release.larsjung.de/h5ai/. La dernière version, h5ai-0.29.0.zip fonctionne très bien. On copie le fichier sur la piratebox dans le répertoire de l'utilisateur alarm via scp ou sftp.

On dézippe h5ai-0.29.0.zip dans le répertoire d'alarm.

sudo unzip h5ai-0.29.0.zip

On obtient un dossier _h5ai/. On copie ensuite ce répertoire dans /opt/piratebox/www/.

sudo cp -r _h5ai/ /opt/piratebox/www/

Il faut ensuite configurer h5ai afin de personnaliser le "montreur" de fichiers ;-)

sudo nano /opt/piratebox/www/_h5ai/private/conf/options.json

Voici les parties, surlignées en jaune, à modifier dans le fichier /opt/piratebox/www/_h5ai/private/conf/options.json :

 /* modif par Fred hideParentFolder false -> true-> false modetoggle false-> true */ "view": { "binaryPrefix": false, "disableSidebar": false, "fallbackMode": false, "fastBrowsing": true, "fonts": ["Ubuntu", "Roboto", "Helvetica", "Arial", "sans-serif"], "fontsMono": ["Ubuntu Mono", "Monaco", "Lucida Sans Typewriter", "monospace"], "hidden": ["^\\.", "^_h5ai"], "hideFolders": false, "hideIf403": true, "hideParentFolder": false, "maxIconSize": 40, "modes": ["details", "grid", "icons"], "modeToggle": true, "setParentFolderLabels": true, "sizes": [20, 40, 60, 80, 100, 140, 180, 220, 260, 300], "theme": "comity", "unmanaged": ["index.html", "index.htm", "index.php"], "unmanagedInNewWindow": false }, /* modif par Fred enabled true->false */ "autorefresh": { "enabled": false "interval": 5000 }, /* modif par Fred enabled true->false */ "custom": { "enabled": false }, /* modif par Fred en->fr */ "l10n": { "enabled": true, "lang": "fr", "useBrowserLang": true }, /* modif par Fred enabled true -> false autoplay true -> false */ "preview-aud": { "enabled": false, "autoplay": false, "types": ["aud"] }, /* modif par Fred enabled true -> false */ "preview-img": { "enabled": false, "size": false, "types": ["img", "img-bmp", "img-gif", "img-ico", "img-jpg", "img-png", "img-raw", "img-svg"] }, /* modif par Fred enabled true -> false */ "preview-txt": { "enabled": false, "styles": { "txt": 1, "txt-authors": 1, "txt-c": 3, "txt-cpp": 3, "txt-css": 3, "txt-diff": 1, "txt-go": 3, "txt-h": 3, "txt-hpp": 3, "txt-install": 1, "txt-js": 3, "txt-json": 3, "txt-less": 3, "txt-license": 1, "txt-log": 1, "txt-makefile": 1, "txt-md": 2, "txt-py": 3, "txt-rb": 3, "txt-readme": 1, "txt-rtf": 1, "txt-rust": 3, "txt-script": 3, "txt-xml": 1 } }, /* modif par Fred enabled true->false autoplay true→false*/ "preview-vid": { "enabled": false, "autoplay": false, "types": ["vid-avi", "vid-flv", "vid-mkv", "vid-mov", "vid-mp4", "vid-mpg", "vid-webm"] }, /* modif par Fred enabled false->true */ "search": { "enabled": true, "advanced": true, "debounceTime": 300, "ignorecase": true }, /* modif par Fred enabled true -> false */ "thumbnails": { "enabled": false, "img": ["img-bmp", "img-gif", "img-ico", "img-jpg", "img-png"], "mov": ["vid-avi", "vid-flv", "vid-mkv", "vid-mov", "vid-mp4", "vid-mpg", "vid-webm"], "doc": ["x-pdf", "x-ps"], "delay": 1, "size": 240, "exif": false, "chunksize": 20 }, /* modif par Fred enable true -> false */ "tree": { "enabled": false, "show": true, "maxSubfolders": 50, "naturalSort": true, "ignorecase": true },

Bon amusement ;-) Car il est possible de modifier pas mal de choses dans h5ai autrement que dans le fichier json : couleur, icônes, etc.

Il suffit ensuite de repérer le réseau wifi de la bibliobox (ou piratebox) avec un PC équipé d'une carte wifi ou d'un smartphone puis de s'y connecter avec un navigateur Web. Il suffit de taper http://piratebox.lan (ou un autre nom de domaine si vous l'avez modifié, mais toujours avec http:// devant) pour accéder à la page d'accueil de la bibliobox.

Remarque : il est possible de se connecter sur le rpi3 via un câble Ethernet. L'adresse IP de la bibliobox est alors http://192.168.77.1 depuis un navigateur Web (ou un client SSH).

Le gestionnaire de fichiers h5ai, avec un moteur de recherche intégré.

Webographie :

https://bibliobox.net/blog/post/201...
https://forum.bibliobox.net/
http://www.pearltrees.com/t/pirateb...

Déployer un firewall sous Xen pour ma soeur.....

clx_asso_fr (@clx_asso), Yvan Vanhullebus (vanhu) — 2014-08-16T12:44:20Z

Déployer un firewall sous Xen pour ma soeur.....
▻http://vanhu.free.fr/blog/index.php ?post/2013/10/09/Deployer-un-systeme-Xen-pour-ma-soeur

Il y a quelques temps, j'ai commencé à faire mumuse avec la virtualisation (sous Xen), y compris pour un cas de figure un poil complexe sur lequel je n'avais trouvé aucune doc sur le net (si vous voulez juste déployer quelques VMs classiques dans un hyperviseur Xen, vous n'êtes pas au bon endroit, il existe plein de tutoriels pour ce cas de figure basique).

Ca tombe bien, vu que je n'avais pas fait de nouveau billet aujourd'hui cette semaine ces derniers temps depuis au moins un an, et comme j'ai quelques potes qui envisagent de faire une conf similaire, c'est un prétexte que je ne pouvais pas louper.

En plus, ca me servira aussi probablement le jour ou mon disque dur va me lâcher et que je vais devoir tout refaire.......

Voir en ligne : http://seenthis.net/messages/283166

Automount et smbfs : 10 ans après

Frédéric Gautier — 2013-06-03T23:36:49Z

Il y a 10 ans, je commettais un article montrant comment exploiter autofs avec smbfs afin de monter des dossiers réseaux (hébergés par un serveur sous SME) sur un PC sous Linux : Automount et smbfs.

En 2013, les principes de base restent les mêmes, même si les options changent un peu.

Exemple avec une kubuntu 12.04

Il faut installer autofs et smbfs (voire cifs) afin d'utiliser cifs, le successeur de smbfs.

Dans /etc/auto.master

# ajout par Fred
/net/smb /etc/auto.smb2 —ghost, —timeout=60

— ghost (ghost précédé de 2 -) permet de montrer la connexion comme étant active même si le dossier réseau est deconnecté
— timeout=60 (timeout précédé de 2 -) désactive la connexion vers le dossier réseau au bout de 60 secondes

Dans /etc/auto.smb2

commun -fstype=cifs,username=utilisateur1,password=passutilisateur1,uid=1002,gid=1001,file_mode=0777,dir_mode=0777,iocharset=utf8,nounix,nobrl,nodev,nosuid,workgroup=groupetravail ://serveur/commun

Les options :
– fstype permet de spécifier le type de filesystem distant à utiliser. Au lieu de smbfs, on utilise ici cifs qui prends en compte les évolutions plus récentes de SMB.
– username, password servent à spécifier le nom et le mot de passe de l'utilisateur.
– uid et gid servent à préciser l'uid (identifiant de l'utilisateur) et le gid (identifiant du groupe de l'utilisateur) sur le poste client. Il existe différentes manières pour connaitre ces identifiants. La plus simple consiste à se connecter à la session de l'utilisateur sur le poste client et de taper id. Exemple

[fred@sidewinder ]$ id
uid=500(fred) gid=500(fred) groupes=43(usb),81(audio),500(fred)

– file_mode sert à définir les droits sur les fichiers dans le dossier distant (situé sur le serveur)
– dir_mode sert à définir les droits sur les dossiers dans le dossier distant (situé sur le serveur)
– iocharset aide à préciser le charset pour le nom des fichiers et des dossiers (utf8, iso8859-1...)
– nounix sert à éviter les verrous unix (POSIX) qui peuvent bloquer la lecture des fichiers
– nobrl (no byte range lock) permet d'éviter des problèmes de corruption de données. En effet, certaines applications dont les anciennes versions d'Openoffice "verrouillent" les fichiers. Ainsi, plusieurs utilisateurs ne peuvent pas modifier simultanément le même fichier. Or quelquefois, le serveur Samba/cifs interprète mal ce verrou ce qui conduit à une corruption du fichier.
– nodev sert à éviter que les fichiers distants soient vus comme des périphériques blocs spéciaux ou des périphériques caractères
– nosuid permet d'éviter qu'un utilisateur modifie les droits suid et sgid sur les fichiers et les dossiers. http://fr.wikipedia.org/wiki/Setuid
– workgroup permet de définir le groupe de travail SMB

Les dossiers sont accessibles via la commande

ls /net/smb/commun

Il ne reste plus qu'à créer un lien symbolique vers le Bureau :

ln -s /net/smb/commun /home/fred/Bureau/Commun_sur_Serveur

Attention aux résolution de noms des ordinateurs du réseau. Vérifiez le contenu de /etc/hosts ou le contenu du resolv.conf afin que le serveur comme les postes clients se voient. Vous pouvez par exemple ajouter l'adresse ip et le nom du serveur dans le fichier /etc/hosts.

Par exemple, pour les adresse en ipv4 :

127.0.0.1 localhost
192.168.0.10 serveur1.domaine.fr serveur1
192.168.0.11 serveur2.domaine.fr serveur2

Avec les distributions récentes (Ubuntu 12.04), les mots de passe SMB ne sont plus visibles "en clair" dans les fichiers de logs /var/log/syslog(s), grâce au paramètre syslog = 0 du fichier /etc/samba/smb.conf du serveur.

Néanmoins, il est possible d'utiliser la méthode credentials pour cacher les logins et les mots de passe.
cf http://www.lamolabs.org/blog/6000/o...

et http://forum.ubuntu-fr.org/viewtopi...

Quelques liens :
– http://www.samba.org/samba/docs/man...
– https://help.ubuntu.com/community/Autofs

Vimproved, bizarrerie ou non ?

Olivier Duquesne (DaffyDuke) — 2013-02-20T18:29:35Z

Contexte

Un fichier.

Deux user distincts, dans le même groupe Unix.

Des permissions propre à un seul utilisateur.

Le fichier est dans un répertoire modifiable par le groupe.

user@host:/tmp # ls -l file -rwxr-xr-x 1 user staff 209 Feb 15 10:40 file hacker@host:/tmp # chown hacker file chown: changing ownership of `file': Operation not permitted hacker@host:/tmp # echo coin >> file -ksh: file: cannot create [Permission denied] hacker@host:/tmp # sed -i -e "s/coin/pan/g" file hacker@host:/tmp # ls -l file -rwxr-xr-x 1 hacker staff 209 Feb 15 10:41 file

Sed

Sed fait les choses proprement. L'utilisateur qui n'a a priori pas le droit de modifier le fichier si on s'en tient aux permissions Unix le modifie, et en plus se l'approprie. Certes l'inode change.

En réalité, c'est un fonctionnement normal de sed via l'option -i . Lisons le man :

 -c, --copy use copy instead of rename when shuffling files in -i mode (avoids change of input file ownership)

Vim

Vim en fait autant. Le phénomène est dit naturel, et apparaît dans le man, tout simplement .... Et tant pis si cela dépasse la compréhension des permissions unix :

:w[rite]! [++opt] Like ":write", but forcefully write when 'readonly' is set or there is another reason why writing was refused. Note: This may change the permission and ownership of the file and break (symbolic) links. Add the 'W' flag to 'cpoptions' to avoid this.

Source : http://vimdoc.sourceforge.net/htmld...

Mais en réalité, l'inode n'est pas modifié avec vim, contrairement à sed. D'autres se sont posés la question, voir ce sujet sur http://unix.stackexchange.com/quest...

You, glen, are the owner of the directory (see the . file in your listing). A directory is just a list of files and you have the permission to alter this list (e.g. add files, remove files, change ownerships to make it yours again, etc.). You may not be able to alter the contents of the file directly, but you can read and unlink (remove) the file as a whole and add new files subsequently.1 Only witnessing the before and after, this may look like the file has been altered. Vim uses swap files and moves files around under water, so that explains why it seems to write to the same file as you do in your shell, but it's not the same thing.2 So, what Vim does, comes down to this: cat temp > .temp.swp # copy file by contents into a new glen-owned file echo nope >> .temp.swp # or other command to alter the new file rm temp && mv .temp.swp temp # move temporary swap file back 1This is an important difference in file permission handling between Windows and Unices. In Windows, one is usually not able to remove files you don't have write permission for. 2 update: as noted in the comments, Vim does not actually do it this way for changing the ownership, as the inode number on the temp file does not change (comaring ls -li before and after). Using strace we can see exactly what vim does. The interesting part is here: open("temp", O_WRONLY|O_CREAT|O_TRUNC, 0664) = -1 EACCES (Permission denied) unlink("temp") = 0 open("temp", O_WRONLY|O_CREAT|O_TRUNC, 0664) = 4 write(4, "more text bla\n", 14) = 14 close(4) = 0 chmod("temp", 0664) = 0 This shows that it only unlinks, but does not close the file descriptor to temp. It rather just overwrites its whole contents (more text bla\n in my case). I guess this explains why the inode number does not change.

Autrement dit, vim ne ferme juste pas le filedescriptor que l'OS lui autorise à ouvrir.

Trop gros pour être vrai ?

Essayez .....

Note le user "hacker" dans l'exemple n'est que carricatural, les résultats sont tout à fait normaux.

Sed , quick & dirty tips

2012-04-08T11:29:16Z

Copier-coller d'astuces parues sur la liste de diffusion clx@clx.asso.fr .

Remplacer .jpg par rien

Julien Soula wrote
sed 's/\.jpg$//'

Antoine Van-Elstraete wrote
sed 's#.jpg$##g'

Gaétan Ryckeboer wrote
sed "s/\\.jpg//g"

Jean-Yves LENHOF wrote
sed -e 's/\.jpg$//'

Pourquoi y a-t-il autant de façon d'utiliser sed !
C'est incroyable, non ?

un peu de syntaxe et un peu de simplification :

– le "." sans le "\" signifie qu'on "match" n'importe quel caractère donc un ".jpg" pourrait supprimer quelque chose comme "-jpg". On dit que le "\" échappe le caractère qui le suit.

– le "g" à la fin signifie qu'on applique la règle autant de fois qu'on peut sur la même ligne (c'est pourquoi l'exemple de Julien ne marche que s'il n'y a qu'un fichier par ligne)

– le "$" signifie que la règle ne s'applique qu'en fin de ligne (cf. + juste au-dessus)

– le "\" de Gaétan vient du fait qu'il a utilisé des "" (guillemets) et Jean-Yves des '' (apostrophes). Or les "\" sont interprétés dans les "" et "\" devient "\"

– on peut prendre n'importe quel séparateur. Par habitude, on prend "/" mais on peut tres bien utiliser "#" cf l'exemple d'Antoine.

Armé de ces réflexions, choisis ton camp ! :-)

Remplacer par bloc

– Enlever un bloc final :

echo "Version: 1.2.2rc2me4"|sed -e "s/^Version: \(.*\)/Version: cequejeveux/g" Version: cequejeveux

Cas facile, probablement plus encore en awk .

– Enlever un bloc initial :

echo "cmn-1-0-2sv5"| sed -e "s/\(.*\)\([0-9]-[0-9]-[0-9]sv[0-9]*\)/\2/" 1-0-2sv5

On utilise ici les champs \1 , le premier bloc de parenthèses et \2 , le second . A noter, on peut isoler les bloc de chiffres n fois comme vu ci-dessus, ce n'est pas le but ici.

Ces deux cas utilisent les expressions régulières.
Un bon site pour débuter ? Le site du zéro

– Un bon article sur sed : Wikipedia
– ou encore Grymoire

RPM : Faites-le vous même !

Vincent Beuselinck — 2005-01-26T19:00:16Z

Cette série d'articles a été écrite par Beuz, Kozaki et Imr, membres du MandrakeClub dans le but de s'autoformer à la création de rpm. Parallèlement, ils ont traduit les MdkRpmHowto et RpmLintHowto publiés sur la base de connaissance du MandrakeClub.

5- RPM : Faites-le vous même !

Vincent Beuselinck — 2005-01-25T12:34:11Z

outils accessoires et liens

Plusieurs outils sont généralement cités en matière de création de RPM.

Il y a RpmLint dont l'objectif est de vérifier si votre fichier SPEC respecte les règles de l'art. Il vous fournira un rapport très détaillé. De l'essentiel au détail, le nombre de remarques sera conséquent.

Alien est souvent cité car il permet de passer d'un format à un autre assez facilement (de deb à rpm, de tar.gz à deb, inversement, etc).

D'autres outils viennent apporter une interface conviviale à rpm ou simplifient la ligne de commande (kpackage, rpmbuilder...) sans révolutionner le système.

Pour aller plus loin, voici les liens qui nous ont aidé :

http://genetikayos.com/code/repos/r...

http://cvs.mandriva.com/

http://club.mandriva.com/xwiki/bin/KB/

http://club.mandriva.com/xwiki/bin/...

http://rikers.org/rpmbook/

http://c.laloy.free.fr/howtos/linux...

Conclusion

Voilà, la création d'un RPM devrait maintenant être bien moins mystérieuse...

Retour à la 4Úme partie : Des exemples

4- Quelques exemples

Vincent Beuselinck — 2005-01-25T12:33:59Z

exemples vécus

Le RPM du fainéant

Auteur d'un jeu de tarot initialement pour Windows conçu sous Delphi de Borland, j'ai procédé à son transfert vers Linux à l'aide de Kylix (EDI Delphi sous Linux conçu par Borland. Kylix n'est pas libre. Il existe néanmoins une version "open edition" gratuite ).

Dans un premier temps je l'ai diffusé sous la forme d'un tar.gz contenant les binaires et d'un autre contenant les sources. Je me suis alors lancé dans sa eRPéMisation et j'ai éclusé les howtos et autres sites persos sur le thème. Remarquons tout de suite celui de Mandriva (désormais disponible en Français).

Pas grand chose à la portée d'un anglophobe au vocabulaire limité à quelques dizaines de mots.
J'avais néanmoins compris quelques trucs :
– la structure obligatoire des répertoires à mettre en place ;
– l'existence d'un script d'eRPéMisation ;
– la possibilité de "tricher" sur des scripts existants en allant sur le CVS de Mandriva.

1) Les dossiers

Dans votre dossier personnel, vous avez créé les dossiers suivants :

– RPM

RPM/SOURCES où il faut mettre les fichiers sources compressés
RPM/SPECS où il faut créer son fichier de spécifications
RPM/RPMS qui contient un dossier par plateforme
- RPM/RPMS/i586 où sera créé votre RPM pour Pentium
RPM/SRPMS où sera créé le "SRC.RPM" qui permet de refaire le RPM selon la méthode décrite plus bas
RPM/tmp où sera stockée votre application compilée pendant la production du RPM

2) le fichier SPEC

C'est un fichier texte qui définit comment va être créé votre RPM. Celui qui suit est une version “Fainéant” ! Il ne compile rien mais se contente de recopier les fichiers à la manière d'un tar.gz à l'emplacement identique. J'ai fait cela car je n'arrivais pas à maîtriser le compilateur en ligne Kylix (entretemps, je me suis soigné) :

_ %define name bztarot _ %define version 1.01 _ %define release 9 _ Name: %{name} _ Summary: Jeu de tarot a 4 sous environnement graphique _ Version: %{version} _ Release: %{release} _ License: GPL _ Group: Games/Cards _ URL: http://www.beuselinck.com _ Provides: %{name} = %{version}-%{release} _ Source: bztarot-1.01.tar.bz2 _ %description _ Ce jeu de tarot vous permet de jouer seul contre l'ordinateur dans des parties a 4. Respecte la reglementation de la Federation Francaise de Tarot. _ %install _ %post _ %{update_menus} _ %postun _ %{clean_menus} _ %files _ /usr/bin/bztarot-1.01 _ /usr/bin/bztarot _ /usr/lib/libborqt* _ /usr/share/icons/bztarot.png _ "/usr/share/applnk-mdk/More applications/Games/Cards/bztarot.desktop" _ %changelog _ * Mon Oct 12 2004 Vincent Beuselinck <vincent@beuselinck.com> 1.01 _ - ajout d'un écran d'accueil _ - correction d'un bug (sigserv 11) _ - rajout d'une entrée de menu oubliée _ - compatibilité noyau 2.6 _ - aide integrée _ - modifications pour empaquetage RPM

ATTENTION : Ce fichier SPEC n'est pas techniquement un bon modèle : il ne réalise pas la compilation mais se contente de recopier les binaires (Horreur !). L'entrée de menu qu'il crée a des résultats curieux selon les versions de MandrakeLinux

Dans un premier temps, j'avais accentué mes descriptions. Avec les commandes urpmi et (rpm, j'obtenais le résultat escompté mais dans rpmdrake les rubriques avec accent ou cédille disparaissaient. J'ai déposé un rapport de bogue et la réponse a été en substance qu'il fallait faire ça en UTF8 (???) pour que ça marche.

3) "Tricher" sur des fichiers specs existants

Une solution simple pour examiner un fichier SPEC existant est de télécharger le SRC.RPM d'un logiciel et d'en extraire le fichier *.spec.

Personnellement, j'utilise mc , une application "console" qui lit dans les paquetages RPM comme s'il s'agissait de tar.gz. Il est alors facile d'en extraire ou consulter un fichier texte quelconque.

4)Second essai

Après nos travaux communs d'apprentissage, mon fichier SPEC a évolué ainsi :
_ %define name bztarot _ # Pour pas écrire 10 fois le titre dans le spec, on définit une variable "name" _ # qui contient le nom du logiciel, ici c'est bztarot. _ # idem avec les variables déclarées ci-dessous : _ %define version 1.02 _ %define release 11mdk _ %define section Amusement/Cards _ %define title BzTarot _ Name: %{name} _ Summary: Jeu de tarot a 4 sous environnement graphique _ Version: %{version} _ Release: %{release} _ License: GPL _ Group: Games/Cards _ URL: http://www.beuselinck.com _ Provides: %{name} = %{version}-%{release} _ Source0: %name-%version.tar.bz2 _ Source1: %name-icons.tar.bz2 _ Packager: V.Beuselinck <vincent@beuselinck.com> _ BuildRoot: %_tmppath/%name-buildroot _ %description _ Ce jeu de tarot vous permet de jouer seul contre l'ordinateur dans des parties a 4. Respecte la reglementation de la Federation Francaise de Tarot. _ # Là, j'ai dû enlever les accents car pour rpm et urpmi ça va mais pour rpmdrake, ça n'affichait plus rien. _ %prep _ %setup -q _ %setup -q -T -D -a1 # unpack icons _ #%patch1 -p0 _ # Dans cette section, on dit à RPM de décompresser les sources. Pour la première ligne, le -a0 de la source0 est implicite. Mais pour les autres sources, il faut numéroter... _ %build _ dcc tarot.dpr _ # Dans cette section, on effectue la compilation en lançant le compilateur en ligne Kylix, à savoir dcc, sur le projet tarot.dpr _ %install _ rm -rf %buildroot _ %__install -D -m 755 tarot %buildroot/%_bindir/<HTML>%{name}</HTML> _ # un petit nettoyage de "buildroot" puis on y installe le fichier compilé dans le virtuel /usr/bin _ # Menu _ mkdir -p %buildroot/%_menudir _ cat > %buildroot/%_menudir/%name << EOF _ ?package(%name): \ _ command="%_bindir/%name" \ _ needs="X11" \ _ icon="%name.png" \ _ section="%section" \ _ title="%title" \ _ longtitle="%Summary" _ EOF _ #Ci-dessus, on crée les entrées de menu pour les menus mandrake. _ # icones et librairies _ %__install -D -m 644 %{name}48.png %buildroot/%_liconsdir/%name.png _ %__install -D -m 644 %{name}32.png %buildroot/%_iconsdir/%name.png _ %__install -D -m 644 %{name}16.png %buildroot/%_miconsdir/%name.png _ %__install -D -m 755 /usr/lib/libborqt* %buildroot/usr/lib/ _ # on installe également dans le système de fichiers virtuel les icones et librairies _ %post _ %{update_menus} _ #ça, ça marche pas, mais j'ai déjà repéré des syntaxes différentes, j'irai à la pêche pour trouver la bonne syntaxe. Le but est de demander au gestionnaire de fenêtres d'actualiser son menu puisqu'on vient d'y mettre une nouvelle entrée. Sinon, il faut attendre le prochain boot pour que ça apparaisse. _ %postun _ %{clean_menus} _ %files _ %defattr(0755,root,root,0755) _ %_bindir/* _ /usr/lib/libborqt* _ %defattr(0644,root,root,0755) _ #%doc COPYING LICENSE README INSTALL Changelog AUTHORS _ %_menudir/* _ %_miconsdir/* _ %_iconsdir/* _ %_liconsdir/* _ # Et là, on dit à RPM : tout ce que j'ai mis dans le système de fichier virtuel, tu _l'installeras au même endroit mais dans le vrai système de fichier, quand quelqu'un te demandera d'installer le RPM _ %changelog _ * Mon Nov 13 2004 Vincent Beuselinck <vincent@beuselinck.com> 1.02-11mdk _ - correctif d'une erreur en quittant le jeu _ [..]
YAHooouuuuuuuuuuuuuu ! Voilà mon RPM est fait.

Prochaines étapes : séparer les librairies, franciser dans les règles de l'art le RPM, faire que la mise à jour des menus soit immédiate, mettre le compilateur Borland dcc comme « BuildRequires », c'est-à-dire nécessaire pour compiler les sources...

Dernière partie : Accessoires et conclusion

Retour à la 3ème partie : La démarche

Caractère	Touche(s)
/	/ du pavé numérique
A	Q
-	)
Z	W
_	Maj + )
M	,

3- La démarche

Vincent Beuselinck — 2005-01-16T20:31:32Z

En pratique

1) Prérequis

Tout d'abord, vous devez installer quelques paquetages :
– rpm ;
– rpm-build ;
– spec-helper ;
– libtool ;
– rpmlint.

Le paquetage rpm est probablement déjà installé ;)
Pour les autres paquetages, ouvrez une console en se "loguant" en root, tapez cette commande :

urpmi rpm-build spec-helper libtool rpmlint

Il faut bien sûr accepter l'installation des dépendances que l'utilitaire urpmi vous
réclame.

Décidez maintenant quel utilisateur (ici monpseudo) va compiler le paquet : ça ne doit jamais
être root !

Passez donc sous ce login en tapant :

su monpseudo

Ensuite une deuxième commande va installer les répertoires utiles.

mkdir -p ~/rpm/{BUILD,RPMS/i586,RPMS/noarch,SOURCES,SRPMS,SPECS,tmp}

ATTENTION : Remplacez i586 par votre architecture.
Ces répertoires sont installés dans votre répertoire personnel (/home/monpseudo selon l'exemple choisi).

2) La configuration générale

En "standard" sur Mandrake 10, vous trouverez les fichiers suivants :
~/.rpmrc : buildarchtranslate: i386: i586 buildarchtranslate: i486: i586 buildarchtranslate: i586: i586 buildarchtranslate: i686: i586 ~/.rpmmacros : %_topdir $HOME/rpm %_tmppath $HOME/rpm/tmp %_signature gpg %_gpg_name Mandrakelinux %_gpg_path ~/.gnupg %distribution Mandrakelinux %vendor Mandrakesoft
Ces deux fichiers se trouvent dans le répertoire $HOME de l'utilisateur. Comme vous le
voyez, le premier .rpmrc donne une série
d'équivalences. les développeurs de Mandriva ont pris comme plate-forme de
référence le i586.

Le second fichier contient des variables générales, à savoir :
– topdir contient le chemin vers le dossier rpm donc
/home/monpseudo/rpm.
C'est à partir de cet endroit que RPM s'attend à trouver les sous-dossiers
nécessaires à la fabrication d'un rpm (voir les prérequis).
– tmppath désigne le dossier dans lequel RPM copiera ses fichiers
temporaires pendant la fabrication de l'archive.
# Les variables ci-dessous ne sont utiles que pour le référencement Mandrake.
– signature, c'est le logiciel GPG qui servira à authentifier
votre paquet.
– gpg name, la clé de MandrakeSoft servira à signer le paquet qui sera proposé sur leur serveur [1].
– gpg path, vos fichiers de configuration gpg se trouvent là
(ici, ~/.gnupg signifie dans le dossier $HOME (le ), sous-dossier caché
gnupg.
– distribution la distribution pour laquelle votre paquet est
conçu.
– vendor c'est vous si vous ne travaillez pas pour
Mandrakesoft.

3) Les fichiers SPECs

Le fichier SPEC est un fichier texte (donc votre éditeur de texte préféré fera l'affaire) qui indique à l'application RPM comment construire votre rpm. Il se découpe en "sections". Voici des extraits commentés du squelette proposé par
Mandrakeclub que nous avons commentés :
# D'abord on définit quelques variables (name, version et release) # c'est plus simple lorsque l'on change de nom ou version de n'avoir qu'un seul endroit à changer %define name skel %define version 0.1 %define release 8mdk # Pour les Applications X, les menus Mandriva comportent une classification # (donc l'endroit de l'arborescence où poser le raccourci). %define section menu mandrake/sous-menu mandrake # la liste est sur http://qa.mandriva.com/twiki/bin/view/Main/MenuSystem_Fr %define title Skel # Le nom du logiciel avec la première lettre en capitale pour qu'il apparaisse comme ça dans les menus Mandrake # SUMMARY courte description en 60 caractères # Pas d'accents. Inutile de répéter le nom du logiciel %define Summary ma description Summary: %Summary Name: %name Version: %version Release: %release License: GPL Group: Groupe/Sousgroupe # Group définit l'arborescence de présentation dans RPMDRAKE "choix Mandrake". # La liste est sur http://qa.mandriva.com/twiki/bin/view/Main/MandrivaGroups_Fr URL: http://la.homepage.de.mon.appli.com # il est bien de rajouter également en commentaire le lien direct vers l'URL # de téléchargement Source0: %name-%version.tar.bz2 # La source 0 est généralement un tar.bz2 contenant un dossier du nom de # l'appli et la version (ici : on aura donc un dossier skel-0.1 ). Dedans, # se trouvent les fichiers sources prêts à être compilés. # La source 1 contient souvent 3 icônes nommés skel-16.png skel-32.png # skel-48.png (rappel skel = nom de mon appli) où le chiffre donne la taille # de l'icône (tar -cjf %name-icons.tar.bz2 *png permet de créer cette source) Source1: %name-icons.tar.bz2 # Vous pouvez aussi avoir des source2,3,4... Buildroot: %_tmppath/%name-buildroot # La notion de buildroot est très importante : c'est là que RPM créera un # pseudo système de fichier racine à l'intérieur duquel il pourra mettre un # pseudo /usr/bin, un pseudo /etc bref faire sembler de travailler sur / sans # risquer de mettre en danger le vrai / Buildrequires: foo-devel bar-devel Requires: foo # Utilisez ldd pour connaître les dépendances nécessaires au # logiciel (Requires) ou à sa compilation (buildrequires). # NE METTEZ PAS des dépendances implicites. Exemple: # Buildrequires: gtk+-devel XFree86-devel <- Mauvais ! # Puisque gtk+-devel a déjà besoin de XFree86-devel, vous n'avez pas besoin # d'ajouter cette seconde dépendance pour votre logiciel. # Si RPM trouve les librairies (lisez la dernière partie de la sortie console) # lui-même, vous n'avez rien à ajouter non plus. %description # Ici, vous allez mettre une description plus longue # La section "prep" (pour "preparation") commence ici : %prep %setup -q %setup -q -T -D -a1 # unpack icons #%patch1 -p0 # setup est une macro de décompression et installation des sources # c'est là que vous patcherez éventuellement vos sources au besoin %build %configure %make %install %__rm -rf %buildroot %makeinstall # Menu # Voilà la macro qui crée les entrée dans les menus Mandrake # CAT crée dans un fichier tout ce qu'il y a entre EOF et EOF # install le pose où ça va bien %__install -d %buildroot/%_menudir %__cat << EOF > %buildroot/%_menudir/%name package(%name): \ command="%_bindir/%name" \ needs="X11" \ icon="%name.png" \ section="%section" \ title="%title" \ longtitle="%Summary" EOF # icon # ici ce sont les icônes qui sont installés là où menudrake saura aller les # chercher en fonction de la taille écran. %__install -D -m 644 %{name}-48.png %buildroot/%_liconsdir/%name.png %__install -D -m 644 %{name}-32.png %buildroot/%_iconsdir/%name.png %__install -D -m 644 %{name}-16.png %buildroot/%_miconsdir/%name.png %pre %post %{update_menus} # On demande à votre environnement graphique de mettre à jour son menu pour _ # notre nouveau logiciel y apparaisse tout de suite (sans attendre un reboot) %postun %{clean_menus} # même chose en cas de désinstallation %clean %__rm -rf %buildroot # la section ci-dessous consiste à installer les fichiers à partir de buildroot # vers le véritable système de fichier donc à leur place définitive %files -f %name.lang %defattr(0755,root,root,0755) # Les fichiers désignés ci-dessous seront exécutables # tous ceux qui sont dans "bindir") donc on leur met le chmod +X (exécutable) %_bindir/* %defattr(0644,root,root,0755) # à partir d'ici ce sont les non-exécutables donc pas de chmod +X %doc COPYING LICENSE README INSTALL Changelog AUTHORS %_menudir/* %_miconsdir/* %_iconsdir/* %_liconsdir/* %_datadir/%name/* %_mandir/man1/%name.1* # Ci-dessous, on décrit ce qui change d'une version à l'autre, cela apparaitra # dans rpmdrake %changelog Sat Nov 1 2003 Han Boetes <han@linux-mandrake.com> 0.1-8mdk - more macros and other little improvements.
4) La compilation

Selon les cas, la compilation se fera de plusieurs façons.
Si vous démarrez d'un fichier src.rpm (ou "srpm"),il vous faudra taper simplement :

rpm --rebuild lenomdemonfichier.src.rpm

Et si tout va bien, vous obtendrez au final une archive lenomdemonfichier.i586.rpm (ou une autre architecture, ça dépend de votre besoin exprimé dans vos fichiers de configuration)

Si vous partez d'un tar.bz2, il vous faut taper :

rpm -ba lenomdemonfichier.spec

— C'est tout ?
— Oui, c'est tout !
— T'es sûr ?
— Bon si vous insistez, voilà d'autres possibilités...

– rpm -ba fait toute la compilation (a signifiant "all", en
français "tout") mais elle peut être décomposée en étapes :
– rpm -bp ne fait par exemple que la préparation avant
compilation
– rpm -bc va jusque la compilation mais n'installe rien dans
buildroot
– rpm -bi va jusqu'à l'installation dans buildroot mais ne
crée pas les rpm
– rpm -bb construit juste le i586.rpm mais pas le src.rpm (les
étapes précédentes sont donc faites)
– rpm -bs construit le src.rpm mais pas le i586.rpm
– rpm -bl vérifie la présence des fichiers dont il aura besoin
pour l'installation (il faut donc "construire" avant).

Dans tous les cas, on indique en paramètre le fichier spec et l'endroit où il
se trouve. Parfois celui-ci est directement dans le dossier "taré" des sources
(le sources.tar.bz2), on peut alors soit extraire ce fichier SPEC pour pouvoir
lancer notre compilation par rpm -ba soit remplacer le B de rpm -ba par un
T (rpm -ta) qui demande à rpm d'aller chercher le SPEC dans le fichier tar
des sources.

[1] La mise en oeuvre se fera par Mandrakesoft si les développeurs responsables des archives décident d'intègrer votre paquet à la distribution. Cf http://qa.mandriva.com/twiki/bin/vi...

4Úme partie : Quelques exemples

Retour à la 2Úme partie : Les principes de création d'un RPM

2- Les principes de la création d'un RPM

Vincent Beuselinck — 2005-01-16T20:29:59Z

Les principes

Pour comprendre comment construire un RPM, il est plus
simple de connaître d'abord les grandes lignes de la création d'un RPM...

RPM travaille proprement

Lorsque vous installez un logiciel à partir
de son code source, vous devez d'abord décompresser l'archive correspondante qui porte le plus souvent l'extension .tar.gz ou .tar.bz2. En effet, le code source est souvent
fourni sous la forme d'une archive compressé.
Il faut donc décompresser l'archive
dans un dossier préalablement choisi (ou bien copier l'archive dans un dossier particulier et l'y
décompresser, ce qui revient au même).
Puis, il faut préparer la compilation du programme en adaptant un fichier de configuration (Makefile) en fonction de votre architecture, des bibliothèques de fonctions présentes sur votre système, etc. Pour cela, vous utilisez la commande ./configure. Vous lancez ensuite la compilation, via un programme spécifique —make — et enfin
l'installation dans les dossiers de destination
finale [1] est effectué via la commande make install.

Or, vous avez sûrement remarqué que ces opérations ne sont pas nécessaires avec un RPM. En effet, Il n'y a pas de
manipulation préalable à l'installation d'un RPM,
ni de commandes à lancer pour terminer
celle-ci. Le fichier SPEC élaboré lors de la construction du RPM s'occupe de réaliser toutes ces opérations. Tout comme urpmi installe automatiquement un RPM en téléchargeant et installant les dépendances nécessaires, etc.
Le principe de construction d'un RPM consiste donc à configurer un fichier de manière à ce que toutes ces opérations soient effectuées. C'est en cela que RPM fonctionne proprement.

Mais ce n'est pas le seul principe de "propreté"
du RPM. Lors de la création d'un RPM, là encore, le
principe de propreté prévaut. RPM va travailler dans un dossier que vous lui aurez
désigné et il faudra y créer plusieurs
sous-dossiers dans lesquels il rangera les
fichiers par catégorie : les sources, les specs,
les binaires (par architecture), les fichiers temporaires...

Et parmi ces repertoires, le dossier "buildroot" est
là pour servir de pseudo-racine du système. En
effet, s'il est nécessaire d'agir dans d'autres
dossiers lors de l'installation [2] (avant d'obtenir le RPM final, il faut faire quelques expérimentations), il est
inacceptable que RPM puisse agir sur le système d'exploitation
Linux et ainsi le rendre instable à cause d'une
expérience au résultat surprenant (suppressions ou
modifications de fichiers par exemple). C'est la
raison pour laquelle RPM utilise le buildroot :
une fausse arborescence racine dans laquelle il
reproduira les dossiers nécessaires propres à Linux :
/usr/bin, /etc, ...

Ainsi, si la fabrication du RPM n'a pas le
résultat escompté, RPM ayant travaillé dans un
dossier séparé, votre système Linux ne sera pas
encombré par des fichiers inutiles ou dangereux.

RPM est une polka.

C'est-à-dire que l'on peut clairement distinguer
deux temps dans sa façon de construire une archive.

Tout d'abord, RPM décompresse les fichiers sources
à partir du dossier RPM/SOURCES. Attention, il
faut prévoir que ces sources soient compressés
dans un sous-dossier du nom (nom et version) de
votre logiciel pour que la décompression se fasse
dans RPM/SOURCES/logiciel_version. Par exemple, l'archive TAR de BzTarot contient un répertoire bztarot-1.02 qui contient les sources. C'est
généralement le cas avec les sources que vous irez
chercher sur le Net.

Ensuite, il va compiler le logiciel, utilisant
pour cela votre dossier temporaire. Si la
compilation se passe bien, le tout sera installé
dans RPM/BUILD. Et pour finir cette première
période, il va installer les fichiers dans le
buildroot pour simuler l'installation. Les tests,
vérifications et préparations sont terminées, le
second temps est celui de la fabrication des RPM
eux-même.

Il va créer le SRPM, un RPM particulier qui
contiendra les sources, le spec, la description,
bref tout ce qu'il faut pour quelqu'un qui
voudrait recréer le RPM. Ce paquet n'est
absolument pas exploitable, dans le sens où son
installation ne permettra pas d'utiliser le
logiciel. Enfin, il va créer le RPM qui contiendra
tous les fichiers nécessaires au fonctionnement et
à l'installation du logiciel, mais pas les
éléments qui permettraient de refaire un RPM (pas
de spec, ni source).

Certains estiment qu'il y a entre ses deux
périodes, une période intermédiaire de débogage,
correctifs, modifications, jurons et multiples
essais. C'est peut-être exact mais en scrutant aux
rayons X les RPM et SRPM, cela ne se voit pas...

[1] /usr/share/man pour les
pages man ; /usr/bin pour beaucoup de
logiciels ; /etc pour les fichiers
communs de configuration ; etc.

[2] Voir plus haut ;
et note 1.

3Úme partie : La démarche

Retour sur la 1Úre partie : Pourquoi créer ses propres paquetages

1- Pourquoi créer ses propres paquetages

Vincent Beuselinck — 2005-01-07T04:11:53Z

Avant de commencer à attaquer le vif du sujet, voici en quelques points, les raisons qui peuvent vous pousser à construire un paquetage pour votre distribution préférée.

Des raisons de créer ses RPM

Il y a plusieurs raisons pour lesquelles vous
pouvez avoir envie de faire vos RPM. Si vous
consultez cette page Web, c'est peut-être que vous
avez déjà une raison de construire votre RPM. Et
bien, vous allez en découvrir plusieurs autres.

1) Un logiciel dont vous êtes le héros (je veux dire l'auteur)

Eh oui, vous n'avez pas oublié qu'au siècle
dernier, vous étiez fier de présenter votre
application sous la forme d'un logiciel
auto-installable sous Windows construit à l'aide d'Inno Setup ou
d'InstallShield Express. Alors maintenant que vous
êtes passé au libre, présenter votre logiciel sous
la forme d'un RPM, cela va de soi !

2) Un logiciel qui n'est pas disponible pour votre plate-forme

Vous possédez un Mac ? Un AMD 64 ? un Athlon ?
Bref, une architecturee non-Intel et vous aimeriez
bien que ce logiciel trouvé sur le Net fonctionne sur votre ordinateur. Vous avez à votre disposition le paquet RPM pour architecture Intel (processeur Pentium et autre, i386, i686...) et
le paquet RPM contenant les sources du programme. La solution est de
démarrer du « SRPM » (ou src.rpm) et de compiler
le logiciel pour votre plate-forme. Vous créerez
ainsi un ppc.rpm ou un amd64.rpm !

3) Un logiciel qui n'existe qu'en archive compressée

Ha la la, cette fois c'est pire encore ! Vous
n'avez trouvé que les sources en tar.gz ou en tar.bz2 contenant les sources
? Allez-vous le compiler pour votre plateforme ?
Hé bien faites-en un RPM afin d'en faire profiter
votre entourage dans un premier temps puis, bien plus de monde encore.

4) Un RPM qui existe mais contenant un programme qui ne fonctionne pas sur votre PC

Eh oui ! Ça arrive aussi ! Erreur dans le RPM ou
bien configuration exorbitante exigée par
l'auteur du paquet...

Je vous livre ici une anecdote : J'ai installé le
RPM de BillardGL (jeu de billard comme son nom
l'indique) sur mon ordinateur familial car il
refusait de s'installer sur mon portable. Urpmi
indiquait comme dépendance un noyau supportant les
pilotes vidéo non libres nVidia accéléré avec son
module GLX. J'ai donc installé un noyau
supplémentaire adapté pour installer BillardGL.

Par erreur, j'ai lancé l'exécutable et quelle surprise !

Le lendemain, j'ai rallumé la machine en démarrant sur le
noyau original (non-nVidia) de ma distribution. Via SSH, j'ai voulu configurer en français ce jeu à partir de
mon PC portable (oui je suis un grand flemmard et
monter un étage pour modifier un fichier de
configuration était trop dur).

Par erreur, j'ai lancé l'exécutable et quelle
surprise de voir qu'il est apparu sur l'écran de
mon portable ! C'était « impossible », pour deux raisons :
– Le PC familial ne tournait pas avec
le noyau spécialement compilé pour le support des cartes nVidia, et
– le portable dispose d'une
carte graphique Intel845 de base, ne disposant pas d'accélération
graphique.

Après quelques
recherches, j'ai compris que l'auteur du paquet
RPM a imposé l'exigence d'une carte nVidia et de
son pilote "Full Patate" là où ce jeu
fonctionnerait sur bien d'autres machines
graphiquement moins performantes ! Après l'avoir
installé de force sur mon portable, j'ai recommencé la
même expérience avec un autre jeu de billard :
Foobillard. Même constat : il fonctionne
honorablement sur mon portable qui ne remplit
pourtant pas les exigences graphiques imposées par
le RPM. Donc, il est possible de construire un paquet RPM
qui n'exige pas le support des accélérations de la carte
graphique.

De quoi avoir envie de mener ses propres
expériences RPM non ?

2Úme partie : Les principes de la création d'un RPM

Installer la MandrakeLinux sans CD-Rom

Vincent Beuselinck — 2005-01-05T14:55:19Z

Généralement, pour installer une distribution MandrakeLinux "gratuite", il faut télécharger soit les CDs (il faut 3 CD-Rom pour la Mandrake 10.1 Download Edition [1]) ou un DVD (pour le cas de la Mandrake 10.1).

Le choix des applications fournies est tellement varié que l'utilisateur lambda n'en installe pas la moitié.

MandrakeSoft propose cependant une installation alternative par réseau facile à mettre en oeuvre et permettant de ne télécharger que les paquetages sélectionnés.

Si vous disposez d'une connexion Internet à haut débit de type ADSL ou Cable, vous avez l'habitude de récupérer les images isos des CD-Rom (voire l'image du DVD) de votre distribution préférée. Une fois gravées, elles vous permettent d'installer rapidement un environnement de travail. Il existe une manière tout aussi rapide d'installer une distribution Mandrake : procéder via Internet en vous aidant de disquettes apropriées.

Toutefois, toutes les connexions Internet ne sont pas prises en compte par ces disquettes. Dans cet article, la configuration utilisée est constituée d'un ordinateur équipé d'une carte réseau reliée à un routeur par un câble RJ45 (un routeur externe ou la Freebox configurée en mode modem, le mode par défaut). Mais cette solution devrait être transposable à tout modem ADSL Ethernet. Je n'ai pas exploré la détection d'un modem ADSL USB à l'aide de ces disquettes. La connexion Firewire ne fonctionne pas. Les gestionnaires Firewire ne sont pas présents sur la disquette contenant les drivers.

Les pré-requis

Tout d'abord, il faut se procurer deux disquettes d'installation. Vous les trouverez sous la forme de deux fichiers images stockés sur le CD 1 des distributions MandrakeLinux (dans le dossier /install/images) et également sur les sites FTP miroirs du site FTP de MandrakeLinux. Par exemple, sur le serveur FTP de Free.fr, vous trouverez ces deux images ici :
– network.img
– network_drivers.img

Le premier fichier correspond à l'image de la disquette contenant l'assistant d'installation. Elle peut également servir pour effectuer des opérations de maintenance, comme réparer un système de fichiers défectueux ou retrouver le MBR (Master Boot Record) d'un disque dur.

Le second fichier correspond à l'image de la disquette comportant les gestionnaires de très nombreuses cartes réseau.

Créez ensuite les disquettes à partir de ces fichiers "img". Sous Linux, c'est facile.

Pour la première disquette, saisissez dans une console :

dd if=network.img of=/dev/fd0

Pour la seconde disquette, tapez :

dd if=network_drivers.img of=/dev/fd0

Sous Windows ou DOS, utilisez l'un des deux utilitaires suivants :
–
rawrite
– rawwrite

Pendant l'installation, il vous faudra fournir les caractéristiques de la connexion et du site miroir FTP, à savoir :

le type de serveur ;
NFS,
FTP,
HTTP,
le type de connexion ;
DHCP,
Statique,
ADSL,
les paramètres de connexion ;
login et mot de passe de la connexion ADSL, fournis par votre fournisseurs d'accès Internet ou FAI (si vous avez choisi ADSL),
adresse IP de la machine, les adresses IP des serveurs DNS, l'adresse IP de la passerelle (si vous avez choisi Statique),
l'adresse IP des serveurs DNS éventuels (si vous avez choisi DHCP),
les caractéristiques du serveur ;
nom du serveur FTP sur lequel les rpms de la distribution sont stockés,
chemin pour atteindre le répertoire de stockage des rpms.
La configuration préalable

Insérez la disquette dont l'image est Network.img. Vérifiez que votre PC est correctement relié au réseau (câbles, modems, hub ou switch) et que votre connexion Internet fonctionne.
Puis démarrez votre ordinateur.

Appuyez sur la touche Entrée pour lancer l'assistant d'installation. Vous pouvez également appuyer sur la touche F1 afin de basculer en mode "rescue" (mode maintenance).

La première question posée par l'assistant d'installation concerne le type de serveur. Choisissez FTP. La carte réseau de votre PC est ensuite détectée. Dans une fenêtre, la marque et le modèle de votre carte réseau [2] s'affiche. Validez. L'assistant vous demande alors d'insérer la disquette contenant les drivers des cartes réseau, dans le lecteur. Appuyez sur la touche Entrée afin de passer à l'étape suivante.

Une deuxième question apparaît. L'assistant vous demande le type de connexion réseau. Choisissez Statique mais si votre routeur fait office de serveur DHCP [3] ou si vous vous connectez à Internet en DHCP (comme par exemple la Freebox), optez pour DHCP. Si votre PC est connecté à un modem ADSL Ethernet, sélectionnez ADSL. Validez.

La Configuration de la connexion

La fenêtre suivante dépend du type de connexion choisi précedemment. _ Pour une connexion ADSL, vous devrez saisir le login et le mot de passe de connexion attribués par votre fournisseur d'accès Internet.

Pour l'option Statique, l'assistant demande les informations suivantes :
– adresse IP de votre ordinateur ;
– adresses IP du serveur DNS principal de votre fournisseur d'accès ;
– adresse IP de la passerelle ;
– masque de sous-réseau.

Par exemple, l'adresse IP de mon PC est 192.168.0.2. Dès que je saisis cette adresse, les champs suivants sont préremplis par l'assistant d'installation. Dans le champ DNS, il sera inscrit "192.168.0.". Il faut donc remplacer cette adresse par celle du serveur DNS de votre FAI (ici free.fr) : 212.27.32.176. L'adresse IP de la passerelle est généralement 192.168.0.1 ou 192.168.0.254 (pour la Freebox tapez 192.168.0.254).

Enfin, si vous avez choisi DHCP comme type de connexion, les valeurs sont préremplies et souvent exactes (vérifier néanmoins l'adresse du serveur DNS).

Ajout d'un serveur proxy

Certaines configurations réseau nécessitent de définir l'adresse d'un serveur proxy [4]. Une fenêtre de configuration est donc proposée mais dans la plupart des cas, vous n'aurez pas besoin de saisir la moindre adresse. Validez pour passer à l'étape suivante.

Configuration de la connexion au serveur FTP

Le menu qui s'affiche ensuite vous propose plusieurs possibilités :
– Manually ;
– Community i586 ;
– Community PPC ;
– Cooker i586 ;
– Cooker PPC.

Le terme Community correspond ici à la distribution Mandrake 10.1 Community (MandrakeLinux qui préfigure ce que sera la version finale, c'est l'équivalent de la dernière Release Candidate) tandis que Cooker est la version de développement de la prochaine distribution (cf le lien http://www.mandrakeclub.com/article... pour en savoir plus sur les différentes version de MandrakeLinux).

Choisissez Manually afin de préciser les caractéristiques du site miroir FTP choisi. En effet, la distribution Official a été oubliée !
Validez.
Dans la fenêtre qui apparaît, deux champs sont à remplir :
– Server FTP dans lequel vous saisissez ftp.free.fr ;
– Path où vous tapez /Distributions_Linux/Mandrakelinux/official/10.1/i586 ;

Attention, le clavier est en anglais (= QWERTY) et non pas AZERTY !
Pour vous aider à vous y retrouver, voici une table de correspondance :

Caractère Touche(s)

/ / du pavé numérique

A Q

- )

Z W

_ Maj + )

M ,

Une petite astuce peut simplifier cette étape : au lieu de choisir Manually optez pour Community. La liste des serveurs mirroirs vous est alors proposée. Sélectionnez-en un puis dans la fenêtre suivante, cherchez le mot Community et remplacez-le par Official. Cela ne marche pas toujours mais souvent !

L'installation

Vous retrouverez ensuite les écrans habituels d'une installation graphique avec DrakX : langue, clavier, acceptation de la licence, choix des paquetages...
Vous trouverez sur cette page les manuels de la MandrakeLinux en téléchargement. L'installation de la distribution y est clairement expliquée, pas à pas et en images (cf http://doc.mandrakelinux.com/Mandra...).

Fiabilité, rapidité et problèmes rencontrés

Outre les problèmes de clavier ou choix d'options cités plus haut, des ennuis d'installation liés à Internet peuvent être rencontrés. La situation la plus énigmatique est celle-ci :

Une fenêtre indique que le kernel-2.6.8-12mdkBOOT n'est pas présent sur le site miroir FTP et que vous devriez mettre la disquette d'installation à jour.

En réalité, le site FTP a rejeté la requête (la récupération du paquetage correspondant au kernel-2.6.8-12mdkBOOT). En effet, il est surchargé car il a accepté le nombre maximal de connexions. Il vous refusera l'accès jusqu'à ce qu'une autre personne se déconnecte.
Essayez de récupérer la distribution sur un autre site ou recommencez l'installation plus tard.

Une autre erreur souvent rencontrée est liée au chargement d'un paquet (ou paquetage). Notez simplement le nom du paquet et installez-le plus tard.

Malgré cela, la fiabilité est au rendez-vous et si l'on considère le temps mis pour télécharger les 2 Go d'images iso, le gain est au rendez-vous.

Enfin, puisque vous avez déjà configuré les accès au réseau et à Internet, vous n'aurez pas à les reparamètrer à la fin de l'installation lors de la mise à jour des paquets.

[1] Un quatriÚme CD-Rom, non officiel, nommé KDE 3.3 est disponible ici.

[2] Si ce n'est pas le cas, une liste vous est proposée et ce sera à vous de choisir.

[3] Il attribue automatiquement une adresse IP à votre PC.

[4] Un serveur proxy permet à plusieurs ordinateurs d'un réseau local de partager un accès au Web en stockant les requêtes des utilisateurs et en les protégeant du reste d'Internet http://fr.wikipedia.org/wiki/Proxy.

DMA - Direct Memory Access

Yvonnick Esnault — 2004-10-30T00:45:42Z

Le disque dur IDE de votre PC n'est pas assez rapide à votre goût. Les jeux se trainent... Quelques réglages à apporter au disque via l'utilitaire hdparm et votre PC gagnera en rapidité. Petites explications sur l'activation du mode dma.

Vous n'avez pas activé le dma (Direct Master Access)pour votre disque ? Alors ça traine (on s'en rend plus compte sur les disques d'ordinateurs portables qui sont moins rapides que les disques de PC de bureau).

Attention : une mauvaise utilisation des paramètres de hdparm peuvent endommager votre disque dur. Vous voilà donc prévenus.

Pour vérifier que le dma de votre disque dur est activé, ouvrez un terminal et basculez sur le compte root. Saisissez la commande suivante :

# hdparm /dev/hda

Si une erreur s'affiche, par exemple command not found ou si vous voyez using_dma = 0 (no), Le programme hdparm n'est pas installé ou le disque dur de l'ordinateur n'accepte pas les accès dma.

Sous Debian

Pour corriger cela, lancez les commandes :

# apt-get install hdparm (sous debian) # hdparm -d 1 /dev/hda

- 1 pour activer le dma
- 0 pour désactiver le dma

=> Mais en fait, ça a fait planter ma machine (pendant une compile de x.org). Donc vaut mieux bénéficier de l'accélération du disque dur dès le démarrage du PC.
Dans le fichier '/etc/hdparm.conf, vous devez avoir quelque chose comme :

/dev/hda { dma = on }

Pour cet article, le disque dur est le disque maître connecté sur la première nappe IDE de votre ordinateur. Si votre PC possède plusieurs disques, copier le bloc et changez le a par b (disque esclave de la première nappe IDE) ou c (disque maître de la seconde nappe IDE)...

Puis tester si les modifications ont été prises en compte, tapez la commande :

# hdparm /dev/hda

Chez moi, ça donne :

# hdparm /dev/hda

/dev/hda: multcount = 0 (off) IO_support = 0 (default 16-bit) unmaskirq = 0 (off) using_dma = 1 (on) keepsettings = 0 (off) readonly = 0 (off) readahead = 256 (on) geometry = 65535/16/63, sectors = 60011642880, start = 0

Avec Mandrake

Avec une Mandrake 10.0, pour activer dès le démarrage l'activation du dma, éditez le fichier /etc/sysconfig/harddisks à l'aide d'un éditeur de texte. Puis, supprimez ou ajoutez le caractère # en face des paramètres que vous souhaitez respectivement activer ou désactiver.

[fred@station3 fred]$ less /etc/sysconfig/harddisks

# These options are used to tune the hard drives - # read the hdparm man page for more information # Set this to 1 to enable DMA. This might cause some # data corruption on certain chipset / hard drive # combinations. This is used with the "-d" option USE_DMA=1 # Multiple sector I/O. a feature of most modern IDE hard drives, # permitting the transfer of multiple sectors per I/O interrupt, # rather than the usual one sector per interrupt. When this feature # is enabled, it typically reduces operating system overhead for disk # I/O by 30-50%. On many systems, it also provides increased data # throughput of anywhere from 5% to 50%. Some drives, however (most # notably the WD Caviar series), seem to run slower with multiple mode # enabled. Under rare circumstances, such failures can result in # massive filesystem corruption. USE WITH CAUTION AND BACKUP. # This is the sector count for multiple sector I/O - the "-m" option # #MULTIPLE_IO=16 # (E)IDE 32-bit I/O support (to interface card) # EIDE_32BIT=3 # Enable drive read-lookahead # LOOKAHEAD=1 # Add extra parameters here if wanted # On reasonably new hardware, you may want to try -X66, -X67 or -X68 # Other flags you might want to experiment with are -u1, -a and -m # See the hdparm manpage (man hdparm) for details and more options. # EXTRA_PARAMS=

Après avoir enregistré le fichier et redémarré le PC, testez l'activation du dma avec hdparm /dev/hda et la rapidité de votre disque dur à l'aide de hdparm -t /dev/hda.

[fred@station3 fred]$ su - -c "hdparm -t /dev/hda" Password: /dev/hda: Timing buffered disk reads: 114 MB in 3.04 seconds = 37.54 MB/sec

Avec SuSE

Lancez l'outil d'administration yast. Puis, optez pour la catégorie Matériel et double cliquez sur Mode DMA IDE.

Sélectionnez ensuite le disque dur ou le lecteur de CD/DVD à accélérer et dans la liste déroulante Mode DMA choisissez DMA actif (mode par défaut) ou UltraDMA/66. Validez par un clic sur le bouton Terminer. Redémarrez ensuite la machine avant de tester l'activation du dma et la vitesse des périphériques.

Notez que dans /etc/sysconfig/ide, vous retrouverez les informations associées à la configuration des disques durs ou des lecteurs.

fred@mandy : > less /etc/sysconfig/ide

## Path: Hardware/IDE ## Description: IDE device settings ## Type: string ## Default: "" ## ServiceRestart: boot.idedma # # Force DMA mode for selected device. Use pairs : separated # by space - dma_mode can be "on" (enable default DMA mode), "off" (disable DMA # mode) or any mode supported by hdparm (e.g. "mdma2", "udma5", ...) # Example: "/dev/hdc:off /dev/hdd:udma2" # DEVICES_FORCE_IDE_DMA="/dev/hda:on /dev/hdc:on /dev/hdd:on"

Pour en savoir plus sur hdparm, en particulier sous Debian, consultez la page
http://www.andesi.org/index.php?node=42

Introduction à screen

Yvonnick Esnault — 2004-03-30T20:36:30Z

Screen permet d'ouvrir plusieurs terminaux dans une même console, de les récupérer plus tard en les "détachant" et se les "attachant". Il offre également d'autres services trÚs utiles.

Premier lancement

Ouvrez une console, puis lancez screen :

$ screen

Le premier lancement affiche un message de bienvenue. Appuyez sur la touche Espace pour passer ce message. Une invite (ou prompt) identique à celle de la console apparaît ensuite.

Pour repérer ce premier terminal, on peut laisser une trace :

$ echo premier terminal

Dès lors, on peut ouvrir un second terminal avec la combinaison de touche Control + A suivi par la touche C. Pour s'en souvenir, rappellez-vous ceci : Control + A comme action et C pour création. Cette combinaison se note C-a c.

Et hop, un second terminal apparaît. On laisse une trace pour le repérer par la suite :

$ echo second terminal

On peut rajouter d'autres terminaux à l'aide de C-a c

Navigation dans les terminaux

Voici les raccourcis claviers qui vous aideront pour utiliser screen :
– C-a n : passage au terminal suivant ;
– C-a p : passage au terminal précédent ;
– C-a N : repérage du terminal courant, avec le titre du terminal entre parenthèse ;
– C-a n (n est ici un chiffre) : passage au terminal n ;
– C-a " : affichage de la liste des terminaux. On navigue dans la liste à l'aide des touches haut et bas, on sélectionne un terminal avec la touche Entrée ;
– C-a w : visualise la liste des terminaux de manière non interactive ;
– C-a A : renomme le terminal courant. Un appui sur Entrée sert à valider ;
– C-a k ou C-a K : ferme un terminal. Une confirmation est demandée. Tout programme en cours dans ce terminal sera arrêté.

Détacher et réattacher les terminaux

Il est possible de détacher de screen le terminal courant avec la commande :
– C-a d : on se détache de screen. Les terminaux ne sont pas perdus pour autant car il est possible de revenir sur screen avec la commande :
– $screen -r [1] : on se rattache...
.
À vous de voir l'utilisation que vous pouvez avoir avec cette fonctionnalité...

Pour vérifier que l'on a pas perdu les terminaux : C-a "

Imaginons maintenant que vous voulez montrer un enchaînement de manipulations à quelqu'un qui ne se trouve pas à côté de vous. Tapez screen ($ screen) sur le serveur, et demandez à votre correspondant de lancer la commande $ screen -x sous le même compte utilisateur. Il voit tout ce que vous écrivez maintenant sur le terminal et vice-versa...

Détection des silences et des activités

À ce stade du howto, vous ne pouvez pas voir ce qui se passe sur les autres terminaux autre que celui que vous avez en face de vous. Pour activer la détection d'activité sur un terminal, utilisez :
– C-a M : activation/désactivation du monitoring.

De la même manière, on peut détecter le silence sur un terminal :
– C-a _ : activation/désactivation du monitoring silence.

Pour vérifier l'état du monitoring (activité ou silence)
– C-a m : Voir l'état du monitoring (activé ou pas activé).

Exemple :
Et bien, si l'on imagine que tu as trois terminaux dans ton xterm, sur le premier tu lances un apt-get dist-upgrade qui semble durer des heures, alors tu tapes C-a _. Ainsi, un message s'affichera quand au bout de 30 secondes le terminal 1 n'aura pas détecté d'activité (donc à la fin de ton dist-upgrade).

Maintenant sur le deuxième terminal, tu lances mutt. Mutt indique par un message quand un mail arrive dans une boîte (le terminal détecte donc une activité). Tu tapes donc C-a M qui te permettra d'être prévenu lorsqu'une activité sera repérée dans ce deuxième terminal.

Ensuite, tu peux travailler tranquillement sur ton troisième terminal...

Mais au bout d'une heure, tu ne sais plus si tu as vérifié la présence d'une quelconque activité sur le terminal 1, tu retournes sur le terminal en question, et tu fais C-a m pour voir si tu détectes bien le silence. De même pour le second terminal pour voir si tu détectes bien une activité...

Autres fonctionnalités

– C-a } : ferme toutes les fenêtres et quitter screen. Une confirmation est demandée.
– C-a z ou C-a Z : Suspendre screen (on ne perd pas les terminaux ; les programmes sont arrêtés).
– C-a x : verrouille screen ;
– C-a S : partage la fenêtre en deux. Pour circuler entre les fenêtres C-a tab et pour fermer le split C-a X.
– C-a ? : Liste des commandes ; aide en ligne.

Et pour le reste, $ man screen ;)

[1] screen -rd pour être sûr, ie. pour détacher le screen éventuel et le réattacher NDLR

Lutter efficacement contre les contenus SMTP dangeureux (1)

Sébastien Namèche — 2004-02-25T13:35:22Z

La vitesse de propagation des nouveaux virus (Dumaru, MyDoom, etc.) et l'augmentation de la quantité de pourriel [1] envoyée et reçue sur Internet rendent le filtrage de contenu SMTP de plus en plus critique. Cependant, les techniques qui étaient utilisées jusqu'à maintenant montrent leurs limites. Cet article étudie et explique comment contourner l'une d'elles, celle que j'ai nommée « la patate chaude ».

Le problème

Le problème des émails qui véhiculent des virus, du pourriel ou du contenu suspect est comparable à celui dit de « la patate chaude ». Une fois arrivé dans la file d'un serveur de messagerie et identifié comme indésirable, vous ne savez plus trop qu'en faire. Vous aimeriez bien vous en débarrasser mais ne savez pas qui prévenir dans ce cas :
– L'expéditeur ? En général, soit son adresse est falsifiée, soit elle n'existe pas. Dans le premier cas la pauvre victime dont l'adresse a été usurpée se trouve inondée de messages. Dans le second cas, la situation empire car votre MTA [2] doit prendre en charge un double bounce [3].
– Les destinataires ? Pour les mêmes raisons, cela est souvent inutile. Les virus récents se propagent seuls et non plus au sein de documents qu'un correspondant aurait pu vous envoyer et que vous attendiez.
– L'administrateur ? Pitié, non, le pauvre va crouler sous les dizaines (centaines ?) de notifications journalières !

Cet état peut conduire à des files de messages énormes et écrouler certains serveurs sous la charge (cela s'est vu lors de l'épidémie Dumaru).

Alors quoi ? Renvoyer le message au grand réceptacle universel des données inutiles et autre junk (/dev/null) sans prévenir personne ? Sûrement, si vous choisissez cette voie, l'éthique liée au transfert des messages sur Internet vous empêchera de dormir la nuit. Un message ne devrait pas être supprimé sans que personne ne soit au courant.

Donc, point de salut ?

La solution

Quel était le problème déjà ? Ah oui « Que faire des messages malveillants une fois qu'ils ont été identifiés comme tel par mon serveur de messagerie ? ». Et si la question n'était pas la bonne ? Essayons celle-ci : « Comment faire pour refuser de prendre en charge la responsabilité de ces messages ? ». C'est-à-dire, laissons donc dans l'embarras les MTA qui n'ont pas su filtrer ces messages (ou qui n'ont pas voulu le faire sciemment). Oui, laissons-les gérer les notifications, les files de messages saturées par les Dumaru, les MyDoom et leurs prochains petits frères. Nos ressources sont précieuses, économisons-les.

Mais comment faire ? Afin de rejeter le message (et donc la responsabilité de le transmettre), le contenu de celui-ci devra être contrôlé pendant la connexion avec le MTA qui nous le fait parvenir. Cependant la manière dont fonctionnent les logiciels qui sont utilisés pour vérifier le contenu des émail (par exemple Amavis [4] ou MailScanner) ne permet pas cela. Ni, d'ailleurs, les MTA. En effet, il faudrait pouvoir intervenir avant même que le message ne soit accepté par ce dernier.

Je ne dis pas qu'Amavis et MailScanner sont de mauvais outils (il fut un temps où je les ai encensés, les ayant déployés chacun d'eux plusieurs fois), je dis qu'ils ne sont plus adaptés. Je ne dis pas que Postfix est moins bien que Sendmail mais ce dernier va nous permettre de résoudre de manière élégante notre problème grâce à une nouvelle API appelée Milter.

Milter (pour « Mail Filter ») est une API spécifique à Sendmail qui permet de lui connecter des logiciels externes. Ceux-ci vont permettre d'agir sur le comportement de Sendmail lors des différentes étapes de la conversation SMTP (HELO, MAIL FROM, RCPT TO, DATA). Les réponses à ces commandes SMTP pouront être dictées par ces logiciels.

Cette API supporte également la modification des messages par ces programmes externes.

Ainsi l'idée est de prendre le temps de repérer le contenu malveillant pendant la communication SMTP et, le cas échéant, signifier au MTA d'origine que nous refusons de prendre en charge son message. Dans la logique du protocole SMTP cela signifie que c'est à lui qu'incombe la tâche embarrassante de choisir le devenir du message incriminé.

Il y a un autre argument qui va dans le sens de cette technique (je le précise car il m'a déjà été reproché que, finalement, avec cette configuration je relègue le travail de mon MTA aux autres). En effet, la manière dont est géré Internet en général montre qu'il est plus souvent efficace que les problèmes soient pris en charge au plus tôt et, si possible, par le serveur le plus proche de l'utilisateur. Ce qui sera bien le cas ici.

Vite, un exemple pour illustrer cette théorie

Vraiment, vraiment, je suis navré pour tous les fans de Postix, Exim, etc. mais, à ce jour et à ma connaissance, seul Sendmail dispose d'un tel mécanisme [5] (enfin, bon, ceux qui me connaissent ne seront pas dupes).

Voici donc un exemple d'utilisation d'un milter [6] fourni par le projet ClamAV. Cet exemple est basé sur la distribution Debian mais il devrait être immédiat à « porter » sous RedHat, pardon Fedora, ou autre.

1) Ajoutez les lignes suivantes au fichier /etc/apt/sources.list qui contient la liste des dépôts de logiciels Debian :
# ClamAV deb http://clamav.catt.com/ debian stable main
2) Exécutez les commandes :
# dselect update # apt-get install clamav clamav-daemon clamav-freshclam clamav-milter
pour mettre à jour la liste des logiciels connus et installer ceux qui nous sont nécessaires.

3) Ajoutez les lignes suivantes dans le fichier /etc/mail/sendmail.mc. Elles permettent de déclarer un filtre milter à Sendmail.
INPUT_MAIL_FILTER(<code class='spip_code spip_code_inline' dir='ltr'>clamav',</code>S=local:/var/run/clamav-milter/clamav-milter.ctl, F=, T=S:4m;R:4m')dnl define(<code class='spip_code spip_code_inline' dir='ltr'>confINPUT_MAIL_FILTERS',</code>clamav')
4) L'un des défauts du paquetage clamav-milter est qu'il ne fournit pas de script de démarrage. Copiez donc le contenu du cadre qui suit dans le fichier /etc/init.d/clamav-milter.
#! /bin/sh PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin DAEMON=/usr/sbin/clamav-milter NAME=clamav-milter DESC="ClamAV Milter" OPTIONS="-q -f /var/run/$NAME/$NAME.ctl" test -x $DAEMON || exit 0 set -e case "$1" in start) echo -n "Starting $DESC: $NAME" start-stop-daemon --start --quiet --pidfile /var/run/$NAME/$NAME.pid \ --chuid clamav --make-pidfile --exec $DAEMON -- $OPTIONS \ 2> /dev/null echo "." ;; stop) echo -n "Stopping $DESC: $NAME" killall $NAME rm -f /var/run/$NAME/$NAME.pid echo "." ;; restart|force-reload) echo -n "Restarting $DESC: $NAME" $0 stop sleep 1 $0 start echo "." ;; *) N=/etc/init.d/$NAME echo "Usage: $N {start|stop|restart|force-reload}" >&2 exit 1 ;; esac exit 0
Puis exécutez les lignes de commande suivantes pour activer le service lors du démarrage du système (la seconde réalisera pour vous les liens dans les répertoires /etc/rc?.d) :
# chmod 755 /etc/init.d/clamav-milter # update-rc.d clamav-milter defaults 19 21
(« 19 » car le milter doit être démarré avant et arrêter après Sendmail.)

5) Ajoutez la ligne suivante dans le fichier /etc/clamav/clamav.conf afin d'activer la vérification des fichiers au format émail :
ScanMail
6) Un second défaut du paquetage clamav-milter nous impose de créer nous-même le répertoire qui contiendra le tube nommé servant aux communications entre Sendmail et le milter. Pour cela, exécutez ces commandes :
# mkdir /var/run/clamav-milter # chown clamav.clamav /var/run/clamav-milter # chmod 750 /var/run/clamav-milter # adduser smmsp clamav
7) Enfin, les commandes suivantes permettent de régénérer le fichier de configuration de Sendmail (sendmail.cf) à partir du fichier de macros m4 sendmail.mc et de démarrer Sendmail et le milter :
# cd /etc/mail # make # /etc/init.d/sendmail stop # /etc/init.d/clamav-milter start # /etc/init.d/sendmail start
(Il faut également que le démon clamd soit démarré mais le paquetage clamav-daemon s'en est occupé.)

8) Testez que tout fonctionne correctement. Par exemple :
seb@puck:~$ telnet gaia.anet.fr smtp Trying 80.118.2.10... Connected to gaia.anet.fr. Escape character is '^]'. 220 gaia.anet.fr ESMTP Sendmail 8.12.3/8.12.3/Debian-6.6; Sat, 21 Feb 2004 18:36:25 +0100; (No UCE/UBE) logging access from: Mix-Rennes209-1-162.w193-250.abo.wanadoo.fr(OK)-Mix-Rennes209-1-162.w193-250.abo.wanadoo.fr [193.250.30.162] HELO puck.anet.fr 250 gaia.anet.fr Hello Mix-Rennes209-1-162.w193-250.abo.wanadoo.fr [193.250.30.162], pleased to meet you MAIL FROM:<seb@anet.fr> 250 2.1.0 <seb@anet.fr>... Sender ok RCPT TO:<seb@gaia.anet.fr> 250 2.1.5 <seb@gaia.anet.fr>... Recipient ok DATA 354 Enter mail, end with "." on a line by itself Subject: Test From: badguy@verybadnet.org To: poorguy@gaia.anet.fr X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* . 550 5.7.1 Virus detected by ClamAV - http://clamav.elektrapro.com QUIT 221 2.0.0 gaia.anet.fr closing connection Connection closed by foreign host.
Le code de retour 550 retourné par notre MTA à la fin de la transmission du contenu du message [7] est un code d'erreur permanent qui indique que le message n'a pas été pris en charge par notre serveur. Ainsi il n'a aucune chance de venir encombrer la file des messages de celui-ci.

Un dernier point, n'hésitez pas à augmenter le nombre de tests journaliers réalisés par le démon freshclam qui vérifie l'existence des nouvelles définitions de virus. Cela peut faire la différence lors d'épidémies fulgurantes comme celles auxquelles nous avons pu assister fin janvier. En effet, à ce moment, ClamAV s'est montré plus efficace à les arrêter tout simplement parce que sa configuration par défaut lui a permis d'obtenir la définition des virus avant bien d'autres anti-virus.

Il faut pour cela augmenter un paramètre dans le fichier /etc/clamav/clamav-freshclam-handledaemon.conf (n'utilisez pas non plus une valeur trop élevée afin de ne pas surcharger les serveurs du projet ClamAV. Par exemple, avec la valeur suivante, une vérification sera réalisée toutes les trois heures environ (huit fois par jour) :
FRESHCLAM_CHECK_FREQUENCY=8
Le prochain article

La prochaine fois, je vous expliquerais comment étendre ce principe au filtrage des Spams ou des contenus jugés belliqueux.

Ressources

Une introduction à Milter (en anglais)

Une liste de projets contenant le mot « milter » sur Freshmeat

[1] Spam

[2] Mail Transfer Agent. Le démon chargé de faire transiter le courriel sur Internet, NDLR.

[3] Un double bounce est un message d'erreur qui ne peut être envoyé à son destinataire et qui revient lui-même en erreur au postmaster.

[4] Oui, bon, en fait l'un des rejetons d'Amavis appelé amavisd-new permet cela mais nous n'en parlerons pas ici car cela viendrait en porte-à-faux sur notre brillante démonstration.

[5] Postifx permet de refuser des messages lors de la connexion SMTP mais sur des critères très simples (expressions régulières, en particulier) et certainement pas à partir de décisions que pourraient prendre des logiciels externes.

[6] Par extension, on nomme « milter » les programmes écrit pour s'interfacer avec Sendmail via l'API Milter.

[7] La chaîne des 68 caractères est issue du projet EICAR - Anti-Virus test file dont le but est de fournir une signature inoffensive reconnue par tous les anti-virus afin de réaliser des tests.

Vous l'aurez deviné, cette technique est utilisée sur Gaia. Cela protÚge les listes de diffusion et apporte plus de fiabilité au service.

Mettre en œuvre LVM

Sébastien Namèche — 2004-02-19T17:36:20Z

Avec le gestionnaire de volume logique (LVM pour Logical Volume Manager), les administrateurs de serveurs disposent d'un outil simple à mettre en oeuvre pour ajouter, supprimer, modifier des partitions d'un ou de plusieurs disques durs à la volée ou à chaud.

Le gestionnaire de volume logique (LVM pour Logical Volume Manager) est une fonction présente depuis la version 2.4 du noyau Linux. Elle offre une gestion plus souple de l'espace des disques durs en interposant une couche supplémentaire entre le matériel et les systèmes de fichiers. Une fonctionnalité moins connue permet de réaliser des "instantanés" (snapshots) d'un volume logique en temps réel.
Ces snapshots permettent d'attacher une image, figée en lecture seule, du système de fichiers contenu sur le volume logique d'origine à un répertoire. Ils n'occupent pas de place sur le disque sinon celle nécessaire pour enregistrer les modifications qui ont lieu sur le système de fichiers original (qui, lui, n'a cessé d'être monté en écriture).

Principe de LVM

LVM permet de combiner plusieurs disques ou partitions (appelés volumes physiques ou PV pour Physical Volumes) au sein d'un groupe de volumes (ou VG pour Volume Group). Des volumes logiques (ou LV pour Logical Volumes) sont ensuite créés dans ce groupe de volumes. Ces volumes logiques sont assimilables à des partitions virtuelles sur lesquelles des systèmes de fichiers peuvent être créés.

Cela ajoute de la complexité, certes, mais également beaucoup de flexibilité. En effet, il est possible d'ajouter ou de supprimer « à chaud » des volumes physiques d'un groupe de volumes . La taille d'un volume logique peut également être modifiée en direct et, si le système de fichiers créé sur le volume logique supporte le redimensionnement en ligne [1], on peut augmenter la taille d'une partition sans interruption de service.

Il est même possible de déplacer les données d'un volume physique vers un autre (c'est-à-dire d'un disque réel vers un autre si ces volumes physiques sont sur des disques distincts) alors que les données sont en cours d'utilisation !

Mettre en oeuvre LVM

LVM est composé de deux parties : la première est un pilote de périphérique présent dans le noyau Linux, la seconde est un paquetage fournissant les commandes qui permettront de manipuler les volumes physiques, les groupes de volumes et les volumes logiques.

Le noyau standard livré avec les distributions les plus populaires est en général compilé avec la fonctionnalité LVM [2] [3].

Si vous compilez votre noyau vous-même, assurez-vous d'activer « Multiple devices driver support (RAID and LVM) » puis « Logical volume manager (LVM) support » dans le sous-menu « Multi-device support (RAID and LVM) » du programme de configuration du noyau (xconfig ou menuconfig).

Si vous rencontrez des problèmes lors d'une tentative de montage d'un snapshot sur un système de fichiers journalisé (ext3, reiserfs ou XFS, par exemple), vous aurez peut-être besoin d'appliquer le patch « VFS lock » disponible dans le répertoire PATCHES des sources de LVM (à télécharger sur le site de LVM). Vous devrez également jeter un oeil sur la commande xfs_freeze si vous utilisez XFS.

Les utilitaires en ligne de commande pour gérer LVM sont disponibles pour Debian dans les paquetages lvm-common et lvm10 et, pour Redhat, dans le paquetage lvm. Toutes les commandes relatives à LVM (excepté e2fsadm) commencent par « pv », « vg » ou « lv » selon qu'elles manipulent respectivement les volumes physiques, les groupes de volumes ou les volumes logiques.

Durant la procédure d'installation certaines distributions vous permettrons de créer des groupes de volumes et de les utiliser pour installer votre système. Si vous n'avez pas créé de groupes de volumes à ce moment-là ou si votre distribution ne le permettait pas, voici la marche à suivre pour créer volumes physiques, groupes de volumes et volumes logiques :

1) Créez une ou plusieurs partitions qui recevront autant de volumes physiques que nécessaire. Pour cela utilisez l'un des deux programmes suivants : fdisk ou cfdisk. Puis, affectez le type 0x8e (« Linux LVM ») aux partitions concernées. Pour la suite, nous considérerons que vous avez une partition dédiée à LVM sur chacun des disques hdb et hdc (partitions hdb1 et hdc1). Il est également possible de dédier des disques entier à LVM, consultez la page de manuel pvcreate(8) pour plus d'information.

2) Initialisez chacune des partitions dédiées à LVM, elles deviennent ainsi des volumes physiques :
# pvcreate /dev/hdb1 /dev/hdc1
3) Créez un groupe de volumes (nommé « vg01 » dans cet exemple) contenant les volumes physiques :
# vgcreate vg01 /dev/hdb1 /dev/hdc1
4) Créez un volume logique dans le groupe de volumes vg01, ici le nom du volume logique est lv01 et sa taille est de 2 Go (comme LVM nous permet d'étendre à volonté la taille des volumes logiques, n'utilisez pas tout l'espace disponible dans le groupe de volumes) :
# lvcreate --size 2g --name lv01 vg01
Une fois le volume logique créé, LVM y associe un fichier spécial de type bloc à cet emplacement : « /dev/volume_physique/volume_logique ». Il est utilisable comme une partition sur un disque.

5) Formatez le volume logique et attachez-le à un répertoire (ici «
/mes_precieuses_donnees ») :
# mkfs -t ext2 /dev/vg01/lv01 # mkdir /mes_precieuses_donnees # mount -t ext2 /dev/vg01/lv01 /mes_precieuses_donnees
N'oubliez pas d'ajouter cette ligne dans le fichier /etc/fstab afin que ce système de fichiers soit remonté au prochain démarrage du système :
/dev/vg01/lv01 /mes_precieuses_donnees ext2 default 0 2
Réaliser un snapshot

Un snapshot est un volume logique particulier qui est caractérisé par un nom (comme tout volume logique), une taille et un volume logique d'origine. La taille représente dans ce cas l'espace qui sera utilisé pour enregistrer les données modifiées sur le volume logique d'origine qui, lui, reste « vivant ».

Comme il s'agit de créer un volume logique, c'est la commande lvcreate qui est utilisée. Par exemple, pour créer un snapshot nommé « sauvegarde » à partir du volume logique lv01, on utilisera la commande :
# lvcreate --snapshot --size 50m --name sauvegarde /dev/vg01/lv01
Nous pouvons donc désormais attacher le volume logique représentant le snapshot à un répertoire :
# mkdir /sauvegarde_donnees # mount -t ext2 -o ro /dev/vg01/sauvegarde /sauvegarde_donnees
L'option « ro » est fournie à la commande mount afin d'éviter un message d'avertissement car, par définition, un snapshot ne permet que la lecture seule. Si vous utilisez XFS il sera nécessaire d'utiliser également l'option « nouuid ».

Pour supprimer un snapshot, il faut commencer par le détacher du répertoire sur lequel il est monté puis utiliser la commande lvremove (puisqu'il s'agit d'un volume logique).

Exemple d'utilisation pour la sauvegarde d'un système de fichiers

L'exemple suivant est le squelette d'un script shell permettant d'effectuer la sauvegarde d'un système de fichiers avec un minimum de temps d'arrêt des services. L'interruption de service ne dure, en effet, que le temps nécessaire à la commande lvcreate pour créer le snapshot (c'est-à-dire quelques secondes).
# Variables sauv_rep=/mnt sauv_nom=sauv_<code class='spip_code spip_code_inline' dir='ltr'>date +%Y%m%d</code> orig_vg=vg01 orig_lv=lv01 # Arrêt des services qui utilisent le système de fichiers à sauvegarder for s in service1 service2 serviceN; do /etc/init.d/$s stop; done # Création du snapshot lvcreate --snapshot --size 100m --name $sauv_nom /dev/$orig_vg/$orig_lv $sortie=$? # Démarrage des services précédemment arrêtés for s in serviceN service2 service1; do /etc/init.d/$s start; done # Montage du snapshot [ $sortie = 0 ] || sortie_erreur $sortie 'Erreur lors de lvcreate.' [ -d $sauv_rep/$sauv_nom ] || mkdir $sauv_rep/$sauv_nom mount -t ext2 -o ro /dev/$orig_vg/$sauv_nom $sauv_rep/$sauv_nom [ $? = 0 ] || sortie_erreur $? 'Erreur lors de mount.' # Sauvegarde, nous avons tout le temps... nice tar czCf $sauv_rep /dev/st0 $sauv_nom # Démontage et suppression du snapshot umount $sauv_rep/$sauv_nom lvremove -f /dev/$orig_vg/$sauv_nom rmdir $sauv_rep/$sauv_nom
Références

Le site de LVM

Le LVM HOW-TO

La page de manuel lvm(8).

Un article sur le site d'IBM - Partie 1 - Partie 2

[1] Ext2 le permet via la commande ext2online, reiserfs via resize_reiserfs et XFS via xfs_growfs.

[2] Cependant, si vous utilisez une distribution Debian, vous devrez installer un paquetage du noyau 2.4 ou utiliser la saveur d'installation bf24 car la version du noyau installée par défaut est une 2.2.

[3] « saveur » est la traduction la plus courante pour « flavor » dans le contexte des différents noyaux/paquetages d'installation Debian. Si quelqu'un propose un terme plus approprié, je suis preneur.

Peut-on utiliser plusieurs logiciels de courriel ?

Georges KHAZNADAR — 2004-02-19T16:57:31Z

Voici un gag presque amusant, qui m'est arrivé le 24 janvier 2004. Notre serveur clx.anet.fr a tenu le coup, mais il a distribué plusieurs milliers de courriels pour un clic de trop. ?a partait pourtant d'une bonne intention...

J'avais traduit en polonais une recette de gâteau au chocolat (excellente recette, je vous la conseille. Si vous insistez je la publierai en français), et je m'apprêtais à l'expédier à des cousines éloignées.

J'avais déjà reçu de Pierre M. (il se reconnaîtra), un courriel magnifique, composé à l'aide de Kmail, qui comportait une part en français, et une part en polonais, avec deux encodages différents et pourtant impeccablement rendus, avec tous les signes diacritiques. Essayez voir d'afficher sur la même page un c cédille et un l barré, vous verrez que ce n'est possible qu'avec des logiciels qui savent utiliser plus d'un encodage de caractères à la fois, ou alors avec un logiciel utilisant utf-8.

Du coup je m'enhardis à lancer Kmail (à la façon des dinosaures, vous savez bien : en tapant sur les touches 'k', 'm', 'a', 'i', 'l' dans une console). Là, il se passe plein de choses magiques. Ma machine reste occupée deux bonnes minutes (apparemment Kmail a bricolé pour créer des index pour tous mes courriels passés), et me présente quelques messages d'avertissement.

Tiens, pourquoi ai-je ignoré le message qui annoncait qu'il y avait un peu beaucoup de messages dans la boîte d'envoi et que je ferais mieux d'aller voir ce qui s'y passe ?

Bon, on commence tout doux : je m'envoie un message. Tout se passe bien, mais le petit rectangle à côté, celui qui affiche mon trafic réseau (wmnet pour le nommer), se remplit de rouge et de blanc, pendant que l'accès au disque s'affolle.

J'ai compris après moins d'une minute... Mais c'est rapide, l'ADSL. J'ai tué tout ce qui tournait, ça a calmé le Kmail. Il a quand même réexpédié quelques 10% de ma boîte d'envoi (Mail/outbox), que je n'avais pas divisée depuis un an environ.

Peut-on faire confiance à plus d'un logiciel de courriel ?

Là, je me rends compte qu'une petite différence d'interprétation entre Kmail et Mutt peut dégénérer en gros soucis : ces deux logiciels utilisent le format mbox, et il ne faut pas que l'un utilise comme boîte des envois la boîte des archives de l'autre.

Plusieurs raisons me font garder Mutt.
– mes petits doigts patauds ont l'habitude de Mutt.
– je peux utiliser une connexion sécurisée ssh depuis n'importe quel ordinateur, et consulter mon courriel chez moi, car Mutt utilise très bien la console et il est très économe en bande passante.
– Mutt est très très simple pour l'utilisation de la signature électronique.

Mais j'aimerais aussi utiliser Kmail :
– c'est quand même commode, des polices de caractères non crénelées,
– Pierre M. m'a montré que je pourrais utiliser Kmail dans un contexte multilingue, et c'est vrai que c'est frustrant de devoir supprimer tous les accents dès qu'ils n'existent pas dans le clavier ou dans l'encodage en cours.
– Kmail semble supporter pas trop mal la signature et le cryptage GPG.
– enfin KMail utilise les mêmes fichiers mbox que Mutt.

Alors : pourquoi pas Mutt pour l'usage à travers un réseau lent, et Kmail pour l'usage direct devant mon ordinateur ?

Je dois dire que le coup de ce matin m'a un peu refroidi. Quelques courriels plus tard, et j'ai eu la solution : il faut faire attention à la configuration des boîtes de courriel « système ». Le standard semble être /Mail/outbox pour le courriel à expédier et /Mail/sent-mail
pour le courriel déjà parti. Ça se règle dans le fichier de configuration .muttrc pour Mutt (paramètre record, et c'est fixé en dur (pas de configuration possible ?) pour Kmail.

Courriel : les duos qui marchent

En nous y mettant à plusieurs, nous pourrions bâtir un tableau des logiciels de courriel qu'on peut rendre mutuellement compatibles, et pour ceux de ces logiciels qui sont libres, nous pourrons probablement inciter quelqu'un ou par nous-même faire en sorte que les compatibilité s'améliorent.

Je vais donc commencer à bâtir un tableau, que je ferai évoluer en fonction des suggestions et des nouveautés :

Compatible ? Mutt Kmail Sylpheed Mozilla Gnus Pine IMP

Mutt X Oui [1] ? ? ? oui oui

Kmail x ? ? ?

Sylpheed x ? ?

Mozilla x ?

Gnus x

Pine x oui

IMP x

[1] à condition de placer la ligne record=+sent-mail dans le fichier de configuration /.muttrc

Editeurs de texte orienté LaTeX

Denis Bitouzé, Georges KHAZNADAR — 2004-01-22T18:17:14Z

Mise à jour du 21 janvier 2004 : attention ! L'article qui suit concerne la version 6.01 de TeXnicCenter. La version actuelle (6.20) rÚgle peut-être les problÚmes signalés rendant ainsi, le cas échéant, obsolÚtes les informations qui suivent...

Voici quelques précisions qui font suite au stage d'initiation à LaTeX dont des compte-rendus pourront bientÎt être consultés sur ce site. Ces précisions concernent en particulier l'installation et l'utilisation de TeXnicCenter, un éditeur de texte orienté LaTeX sous Windows.

Lors de
la présentation du mercredi 19 mars 2003, j'ai utilisé un éditeur de texte
orienté LaTeX. Cet éditeur se prénomme « Kile »... Il n'est disponible que sous
GNU/Linux et on peut en savoir plus à son sujet à l'adresse :
– http://kile.sourceforge.net/

J'avais aussi parlé d'un éditeur LaTeX sous Windows, sous licence GPL. Il s'agit
de TeXnicCenter. Contrairement à ce que je pensais, celui-ci n'est pas
disponible sur le CD-Rom TeXLive. Voici donc quelques
précisions pour ceux qui souhaiteraient l'utiliser (ceux qui par
exemple n'ont pas d'accès Internet peuvent installer WinShell — qui, lui, n'est pas libre :( —) :

Il faut rapatrier logiciel TeXnicCenter par Internet

soit lors de l'installation du TeXLive, en autorisant le chargement par Internet (cochez l'option Enable Internet Download) ;
soit, si TeXLive est déjà installé, en choisissant dans le menu TeXLive, Maintenance, Add TeX Package puis en autorisant le chargement par Internet (cochez l'option Enable Internet Download) ;
soit en se rendant directement sur le site de développement de ce
logiciel :
– http://www.toolscenter.org
Vous trouverez d'ailleurs sur ce site une section Download dans laquelle vous pourrez récupérer la dernière version de TeXnicCenter.

Lors de l'installation, après la fenêtre de bienvenue (« Welcome
to the configuration Wizard... ») apparaît une fenêtre où il faut
indiquer où sont situés les « exécutables » LaTeX (tex.exe, latex.exe,
etc.). Le mieux est de cliquer sur le bouton où se trouvent des points
de suspension pour se déplacer dans l'arborescence. Si l'installation du
TeXLive s'est faite en acceptant les lieux d'installation proposés par
défaut, le répertoire (win32) à sélectionner devrait être là :
C:\Program Files\TeXLive\bin\win32

Dans la fenêtre suivante, il faut indiquer le chemin complet du
visualisateur de fichiers PDF (« Enter the full path of the PDF-viewer
to use »). Je propose d'utiliser GhostView qui est très bien (on
peut préférer Acrobat Reader) mais non libre (cf sa licence). Ghostview est disponible sur le CDROM du TeXlive mais peut aussi être récupéré sur Internet à l'adresse : http://www.cs.wisc.edu/~ghost/gsview/ (N'oubliez pas de récupérer également GhostScript). Normalement, l'exécutable GhostView se situe ici :

C:\GHOSTGUM\GSVIEW\GSVIEW32.EXE

Laissez les deux autres cases vides.

Une fois l'installation terminée, il semble qu'il faille changer un
paramètre pour éviter des erreurs systématiques de compilation. Pour
cela, lancez TeXnicCenter (par exemple par le menu Démarrer —>
Programmes —> TeXnicCenter). Dans le menu Build de la fenêtre
principale, choisissez Build Output Profiles. Dans la fenêtre qui
apparaît,

sélectionnez LaTeX => Dvi ; dans la partie droite est
alors accessible une case (la 2ème) où est inscrit : --src -interaction=nonstopmode "%pm"
Remplacez le p (minuscule) de "%pm" par un P (majuscule) ;

de même, sélectionnez LaTeX => PDF ; dans la partie droite est
alors accessible une case (la 2ème) où est inscrit : -interaction=nonstopmode "%pm"
Remplacez le p (minuscule) de "%pm" par un P (majuscule) ;

de même, sélectionnez LaTeX => PS ; dans la partie droite est
alors accessible une case (la 2ème) où est inscrit : --src -interaction=nonstopmode "%pm"
Remplacez le p (minuscule) de "%pm" par un P (majuscule).

Cliquez sur OK.

C'est tout !

Une fois ces modifications effectuées, il suffit d'ouvrir un nouveau fichier
(menu File —> New), de taper les commandes LaTeX indiquées lors de
l'initiation (que j'ai insérées à la fin de ce message, un copier-coller
et hop !), de « faire travailler LaTeX » par exemple en allant dans le
menu Build —> Current File —> Build Output ou, plus simplement en
maintenant enfoncée la touche CTRL et en tapant la touche F7. La
compilation s'étant normalement bien terminée, il suffit pour voir le
résultat d'appuyer sur la touche F5 (à ne pas presser après chaque compilation, la
fenêtre de visualisation restant ouverte et prenant en charge au fur et
à mesure les modifications créées par les compilations suivantes).

Il sera peut-être nécessaire de jouer sur le zoom qui est a priori réglé
un peu trop près (cliquez sur la loupe « - »).

Amusez-vous bien !

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% \documentclass[12pt]{article} \usepackage[latin1]{inputenc} \usepackage[T1]{fontenc} \usepackage[a4paper]{geometry} \usepackage[frenchb]{babel} \begin{document} Bonjour monde! \end{document} %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

Gérer une zone "alias"

Gaétan RYCKEBOER — 2003-10-15T12:21:55Z

Le resolver de Bind, que l'on trouve sur tous les unices, fait la correspondance entre un nom de serveur pleinement qualifié (nom de la machine serveur + nom de domaine - machine.domaine.com) et l'adresse IP associée (par exemple 211.211.211.211).

Un mécanisme particulier permet d'éviter de saisir le nom complet du serveur à atteindre, mais uniquement le nom du serveur. Le resolver complÚte tout seul le nom de domaine grâce à une liste de domaines prédéfinis dans son fichier de configuration /etc/resolv.conf.
Ainsi, une requête sur portant « clx » (par exemple ping clx) donnera le résultat « clx.anet.fr » lorsque le fichier /etc/resolv.conf contient la directive search anet.fr. Ce « raccourci » est bien pratique pour désigner rapidement une machine.

Or, dans un environnement contenant plusieurs zones, des requêtes sont effectuées sur les différents domaines qui les composent. Mais le nombre de domaines affectés à la directive search est limité en général à 6. Vous ne pouvez pas utiliser de tous les « raccourcis » dont vous pourriez avoir besoin, vous obligeant ainsi à taper les noms complets.

Cet article décrit le fonctionnement de la résolution de nom, et permet - si vous avez un DNS local - de contourner cette limitation du champ search du fichier resolv.conf.

Fonctionnement de la résolution DNS

Tout d'abord, un mot sur le fonctionnement de Bind.
Si pensez tout savoir de la résolution de nom, passez directement au cœur du problème.

Bind sert à résoudre des noms, c'est à dire de transformer une adresse de la forme clx.anet.fr en adresse IP (80.118.2.10).
De même, il permet de retrouver le nom clx.anet.fr à partir de son adresse IP. On appelle ce nom, un Fully Qualified Domain Name, FQDN en abrégé, c'est-à-dire un « Nom de Domaine Complet » (ou nom de domaine pleinement qualifié).

Pratiquement, cela permet - entre autres - de déplacer un serveur sans en changer son nom FQDN [1], et surtout, évite aux utilisateurs de retenir une adresse IP sur 4 octets, ce qu'ils ne pourraient de toute façon, vraisemblablement pas faire pour tous les sites Web qu'ils consultent.

Les noms de domaines sont gérés zone par zone, de manière hiérarchique.
Le '.' sépare les zones.
Le découpage hiérarchique des zones DNS se fait de droite à gauche, le nom de la machine en dernier. Ainsi, clx.anet.fr représente le serveur nommé clx, dans le domaine anet, du suffixe fr.

Concrêtement, l'Afnic gère l'attribution des zones dans le suffixe .fr, VeriSign s'occupe de l'attribution des zones pour le suffixe .com et .net, nous venons d'en entendre beaucoup parler (http://linuxfr.org/2003/09/17/13947.html et http://www.transfert.net/a9294).

Pour effectuer la résolution, le resolver procèdera donc par requêtes successives, comme ceci :
— DNS racine, qui est le DNS du suffixe fr ?
— ns1.nic.fr.
— DNS de l'Afnic, qui est le DNS du domaine anet.fr ?
— ns1.cyberouest.fr. et b612.anet.fr.
— DNS de cyberouest, quelle est l'adresse IP du serveur clx.anet.fr ?
— clx.anet.fr est un alias vers le serveur gaia.anet.fr., lequel a l'adresse 80.118.2.10. [2]

Requête DNS simplifiée

Ici, pour simplifier le schéma, nous interrogeons b612.anet.fr. En réalité c'est un peu plus complexe, et il vaut mieux interroger ns1.cyberouest.fr.

D'une manière similaire, pour connaître le nom FQDN d'une adresse IP particulière, on fera des requêtes successives sur les serveurs DNS gérant les zones de résolution inverse des différents réseaux IP.

Les fichiers de zone de BIND

Concrètement, pour résoudre les noms de domaine, Bind va utiliser deux zones.

La première, vouée à la résolution directe de la zone anet.fr, contient toutes les informations relatives à la zone (domaine) anet.fr, notamment les adresses IP des serveurs, et les informations sur les sous domaines potentiels.

La seconde, vouée à la résolution inverse (zone reverse, en franglais courant), indique le FQDN des serveurs ayant des adresses IP dans le réseau 80.118.2.0, ainsi que ses sous réseaux. Cette zone sera notée, pour éviter tout ambiguïté, à l'envers, c'est à dire dans le même ordre hiérarchique que pour la zone directe. Le plus important est situé à la fin :
2.118.80.in-addr.arpa avec un suffixe particulier indiquant qu'il s'agit d'une zone de résolution inverse.

Le fichier de zone contient plusieurs champs, permettant de fixer :
– le serveur DNS primaire, gérant la zone ;
– des informations sur la zone, comportant notamment le numéro de révision du fichier de zone (il sert à savoir s'il y a eu des modifications) ; on appelle ce champ le "SOA", pour Start Of Authority ;
– la liste des sous domaines éventuels ;
– la liste des serveurs, associés à leur adresse IP ;
– d'autres champs éventuels, qui sortent du cadre de cet article.

Ainsi, un fichier de zone s'écrira :
$ORIGIN anet.fr. @ IN SOA ns2.cyberouset.fr. zoneadmin.cyberouest.fr. { 2003092501 ; numéro de série de la zone 10800 ; A rafraîchir toutes les 3h (3x3600") 3600 ; Délai avant réessai sur erreur : 1h (3600") 604800 ; Informations périmées après une semaine (24x7x3600") 86400 ; Informations périmées au minimum 1 après une journée (24x3600") } @ IN NS ns2.cyberouest.fr. ns3.cyberouest.fr. b512.anet.fr. clx IN CNAME gaia cim IN CNAME gaia gaia IN A 80.118.2.10 puck IN A 80.118.2.11 .../...
On voit donc les champs :
– "$ORIGIN" qui permet de préciser de quelle zone il s'agit [3] ;
– SOA serveur mail-responsable.serveur liste de paramètres ;
– NS pour les serveurs de référence ;
– A pour les serveurs de la zone avec leur adresse IP ;
– CNAME pour les alias dont nous allons maintenant parler. Nous ne détaillerons pas la syntaxe précise, pour cela, référez-vous au NAG [4] cité dans la bibliographie, mais là, l'essentiel est dit.

Les alias

Il est souvent commode d'appeler un serveur par plusieurs noms, ne serait-ce que pour des raisons de limitation du nombre d'adresses IP en IPv4 (le standard actuel) ; c'est à ça que sert le champ CNAME.
Vous le voyez, pour définir un alias, c'est très simple. Il suffit de donner un nom d'alias à créer, "IN CNAME", et la machine sur laquelle pointe l'alias. Notez que les FQDN sont toujours suivis d'un point « . », sinon, il s'agit d'un nom relatif à la zone, c'est à dire qu'il sera suffixé du champ $ORIGIN [5].

Ainsi, pour créer clx.anet.fr, qui est un alias pointant vers gaia.anet.fr, il faut écrire :

clx IN CNAME gaia

dans la zone anet.fr,
Ou, en utilisant les FQDN :

clx.anet.fr. IN CNAME gaia.anet.fr.

Là, cela devient intéressant : il est tout à fait possible de définir un alias pointant sur un serveur extérieur à la zone. Ainsi, nous pourrions créer un alias de la sorte :

www.ryckeboer.org. IN CNAME asr.free.fr.

dans la zone « ryckeboer.org ».

Cela nous sera utile un peu plus loin dans l'article.

Le resolver unix

Une fois connu le fonctionnement des requêtes DNS et de Bind, penchons-nous sur la façon dont le système fera appel aux serveurs DNS.

Deux fichiers, qui cachent la complexité du procédé sont utilisés. Le premier porte le doux nom de /etc/nsswitch.conf, et indique de quelle façon le système trouvera les adresses IP associées aux noms des machines, et vice-versa.
Deux moyens courants sont en effet à la disposition du système : le fichier /etc/hosts, et le DNS. Pour utiliser le DNS, nous allons donc vérifier la présence de la ligne :

hosts: files dns

dans le fichier /etc/nsswitch.conf

Toutes les variations sont possibles, mais sachez que l'ordre des mots-clefs désigne l'ordre dans lequel le système effectuera ses requêtes. D'autres mots-clefs peuvent être présents dans ce fichier, nis, par exemple, afin d'utiliser les pages jaunes ou YellowPages dont nous ne parlerons pas ici.

L'autre fichier important pour la résolution DNS s'appelle /etc/resolv.conf. Il sert à paramétrer le resolver unix. On y trouve les champs principaux :
– domain, qui indique le nom de domaine dans lequel se trouve votre machine ;
– nameserver, qui indique un serveur DNS sur lequel effectuer les requêtes ;
– search, qui permet de préciser un ou des domaines sur lesquels effectuer les recherches si elles n'aboutissent pas pour le domaine précisé par domain.

Sur mon serveur, jabba.nowhere.null, j'ai un fichier /etc/resolv.conf qui contient :
domain domain.nowhere.null nameserver 172.0.0.1 # serveur DNS local nameserver 80.118.2.10 # serveur DNS anet.fr nameserver 212.27.35.34 # serveur DNS free search domain.nowhere.null nowhere.null ailleurs.null anet.fr ryckeboer.org virtual-net.fr
Ce qui veut dire que :
– mon domaine local est domain.nowhere.null ;
– j'utilise dans l'ordre trois serveurs de noms, c'est-à-dire le serveur local, le serveur anet.fr, et le serveur free ;
– je lance des requêtes sur quatre domaines (dans l'ordre) en cas d'échec.

Notez domain.nowhere.null et nowhere.null ; il a été dit plus haut que le resolver "ajoutait" les domaines de search à votre requête, ce qui veut dire qu'il ne fera pas de requête récursive. Autrement dit, pour rechercher sur les sous domaines de nowhere.null, il faut les indiquer tous dans le champ search.

Sauf que... on ne peut pas mettre plus de 6 domaines dans le champ search. Et c'est heureux, cela ralentit considérablement le temps de traitement en cas d'erreur, c'est-à-dire entre le moment où vous faites la requête, et le moment où le resolver répond que l'hôte demandé n'existe pas.

Pour contourner cela, il faut créer une zone particulière sur laquelle vous ferez les requêtes, et qui ne contiendra que des alias vers les vrais zones.

Vous avez un DNS local

Admettons que les fichiers de vos zones primaires soient stockées dans /var/named/primary.
Vous souhaitez faire des requêtes sur les noms de domaine directement, sans taper le nom de domaine complet.

Nous allons créer une zone contenant le nom des machines de toutes les zones sur lesquelles vous faites les recherches, déclarées comme alias vers le nom réel.

Par exemple, je veux que « ping jabba » fonctionne correctement, et examine via un ping la machine jabba.starwars.null, et que ping bilbo effectue correctement un ping sur bilbo.middleearth.org.

Il faut tout simplement ajouter une zone contenant la liste des alias, de la sorte :
$ORIGIN aliases.nowhere.null. bilbo IN CNAME bilbo.middleearth.org. yoda IN CNAME yoda.starwars.null. jabba IN CNAME jabba.starwars.null. clx IN CNAME clx.anet.fr. leeloo IN CNAME leeloo.lee-loo.net. epp IN CNAME www.epplug.org.
etc.

Dans mon /etc/resolv.conf, je n'ai plus besoin que de la zone aliases.nowhere.null :

search aliases.nowhere.null

Deux méthodes s'offrent à vous. Soit vous tapez tout à la main, si vous ne gérez pas vous-même vos zones, par exemple, soit vous écrivez un petit script qui va lire les zones locales, et créer les alias corespondants. Pour cela, bien sûr, il faut avoir à disposition les fichiers des zones que vous souhaîtez « aliaser ».

Lire les fichiers de zone et créer la zone alias

Le principe est simple :
– On prend tous les fichiers de zone que l'on veut traiter, qui sont stockées dans un fichier. zone.list, par exemple.
– Pour chaque fichier de la zone, on recherche les champs « IN A », et on le transforme en « IN CNAME ».
– Enfin, on écrit tout dans le fichier alias.nowhere.null.

Personnellement, je suis fainéant, j'ai donc écrit un script dont voici l'explication.

– 1) Tout d'abord quelques variables relatives à l'emplacement des fichiers de zone :
$server="ns.nowhere.null" $named_path="/var/named/primary" $aliaszone="aliases.nowhere.null $zonelist="$named_path/zones.list"
– 2) On lit les fichiers de zone, de la forme

sousdomaine.domaine.suffixe.hosts

; $zonelist est le fichier contenant la liste des zones à traiter :
for i in <code class='spip_code spip_code_inline' dir='ltr'>cat $zonelist</code> do cat $i | perl -pe " chomp; # On récupère l'enregistrement 'toto IN A addresse_ip' if (/([^\\. \\t]+)(\\..*)?[ \\t]+[Ii][nN][ \\t]+[aA][\\t ]+(.+)/) { \$_ = \"\$1\\tIN CNAME\\t\$1.${i%.hosts}.\\n\" } else { # Sinon, c'est peut-être un commentaire ? unless (/^[ \t]*;/) { \$_ = ''; } else { # Si ce n'est pas un commentaire, on ignore. \$_ .=\"\\n\"; } }" done
– 3) Pour créer un fichier de zone cohérent, il faut également un SOA, écrit de la sorte :
@ IN SOA $server. root.$server. ( $version_date$rev ; numero de serie de la zone 10800 ; refresh every 3 hours 3600 ; retry every hours 604800 ; expire after a week 86400 ) ; minimum TTL of 1 day
et le serveur de nom primaire :
IN NS $server.
– 4) Le numéro de série de la zone doit toujours s'incrémenter. Sinon, les changements ne sont pas repérés. Voici le bout de code qui recherche le numéro de série, et l'incrémente. C'est ce numéro de série matérialisé par les variables $version_date et $rev. En général, on l'écrit sous la forme :

ANNEE MOIS JOUR REVISION

Ainsi, pour la 3eme révision de la zone, ces trois révisions ayant ayant eu lieu le 7 octobre 2003, on écrira 2003.10.07 03, sans les espaces, et les points, soit 2003100703

Voici le code en question :
rev=01 version_date=<code class='spip_code spip_code_inline' dir='ltr'>date +"%Y%m%d"</code> if [ -f $named_path$aliaszone ] ; then # First, get old revision number for the zone file # split date and revision oldver=<code class='spip_code spip_code_inline' dir='ltr'>grep "; serial" $named_path$aliaszone | tr -s " " | cut -d " " -f 2</code> oldrev=<code class='spip_code spip_code_inline' dir='ltr'>echo $oldver | perl -pe 's/........(..)/$1/'</code> # compare current date and zone date [ ! "a$oldrev" = "a" ] && if [ $version_date = <code class='spip_code spip_code_inline' dir='ltr'>echo $oldver | perl -pe 's/(........)../$1/'</code> ] ; then # ++ revision number for the day if [ $rev -le $oldrev ] ; then if [ $oldrev -ge 10 ] ; then # handle 2 digits rev=<code class='spip_code spip_code_inline' dir='ltr'>expr $oldrev + 1</code> else rev="0<code class='spip_code spip_code_inline' dir='ltr'>expr "$oldrev" + 1</code>" fi fi fi fi

Le script complet

Placez ce script dans /usr/local/bin, en supprimant l'extension .txt. N'oubliez pas de mettre les droits en écriture dessus :

# mv /usr/local/bin/mkaliaszone.txt /usr/local/bin/mkaliaszone # chmod ugo+x /usr/local/bin/mkaliaszone
En savoir plus

Chez O'Reilly, on trouve :
– DNS & BIND par Paul Albitz et Cricket Liu, ISBN 2-84177-150-4, pour découvrir (beaucoup) plus sur Bind et le fonctionnement des DNS ;
– TCP-IP Administration en réseau, par Craig Hunt ISBN 2-84177-221-7, pour tout savoir sur le fonctionnement de TCP/IP, notamment au niveau de l'adressage IP ;
– Administration réseau sous Linux par Olaf Kirch et Terry Dawson, ISBN 2-84177-125-3 qui est la version papier et traduite en français du NAG, Network Administrator's Guide, que l'on trouve sur le Linux Documentation Project.
Cet ouvrage est très instructif dans la mesure où il apporte une première approche des réseaux en TCP/IP de conception classique, tels que vous en rencontrerez partout dans les petites/moyennes structures.

[1] sans trop s'étendre sur le sujet, disons simplement que les adresses IP « appartiennent » à l'hébergeur chez qui vous stockez votre serveur/votre site. Si vous changez d'hébergeur, votre serveur/site change d'adresse IP.

[2] En pratique c'est un peu plus complexe, mais vous connaissez maintenant les grandes lignes.

[3] En fait, c'est un raccourci rapide. $ORIGIN sert à créer un « raccourci », qui sera ajouté ensuite aux noms non terminés par un point. Ainsi, il serait théoriquement valable d'écrire :
$ORIGIN fr clx.anet IN CNAME gaia.anet.fr.
Notez également que le mot clef $ORIGIN peut être mis n'importe où dans le fichier de zone.

[4] Network Administrator Guide.

[5] Voir la note 3.

Mettre à jour une Free-EOS

2003-06-02T22:13:02Z

Comment profiter des derniÚres rustines de sécurité avec Free-EOS : soit en récupérant l'iso de la nouvelle mouture de la distribution et en la réinstallant, soit à l'aide d'archives à décompresser et à installer. Voici le modus operandi et quelques explications.
J'ai également inclu les précisions des développeurs de cette distribution dans les notes.

Introduction rapide

Free-EOS est une distribution créé par l'AFPA pour installer des serveurs multi-usages pour des organismes de formation. Elle se veut simple à installer et à utiliser. Elle s'adresse prioritairement à des uilisateurs (administrateurs ?) novices qui ont peu de temps à consacrer au serveur. Néanmoins, les gourous pourront "mettre les mains dans le cambouis" tout en respectant la philosophie de cette distribution, c'est à dire passer par un système de modèles ou templates pour ajouter des services non existants dans la version de base, définir des droits par groupes d'utilisateurs, etc.
habitués à l'administration, ils remarqueront aussi qu'il n'existe pas encore de templates pour mettre à jour Free-EOS. Qu'à cela ne tienne, les développeurs ont pensé à tout [1]. Dans les versions 1.0-x, la procédure de mise à jour s'effectue de deux manières : en réinstallant une distribution complète ou en l'actualisant manuellement avec une archive en tar.gz qui contient un ou plusieurs paquetages rpm.
Dans cet exemple, la distribution est une Free-EOS 1.0-1 qui sera actualisée en 1.0-2.

Mise à jour par réinstallation d'une version plus récente

Téléchargez l'iso compactée, free-eos-1.0-02.iso.bz2, que vous trouverez ici . Il s'agit d'une archive au format bzip2. Une fois le fichier récupérée, lancez la commande suivante :

bunzip2 free-eos-1.0-02.iso.bz2.

Il ne vous reste plus qu'à graver l'image iso free-eos-1.0-02.iso. Sous Linux, optez pour un logiciel graphique comme k3b ou Xcdroast, voire les utilitaires en mode texte cdrecord ou cdrdao (la procédure est expliquée sur de nombreux sites Web dont lea-linux.org). Sous Windows XP, la procédure pour graver l'image iso est décrite ici.
Insérez ensuite le CD-Rom dans le lecteur et redémarrez votre PC (le démarrage sur le CD-Rom étant activé dans le bios). L'installation de free-EOS commence alors. Le Free-EOS reprend le même schéma de mise à jour que la distribution SME 5.5 (anciennement E-smith) sur laquelle elle est basée. Une page écran vous signale la présence d'une version antérieure de Free-EOS et vous propose de saisir continuer pour la mettre à jour. Voici la procédure d'installation/mise à jour en images d'une SME qui est similaire à celle d'une Free-EOS même si quelques pages écran sont différentes car traduites en français.

Mise à jour par installation d'une archive

Pour mettre à jour le serveur Free-EOS 1.0-1 avec l'archive tgz de la free-EOS1.02. Une solution consiste à passer par le mode console et l'accès distant via SSH. En effet, c'est depuis un ordinateur du réseau local que vous installez la mise à jour. Affichez la page d'accueil de Free-EOS en tapant http://192.168.0.21/server-manager dans la barre d'adresse de votre navigateur. Dans le menu Accès à distance, choisissez Accès Secure shell = Confidentiel (c'est-à-dire pour le LAN) et optez pour Permettre l'accès à la ligne de commande par Secure shell = Oui, puis pour Permettre l'accès par Secure shell à l'aide des mots de passe standard = Oui.
Ainsi, vous accéderez au serveur Free-EOS depuis une machine du réseau local à l'aide de SSH.

Page d'accueil de l'interface d'administration du serveur Free-EOS

depuis cette page d'accueil, vous pouvez ajouter des utilisateur, configurer le serveur FTP, etc.

Après récupération de l'archive, copiez-la sur le serveur avec scp :

scp free-eos-1.0-1to02.tgz root@test01.filigrane.com:/root

En pratique, ça donne ceci :
fred@station2:~> scp free-eos-1.0-1to02.tgz root@192.168.0.21:/root root@192.168.0.21's password: free-eos-1.0-1to02.t 37% |********** | 2460 KB 00:08 ETA
Puis, connectez-vous sur le serveur grâce à un client ssh (comme (Putty que vous trouverez également sur Free-EOS Windows Station, le CD-Rom d'applications Libres pour Windows et proposées par l'équipe de Free-EOS) :

ssh -l root test01.filigrane.com

Décompactez l'archive :
[root@test01 root]# tar -xvzf free-eos-1.0-1to02.tgz update-1.0-1to02/ update-1.0-1to02/samba-2.2.7-3.7.2es2.i386.rpm update-1.0-1to02/samba-client-2.2.7-3.7.2es2.i386.rpm update-1.0-1to02/samba-common-2.2.7-3.7.2es2.i386.rpm update-1.0-1to02/update1.0-1to02 update-1.0-1to02/README
Consultez le contenu du fichier README qui indique comment effectuer la mise à jour.
[root@test01 root]# less update-1.0-1to02/README
Lancez la mise à jour.
[root@test01 root]# update-1.0-1to02/update-1.0-1to02
Une fois l'actualisation terminée, la machine redémarre et la connexion ssh est coupée.

Remarques :

Respectez l'ordre des mises à jour. Pour passer de la version 1.0-1 à la 1.0-4 appliquez successivement les rustines :
– free-eos-1.0-1to02.tgz ;
– free-eos-1.0-02to03.tgz ;
– free-eos-1.0-03to04.tgz

La mise à jour par CD-Rom reste une procédure "lourde" (car elle entraîne un arrêt du serveur), qui ne devrait s'appliquer qu'au changement de version majeure.

Vous trouverez les isos de la Free-EOS et toutes les mises à jour sur la page http://sourceforge.net/project/show...

[1] Les archives de mise à jour au format tar.gz sont disponibles pour plusieurs raisons : SourceForge fait le ménage un peu vite sur l'upload, et une image iso c'est long à charger :) De plus, c'est plus rapide à installer pour les administrateurs expérimentés qui maîtrisent la ligne de commande et qui n'ont pas peur de travailler sous le compte root. Cela nous permet également de proposer au plus vite des correctifs. Les "débutants", à qui s'adresse cette distribution, utiliseront plutôt la mise à jour via le CD-Rom.

Vous pouvez faire un petit tour par le site http://free-eos.org pour en savoir plus sur Free-EOS.

Signature aléatoire dans les emails

Gaétan RYCKEBOER — 2003-04-02T12:01:11Z

Ajouter une signature aléatoire en bas de vos couriels ? C'est possible. Voici comment ça fonctionne.

La technique de w4rl0rd : fortune.

Avec les clients de messagerie en mode texte, mutt et pine, pas de souci. Il suffit de paramétrer le logiciel pour qu'il
génère de façon dynamique la signature. Une ligne à éditer dans le fichier de
configuration (.muttrc ou .pinerc) dans le genre
Signature-file="/home/gaetan/bin/makesig |"

Le script qui génère

~gaetan/bin/makesig : /usr/games/fortune /home/gaetan/signatures.desproges \ /home/gaetan/signatures \ /home/gaetan/dac \ /home/gaetan/signatures.contrepet \ /home/gaetan/sig-hard \ | tee /home/gaetan/.signature cat /home/gaetan/.sig_end >> /home/gaetan/.signature cat /home/gaetan/.sig_end

Le fichier de "fin" de signature :

.sig_end : Gaétan RYCKEBOER Société Virtual-Net [Tous textes et propos tenus dans cet email sont sous licence DMDZZ]

Et un bout de l'un des fichiers fortune :

~gaetan/sig-hard : "Si tu t'appelles Capitaine Crochet, évites de te gratter les couilles." % "Les hommes qui disent que les femmes sont frigides ne sont que des mauvaises langues." % P : Jésus est vivant !! Jésus est vivant ! Jésus est vivant ! M : Passe-moi le fusil à pompe... -- Maurice et Patapon % Avec Windows 98, on était au bord du précipice. Avec Windows XP, on a fait un grand pas en avant. % ...

les % servent à délimiter les "chaînes" du fichier, c'est à
dire tiennent lieu de séparateur de citation.

Il ne reste plus qu'à tester :
Pour générer l'index utilisé par fortune :

$ cd ~gaetan $ strfile sig-hard $ fortune sig-hard

ou fortune une liste de fichiers (éventuellement avec une
pondération, man fortune pour en savoir plus)

NB : ~gaetan/dac est un répertoire avec plein de fichiers
fortune
dedans. Fortune retrouvera tout seul ses petits.

Cela donne la clé d'un rangement :
Tous les fichiers de signatures dans un ~gaetan/signatures/
et un fichier

bin/maj_signatures : cd ~gaetan/signatures ; for i in ls signatures --color=never | grep -v .dat ; do [ strfile $i ] ; done

pour remettre à jour après une modification de l'index fichiers. Fortune
utilise un fichier .dat pour stocker des informations relatives à
l'emplacement et le nombre de signatures stockées, fichier qu'il faut remettre à jour à
chaque modification.

Enfin, si vous ne disposez pas de logiciel de couriel capable de générer
une signature à chaque couriel, il y a deux solutions.

dans le .bashrc (ou le .profile) : ajoutez
bin/makesig
dans la crontab :
crontab -e * * * * * /home/toi/bin/makesig

et utiliser le fichier ~gaetan/.signature (comportement par défaut
des principaux logiciels de couriel) créé à chaque login, ou toutes les
minutes selon la méthode choisie.

Vous pouvez maintenant utiliser le Le Guide du CLXien Pervers dans vos couriels ;-)

http://www.linux-france.org/prj/bas... est une autre méthode pour créer des signatures aléatoires.

Déclarer ses revenus sous Linux

Dominique ROUSSEAU — 2003-03-19T22:38:37Z

La méthode décrite ici concerne l'accÚs au site du MinistÚre des Finances afin d'effectuer sa déclaration de revenus en utilisant le navigateur Web Mozilla.
La distribution utilisée est une Debian GNU/Linux "sarge".

Cette année, le Ministère des Finances, et plus particulièrement la Direction Générale des Impots semble avoir réellement décidé de rendre cette administration accessible par Internet.

Lorsqu'on arrive sur le portail http://www.impots.gouv.fr depuis début mars (date de la mise en ligne de la nouvelle version), une des premières choses qui saute aux yeux est "Déclarez vos revenus par internet".

Dans la section "Configuration requise" on trouve même : "Linux avec Netscape 6+ ou Mozilla 1.1+".

Mais cela ne va pas sans mal ;)

Bien configurer son système

La configuration utilisée est :

– Debian GNU/Linux "sarge" (mais tout devrait être possible avec "woody") ;
– mozilla 1.2.1 ;
– Java : j2re1.3 (1.3.1).

Pour trouver le j2re1.3 pour Debian, je vous conseille un passage par le site apt-get.org qui référence un certain nombre de sources non officielles pour Debian.

Personellement, ce sont les paquets de Blackdown trouvés sur ftp.oleane.net qui sont installés sur ma machine. Dans /etc/apt/sources.list,j'ai inséré la ligne suivante :

deb ftp://ftp.oleane.net/pub/java-linux/debian/ woody non-free

Une fois que Mozilla et Java sont installés (ne pas oublier d'activer le support de Java dans les préférences de Mozilla), il suffit de faire pointer son navigateur vers http://www.ir.dgi.minefi.gouv.fr afin de commencer.

Je vous conseille de parcourir les différentes documentations proposées et qui expliquent le fonctionnement du site.

Obtenir un certificat électronique

L'étape suivante, qui justifie ce petit article est l'obtention du certificat électronique nécessaire pour accéder à la page de déclaration des revenus. La solution de cryptographie choisie par la DGI repose sur une applet Java. Celle-ci nécessite des droits étendus par rapport à une applet classique car elle va devoir écrire sur votre disque afin, d'une part d'installer le module de cryptographie et, d'autre part pour écrire le fichier du certificat.

Chez moi, le module de cryptographie s'est installé dans /usr/lib/j2re1.3/lib/ext/ (ceci peut varier si vous utilisez une autre version de la JVM - Java Virtual Machine). Par défaut, ce répertoire étant un dossier "système", les droits d'écriture ne sont pas positionnés de façon à ce qu'un utilisateur lambda puisse y écrire. La solution la plus simple pour y autoriser l'enregistrement des fichiers consiste à donner les droits en écriture à tout le monde (mais vous pouvez aussi le faire spécifiquement pour un seul utilisateur) . Sous le compte root, saisissez :

chmod a+w /usr/lib/j2re1.3/lib/ext/

Vous pouvez alors passer par "obtenir un certificat" sur le site de la DGI. Une fenêtre d'alerte indiquant qu'une applet demande des droits étendus devrait s'ouvrir, indiquant le nom de l'organisme ayant "signé" l'applet. Lisez les informations affichées et validez.

Une fenêtre popup devrait ensuite s'ouvrir. Elle possède une barre de progression, correspondant à l'installation du module de cryptographie, vous devriez dès lors trouver un fichier dans /usr/lib/j2re1.3/lib/ext/. Chez moi, ça donne ça :

-rw-r--r-- 1 domi domi 327621 Mar 18 23:02 teleir_cryptolib.jar

Fermez ensuite votre navigateur (toutes les fenêtres :) comme indiqué sur la page, et reconsultez le site. Revisitez la partie permettant d'obtenir un certificat.

Redémarrer son navigateur

Si tout s'est bien passé, vous devriez accéder au formulaire vous demandant de saisir les informations présentes sur la déclaration (version papier) de cette année (que vous avez pris soin de remplir au préalable) ainsi que l'avis de l'année dernière.

A l'issue de l'opération un fichier de certificat devrait être créé dans ~/teleir/certificats/.

N'oubliez pas le mot de passe que vous avez saisi, c'est lui qui permet l'accès au site, en validant le certificat.

Bonne déclaration :)

Merci à dim qui m'a mis sur la piste pour le répertoire lib/ext/

Automount et smbfs

2003-01-23T12:04:13Z

Cet article détaille comment configurer automount pour monter
des disques réseaux partagés sur un serveur via SMBFS de manière
dynamique, c'est-à-dire sans que l'utilisateur ait à se soucier
du montage/démontage, et comment créer des icônes
correspondantes sur le Bureau de KDE.

Remarques préléminaires
Aucune manipulation n'est effectuée sur le serveur nommé
serveur1. Elles sont toutes effectuées sur le poste client.

Introduction
J'ai mis en place ce système de montage dynamique des partages
réseaux avec des postes clients sous Linux Mandrake 9.0 pour le
compte d'une mairie. Le serveur est sous SME server 5.5, donc
sans services NFS, mais avec un serveur Samba fonctionnel.

Pourquoi automount ?
Depuis leurs postes de travail, les utilisateurs ont besoin
d'utiliser et de sauvegarder des fichiers sur leurs partages
situés sur le serveur. Ils doivent également accèder rapidement
à ces répertoires distants. Facile, il suffit de configurer correctement le fichier /etc/fstab, puis de mettre une jolie
icône sur le Bureau. Un clic sur cette dernière et
l'utilisateur affiche le contenu du partage.

En effet c'est facile, mais cela ne suffisait pas. Pour monter
des répertoires distants via smbfs sur un PDC (Contrôleur
primaire de domaine), il faut indiquer le login et le mot de
passe de chaque utilisateur. Or, /etc/fstab est lisible par
tout le monde et les postes sont multi utilisateurs.

De plus, il fallait trouver une solution pour éviter de monter
tous les partages de tous les utilisateurs à chaque démarrage
de la machine.

Automount est la solution la plus facile à mettre en oeuvre. Le
fichier de configuration peut être lisible uniquement par son
propriétaire (root bien sûr), les partages ne sont montés que
lorsque l'utilisateur a besoin d'ouvrir un document situé sur
le dossier distant et il suffit d'un clic sur l'icône associée
au répertoire du serveur pour afficher le contenu de ce
dernier. passons maintenent à la mise en oeuvre sur une Linux
Mandrake 9.0.

Installation d'autofs

Dans une console (accessible par
Alt+F2
par
exemple), sous le compte administrateur, lancez
urpmi autofs
. Vérifiez que le démon a bien été installé en
grâce aux commandes
rpm -q autofs
et
locate automount
. Vous devriez obtenir respectivement :
[fredg@station1 fredg]$ rpm -q autofs autofs-4.0.0-0.17mdk
et
[fredg@station1 fredg]$ locate automount /usr/share/man/man8/automount.8.bz2 /usr/sbin/automount /usr/include/kautomount.h
Configuration d'automount

Passons maintenant à la configuration d'automount.

Ouvrez le fichier /etc/auto.master. Modifiez son contenu pour
qu'il ressemble à ceci :
# $Id: auto.master,v 1.2 1997/10/06 21:52:03 hpa Exp $ # Sample auto.master file # Format of this file: # mountpoint map options # For details of the format look at autofs(8). #/misc /etc/auto.misc --timeout=60 #/net /etc/auto.net --timeout=60 /automount /etc/auto.smb --timeout=60
Puis enregistrez le fichier.

Il faut ensuite créer le fichier /etc/auto.smb. Ce
dernier contient les informations de montage pour les
partages. Voici un exemple du contenu de /etc/auto.smb avec
l'utilisateur fredg dont le mot de passe est fredg et dont le
partage sur serveur1 s'appelle fredg (très original... non ?) :
serveur1_fredg -fstype=smbfs,username=fredg, password=fredg,uid=502,gid=501,iocharset=iso8859-15, codepage=850,workgroup=mairie ://serveur1/fredg
Le partage sera monté automatiquement sur
/automount/serveur1_fredg
.

Les uid et gid de l'utilisateur fredg sont trouvés facilement
depuis une autre console, soit en se connectant sous son nom et
en tapant la commande
id
, soit en ouvrant le fichier
/etc/passwd
et en repérant l'utilisateur fredg.
Exemple :
fredg:x:502:501:Gautier Frédéric:/home/fredg:/bin/bash
Le premier nombre, ici 501 désigne l'uid de l'utilisateur et le
second, ici 502, son gid.

Le paramètre workgroup est optionel. Il désigne le groupe de travail des utilisateurs.

Il faut ajouter une ligne pour chaque utilisateur du poste de travail possédant un partage sur le serveur. Prenez exemple sur l'utilisateur fredg. Vérifiez le gid et le uid des utilisateurs qui peuvent être différents selon les machines.

Après avoir enregistré /etc/auto.smb, il faut faire en sorte que seul root puisse lire ce fichier. En effet, ce dernier contient des mots de passe et par défaut, il est lisible par tous les utilisateurs. Donc, saisissez la commande
chmod o-r /etc/auto.smb
.

Créez le répertoire /automount grâce à la commande su - -c "mkdir /automount". Le système va automatiquement créer les répertoires utilisateurs /automount/serveur1_fredg, etc.

Lancement du démon automount

Dans le Centre de configuration Mandrake, cliquez sur Système, puis sur Services. Activez la case Au démarrage de la ligne autofs.

Repérez si le service est déjà démarré en repérant le commentaire (actif indique que le service est bien démarré, inactif signale que le service n'est pas démarré). Si le service autofs n'est pas démarré, cliquez sur le bouton Démarrer. Quittez ensuite le Centre de configuration Mandrake.

Ajout du lien symbolique et test

Dans une console et sous le compte utilisateur fredg, tapez la commande
ls /automount/serveur1_fredg
afin de vous assurer que le répertoire distant est bien monté. Puis, saisissez
ln -s /automount/serveur1_fredg/ /home/fredg/
. Cette commande a pour effet de créer un lien symbolique qui s'appellera serveur1_fredg dans le dossier /home/fredg.

Pour vérifier que le montage automatique fonctionne bien, dans la console, tapez la commande
ll /home/fredg/serveur1_fredg
. Vous devriez obtenir un affichage qui ressemble à celui-ci :
[fredg@station1 fredg]$ ll /home/fredg/serveur1_fredg lrwxrwxrwx 1 fredg fredg 25 déc 24 17:38 /home/fredg/serveur1_fredg -> /automount/serveur1_fredg//
Puis affichez le contenu de /home/fredg/serveur1_fredg à l'aide
de la commande ls /home/fredg/serveur1_fredg. Il s'agit en
fait du contenu du répertoire personnel de fredg situé sur le
serveur de fichiers (serveur1). Reproduisez cette manipulation
(création du montage et du lien pour chaque utilisateur de la machine en l'adaptant à chaque utilisateur).

Ajout du raccourci sur le bureau KDE

Lancez une session graphique pour l'utilisateur fredg. Puis,
effectuez un clic droit sur le bureau. Choisissez Nouveau/Lien
vers une application. Dans le champ de saisie de l'onglet
Général, tapez par exemple, Documents sur le partage
fredg/serveur1. Cliquez sur l'icône située à gauche du champ
de saisie. Choisissez ensuite une icône de la bibliothèque
(Applications) ou parcourez les autres images disponibles
dans les autres bibliothèques. Personnellement, j'ai choisi
l'icône network_local accessible en choisissant Systèmes de
fichiers. Vous pouvez également choisir une icône différente
pour chaque utilisateur.

Une fois l'icône choisie, optez pour l'onglet Exécution. Dans
le champ Commande, saisissez konqueror
/home/fredg/serveur1_fredg. Validez en cliquant sur le bouton
Ok. Maintenant, en cliquant sur l'icône Documents sur le
partage fredg de serveur1, vous ouvrez une fenêtre konqueror
affichant le contenu du partage fredg sur serveur1.
Répétez cette opération pour tous les utilisateurs du système
en adaptant le nom des répertoires bien sûr.

HOW-TO : Les processus démons et les systÚmes de chrootage

Jonathan A. Zdziarski — 2002-11-04T13:41:58Z

L'idée de savoir sécuriser un peu plus une machine Unix en permettant le moins d'accÚs possible à travers un service ouvert, et ce grâce à une commande, un peu de méthode et un peu d'imagination.

Apportez toutes vos suggestions d'ajouts et/ou corrections à Jonathan A. Zdziarski

Table des matières

Partie I : Introduction au chrootage

– 1.1 Qu'est ce que le chrootage ?
– 1.2 Quand est-il approprié de chrooter ?
– 1.3 Tout les démons peuvent-ils être chrootés ?
– 1.4 Le fait de chrooter affectera-t'il mes utilisateurs ?
– 1.5 Qu'impose le chrootage ?

Partie II : Prérequis

– 2.1 Pouvons-nous chrooter ce démon ?
– 2.2 Une introduction aux commandes truss, lsof, et ldd
– 2.3 Détermination des dépendances des fichiers
– 2.4 Créer une stratégie
– 2.5 Détermination des dépendances des librairies
– 2.6 Trouver le meilleur endroit pour la prison

Partie III : L'installation de l'environnement chrooté

– 3.1 Créer une prison vide
– 3.2 Copier les programme et fichiers, configurer les tâches automatiques
– 3.3 Copier les bibliothèques
– 3.4 Créer les devices
– 3.3 Changer les scripts de démarrage
– 3.6 Le Produit Final
– 3.7 Renseigner grâce au syslog

Partie IV : Pour aller plus loin

– 4.1 Comment dire si vous êtes chrooté
– 4.2 L'éclatement de la cellule chroot()é
– 4.3 Les erreurs à ne pas faire

Partie I : Introduction au chrootage

1.1 Qu'est ce le chrootage ?

La commande/fonction chroot est une abréviation de "change root" ("changer la racine"), et sert à changer la racine du système de fichiers pour l'environnement auquel elle est appliquée. Ceci signifie que la racine initiale (/), dans tous les noms de chemin, est définie relativement au chemin chrooté. Par exemple, si un fichier s'appelait : /home/jonz/hello.txt sur le système, et si je chroote /home/jonz ,
le fichier se nommerait alors, dans l'environnement chrooté, quelque chose comme : /hello.txt

Le but du chrootage consiste à créer (théoriquement)
une "prison" impénétrable (ou cellule) protégeant de la lecture ou de la modification tous fichiers en dehors de l'environnement chrooté. Dans l'exemple ci-dessus, je ne pourrais accéder à aucun fichier en dehors de /home/jonz , puisque / correspond maintenant à /home/jonz . Le chrootage est généralement employé pour emprisonner des utilisateurs dans des environnements à
utilisateurs multiples afin de protéger les fichiers propres au système.

Le chrootage peut également être utilisé pour emprisonner
les démons du système afin que ces derniers ne deviennent pas des cibles faciles pour d'éventuelles intrusions. Si une intrusion exploite
une vulnérabilité dans un démon d'un système chrooté, sa capacité à affecter des fichiers en dehors de la prison,
ou à obtenir un shell sera sensiblement diminuée. Une des principales raisons à cela est que le shell ne donne pas d'accès à l'environnement complet. Ainsi même si l'intrus injecte du code dans la mémoire protégée ("Démonte" la pile d'appel), il n'y a aucun shell à exécuter. Beaucoup de personnes ont prétendu pouvoir s'introduire par effraction dans une prison chrootée, mais dans beaucoup de cas il ne s'agissait que d'un simple shell (ce n'est pas le cas que nous allons étudier). S'introduire par effraction dans une prison abritant un démon d'un environnement chrooté est pour le moins, extrêmement difficile.

1.2 Quand est-il approprié de chrooter un processus système ou un démon ?

Chrooter un démon est une méthode pratique pour ajouter une couche supplémentaire de sécurité à votre système.

Beaucoup de processus du système et applications tierces ont déjà quelques garde-fous contre une exploitation de leurs vulnérabilités potentielles.

Beaucoup d'outils ont maintenant la capacité de fonctionner sans les droits administrateurs, rendant ainsi l'attaque en tant que super-utilisateur (root) plus délicate pour les intrus.

Des couches de sécurité pour les réseaux comme des pare-feux, des encapsulages TCP, des filtres, at autres s'ajoutent également à la sécurité globale d'un système. Comme tous ces derniers, le chrootage est approprié pour la plupart des implémentations, encore faut-il que cela ne bride pas les fonctionnalités du système.

1.3 Tous les démons peuvent-ils
être chrootés ?

Techniquement vous pouvez chrooter tout ce que vous voulez même la bicyclette de votre oncle Jules, mais dans certains cas le chrootage n'est pas toujours possible sans "casser" quelque chose, ou dans d'autres circonstances, sans une configuration très complexe, qui n'en vaut finalement pas la peine.

Quelques démons ne peuvent pas fonctionner correctement dans un environnement chrooté du fait de la grande complexité de leurs fonctions.

Par exemple, sendmail doit pouvoir accéder aux
répertoires locaux des utilisateurs à la recherche de leurs
fichiers .forward. Il n'y a aucun moyen pratique de chrooter sendmail sans créer un "miroir" complexe et consommateur de temps. C'est pourquoi sendmail possède une solution de rechange, smrsh (shell restreint de sendmail — sendmail restricted shell).

Une majorité de démons système, peut cependant
être chrooté sans risque ni trop d'effort.

1.4 Le chrootage affectera-t-il mes utilisateurs ?

Si le chrootage est fait correctement, vos utilisateurs ne devraient noter aucune différence dans le comportement du système. Le chrootage en soi n'affectera pas directement vos utilisateurs ou ne changera pas votre système
d'exploitation. Le système existant est généralement laissé intact, alors que de petites "prisons" sont créées
afin de fournir de nombreux services. Gardez à l'esprit également, nous ne parlons pas de tirer profit des versions chrootées existantes pour les démons ftp ou ssh. C'est un concept semblable, mais pourtant différent de celui que nous allons aborder ici. Nous parlerons du chrootage des démons système qui continueront à fonctionner de façon toute aussi transparente mais avec une couche de sécurité
en plus.

1.5 Qu'impose le chrootage ?

Le chrootage de n'importe quel démon est un processus. Il implique généralement les étapes suivantes pour produire un démon chrooté viable :
– Créer un répertoire "prison",
– Copier le démon et tous les fichiers requis,
– Copier les bibliothèques système requises,
– Changer tous scripts de démarrage pour lancer le démon dans son nouvel environnement.

Les étapes 2 et 3 sont celles qui prennent généralement
le plus de temps. L'étape 2, en particulier, requiert parfois une certaine imagination. Par exemple, un logiciel de courrier doit accéder à certains dossiers sur le système. Copier les dossiers de messagerie dans la prison ne produira pas le résultat désiré, nous devons alors créer une prison "autour" de ces dossiers.

Nous entrerons dans le vif du sujet et les manipulations complexes plus tard.

Partie II : Prérequis

2.1 Pouvons-nous chrooter ce démon ?

Avant même de créer un répertoire ou de copier un simple
fichier, nous devons nous poser quelques questions importantes. La première est de savoir si le démon qui nous intéresse peut être chrooté.

Nous allons travailler avec trois exemples de démons systèmes ci-dessous, et poserons les mêmes questions principales :
– Le démon accède-t-il à des fichiers présents dans un endroit
unique ?
– Est-il viable de copier les fichiers une fois pour toute, ou périodiquement en utilisant cron ?
– Est-il prudent de créer une prison "autour" d'un ensemble spécifique de fichiers ?

Si vous répondez 'NON' à chacune de ces trois questions,
il se pourrait que ce ne soit pas une bonne idée de chrooter ce démon.

Mais jetons un oeil aux exemples suivants :

Qpopper de Qualcomm

Le démon accède-t-il à des fichiers présents dans un endroit unique ?

Principalement, un logiciel de courrier doit accéder aux dossiers des utilisateurs. Il y a quelques autres dossiers tels que ceux de /etc qui sont exigés pour effectuer l'authentification. La réponse à cette question est donc 'OUI' car une majorité des dossiers requis sont présents dans un seul endroit (/var/mail).

Est-il viable de copier les fichiers une bonne fois pour toute, ou périodiquement en utilisant cron ?

Copier les répertoires de messagerie n'est jamais une bonne idée, et les copier une seule fois finira par corrompre les boîtes aux lettres des utilisateurs. Ainsi, ce n'est pas du tout une bonne idée de copier ces fichiers. Il est cependant prudent de recopier
les fichiers et répertoires de /etc ainsi que tout autre utilisé dans cet exemple, une fois par jour, ou plus ou moins fréquemment selon les besoins. Puisque nous essayons de protéger ces fichiers, nous ne voulons pas donner d'accès à l'intrus potentiel pour les originaux.

Est-il prudent de créer une prison "autour" d'un ensemble spécifique de fichiers ?

Il y a deux solutions de rechange pour traiter les dossiers d'une prison. Soit on déplace ou copie les fichiers dans la prison, ou on construit la prison autour des fichiers. Dans le cas du courrier électronique, copier les fichiers dans les deux sens toutes les x minutes est extrêmement consommateur
de ressources, et il est tout simplement inefficace d'essayer de maintenir un répertoire plein de liens symboliques. Il est bien plus efficace de forcer les logiciel à utiliser les dossiers réels dans leur endroit original. Notre réponse est ici encore 'OUI '.

RPCBIND de Sun MicroSystem.

Le démon accède-t-il à des dossiers présents dans un endroit unique ?

Le démon accède principalement à plusieurs petits fichiers
dans /etc.

Est-il viable de copier les fichiers une bonne fois pour toute, ou périodiquement en utilisant cron ?

La plupart des dossiers consultés sont petits et rarement
mis à jour. Il serait tout à fait viable de copier ces fichiers dans un répertoire différent une fois par jour.

Est-il prudent de créer une prison "autour" d'un ensemble spécifique de dossiers ?

A la différence de notre logiciel de courrier, qui accède
principalement aux mails , /etc contient plusieurs des fichiers système critiques que nous essayons de nous protéger. Ce serait une très mauvaise idée de créer une prison autour de ces derniers et ferait perdre le bénéfice premier du chrootage. De plus, cela risque donner la possibilité à un intrus d'accéder au moindre fichier du répertoire /etc. Ainsi, la bonne idée consiste à chrooter CE démon dans une prison totalement séparée, et en y copiant simplement les fichiers utilisés par RPCBind.

Sendmail

Le démon accède-t-il à des dossiers ou fichiers présents dans un endroit unique ?

Non. Sendmail doit avoir accès à plusieurs fichiers situés dans des répertoires différents. Il s'agit aussi bien de répertoires
locaux que de fichiers utilisateurs. Simultanément, sendmail doit également accéder à la queue d'envoi de courrier (/var/spool/mqueue) et à des répertoires de courrier spécifiques aux utilisateur (/var/mail).

Est-il viable de copier les fichiers une bonne fois pour toute, ou périodiquement en utilisant cron ?

Afin de créer un environnement chrooté contenant tous les
fichiers nécessaires au fonctionnement de sendmail, des répertoires utilisateurs devraient être dupliqués dans un endroit sécurisé. Ce dernier sert à contenir les fichiers nécessaires à la distribution et à la manipulation de courrier. Ceci exigerait également la création de nouveaux répertoires et de la suppression des plus anciens après qu'ils aient été modifiés par l'utilisateur. Simultanément, sendmail doit également accéder aux répertoires de la queue d'envoi et aux répertoires de courrier des utilisateurs.

Il n'est viable de copier aucun de ces derniers que ce soit dans un sens ou dans l'autre.

Est-il prudent de créer une prison "autour" d'un ensemble spécifique de fichiers ?

Attardons-nous sur cette question. Nous pourrions créer une
prison autour des dossiers, mais alors nous perdrions la possibilité d'écrire dans la queue d'envoi de courrier. Nous pourrions emprisonner /var, permettant ainsi l'accès à tous les deux (/var/mail et /var/spool/mqueue) mais nous laisserions alors l'environnement chrooté accéder aux dossiers potentiellement critiques. Ni l'une ni l'autre des solutions envisagées n'aborde l'autre question, à savoir la duplication des répertoires utilisateurs. Il ne semble y avoir aucun ensemble de fichiers pour lequel nous pourrions créer une prison.

Sendmail, comme nos réponses le suggèrent, n'est pas un bon candidat pour le chrootage . Bien que cela puisse être possible, l'installation serait longue et fastidieuse. Répondre exactement aux contraintes de sécurité accompagnant la documentation de sendmail est déjà une bonne idée.

2.2 Introduction aux commandes truss, lsof et ldd

truss (ou strace)

Si vous tapez man truss sous Solaris, vous verrez que truss est un outil conçu pour tracer des appels et signaux système. Strace est un outil semblable, sous Linux. Les appels système incluent des appels aux bibliothèques et aux fichiers en cours d'accès. Truss est une superbe moyen de découvrir les ressources utilisées par un démon particulier. Pour lancer truss, tapez simplement 'truss' suivi de la commande servant habituellement à démarrer le démon. La sortie ressemblera à ceci :

open("/usr/lib/libc.so.1 ", O_rdonly)= 3

Le programme a ouvert la bibliothèque libc.

open64("/usr/local/etc/my.config ", O_wronly|O_creat|O_trunc, 0666) = 3

Le programme a ouvert /usr/local/etc/my.config adin d'y écrire des informations.

Exécuter truss sur un démon devrait donner immédiatement
une longue liste de lignes. Il est intéressant d'essayer les différentes options et commandes du démon pour voir les nouveaux fichiers ouverts avec truss. Sans truss, vous seriez obligé de casser la prison formée par l'environnement chrooté à chaque fois que manquerait un fichier.

lsof

lsof est un autre outil très utile pour trouver les ressources utilisées par un démon. Il affiche les fichiers ouverts, les connexions réseaux établies, et plus encore. Le programme lsof n'est pas installé systématiquement avec le système, c'est un outil externe. Il peut être téléchargé depuis plusieurs sites comme www.sunfreeware.com. Les sources sont disponibles sur les ftp anonymes comme à l'adresse
ftp://vic.cc.purdue.edu/pub/tools/unix/lsof.

ldd

ldd est outil très pratique pour déterminer le nom des bibliothèques nécéssaires à l'exécution de votre programme. L'outil ldd se limite à lister les "bibliothèques dynamiques" [1]. Utilisez ldd suivi du chemin et et du nom de fichier du démon que vous voulez chrooter. Cela vous donnera la liste des bibliothèques à copier dans la prison.

2.3 Déterminer les dépendances des différents fichiers

Le premier exercice que nous avons abordé à la section 2.1 nous a fait réfléchir sur les dépendances (fichiers, dossiers, librairies, etc.) du démon. Certaines sont installables dans d'autres dossiers alors que pour d'autres nous devrons établir une prison tout autour. Seul deux des trois exemples de la section étaient viables (Qpopper de Qualcomm et RPCBind de Sun). Ils sont de très bon candidats pour le chrootage et tous deux ont connu des failles de sécurité non négligeables par le passé. Maintenant établissons la liste des fichiers que nous aurons besoin de déplacer ou de recompiler pour ces deux exemples. Il est tout à fait possible de rater quelques fichiers puisque nous trouverons toujours une solution pour les inclure dans la prison avant la mise en route de ce nouveau service. Il y a plusieurs façons de déterminer les fichiers utiles. Ceci inclus, mais n'est pas exhaustif :
– Penser aux évidences (et oui, un logiciel de mail accède
aux répertoires de mails),
– Examiner les fichiers de configuration,
– Utiliser des outils comme 'lsof' ou 'truss',
– Arrêter le démon pour le placer dans sa prison.

Il est important de tenir compte du maximum de fichiers possibles. D'après ces deux exemples, nous pouvons établir une liste exhaustive de ce dont nous allons avoir besoin :

Qpopper de Qualcomm :

/var/mail/* (dans la prison)

Les fichiers suivants, provenant de /etc, seront recopiés périodiquement

hosts.allow hosts.deny netconfig nsswitch.conf passwd resolv.conf services shadow

Sun RPCBIND

Les fichiers suivants, provenant de /etc, seront recopiés périodiquement

hosts netconfig nsswitch.conf resolv.conf services

La zone horaire, de /usr/local/zoneinfo.

Un répertoire temporaire, /tmp.

2.4 Créer une stratégie

Une fois que que nous avons une idée précise de la liste de fichiers qui seront utilisés, voyons voir comment nous pouvons les placer dans notre prison. Les copierons-nous ? Combien de fois ? Une seule fois ou quotidiennement ? La prison peut elle être construite autour ? Établir une stratégie vous montrera les fichiers devant être copiés, ceux pour lesquels il faudra construire une prison autour, et vous aurez alors une idée de l'emplacement futur de la prison. Il est impératif de ne pas construire la prison autour de fichiers critiques , comme /etc, ce qui élimine l'intérêt de notre prison. Si vous devez absolument construire une prison autour de quoique ce soit, il faut le faire autour d'un répertoire non critique pour le système, afin d'éviter qu'un intrus éventuel exploite une faille de sécurité.

Si vous tracez un cercle sur le papier, vous pouvez positionner les fichiers en dehors de la prison à l'extérieur du cercle. Tracez des lignes dans le cercle avec des annotations pour montrer ceux qui seront déplacés ou copiés, en précisant la fréquence des opérations.
Ceci pour montrer la taille de la future prison (la racine du système de fichiers virtuel) et vous donnera de bonnes bases de travail quand il sera temps de construire la prison.

2.5 Déterminer les dépendances des bibliothèques

Tout le code du programme que le démon exécutera n'est pas
nécessairement dans un seul programme. Beaucoup de bouts de code partagés sont réutilisés sous la forme de bibliothèques. Celles-ci sont requises par le programme pour s'exécuter correctement. Dans un environnement chrooté, le programme n'aura pas accès au chemin original de ces bibliothèques. Il faudra d'abord les copier dans la prison pour le faire fonctionner. Le meilleur moyen de déterminer quelles seront les bibliothèques utilisées par votre démon est d'utiliser la commande 'ldd'. le programme ldd listera les bibliothèques dynamiques (ou bibliothèques partagées) requises pour l'exécuter. Il faut faire très attention à cette partie, il faudra les copier dans le prison.

Documentez les bibliothèques utilisées comme vous l'avez fait pour les fichiers. Vous savez déjà comment il faudra les copier dans la prison (avec cp, et une seule fois). C'est peut être une bonne idée de garder cette information pratique sous le coude dans le cas d'une mise à jour ou afin d'appliquer un patch du système d'exploitation. Cela pourra vous être utile pour copier les bibliothèques mises à jour dans la prison également. Une solution pourrait être de les recopier via cron une fois par mois.

Dans nos exemples, nous avons extrait les bibliothèques suivantes en utilisant truss :

Qpopper de Qualcomm

/usr/lib/libnsl.so.1 /usr/lib/libsocket.so.1 /usr/lib/libresolv.so.2 /usr/lib/libmail.so.1 /usr/lib/librt.so.1 /usr/lib/libcrypt_i.so.1 /usr/lib/libc.so.1 /usr/lib/libdl.so.1 /usr/lib/libmp.so.2 /usr/lib/libaio.so.1 /usr/lib/libgen.so.1 /usr/lib/libpthread.so.1 /usr/lib/libthread.so.1

Sun RPCBIND

/usr/lib/libsocket.so.1 /usr/lib/libnsl.so.1 /usr/lib/libdl.so.1 /usr/lib/libc.so.1 /usr/lib/libmp.so.2

2.6 Trouver le meilleur emplacement pour la prison

Vous avez désormais toutes les informations nécessaires pour savoir où installer votre prison. Si votre prison est 'construite autour' de fichiers existants (comme pour l'exemple de Qpopper), vous devrez être le plus proche possible de ce répertoire. Si ce n'est pas le cas, choisissez un emplacement arbitraire pourvu qu'il y ait suffisamment d'espace disque. Nous allons utiliser /var/mail pour popper et /var/rpcbind pour Sun RPCBIND. Souvenez-vous que vos programmes ne peuvent savoir qu'ils sont emprisonnés et vont donc essayer d'accéder à des fichiers où le démon s'attend à les trouver, que leur chemin soit relatif ou liés symboliquement. Vous êtes prêt pour passer à la troisième partie !

Partie III : L'installation de l'environnement chrooté

3.1 Créer une prison vide

La première étape pour créer une prison vide est de
créer un ensemble de répertoires pour y mettre votre démon,
ses fichiers de configuration et ses bibliothèques. Tout d'abord, voyons le cas de Sun RPCBIND. Nous avons choisi /var/rpcbind pour être la racine de notre prison. Voyons comment préparer notre arborescence :

mkdir /var/rpcbind mkdir /var/rpcbind/dev mkdir /var/rpcbind/etc mkdir /var/rpcbind/tmp mkdir -p /var/rpcbind/usr/lib

Dès que le démon sera chrooté, il devra accéder à certains devices dans /dev, certains fichiers de configuration de /etc, son propre répertoire temporaire, et son répertoire
de bibliothèques. Tout devra y être quand vous aurez fini.

En ce qui concerne notre exemple avec Qpopper. Comme la prison de Qpopper doit être construite autour du répertoire des boîtes aux lettres, la prison doit démarrer dans /var/mail. Nous devons continuer et créer les répertoires suivant :

mkdir /var/mail/dev mkdir /var/mail/etc mkdir -p /var/mail/usr/lib mkdir -p /var/mail/usr/local/lib mkdir -p /var/mail/usr/sbin mkdir -p /var/mail/usr/share/lib/zoneinfo/US

Mais ce n'est pas encore terminé. Notre logiciel
s'attend à ce que les mails soient dans /var/mail. Comme il est chrooté, / est en fait /var/mail ... et lorsqu'il accède à /var/mail, il ne trouve pas son fichier ! Comment résoudre se problème ? Nous devons créer un lien symbolique de /var/mail/var/mail vers /var/mail qui est alors /...

mkdir /var/mail/var ln -s / /var/mail/var/mail

Maintenant, lorsque popper chrooté accèdera à /var/mail, il sera redirigé vers /, qui est bien le vrai
/var/mail !

Le résultat final ressemblera alors à ceci :

Sun RPCBIND

drwxr-xr-x 7 root other 512 Aug 1 18:31 ./ drwxr-xr-x 34 root sys 512 Aug 1 18:07 ../ drwxr-xr-x 2 root other 512 Aug 1 18:16 dev/ drwxr-xr-x 2 root other 512 Aug 1 18:10 etc/ drwxr-xr-x 2 root other 512 Aug 1 18:31 tmp/ drwxr-xr-x 6 root other 512 Jul 28 15:55 usr/ drwxr-xr-x 3 root other 512 Aug 1 18:19 var/

Qpopper

drwxrwxrwt 7 root mail 512 Oct 18 19:36 ./ drwxr-xr-x 34 root sys 512 Aug 1 18:07 ../ drwxr-xr-x 2 root other 512 Jul 29 13:33 dev/ drwxr-xr-x 2 root other 512 Jul 28 16:18 etc/ - Quelques boîtes aux lettres mélangées par ici - drwxr-xr-x 6 root other 512 Jul 28 15:55 usr/ drwxr-xr-x 2 root other 512 Aug 1 18:06 var/

3.2 Copier les programmes et fichiers de configuration, configurer les tâches automatiques

Maintenant que notre arborescence est établie, copions-y nos programmes et fichiers de configuration. Comme nous démarrerons RPCBind via les scripts d'initialisation, il n'est pas nécessaire de copier le binaire actuel. Cependant, nous devrons y copier Qpopper pour qu'il puisse être démarré via inetd. Si inetd cherche le fichier dans /usr/bin, vous devrez créer /usr/bin dans la prison (/var/mail/usr/bin) et y copier l'exécutable du démon. Copiez-y tous les fichiers de /etc identifiés tout à l'heure en préservant les permissions. Pour les fichiers devant être mis à jour périodiquement, créez les tâches 'cron' adéquates. Une fois terminé, votre structure ressemblera à ceci :

Sun RPCBIND

% ls -l /var/rpcbind/etc -r--r--r-- 1 root other 90 Jul 28 16:18 hosts -rw-r--r-- 1 root other 1239 Jul 28 16:09 netconfig -rw-r--r-- 1 root other 835 Jul 28 15:32 nsswitch.conf -rw-r--r-- 1 root other 140 Jul 28 16:14 resolv.conf -r--r--r-- 1 root other 3649 Jul 28 16:14 services

Qpopper

% ls -l /var/mail/etc -r--r--r-- 1 root other 90 Jul 28 16:18 hosts -rw------- 1 root other 73 Oct 18 19:15 hosts.allow -rw------- 1 root other 9 Jul 28 15:58 hosts.deny -rw-r--r-- 1 root other 1239 Jul 28 16:09 netconfig -rw-r--r-- 1 root other 835 Jul 28 15:32 nsswitch.conf -r--r--r-- 1 root other 815 Oct 18 19:15 passwd -rw-r--r-- 1 root other 140 Jul 28 16:14 resolv.conf -r--r--r-- 1 root other 3649 Jul 28 16:14 services -r-------- 1 root other 502 Oct 18 19:15 shadow

Les lignes cron utiles pourraient ressembler à ceci. Adaptez-les en fonction de votre cas particulier...

0,30 * * * * cp -p /etc/passwd /var/mail/etc/passwd 0,30 * * * * cp -p /etc/shadow /var/mail/etc/shadow 0 0 * * * cp -p /etc/hosts.* /var/mail/etc/ 0 0 0 * * cp -p /etc/services /var/rpcbind/etc 0 0 0 * * cp -p /etc/resolv.conf /var/mail/etc

3.3 Copier les bibliothèques

Vous vous souvenez de notre topo au sujet des bibliothèques ? Nous devons les copier dans le chemin relatif dans la prison. La plupart des bibliothèques se trouvent dans /usr/lib, et parfois dans /usr/local/lib. De même, pour les fichiers de configuration, copiez les librairies en conservant leurs permissions. Vous devriez aboutir à quelque chose comme ceci selon votre système d'exploitation :

% ls -l /var/rpcbind/usr/lib -rwxr-xr-x 1 root other 200292 Jul 28 15:27 ld.so.1* -rwxr-xr-x 1 root other 41628 Jul 28 15:28 libaio.so.1* -rwxr-xr-x 1 root other 938940 Jul 28 15:28 libc.so.1* -rwxr-xr-x 1 root other 15616 Jul 28 15:27 libcrypt_i.so.1* -rwxr-xr-x 1 root other 4448 Jul 28 15:28 libdl.so.1* -rwxr-xr-x 1 root other 40540 Jul 28 15:28 libgen.so.1* -rwxr-xr-x 1 root other 29548 Jul 28 15:27 libmail.so.1* -rwxr-xr-x 1 root other 19584 Jul 28 15:28 libmp.so.2* -rwxr-xr-x 1 root other 730672 Jul 28 15:27 libnsl.so.1* -rwxr-xr-x 1 root other 35308 Jul 28 15:57 libpthread.so.1* -rwxr-xr-x 1 root other 326336 Jul 28 15:27 libresolv.so.2* -rwxr-xr-x 1 root other 39048 Jul 28 15:27 librt.so.1* -rwxr-xr-x 1 root other 65876 Jul 28 15:27 libsocket.so.1* -rwxr-xr-x 1 root other 166624 Jul 28 15:58 libthread.so.1* -rwxr-xr-x 1 root other 19648 Jul 28 16:17 nss_dns.so.1* -rwxr-xr-x 1 root other 38832 Jul 28 15:33 nss_files.so.1* -rwxr-xr-x 1 root other 38292 Jul 28 15:33 nss_nis.so.1* -rwxr-xr-x 1 root other 12284 Aug 1 18:15 straddr.so*
% ls -l /var/mail/usr/lib /var/mail/usr/local/lib -rwxr-xr-x 1 root other 200292 Jul 28 15:27 ld.so.1* -rwxr-xr-x 1 root other 41628 Jul 28 15:28 libaio.so.1* -rwxr-xr-x 1 root other 938940 Jul 28 15:28 libc.so.1* -rwxr-xr-x 1 root other 15616 Jul 28 15:27 libcrypt_i.so.1* -rwxr-xr-x 1 root other 4448 Jul 28 15:28 libdl.so.1* -rwxr-xr-x 1 root other 40540 Jul 28 15:28 libgen.so.1* -rwxr-xr-x 1 root other 29548 Jul 28 15:27 libmail.so.1* -rwxr-xr-x 1 root other 19584 Jul 28 15:28 libmp.so.2* -rwxr-xr-x 1 root other 730672 Jul 28 15:27 libnsl.so.1* -rwxr-xr-x 1 root other 35308 Jul 28 15:57 libpthread.so.1* -rwxr-xr-x 1 root other 326336 Jul 28 15:27 libresolv.so.2* -rwxr-xr-x 1 root other 39048 Jul 28 15:27 librt.so.1* -rwxr-xr-x 1 root other 65876 Jul 28 15:27 libsocket.so.1* -rwxr-xr-x 1 root other 166624 Jul 28 15:58 libthread.so.1* -rwxr-xr-x 1 root other 19648 Jul 28 16:17 nss_dns.so.1* -rwxr-xr-x 1 root other 38832 Jul 28 15:33 nss_files.so.1* -rwxr-xr-x 1 root other 38292 Jul 28 15:33 nss_nis.so.1*

3.4 Créer les devices

Voici la partie la plus délicate. Une fois le démon chrooté, il ne pourra plus accéder au répertoire habituel /dev, qui inclus tous les devices (périphériques indispensables comme peuvent l'être /dev/null, /dev/log, etc. Isoler les devices dont votre démon aura besoin n'est pas évident. Vous pouvez en trouver la plupart en utilisant truss ou parfois avec un strings | grep dev, mais générallement, vous devrez observer les messages d'erreurs qui indiqueront le device manquant.

Voici les devices qui devraient être ajoutés dans la prison, pour n'importe
quel démon :

/dev/conslog /dev/log /dev/msglog /dev/null /dev/tcp /dev/ticlts /dev/ticots /dev/ticotsord /dev/udp /dev/zero

Voici comment créer vos devices (il faut le faire
pour chaque device) :

1. saisir 'ls -lL /dev/{{devicename}}'. La sortie ressemblera alors à ceci :

crw-rw-rw- 1 root sys 13, 2 Oct 18 19:56 /dev/null

Le chiffre en rouge désigne le nombre 'majeur'. Le nombre en bleu est le nombre 'mineur'. La première lettre, en vert, pourra être un 'c' ou un 'b', pour respectivement un device de type caractère ou de type bloc. Vous pouvez créer votre noeud à l'aide de ces informations.

2. Déplacez-vous dans le répertoire dev de la prison (c.à.d. /var/mail/dev ou /var/rpcbind/dev). Utilisez la commande 'mknod' pour créer le device. Par exemple : mknod null c 13 2 pour créer un des devices listés dans notre exemple. Les machines ont souvent des
nombres mineurs et majeurs différents, il convient donc d'y faire très attention.

3. Au besoin, utilisez chown et chmod, prenez garde à ce que les devices aient exactement les mêmes permissions que les originaux.

Pour notre exemple de Sun RPCBIND, nous avons fini par découvrir une fois arrêté qu'il fallait aussi créer un répertoire nommé rpc_door avec le sticky bit. Il se peut que ce ne soit pas le cas sur votre système, mais devrez probablement faire quelque chose ressemblant à ceci :

mkdir -p /var/rpcbind/var/run/rpc_door chmod +t /var/rpcbind/var/run/rpc_door

C'en est fini du baratin.

3.5 Modifier les scripts de démarrage

On y est presque ! Si vous avez oublié quelque chose, vous le verrez probablement en démarrant le démon, la première fois. Vous l'avez testé n'est ce pas ? Ah oui c'est vrai, on ne vous a pas dit comment ! Bon, avant de pouvoir tester correctement la plupart des démons, il faudra arrêter la version non chrootée. Une fois le démon en production tué, exécutez cette commande :

/usr/sbin/chroot /var/rpcbind /usr/sbin/rpcbind

Si tout va bien, ça devrait fonctionner. Si vous avez des erreurs du style fichiers ou bibliothèques manquantes, lancez truss pour déterminer lesquels et les copier dans le nouveau répertoire. Une fois que tout est bon, commentez simplement l'ancien script de démarrage et remplacez-le par la version chrootée.

Comment chrooter depuis inetd

Qpopper de Qualcomm démarre via inetd, et parfois nécessite une ligne de commande spécigique dans /etc/inetd.conf pour s'exécuter dans l'environnement chrooté. Pour cela, utilisez une ligne semblable à celle-ci :

pop3 stream tcp nowait root /usr/sbin/chroot chroot /var/mail /usr/sbin/in.pop3

Ou si vous utilisez les TCP wrappers, vous devrez leurrer inetd en lui faisant toujours croire que c'est in.pop3 qui démarre (ou ce que vous êtes en train d'étudier). Pour cela, créez un lien symbolique entre le service à chrooter et insérez-le dans inetd.conf. Par exemple :

lrwxrwxrwx 1 root other 6 Jul 28 15:42 /usr/sbin/in.pop3 -> chroot* pop3 stream tcp nowait root /usr/sbin/tcpd in.pop3 /var/mail /usr/sbin/in.pop3

/usr/sbin/in.pop3 est maintenant /usr/sbin/chroot (lié symboliquement), et de fait quand inetd démarre le service in.pop3, chroot démarre alors avec les paramètres '/var/mail /usr/sbin/in.pop3' ce qui démarrera la version chrootée de in.pop3 située dans /var/mail. Quand la copie chrootée est démarrée par chroot, le service est correctement configuré.

3.6 Le produit final

Pour finir, notre projet ressemblera à ceci :

Sun RPCBIND

d none /var/rpcbind 0755 root other d none /var/rpcbind/dev 0755 root other c none /var/rpcbind/dev/conslog 21 0 0666 root other c none /var/rpcbind/dev/log 21 5 0640 root other c none /var/rpcbind/dev/msglog 97 1 0600 root other c none /var/rpcbind/dev/null 13 2 0666 root other c none /var/rpcbind/dev/udp 41 0 0666 root other c none /var/rpcbind/dev/tcp 42 0 0666 root other c none /var/rpcbind/dev/ticlts 105 2 0666 root other c none /var/rpcbind/dev/ticotsord 105 1 0666 root other c none /var/rpcbind/dev/ticots 105 0 0666 root other d none /var/rpcbind/var 0755 root other d none /var/rpcbind/var/run 0755 root other d none /var/rpcbind/var/run/rpc_door 1777 root root d none /var/rpcbind/tmp 0755 root other d none /var/rpcbind/usr 0755 root other d none /var/rpcbind/usr/share 0755 root other d none /var/rpcbind/usr/share/lib 0755 root other d none /var/rpcbind/usr/share/lib/zoneinfo 0755 root other d none /var/rpcbind/usr/share/lib/zoneinfo/US 0755 root other f none /var/rpcbind/usr/share/lib/zoneinfo/US/Eastern 0644 root bin d none /var/rpcbind/usr/lib 0755 root other f none /var/rpcbind/usr/lib/ld.so.1 0755 root other f none /var/rpcbind/usr/lib/libnsl.so.1 0755 root other f none /var/rpcbind/usr/lib/libsocket.so.1 0755 root other f none /var/rpcbind/usr/lib/libresolv.so.2 0755 root other f none /var/rpcbind/usr/lib/libmail.so.1 0755 root other f none /var/rpcbind/usr/lib/librt.so.1 0755 root other f none /var/rpcbind/usr/lib/libcrypt_i.so.1 0755 root other f none /var/rpcbind/usr/lib/libc.so.1 0755 root other f none /var/rpcbind/usr/lib/libdl.so.1 0755 root other f none /var/rpcbind/usr/lib/libmp.so.2 0755 root other f none /var/rpcbind/usr/lib/libaio.so.1 0755 root other f none /var/rpcbind/usr/lib/libgen.so.1 0755 root other f none /var/rpcbind/usr/lib/nss_files.so.1 0755 root other f none /var/rpcbind/usr/lib/nss_nis.so.1 0755 root other f none /var/rpcbind/usr/lib/libpthread.so.1 0755 root other f none /var/rpcbind/usr/lib/libthread.so.1 0755 root other f none /var/rpcbind/usr/lib/nss_dns.so.1 0755 root other f none /var/rpcbind/usr/lib/straddr.so 0755 root other d none /var/rpcbind/usr/sbin 0755 root other f none /var/rpcbind/usr/sbin/rpcbind 0555 root other d none /var/rpcbind/usr/local 0755 root other d none /var/rpcbind/usr/local/sbin 0755 root other d none /var/rpcbind/usr/local/lib 0755 root other d none /var/rpcbind/etc 0755 root other f none /var/rpcbind/etc/nsswitch.conf 0644 root other f none /var/rpcbind/etc/netconfig 0644 root other f none /var/rpcbind/etc/services 0444 root other f none /var/rpcbind/etc/resolv.conf 0644 root other f none /var/rpcbind/etc/hosts 0444 root other

Qpopper de Qualcomm

d none /var/mail 1777 root mail d none /var/mail/usr 0755 root other d none /var/mail/usr/share 0755 root other d none /var/mail/usr/share/lib 0755 root other d none /var/mail/usr/share/lib/zoneinfo 0755 root other d none /var/mail/usr/share/lib/zoneinfo/US 0755 root other f none /var/mail/usr/share/lib/zoneinfo/US/Eastern 0644 root bin d none /var/mail/usr/lib 0755 root other f none /var/mail/usr/lib/ld.so.1 0755 root other f none /var/mail/usr/lib/libnsl.so.1 0755 root other f none /var/mail/usr/lib/libsocket.so.1 0755 root other f none /var/mail/usr/lib/libresolv.so.2 0755 root other f none /var/mail/usr/lib/libmail.so.1 0755 root other f none /var/mail/usr/lib/librt.so.1 0755 root other f none /var/mail/usr/lib/libcrypt_i.so.1 0755 root other f none /var/mail/usr/lib/libc.so.1 0755 root other f none /var/mail/usr/lib/libdl.so.1 0755 root other f none /var/mail/usr/lib/libmp.so.2 0755 root other f none /var/mail/usr/lib/libaio.so.1 0755 root other f none /var/mail/usr/lib/libgen.so.1 0755 root other f none /var/mail/usr/lib/nss_files.so.1 0755 root other f none /var/mail/usr/lib/nss_nis.so.1 0755 root other f none /var/mail/usr/lib/libpthread.so.1 0755 root other f none /var/mail/usr/lib/libthread.so.1 0755 root other f none /var/mail/usr/lib/nss_dns.so.1 0755 root other d none /var/mail/usr/sbin 0755 root other f none /var/mail/usr/sbin/in.pop3 0755 root other d none /var/mail/usr/local/lib 0755 root other d none /var/mail/etc 0755 root other f none /var/mail/etc/passwd 0444 root other f none /var/mail/etc/shadow 0400 root other f none /var/mail/etc/hosts.allow 0600 root other f none /var/mail/etc/nsswitch.conf 0644 root other f none /var/mail/etc/hosts.deny 0600 root other f none /var/mail/etc/netconfig 0644 root other f none /var/mail/etc/services 0444 root other f none /var/mail/etc/resolv.conf 0644 root other f none /var/mail/etc/hosts 0444 root other d none /var/mail/var 0755 root other s none /var/mail/var/mail=/ d none /var/mail/dev 0755 root other c none /var/mail/dev/udp 41 0 0666 root other c none /var/mail/dev/null 13 2 0666 root other c none /var/mail/dev/conslog 21 0 0666 root other c none /var/mail/dev/log 21 5 0640 root other c none /var/mail/dev/msglog 97 1 0600 root other

Les démons que j'ai personnellement [2] chrooté
sans problème :
– Qpopper
– RPCBind
– Named (c'est beaucoup mieux que la version de base)
– Stunnel
– Apache
– Nscd
– SecurID Server
– RADIUS
– Squid
– syslogd

Les démons théoriquement chrootables, mais que je n'ai pas essayé :
– Portmap
– Lpd (avec un peu d'imagination)
– Gated
– Routed
– Identd
– Comsat
– Talkd
– Tftpd
– Sadmind

La plupart des autres services peuvent probablement être tout simplement arrêtés.

3.7 Renseigner le syslog

Le programme syslog qui accompagne les systèmes à base de System V exploite /dev/log et peut utiliser d'autres devices du style /dev/*log. C'est très pratique car il peut continuer à servir à vous avertir. Il vous suffit de recréer ces devices dans l'environnement chrooté. J'ai essayé sur Solaris et ça fonctionne. Sur des systèmes non basés sur System V comme Linux, il faudra probablement envoyer des paquets syslog vers la machine elle-même.

Partie IV : Pour aller plus loin

4.1 Comment savoir si vous vous trouvez dans un environnement chrooté

Certains ont voulu savoir s'ils se trouvaient en environnement chrooté ou pas. Tous les points de montage du système de fichier UFS avaient une inode numérotée 2. Ce qui signifiait que la racine / chrootée n'était pas un point de montage, le numéro d'inode serait différent. Comme la plupart des administrateurs systèmes utilisent chroot sans s'en inquiéter, le code suivant peut vous dire si l'environnement chrooté est un point de montage ou pas.

#include #include #include #include int main(int argc, char **argv) {{ struct stat x; if (stat("/", &x)) {{ printf("Unable to stat /"); exit(EXIT_FAILURE); }} if (x.st_ino==2) {{ printf("I am not chrooted or chrooted on a mountpoint\n"); }} else {{ printf("I am chrooted\n"); }} exit(EXIT_SUCCESS); }}

Cependant si vous n'avez pas un environnement système complet (c'est-à-dire pas de fichier shadow, pas de binaire 'su' , ou autre chose tout aussi sympathique), il est facile de savoir que vous êtes dans un environnement chrooté.

Des administrateurs recréent un environnement système complet pour leurs utilisateurs afin qu'ils ne s'aperçoivent pas qu'ils travaillent dans un environnement chrooté. Si l'inode de / est 2, vous pouvez suspecter que votre environnement de travail est chrooté. Vous pouvez alors le vérifier de la façon suivante :
– Contrôlez la présence de certains fichiers comme le /etc/shadow (pour els shadow password) ou le binaire 'su'.
– Établissez la liste des processus et repérez ceux qui correspondent aux binaires que vous soupsçonnez être chrootés (mais certains systèmes d'exploitation autorisent les administrateurs à cacher les processus).
– Si l'OS a un répertoire /proc, cherchez où est /proc.
– Lancez la commande 'df' et vérifiez si d'autres systèmes de fichiers sont montés . Si c'est le cas, les voyez vous ? Sinon, cela devient suspect.

4.2 Casser une cellule chrootée

Casser une cellule chrootée bien faite peut s'avérer être
très difficile, mais avec les outils adéquats, on peut y arriver. Pour que quelqu'un puisse casser la cellule chrootée, il doit être capable de :
– Trouver une faille de sécurité dans un des logiciels tournant dans la cellule,
– Exploiter cette faille et trouver un moyen d'envoyer du code en mémoire ou sur le disque,
– Une fois chargé en mémoire, arriver à l'exécuter en tant que root,
– Une fois chargé sur le disque, envoyer aussi un shell pour exécuter ce code en tant que root.

Envoyer et exécuter le code malicieux en mémoire peut être aussi simple que d'exécuter un code en tant que root dans un shell comme cela a déjà pu être montré dans de nombreux exploits. Le code complet pour casser une cellule chrootée fait à peine 139 bytes ! Une fois élaboré, casser la cellule est relativement simple. Attention, le scénario qui suit n'est réalisable que si le logiciel en cours tourne en tant que root. Il est de fait fortement recommandé, pour rendre chroot plus puissant, de démarrer les applications systèmes avec des utilisateurs sans privilège. Cela rendra beaucoup plus difficile l'effraction de la cellule.

L'effraction sort du cadre de ce document, mais le lien suivant constitue un bon point de départ pour une explication :
http://www.bpfh.net/computing/docs/chroot-break.html.

Avec beaucoup de méthode et en comprenant bien les vulnérabilités de chroot, il doit être possible de rendre une prison particulièrement difficile à casser. Il existe également d'excellents outils pour intercepter les appels système (comme ceux lancés par les shells root par exemple) afin d'améliorer la sécurité de votre OS.

4.3 Les erreurs à ne pas commettre

Même dans un environnement chrooté, démarrer un logiciel
avec des trous de sécurité dégrade considérablement
la sécurité fournie par chroot. Ce qui suit est une liste
des erreurs fréquentes que les administrateurs peuvent commettre en chrootant des processus :

– Erreur : Exécuter des processus chrooté avec des
privilèges root.
– Niveau critique : Important

Une des pensées illusoires les plus courantes est de supposer qu'exécuter le logiciel en tant que root dans un environnement chrooté soit sûrs. C'est complètement faux. L'idée qui régit chroot est de protéger votre système contre l'exploitation d'une vulnérabilité du logiciel cible, par un intrus. Si de fait votre logiciel est vulnérable, le lancer en tant que root peut compromettre votre système de nombreuses façons. Bien sûr, chroot vous protège de la plupart des script kiddie, mais un pirate expérimenté peut facilement casser la cellule (s'il a des privilèges root), s'amuser avec les devices dans /dev chrooté , tuer, tracer, snooper des processus. Et, si il est animé de mauvaises intentions, il peut causer beaucoup de ravages depuis la cellule.

– Solution : Modifiez l'identifiant de l'utilisateur et du groupe après le chrootage. Cela peut être fait manuellement en changeant le code source avec les appels des fonctions setuid() et setgid(), ou en écrivant un petit emballage tout autour (on parle de wrapper). Comme le logiciel s'exécute dans un environnement chrooté, vous devriez être capable de changer les permissions pour les attribuer à un utilisateur autre que root. Par exemple, si vous chrootez Qpopper, vous pouvez le modifier de façon à ce qu'il s'execute en 'nobody' (sans utilisateur), mais dans le groupe ayant accès à toutes les boîtes aux lettres. Ceci vous permettra d'exécuter le service de messagerie sans être le super-utilisateur.

– Erreur : Utiliser une copie du fichier de mot de passe caché (shadow password)
– Niveau critique : Haut

Dans le cas de Qpopper, nous avions copié le fichier shadow dans le répertoire chrooté afin de permettre aux utilisateurs de s'authentifier. Malheureusement, si le programme popper en lui même n'est pas vulnérable, un intrus peut essayer de décrypter ce fichier shadow, utiliser un outil sécifique, puis avoir accès à tout le système en passant par la grande porte.

– Solution : Il en existe quelques-unes pour y remédier. D'abord, si vous savez installer et configurer une méthode externe d'authentification (par exemple RADIUS, SecurID, ou même en utilisants les librairies PAM), vous mettrez en place une authentification sans utiliser le fichier shadow à l'intérieur de la prison. Il s'agit de la la meilleure solution. Si elle n'est pas envisageable dans votre cas, un autre moyen de contourner le problème consiste à analyser le fichier shadow avant de le copier, d'en enlever tout utilisateur système ou ayant des privilèges. Si un compte privilégié doit absoluement être présent dans le fichier, utilisez des mots de passe et des adresses mails différents de ceux utilisés pour le système.

– Erreur : Créer des environnements système virtuels
en dehors d'un point de montage
– niveau critique : Léger

En chrootant un répertoire qui ne fait pas également office de point de montage, vous fournissez un petit trou de sécurité qui permettra à l'utilisateur de savoir s'il s'agit d'un environnement chrooté. Comme nous l'avons vu ci-dessus, tous les points de montage ont une inode dont le numéro est 2. En chrootant en dehors d'un point de montage, vous permettez donc de savoir que le processus est chrooté. Cette erreur n'est pas très dangereuse en soit puisqu'elle ne permet pas de casser cet environnement chrooté. Elle fournit néanmoins une information que l'intrus ne devrait pas savoir.

Si vous avez un environnement chrooté relativement restreint où les fichiers systèmes sont bien cachés, il n'y a pas de raison de changer quoique ce soit, mais si vous essayez de charger un environnement complet (c'est-à-dire une machine virtuelle), placer la prison dans un point de montage est une bonne idée.

– Solution : Si vous essayez de charger un environnement complet (une machine virtuelle) et que vous ne voulez pas faire savoir aux utilisateurs qu'ils sont chrootés, placez la prison dans un point de montage.

[1] Note sur les bibliothèques dynamiques : Si vous pouvez disposer des sources du programme que vous souhaitez chrooter, vous devriez le recompiler avec des bibliothèques statiques. Cela vous évitera de copier
également ces bibliothèques. Si, vous utilisez un système d'exploitation dont les bibliothèques sont fréquemment mises à jour, il est alors préférable de recompiler le programme avec les bibliothèques dynamiques.

[2] Il s'agit ici de l'auteur de l'article, Jonathan A. Zdziarski

La version originale de cet article est consultable en ligne : http://www.networkdweebs.com/chroot.html.

"Reproduction of this document prohibited without permission
© 2002 Network Dweebs Corporation. All Rights Reserved."

"Tout reproduction de ce document sans la permission de l'auteur est interdite, (c) 2002 Network Dweebs Corporation. Tous Droits Réservés."

Créer des cocons à l'épreuve des root-kits

Jonathan A. Zdziarski — 2002-11-04T13:41:34Z

L'article initial de Jonathan A. Zdiarski est disponible sur cette page :http://www.networkdweebs.com/saferoom.html.

Apportez toutes suggestions d'ajouts et/ou corrections à Jonathan A. Zdziarski.

Nous venons de voir comment chrooter un service. En cas d'attaque, il est toujours bon de détecter une attaque. Pour cela, une technique consiste à se préparer un petit cocon (ou saferoom) bien à l'abri.

Table des matières

Partie I : Introduction aux Saferooms

– 1.1 Qu'est ce qu'un root-kit ?
– 1.2 Comment puis-je me protéger ?
– 1.3 Qu'est ce qu'un cocon (saferoom) ?
– 1.4 Un cocon est-il inviolable ?
– 1.5 Ce qu'il faut savoir pour créer un cocon.

Partie II : Créer un cocon

– 2.1 Configuration du disque du cocon
– 2.2 Remplir la cocon
– 2.3 Installation du chemin (path)
– 2.4 Verrouillage du cocon
– 2.5 Surveillance du cocon

Partie I : Introduction aux Saferooms

Si vous souhaitez permettre à quelqu'un de pénétrer votre système pour le détruire, mâchez-lui le travail.

1.1 Qu'est ce qu'un root-kit ?

Un root-kit est un outil utilisé par des intrus pour manipuler votre machine tout en rendant la détection de l'effraction du système beaucoup plus difficile. Les root-kits incluent généralement des programmes créant des portes d'entrée (back-doors). Elles permettent à de nouveaux intrus de pénétrer le système. La plupart des sites internet consacrés aux attaques fournissent des root-kits en téléchargement libre.
Une fois qu'un intrus a réussi à pénétrer dans un système, il compile et installe son root-kit, tout simplement. Le root-kit contient généralement plusieurs programmes semblables aux outils système tels que find, netstat, ps, etc. Les versions modifiées de ces outils cachent volontairement l'activité de l'intrus, ainsi ses activités ne sont pas détectés tout de suite par l'administrateur système. Le plus dangereux, c'est que l'administrateur système n'a souvent aucune raison de suspecter l'effraction du système, et ne tente pas d'examiner attentivement ce dernier.

1.2 Comment puis-je me protéger ?

Il existe plusieurs logiciels pour détecter des root-kits. Une recherche sur Internet vous en suggérera quelques-uns. Une autre manière de se protéger contre un root-kit est de garder une trace des résumés (checksum) de tous les binaires du système. Pour cela, utilisez des outils comme tripwire ou md5sum. Les deux paquetages sont à disposition du grand public, et créent des "empreintes digitales" de chaque fichier, permettant à un administrateur système de détecter tout changement des empreintes initiales. Ils sont très utiles pour détecter si le système est compromis et notamment plus tard, lors de la récupération de celui-ci, sans devoir tout réinstaller. Le sujet de cet article, cependant, est de détailler une méthode non conventionnelle de protection appelée un cocon.

Qu'est ce qu'un cocon (saferoom) ?

Si vous avez déjà fait installer un système de sécurité à votre domicile, vous avez remarqué que le technicien (s'il n'est pas mauvais) a mis en place un ensemble de verrous et a renforcé un point d'entrée (à un endroit bien particulier). En cas de problème, toute la famille se rend dans cette pièce pour empêcher l'accès au cambrioleur.

Un cocon, en termes de sécurité, est un 'emplacement' impénétrable sur votre système contenant les outils critiques nécessaires pour vos administrateurs systèmes avec toutes les fonctions indispensables. Les cocons sont généralement prioritaires sur le chemin conventionnel déclaré dans le .login ou le .profile de l'administrateur système. On y trouve les outils de maintenance quotidienne. Un cocon, utilisé efficacement, fournit un ensemble d'outils pour détecter des
compromissions, essentiellement grâce des fonctions de traçage.

Un cocon est-il inviolable ?

Cela dépend du type de cocon que vous créez. Si vous réussissez à mettre en place un cocon en lecture seule stricte, même pour root, vous devez continuer à vous méfier de certains intrus capables de modifier votre chemin (path) et qui par la suite pourront démonter complètement le cocon. Bonne nouvelle, les intrus ne les "cherchent" pas systématiquement. Quand un intrus pénètre par effraction dans votre système, ils réalisent qu'ils n'ont que très peu de temps pour sécuriser leur propre accès et donc encore moins pour y installer leur root-kit. Pour qu'un intrus puisse neutraliser un cocon, il doit déjà en connaître son existence. Par ailleurs, en le démontant, il risque d'être détecté, un peu comme s'il se jetait dans la gueule du loup.

Ce qu'il faut savoir pour créer un cocon.

Il existe deux types de 'saferooms : les cocons physiques, ou logiques. Le cocon idéal est situé sur un disque séparé,
physiquement protégé en écriture grace à un cavalier matériel. Face à des contraintes de coût, certains choisissent cependant de simplement créer un répertoire caché sur une partition accessible en écriture (il s'agit d'un cocon logique). Ceci rend très facile la neutralisation du cocon, mais est encore efficace car psychologiquement l'intrus moyen ne va pas rechercher un répertoire caché. Cela a quelques avantages, car le saferoom n'apparaîtra pas dans l'affichage de points de montages du système. L'intrus devra rechercher des binaires systèmes dans le système tout entier, ou trouver les comptes d'administrateurs, en examiner leur .profile ou leur .login afin de repérer une éventuelle saferoom dans un répertoire caché. En supposant qu'il la trouve malgré tout, il doit toujours se méfier de ne pas signaler sa présence (et donc révéler l'intrusion). Si je me suis "logué" avec mon compte et qu'un cocon est déclaré dans mon chemin de base et que quelqu'un le supprime, j'obtiendrai soudainement des erreurs de "fichier non trouvé". De même, il y a bien d'autres choses à prendre en compte. Un bon administrateur pourrait écrire une tâche automatique qui vérifierait l'état du cocon et enverrait un courriel en cas de changement ou de disparition. Toutes ces différentes protections non standardisées du système prennent un
intrus par surprise, et augmentent de manière significative le risque de détection.

Si vous voulez vraiment assurer la sécurité de vos systèmes, nous recommendons l'utilisation des deux cocons (un de chaque type). Si un intrus recherche un cocon et en neutralise un, il y a une chance très mince qu'il en recherche un second. Et, si toutefois il prenait le temps de la trouver tout de même, il augmenterait énormément les risques de détection.

Les étapes de base pour créer un cocon sont :
– Préparer un disque (ou un répertoire) à agir en tant que tel,
– Y ajouter les binaires critiques,
– Ajouter les cocons dans les chemins de base des administrateurs (ou celui par défaut),
– Verrouiller le cocon.

Partie II : Créer un cocon

Configuration du disque du cocon

Si vous créez un cocon physique, vous devrez trouver un disque avec un cavalier pour permettre la position en lecture seule. Ils sont
assez fréquents. Comme la taille du cocon sera particulièrement petite (à moins que vous souhaitiez quelque chose de mieux), plus le disque est petit, mieux c'est. Une fois le disque installé et branché en lecture et écriture, choisissez un point de montage (pas trop évident) et installez-y les
fichiers souhaités. Si vous créez un cocon logique, trouvez un endroit pour y créer le répertoire. Beaucoup de gens choisissent quelque chose du genre /usr/local/lib/perl5 ou /usr/include/sys. Quelque soit l'endroit, essayez de ne pas choisir un nom de fichier trop évident ("saferoom" est par exemple un mauvais choix).

Remplir le cocon

Une fois que vous avez créé votre cocon initial, vous voudrez y créer un répertoire bin et y copier les fichiers critiques. On pourrait y mettre :

crontab du find finger kill killall ls netstat passwd ps top

Tout autre outil fréquemment utilisé par les administrateurs peut y prendre place. Une fois que vous les avez copiés, la prochaine chose que vous devrez faire est d'y copier les bibliothèques dynamiques afin d'utiliser ces fichiers critiques. Si un intrus parvenait à déposer ses propres bibliothèques, vous pourrez utiliser les originales. Créez un répertoire /lib dans votre cocon, puis faites un 'ldd' sur tous les binaires que vous y avez copiés. Par exemple :

ldd /moncocon/bin/* | awk '{print $3}'|sort|uniq

Le résultat devrait être utile. Copiez toutes les librairies énumérées dans le répertoire lib.

Installation du chemin

Une fois que vous avez créé votre cocon, vous voudrez rendre ces outils et bibliothèques disponibles par défaut pour les administrateurs système. En quoi le cocon est intéressant si vous continuez à utiliser les outils originaux et que l'intrus pénètre malgré tout dans le système ? Vous ne le détecterez
jamais si vous n'utilisez pas les programmes du cocon. Certains administrateurs préfèrent utiliser les nouvelles bibliothèques mais pas les nouveaux outils. L'intrus a encore plus de mal à découvrir l'existence du cocon puisqu'aucune mention n'en est faite dans le .login ou le .profile. Cela force cependant les administrateurs à taper le chemin complet de la bibliothèque lorsqu'ils lancent le programme. Quelle que soit la méthode, /usr/lib devra passer
après le nouveau répertoire lib. Sur quelques systèmes d'exploitation, on peut modifier le fichier ld.so.conf pour inclure le chemin des nouvelles bibliothèques, d'autres préfèrent positionner manuellement les variables d'environnement correctes. La variable LD_LIBRARY_PATH est généralement employée à cette fin, bien que quelques administrateurs systèmes aient choisi de modifier le chemin complet. Consultez la documentation pour trouver la solution la plus élégante.

Verrouiller votre cocon

Une fois que vous avez créé et analysé votre cocon, vous êtes prêt à le verrouiller. Si vous avez un disque physique, placez le cavalier sur la position lecture seule. Personne ne sera plus en mesure d'écrire dessus.

Surveiller votre cocon

Les cocons pouvant être détruits, en surveiller l'activité est une bonne idée, par exemple par des contrôles périodiques en regardant les points de montage, ou
en examinant le répertoire. Cela est déjà un bon début. La meilleure manière de surveiller votre cocon, cependant, est d'écrire un script pour toutes ces tâches. Les différentes actions à prévoir :
– produire des sommes md5 sur les socons accessibles en lecture et écriture,
– vérifier les points de montages inaltérables, tout cela de façon scriptés le tout accompagné
– d'un envoi d'avertissement en cas d'intrusion et de démontage de votre cocon.

Mais comme nous l'avons dit, tous les intrus ne recherchent pas systématiquement les cocons.

La version originale de cet article est consultable en ligne : http://www.networkdweebs.com/saferoom.html.

"Reproduction of this document prohibited without permission © 2002 Network Dweebs Corporation. All Rights Reserved."

"Toute reproduction de ce document sans la permission de l'auteur est interdite, (c) 2002 Network Dweebs Corporation. Tous Droits Réservés."

Planter Linux sans tout planter

Gaétan RYCKEBOER — 2002-08-26T16:06:07Z

Installer du matériel, une carte, un scanner... Ce n'est pas toujours super facile. Et ça le devient encore moins, quand le matériel est vieux, et... hum... instable.
Comment éviter d'attendre 15 minutes aprÚs un plantage hard ? Comment éviter de perdre des données parce qu'il y a eu une panne de courant ? Les solutions existent !

Le matériel, ça a tendance à planter. C'est d'ailleurs là que se situe le point faible de Linux : il ne répare pas le matériel tout seul. Ben oui, c'est pour ça qu'on fait des systèmes embarqués (sous EmbLinux ;-) mais ça c'est une autre histoire.

En cas de plantage, si on ne fait rien, les partitions montées en lecture/écriture ne sont pas démontées correctement. Deux problèmes se posent, qui sont liés au cache en écriture de linux :
– Le cache n'est pas vidé, il y a corruption de données. C'est à dire que des fichiers qui étaient en train d'être modifiés passent dans un état instable. LEs données qu'ils contiennet ne sont pas complètes [1]. Il faut donc corriger le
contenu de ces fichiers, ou les supprimer.
– Aucune corruption, mais le système ne le sait pas. Un test de toute la partition sera effectué, ce qui risque de prendre un certain temps sur les partitions non journalisées comme celles formatées en ext2 [2].

Nota : Le test en question (fsck) n'est pas exécuté uniquement si le système
détecte des erreurs. Chaque partition possède une valeur de nombre maximal de
montages (ou dump) et un compteur de montages [3]. Au bout d'un nombre défini de montages, un test fsck est effectué sur cette partition. Le programme tune2fs permet de régler la valeur de ce compteur. Voir la suite de l'article.

Les magic SysReq

Avant que la situation ne soit vraiment catastrophique et, si vous en avez la possibilité, il vaut mieux essayer de copier le cache interne vers le disque dur, soit par la commande sync, soit par les magic SysReq Keys (traduction libre : les touches de requête système magiques).
Il s'agit d'une combinaison de touches permettant d'envoyer directement des ordres au kernel linux. Un pointeur chez linuxHQ ou une petite lecture du fichier /usr/src/linuxXXXXX/Documentation/sysrq.txt [4] vous en dira plus long là-dessus.

Pour utiliser ces combinaisons de touches, il faut avoir compilé le noyau du système avec le support des magic sysreq keys pour les noyaux 2.1 et supérieur, dans le menu "Kernel Hacking" [5]. Voir à ce propos :La page kernel de Lea-linux.org.

N'oubliez pas de taper lilo après avoir copié le noyau fraîchement recompilé (!). Afin que le système prenne en compte les modifications que vous avez apportées au fichier /etc/lilo.conf.

Pour activer les touches magiques, il faut taper une commande à la main, ou l'ajouter dans un des scripts de démarrage [/etc/rcS.d/S01sysreq devraient (…)" id="nh10-6">6] :
echo "1" > /proc/sys/kernel/sysrq

Si votre machine se plante sans espoir de retour, vous pouvez donc taper dans l'ordre :
ALT - SysRq [7] - s SYNChronise le cache et le disque
ALT - SysRq - u dé-moUnte les disques et les remonte en lecture seule
ALT - SysRq - b redémarre (reBoote) le système, sans écrire les données sur le disque

Notez bien que sur certaines architectures, la touche SysRq (ou Syst) ne sera pas fonctionelle, voire carrément inexistante (comme sur une Sparc ou une Sun Ultra, par exemple, où il faut taper Stop au lieu de SysRq). Quoiqu'il en soit, toutes les infos sur les touches magiques sont disponibles (en Anglais) aux quartiers généraux de Linux

Notez également que ces trois commandes affichent comme résultat OK sur la console texte une fois le traitement achevé. Tant que vous n'avez pas vu le message OK, si vous n'êtes pas sous X-Window, bien sûr, ce n'est pas la peine de passer à la combinaison de touches suivante. Enfin, si le noyau (kernel) est vraiment bien planté, les combinaisons de touches SysReq ne serviront à rien du tout.

Bien structurer ses données

Les touches magiques ne sont pas toujours suffisantes pour éviter une perte de données. En cas de redémarrage complet (redémarrage en appuyant sur le bouton reset de l'ordinateur, ou initiative autonome de la part de votre ordinateur) — si vous n'avez pas le temps d'anticiper —, en cas de panne de courant ou d'appui impromptu sur le gros bouton rouge de la multiprise de courant, aucune intervention de secours n'est possible. Tout se passe en amont, pour éviter d'avoir trop de casse au fsck [8].

Tout d'abord, si vous disposez de plusieurs disques, il convient de séparer les données du système. Ca permet de limiter la casse en cas de pépin sur un disque, mais ça permettra également de monter des partitions en lecture seule. Et ça c'est vraiment intéressant.
Si vous n'avez qu'un disque, vous pouvez tout de même faire deux partitions, l'une pour le système et l'autre pour les données. Mieux, trois partitions. /, /home et /var

Je passe sur la création des partitions, chacun a sa propre technique, mais disons que PQMagic [9] (ou plutot Partition Magic, de PowerQuest) tout en étant un logiciel commercial et propriétaire, permet, entre autres, de changer la taille des partitions ext2 tout en conservant les données intactes (enfin... normalement).
Notons qu'il existe d'autres outils plus récents, n'ayant donc pas la renomée de PQMagic comme DiskDrake, inclus dans la distribution Mandrake, ou GNU Parted qui remplissent pourtant les mêmes fonctions. Là, ce sont des outils libres, mais personnellement, je ne les ai jamais utilisés.

Bien. Maintenant, on imagine que vous avez deux partitions, vous pouvez éventuellement déplacer des repertoires entiers de l'une vers l'autre, par exemple pour mettre /usr/src dans /home/src :

# mkdir /home/src # cp -rp /usr/src /home/src # mv /usr/src/ /usr/oldsrc # ln -s /home/src /usr/src

[10]Et voilà, un répertoire déplacé.

Pour information, sur ma machine, j'ai un très gros répertoire /home sur un disque à part, un repertoire racine (/) de 150 Mo, un répertoire /usr de 1 Go, et un répertoire /var à part. Mon /usr/src est sur /home. De temps en temps (quand les besoins de place se font sentir), je déplace un répertoire de l'un vers l'autre (tout SAUF /lib qui contient des librairies vitales pour les commandes mv, ls, rm, etc.)

La bonne idée étant de mettre les informations statiques à part, et de regrouper les informations dynamiques (/var/mysql, /var/spool, /var/log, /usr/src, /tmp, ...) sur une ou plusieurs partitions.

Monter une partition ro [11] au lieu de rw [12]

Maintenant que vous avez regroupé toutes les informations statiques, vous allez pouvoir passer les partitions en lecture seule.
Attention, un fichier est très important dans ces opérations de montage/démontage, il s'agit de /etc/mtab, dans lequel le système écrit les partitions montées avec leurs options, et leur point de montage. Il doit donc rester accessible en écriture. Cela dit, certains "fondus" sont capables de mettre /etc en lecture seule, mais personellement je ne le recommande pas. A moins que ce ne soit absolument nécessaire...

Lorsque vous utilisez la commande mount, servant à monter les partitions, LA
bonne idée consiste à configurer la partie "options", que l'on indique par un
-o. Dans ces options, on trouve le type de montage (ro, rw), si c'est un
montage "from scratch", ou un "remount", etc.

Il est ainsi tout à fait possible de changer les options d'une partition "à la volée" avec un -o remount. Attention, il faut toutefois garder à l'esprit que certains process "occupent" les partitions, et que ces opérations se font avec le compte root.
Changer les options de /, par exemple, ne peut se faire que si vous êtes en mode single-user, sinon les démons démarrés empêcheront le système de démonter/remonter [13].

Les répertoires qui ne risquent rien à être passés sur une partition en ro, sont /usr, bien sûr, /lib, /boot, /opt, /sbin, /bin, /var/www, /var/samba, et sans doute d'autres.
Les répertoires qu'il NE FAUT PAS passer en ro sont /var/spool, /var/log, /var/named, /tmp...
Enfin, les répertoires litigieux, sont /etc [14], /home, et /var/lib. Pour ceux là, tout dépend de votre humeur, et de l'utilisation de la machine. Un /home peut très bien être monté en ro sur un serveur par exemple, si ce n'est pas un serveur NFS ;-)

Pesez bien le pour et le contre de toutes vos manips, et surtout, faites des tests. Par exemple, déplacer /lib et /boot d'un système en vie n'est pas possible. Vous aller tout planter, dans la mesure où vous déplacez des fichiers utilisés par le noyau et par les commandes de base (ls, mkdir, mv....). Il faut donc le faire à partir d'un disque rescue (disque servant à se connecter sur le système afin de récupérer des données ou effectuer des opérations de maintenance disque), par exemple.

Pour changer l'état d'une partition, c'est à dire ro ou rw (read-write, lecture-écriture), il suffit de taper :

# mount /usr -o ro -o remount Pour la remonter rw (par exemple pour installer un package) : # mount /usr -o rw -o remount
Simple, non ? Pour rendre ces changements définitifs, consultez la liste des partitions montées avec mount, et éditez le fichier /etc/fstab comme cela, par exemple : # /etc/fstab: static file system information. # # /dev/hda2 / ext2 defaults,errors=remount-ro 0 1 /dev/hda3 none swap sw 0 0 proc /proc proc defaults 0 0 /dev/hda1 /boot ext2 rw 0 2 /dev/hda5 /usr ext2 ro 0 2 /dev/hda6 /var ext2 rw,grpquota,usrquota 0 2 /dev/hda7 /tmp ext2 rw 0 2 /dev/hda8 /home ext2 grpquota,usrquota 0 2 /dev/fd0 /floppy auto defaults,user,noauto 0 0 /dev/cdrom /cdrom iso9660 defaults,ro,user,noauto,exec 0 0 Voilà. Au prochain redémarrage violent, vous n'aurez pas de fsck à faire sur /usr. Cool, non ;-) ? Passer en ext3 La solution ultime pour éviter les pertes de données à cause d'un plantage système, c'est bien sûr un système de fichiers journalisé. Oh bien sûr, vous pouvez choisir les reiserfs, jfs ou autres, mais le système de fichiers ext3 fonctionne très bien. Il est disponible à partir des noyaux 2.4 et, je pense, pour ceux de la série 2.2. Le système de fichiers ext3, possède des caractéristiques proches de celles d'ext2, avec en plus un journal qui stocke les modifications apportées sur les fichiers. Grosso-modo, un démon supplémentaire est démarré, dont le rôle sera d'écrire la liste des changements effectués sur une partition. En cas de crash, une lecture du journal à l'envers est effectuée, et les fichiers sont remis dans un état stable. Compiler son noyal Tout d'abord, si votre noyau ne l'a pas encore, il faut y inclure le support de l'ext3 [15]. Soit vous le compilez sous forme de module, si votre / et votre /lib/modules restent sur une partition ext2, par exemple en lecture seule [16], soit vous recompilez complètement votre noyau [17]. basculer la partoche Une fois votre nouveau noyal tout beau tout neuf recompilé, vous allez utiliser tune2fs, qui sert à changer les paramètres des partitions ext2, pour activer le support du journal. En fait, cette commande ne sert pas qu'à ça, mais aussi à changer le nombre de montages maxi entre deux fsck, le nombre de blocs réservés à root, etc. man tune2fs TUNE2FS(8) NAME tune2fs - adjust tunable filesystem parameters on second extended filesystems Une fois le fichier journal crée, un simple remontage de la partition en ext3 permettra d'activer la journalisation. Il n'est pas impossible qu'un message d'erreur (warning) apparaisse au remontage, sur une histoire de "flag". Effectuez un fsck de la partition - en mode single user ou en désactivant l'écriture sur la partition (read-only) bien sûr - et tout rentrera dans l'ordre. Enfin, modifiez le fichier /etc/fstab pour tenir compte du changement. Simple, non ? Il suffit de remplacer ext2 par ext3 dans la ligne correspondant à la partition. Et en cas de problème ? Ah. Comment faire pour réparer une partition ext3 avec un vieux noyau qui ne prend pas en charge ce format... Il y a une astuce. Comme ext2 et ext3 sont compatibles (j'entends par compatible le fait qu'une partition ext3 puisse être montée comme une partition ext2 en perdant le bénéfice de la journalisation bien sûr), il est tout à fait possible de démarrer avec un CD-ROM de secours, type "rescue" de Debian, RedHat, Mandrake, les mini distributions Tomsrbt ou les CD Live comme DemoLinux, et de travailler sur les partitions après les avoir montées comme des partitions ext2 [18]. Autre solution, si vous avez l'habitude, comme moi, de travailler avec plusieurs noyaux (un 2.2, un 2.4 avec différentes options), vous pouvez configurer le système pour qu'il reconnaisse automatiquement le type de la partition, en changeant le type ext3 par auto dans le /etc/fstab. Ce n'est pas vraiment conseillé, mais chez moi, ça a l'air de fonctionner (sauf pour la racine /). Au boulot !
[1] puisque certaines informations qui auraient dû être écrire sont restées dans le cache mémoire, et sont donc perdues au redémarrage [2] Le type de partition le plus courant sous Linux [3] ça vient de "to mount", et de la commande mount ;-) [4] Sur une Redhat Mandrake ou SuSE, il s'agit de /usr/src/linux. Sur une Debian, c'est /usr/src/kernel-2.XX. Pour les autres distributions, je ne sais pas ;-) [5] Les noyaux compilés avec la plupart des distributions Linux possèdent déjà le support des SysReq Keys, vous évitant une recompilation inutile [6] Ça dépend des distributions, mais /etc/rc.d/rc.local, ou code>/etc/rcS.d/S01sysreq devraient faire l'affaire sur RedHat/Mandrake ou sur Debian... Sur une SuSE, il suffit d'activer un paramètre ENABLE_SYSRQ dans le fichier de configuration /etc/rc.config ou /etc/sysconfig/sysctl (SuSE 8.0). [7] ou Syst ou [Impr Ecr] sur un clavier Français, c'est à dire la touche de gauche sur le paquet de trois en haut, à droite de F12 [8] Ce n'est pas une contrepétrie. C'est vraiment une commande qui existe [9] Celui qui sort vos partitions de la "merde" [10] Si vous vous sentez en veine, tar cvpsf - /usr/src | tar -C /home/src -xf - n'est pas mal non plus. C'est à vous de voir ;-) [11] "read-only" c'est à dire en lecture seule [12] "read/write", c'est à dire en lecture, ET en écriture [13] Tiens, au passage, lorsque vous voyez le satané message system busy... il s'agit d'un ou plusieurs programmes démarrés sur le filesystem que vous essayez de modifier (monter, démonter, remonter). La commande fuser vous permet de savoir quel est le processus qui utilise un fichier donné : gaetan@nutella:~$ fuser -v /bin/bash USER PID ACCESS COMMAND /bin/bash mikael 7376 ....m bash gaetan 8216 ...e. bash nico 8515 ...e. bash Vous pouvez même demander à fuser de killer les process en question avec l'option -k. [14] A cause du fichier mtab [15] Sur le CD n° 5 de la Debian Woody, ou sur le CD d'installation de la Mandrake, il y a un noyau qui comprend l'ext3. Il n'est pas impossible que le noyau présent sur votre machine en dispose déjà, mais là ça dépend de votre installation. [16] Si vous compilez le support de l'ext3 sous forme de module, et que votre noyau (et vos modules) sont sur une partition ext3, que va-t-il se passer, à votre avis ? [17] On me signale l'utilisation possible de initrd afin d'ajouter le support de l'IDE ou du SCSI (et des système de fichiers compilés en module) avant le démarrage du système. Pour tout cela, référez vous à un article sur la compilation du noyau, par exemple : La page kernel de Lea-linux.org [18] La dernière Mandrake possède tous les outils nécessaires pour redimensionner une partition, y compris ext3, et le CD n°5 de la Debian Woody dispose du support de l'ext3 et de reiserfs. Ce sont donc de bonnes bases de travail. Un trÚs bon article (en anglais) sur les systÚmes de fichiers journalisés est dispo sur la Linux Gazette n°35. Une page de pointeurs sur les systÚmes d'urgence, ie. les rescue CD. Une page en français sur ext3, trouvée sur linux-france.org. Un article en français expliquant comment passer une partition en reiserfs.
Lire ses mails de n'importe où Aurélien DEHAY — 2002-08-09T00:00:00Z Avec plusieurs comptes de messagerie, Il faut se souvenir des logins, des mots de passe, relever les boîtes sans en oublier, etc. Il est plus pratique de rapatrier tous les emails sur une seule machine et, via Internet, consulter son courrier de chez ses amis, au travail ou en vacances. Cet article présente une des solutions possible : Posftix, Fetchmail, un serveur IMAP et l'interface Webmail Squirrelmail, le tout sécurisé par SSL. Présentation Il existe plusieurs manières de consulter ses mails sans rapatrier en local les messages. La méthode la plus simple consiste à se connecteur sur le service Webmail ou IMAP mis à votre disposition par votre fournisseur d'accès Internet, par exemple http://webmail.free.fr. Autre méthode non sécurisée : faire appel à telnet et relever les messages à distance (http://www.delafond.org/survielinux/ ou http://didierdescamps.free.fr/astuce.txt pour en savoir plus). Mais ces méthodes deviennent fastidieuses dès que le nombre de boîtes aux lettres augmente. Pourquoi cet article ? J'ai deux comptes de mails et je trouve plus pratique de récupérer les messages sur mon serveur de messagerie. Or, lorsque je suis hors de chez moi, je veux les lire et éventuellement y répondre. Comme ma machine est connectée via une connexion ADSL, je peux m'y connecter en permanence. L'idée étant de lire ses mails d'à peu près n'importe où, le problème de la sécurité se pose assez vite. Une des solutions consiste à tout faire passer au dessus de SSH, mais cela n'est pas très pratique voire impossible lorsqu'on est derrière un firewall ou un proxy. Je me suis donc penché sur une solution fondée sur le Web et sur SSL pour la consultation des mails à distance. Voici une liste des logiciels utilisés : – Apache pour le serveur Web (en SSL), – Postfix pour le serveur SMTP, – Courier-imap pour le serveur IMAP, – Fetchmail pour récupérer les emails des différentes boîtes, – Procmail pour le tri dans les maildirs, – Spamassassin pour éviter le spam (pourriel), – Squirrelmail pour le Webmail (consultation/envoi de mails via un navigateur Web). Concernant Postfix, c'est un serveur SMTP comme il y en a tant d'autres (Sendmail, Exim par exemple). J'ai choisi Postfix parceque les fichiers de configuration sont assez faciles a lire et qu'au tout début, je n'ai trouvé que de la documentation pour Postfix. Fetchmail et Procmail sont des logiciels assez connus, qui respectivement télécharge les messages d'une ou plusieurs boîtes aux lettres, et dépose ces messages dans les bonnes boîtes aux lettres locales. Procmail permet également d'effectuer des manipulations sur les messages, comme par exemple le lancement de Spamassassin pour chaque mail reçu. Spamassassin, contrairement à ce que son nom laisse croire, ne tue pas les spams, mais donne une note de 'spamitude' à tout les mails (voir cette liste pour la notation) et positionne un header (une en-tête) spécial si il considère que le mail est un spam. A charge ensuite au MDA (donc procmail ici) de traiter ce pourriel, pour le supprimer ou le mettre dans une boîte à lettres particulière. Installation Foin de troll trop violent. Mais je suis sous Debian. L'installation a donc été d'une simplicité outrageante : # apt-get install apache-ssl courier-imap squirrelmail fetchmail postfix procmail spamassassin Un système équivalent doit exister pour les autres distributions (je pense a urpmi par exemple). En théorie, si le système de paquetage est bien fait, et que les mainteneurs ont fait leur travail, apache-ssl et squirrelmail sont correctement configurés et fonctionnels [1]. Passons donc à la configuration du reste. Configuration de Fetchmail On peut utiliser Fetchmail de 3 manières : – Lancer un fetchmail par utilisateur (mode "normal"), – En root, on récupère les mails de tout le système (mode "root"), – En utilisateur non-root qui récupère les mails de tout le système (mode "non-root"). J'ai retenu la dernière solution, les deux autres étant connues et assez facilement configurables. La configuration de fetchmail n'influe pas sur le reste, tout ce que l'on veut, c'est un fetchmail qui fonctionne. Première étape, configurer fetchmail pour qu'il fonctionne en mode root : un fichier /etc/fetchmailrc qui doit par exemple contenir ce genre de chose : set postmaster "postmaster" set nobouncemail set no spambounce set properties "" poll imap.laposte.net with proto IMAP user 'aurelien.dehay' there with password 'XXXXXXX' is 'aurelien' here options keep poll pop.wanadoo.fr with proto POP3 user 'aurelien.dehay' there with password 'XXXXXXX' is 'aurelien' here options keep J'ai laissé les keep dans les options, cela permet de faire des tests sans perdre de mails. Je dis ça, vous êtes prévenus, ça m'est arrivé de perdre quelques mails avant de me rendre compte de ce qu'il se passait. A la place de keep, vous pouvez par la suite utiliser le paramètre fetchall. Il permet de récupérer tous les mails (utile la première fois) et ainsi, quand votre ordinateur est éteint, de lire les mails à partir du Webmail de votre ISP (Fournisseur d'Accès Internet) puis de les récupérer ensuite. A part ça, que du classique. Pour le fonctionnement en non-root, ce n'est pas beaucoup plus compliqué. Un utilisateur fetchmail (ça manque d'originalité, vous pouvez bien sûr l'appeler comme vous voulez) doit être créé, si il n'existe pas déjà (les manipulations sont, bien sûr, à effectuer sous le compte root) : adduser -g 65534 -d /var/run/fetchmail fetchmail – -g pour utiliser le groupe nogroup. Mettez le GID qui correspond à nogroup, ici 65534. En fait, vous mettez ce que vous voulez (100 pour users par exemple est pas mal non plus). – -d pour utiliser le répertoire /var/run/fetchmail comme répertoire maison (= répertoire utilisateur). Changez les utilisateurs/droits pour que ça aille bien : chown fetchmail:nogroup /etc/fetchmailrc chmod 600 /etc/fetchmailrc chown -R fetchmail:nogroup /var/run/fetchmail chmod 700 /var/run/fetchmail Reste ensuite à vérifier 2 choses : – Que le fichier /etc/default/fetchmail [2] (sur Debian) autorise le lancement de fetchmail en démon : SERVICE doit être à true dans ce fichier. – Que le script de lancement /etc/init.d/fetchmail écrive bien tout ce qu'il faut dans /var/run/fetchmail et pas ailleurs, sinon ça risque de ne pas fonctionner correctement. Voilà. Normalement, un lancement de fetchmail (évitez de le faire maintenant, surtout si votre fetchmailrc ne contient pas de paramètre keep ou si votre serveur SMTP n'est pas ou est mal configuré). Configuration Postfix Je vous laisse vous référer à cette excellente documentation. La configuration par défaut devrait convenir, mais j'ai préféré restreindre l'accès au serveur uniquement sur l'adresse locale. Vérifiez donc que vous avez bien ces deux lignes (une pour procmail, l'autre pour l'adresse d'écoute) dans votre /etc/postfix/main.cf mailbox_command = procmail -a "$EXTENSION" inet_interfaces = localhost La première ligne est la ligne par défaut qui nous permettra d'utiliser procmail. La dernière ligne est histoire de sécurité : elle force postfix à écouter uniquement sur l'interface "interne" (lo), il n'acceptera donc aucune connexion de l'extérieur, et résoud ainsi le problème d'un serveur mal configuré en Open Relay. Vous pouvez cependant supprimer cette ligne pour recevoir directement les mails à (votrenom@votredomain.com. Cela devrait fonctionner, voir cette documentation pour plus d'informations. Vous remarquerez que je n'ai pas choisi cette option pour une raison simple : mon ordinateur n'étant pas allumé en permanence, il se pourrait que je perde des mails. Voilà, c'est tout pour Postfix. Configuration de Spamassassin et procmail Spamassassin a très bien fonctionné une fois installé, mais si vous voulez plus d'informations, voir le répertoire /etc/spamassassin et surtout le man Mail::SpamAssassin::Conf. spamassassin est un logiciel basé sur un jeu de règle. Un logiciel a priori meilleur, mais que je n'ai pas encore testé est bogofilter. Ce dernier se base sur des règles Baysiennes pour les filtres. La seule chose notable a se souvenir pour spamassassin, c'est que tout mail ayant eu une note supérieure a 5 dans les tests sera considéré comme du spam et aura donc le header X-Spam-Status positionné a Yes, ce qui nous servira pour filtrer le mail avec procmail. Concernant procmail, il faut créer un fichier $HOME/.procmailrc qui contiendra par exemple ce qui suit : VERBOSE=no SHELL=/bin/sh PATH=/usr/local/bin:/usr/bin:/bin MAILDIR=$HOME/Maildir/ #you'd better make sure it exists LOGFILE=$HOME/.procmail/from #recommended ORGMAIL=$MAILDIR/emergency-inbox DEFAULT=$MAILDIR/new LOGFILE=$MAILDIR/.procmail.log #truc incompréhensible pour éviter les doublons #(lors d'un begaillement de list par exemple) :0 Wh: msgid.lock | formail -D 8192 msgid.cache :0fw | spamassassin :0: * ^X-Spam-Status: Yes $MAILDIR/SPAM/ La partie importante est le paramètre MAILDIR= qui doit pointer sur le répertoire où vous souhaitez mettre votre boîte aux lettres. Dans procmail, tout chemin qui se termine par un / est considéré comme un répertoire au format Maildir. Si le / n'y est pas, le chemin sera considéré comme celui d'une mbox unix normale. Dans l'exemple ci-dessus, spamassassin est lancé, et on traite tout ce qui est considéré comme du spam en le redirigeant vers le répertoire $MAILDIR/SPAM/, ce qui permet de vérifier si un mail normal n'a pas été considéré comme du spam. [3]. Vous pouvez également remplacer le répertoire par /dev/null, ce qui aura pour effet de supprimer définitivement les mails considérés comme du spam. Pour ce qui est du reste, voyez le manuel des exemples de procmail : man procmailex. Voici tout de même deux exemples concernant les filtres des listes de diffusion CLX et CLXWEB : :0 * ^List-Id:.*clx-web@gaia\.anet\.fr $MAILDIR/.CLXWEB/ :0 * ^List-Id:.*clx@gaia\.anet\.fr $MAILDIR/.CLX/ Configuration de Courier-imap La configuration de courier-imap s'effectue via le fichier /etc/courier/imapd. La configuration nécessaire est plutôt limitée pour ce que je voulais faire : la "mise en écoute" de courier-imap sur l'interface loopback uniquement. Il faut donc modifier la ligne ADDRESS dans le fichier /etc/courier/imapd en celle-ci : ADDRESS=127.0.0.1 On peut bien sûr modifierde nombreux paramètres dans les fichiers de configuration, mais comme cela marche ainsi, j'ai laissé les paramètres par défaut. Regardez tout de même ce fichier, surtout la dernière ligne, cela vous évitera certainement de mauvaises surprises à l'avenir. Conclusion Voilà, c'est théoriquement terminé. Il ne reste plus qu'à redémarrer tout le toutim dans l'ordre (indicatif) : – Apache-ssl, – courier-imap, – postfix, – fetchmail. En fait, l'important est de démarrer fetchmail après postfix pour éviter de perdre des mails. Essayez maintenant de vous connecter via Apache ou un client IMAP classique en local. procmail et spamassassin ne nécessitent pas de lancement, ils sont appelés à chaque mail reçu. Une fois que les tests sont bons, n'oubliez pas de remplacer le paramètre keep de la configuration de Fetchmail par fetchall. Tout devrait fonctionner sans problèmes. En cas de problèmes, voyez la lidie. [1] Enfin, comme les serveurs IMAP et SMTP ne sont pas encore configurés, vous ne pourrez pas encore lire vos mails avec Squirrelmail. [2] Ne vous formalisez pas si vous utilisez autre chose que postfix et que vous lisez ce fichier, surtout la partie décrivant le RUNASROOT [3] Pour les abonnés Wanadoo : la newsletter Wanadoo se retrouvera là-dedans par exemple. Pour une documentation et des explications plus poussées, reportez-vous à l'excellente documentation de Phandaal. Vous y trouverez en plus de la doc sur Samba et Cups. Notes de la Rédaction : Malheureusement, cette doc n'est plus accessible... FLI4L, un routeur RNIS/ADSL qui tient sur une disquette Eric M.C.DECLERCK — 2002-08-05T14:48:52Z Un vieux PC, une carte RNIS et une disquette suffisent pour construire un routeur/firewall pour un réseau local domestique ou d'une TPE. Comment ? Grâce à FLI4L. C'est quoi fli4l ? Fli4l est un routeur Ethernet, ISDN (RNIS), ADSL fondé sur Linux (Debian). Une seule disquette est nécessaire. Et il suffit d'un PC 486 avec 16 Mo de RAM pour créer un routeur. La disquette peut être créée sous Unix, Linux ainsi que sous Windows. Aucune connaissance spécifique à Linux n'est nécessaire mais il est néanmoins utile de maîtriser les commandes de base du système. Et une connaissance de base des réseaux telle que TCP/IP, DNS et routage est également conseillée. Par Eric M.C.DECLERCK eric.m.c.declerck@free.fr Caractéristiques : – Création de la disquette du routeur sous Unix, Linux et Windows, – Configuration à l'aide d'un seul fichier texte (ASCII). Support pour IP-Masquerading et Port-Forwarding (NAT et PAT), – Least-Cost-Routing (LCR) : sélection automatique du fournisseur d'Accès Internet en fonction d'un horaire prédéfini et du coût des communications, – Affichage du protocole de la connexion et calcul du coût des communications, – Client Windows/Unix/Linux imonc inclus (interface vers imond et telmond), – Upload de nouveaux fichiers via le client Windows, imonc (afin de mettre à jour le routeur), – Disquette de démarrage en vfat, – Utilisation possible de disquettes de 1680 ko, – Filtrage de paquets (Packet filter) : contrôle des accès vers les ports du routeur (firewall), – Utilisation d'interfaces virtuelles WAN appelées circuits, – Utilisation possible en parallèle des circuits ADSL et RNIS. Routeur : – Noyau Linux 2.2.19, – IP-Masquerading + PacketFilter pour la sécurité, – Serveur DNS afin d'éviter l'accès des PC Windows vers le WAN pour la plupart des requêtes, – Affichage des informations de connexion (monitoring) et LCR pour le serveur imond, – Gestion des appels téléphoniques entrants pour le serveur telmond. Support Ethernet : – Gestionnaires pour la plupart des cartes réseau : plus de 40 familles de cartes reconnues. Support ADSL : – Driver Roaring Penguin PPPoE avec Dial-on-Demand (numérotation à la demande facultative), – PPTP pour les connections ADSL en Autriche et Pays-Bas (EXPERIMENTAL). Support ISDN : – Drivers HiSaX actuels : support pour 37 adaptateurs ISDN, – Différentes variantes de connexion : in/out/callback, raw-ip/ppp, – Agrégation de canaux (Multilink PPP) : sélection automatique ou manuelle en fonction de la bande passante, – Sélection manuelle du second canal via le client Windows/Unix, – En option : routage IPX. Applications en option : (packages) – Serveur DNS, – Serveur DHCP, – Login SSH, – Service Telnet et/ou FTP, – Affichage online/offline simple par LED, – Programme d'affichage en LCD avec format changeable. – Console série en option (voir HOWTO : http://www.fli4l.de/german/extern/docu/stable/doc/english/html/akap_en.html), – Mini-serveur pour ADSL monitoring, – Module IPSEC, ipsec et pptp, – Restriction d'accès pour des réseaux distants, – Support PCMCIA (EXPERIMENTAL), – Protocole des messages sytème : syslogd et klogd, – Configuration des adaptateurs ISA-PNP : iaspnp tools, – Utilitaires supplémentaires pour le débogage, – Configuration du port série, – Système de secours pour le contrôle distant via ISDN, – Ecran LCD : affichage des connexions et du flux de données, – Serveur/routeur PPP via le port série, – Emulateur ISDN via le port série, – Serveur d'impression, – Accès au serveur de temps pour la synchronisation du réseau, – Exécution de commandes/procédures quand un appel téléphonique se présente (ex : Internet dial-in), – Support pour l'IP aliasing (permet d'avoir plus d'une adresse IP par carte réseau). Hardware : – ISDN : minimal : CPU 386 à 25MHz, recommandé : CPU 486 à 33 MHz, – ADSL : minimal : 486 CPU - DX2/66, recommandé : CPU 486 DX4/100 à 100 MHz ou CPU Pentium à 75 MHz, – Mémoire 8MB, recommandé : 16 MB, – Adaptateur Ethernet (support pour plus de 40 familles d'adaptateurs), – ISDN : adaptateur ISDN supporté par HiSaX (Type 1-37), AVM-B1 ISA/PCI ou ICN-2B, – Pas de disque dur, juste un lecteur de disquette, – Une disquette de démarrage contenant tous les fichiers nécessaires. Pour l'affichage des informations de contrôle du routeur FLI4L, une autre application est disponible : le client imonc. Ce programme est disponible pour Windows et pour Linux (unix/gtk-imonc). Pour Windows : http://www.wallmeier-online.de/imonc. Pour Linux et gtk : http://userpage.fu-berlin.de/ Ezeank/gtk-imonc. Vous trouverez ici d'autres clients pour KDE, Windows, etc. : http://www.fli4l.de/german/addons.htm. Site Web : http://www.fli4l.de. Auteur du programme : Frank Meyer. Vous trouverez ces informations en anglais et bien d'autres à l'adresse : http://www.fli4l.de/german/extern/docu/stable/doc/english/html/index_en.html. Installation Il est conseillé de commencer par une installation sur disquette. Mais, il est également possible d'installer fli4l sur un disque dur ou une cartouche Zip. Cette solution (utilisation d'une disquette) est idéale pour tout ceux qui possèdent un second ordinateur déjà relié en réseau via un hub (concentrateur) ou un switch (commutateur). Je vais ici décrire l'installation que j'ai faite pour un essai de connexion en ISDN. Afin de rendre les choses un peu difficiles j'ai choisi d'utiliser la carte Gazel ISA. L'équipement de mon réseau : 1. Cartes réseau D-LINK DFE-530TX, 2. HUB SMC 3616TC, 3. Câbles Cat5 non croisées, 4. Adaptateurs ISDN : _Gazel ISA-PNP, _ELSA microlink PCI. Ordinateur faisant fonction temporaire de routeur : Pentium 200 MHz muni d'un lecteur de disquette. Procédure : Il faut d'abord s'assurer que les utilitaires isapnp sont installés sur l'ordinateur qui fera fonction de routeur. – Faire un pnpdump > isapnp.conf-tmp, – Editer le fichier isapnp.conf-tmp. Enlever toutes les parties qui ne concernent pas la carte Gazel. Ne pas oublier de préciser l'IRQ et l'IO exact de la carte. Pour connaître ces deux paramètres, vous pouvez vous reporter aux informations fournies par le Gestionnaire de périphériques) de Windows (si Windows est installé sur le PC), ou bien lancer un utilitaire de configuration sous MS-Dos livré avec la carte ISDN, – Copier isapnp.conf-tmp sur une disquette (formatée en vfat) en le renommant en isapnp.conf. Attention, dans la doc on préconise de le faire après le démarrage du routeur. A éviter, cela ne marche pas ! Il est inutile de faire quoi que ce soit sous le compte root pour fli4l. Donc, restez sous votre compte utilisateur. – Télécharger fli4l-2.0.4.tar.gz depuis (http://www.fli4l.de/english/e_download.htm ou http://www.fli4l.de/german/download.php). – Télécharger isdn.tar.gz. – Télécharger gtk-imonc-0.1.6.tar.gz (trop fainéant pour taper les commandes au clavier :)), – Décompacter fli4l-2.0.4.tar.gz dans un sous-répertoire de mon dossier utilisateur. (ex : ˜/isdn-routeur), – Décompacter isdn.tar.gz dans le dossier fli4l-2.0.4/ (ex : ˜/isdn-routeur/fli4l-2.0.4/), – Décompacter gtk-imonc-0.1.6.tar.gz dans un sous dossier de mon dossier utilisateur, – Copier isapnp.conf qui se trouve sur la disquette dans ˜/isdn-routeur/fli4l-2.0.4/opt/etc/, – Aller dans ˜/isdn-routeur/fli4l-2.0.4/. POUR FLI4L : base.txt – Editer ˜/isdn-router/fli4l-2.0.4/config/base.txt, – L'adapter en fonction de sa configuration et des services que l'on souhaite mettre en place et sauver ensuite le fichier base.txt. POUR ISDN : gazel.txt – Aller dans ˜/isdn-routeur/fli4l-2.0.4/config/. – Editer le fichier isdn.txt. – L'adapter à sa configuration et l'enregistrer. Les deux fichiers joints sont des exemples pour MA configuration. Et maintenant construisons la disquette ! – Aller dans ˜/isdn-routeur/fli4l-2.0.4 et introduire une disquette vierge dans le lecteur, – Formater la disquette : fdformat /dev/fd0u1680 (de préférence, choisissez une disquette de bonne qualité pour utiliser ce format), – Pour plus de sécurité : ./mkclean.sh, – Compresser les fichiers nécessaires : ./mktgz.sh, – Copier les fichiers sur la disquette : ./mkfloppy.sh -h (le paramètre -h est nécessaire pour les disquette de 1680 ko). Puisque j'ai choisi une numérotation manuelle sous X-Window, construisons le programme gtk-imonc ! Remarque : pour les mordus du clavier, vous pouvez utiliser une application en console : imonc, à télécharger sur le site de fli4l.de). – Aller dans ˜/gtk-imonc-0.1.6, – Exécuter ./configure, – Exécuter ./make, – Exécuter su afin de basculer sous le compte root, – Exécuter ./make install afin d'installer le programme gtk-imonc dans /usr/local/bin. Vous pouvez par la suite repérer le fichier gtk-imoc.desktop et le copier ou le glisser à la souris vers le Bureau. Voilà ! C'est aussi simple que cela. Ne pas oublier si ce n'est pas déjà fait, de saisir les commandes suivantes (en root) : ifconfig eth0 192.168.12.x netmask 255.255.255.0 up route add default gw 192.168.12.1 eth0 Pour autant que votre réseau est le 192.168.12.0 !! Elles réinitialisent la carte réseau avec l'adresse IP correspondante au réseau sur lequel le routeur ISDN officie et ajustent la passerelle par défaut. Remplacez 192.168.12.x par l'adresse IP du poste de travail. La minute de vérité ! Introduisons la disquette dans l'ordinateur qui doit fonctionner en tant que routeur et mettons-le en route. ...syslinux..... ...kernel........ Messages d'erreur ??? Impossible ;-) Login : Saisissez votre login, puis votre mot de passe. ATTENTION, le clavier est en qwerty-US. Choisissez donc un mot de passe qui reste facile à mémoriser et qui ne fait pas appel aux lettres A, Q, Z, W et M. De retour à votre poste de travail, lancez gtk-imonc. Cliquez sur le bouton DIAL. Un témoin de connexion s'affiche dans le bas de la fenêtre. Have fun ! PS : toute la documentation officielle est dans le répertoire ˜/isdn-routeur/fli4l-2.0.4, malheureusement en allemand. Une liste de diffusion existe mais uniquement en allemand ! Je conseille de faire une deuxième disquette et, dans le fichier base.txt, de changer le paramètre : (pour le cas où :)) MOUNT_BOOT='ro' # mount boot device (floppy) : ro, rw, no Divers : A voir sur : http://www-public.tu-bs.de:8080/˜y0011440/Router_html/index.html. Voici une 'one-floppy' passerelle construite par Torben Baras. Il l'a nommé 'Silent Router'. Devinez pourquoi ;-) Construit à partir d'une carte mère 486-DX2 Intel 66 Mhz CPU dans un rack de 19" et fli4l. Voici le document original au format PDF : Le filtrage de spam sous Debian GNU/Linux Mathieu Bouju — 2002-07-24T12:16:19Z Les e-mails non sollicités (SPAM, ou encore POURRIEL) envahissent réguliÚrement vos boîtes à lettres électroniques ? Une seule solution : installez un systÚme de filtrage tel que Spamassassin. Le spam nous pourrit la vie, au moins autant que les 3 tonnes et demie de prospectus qu'on recoit chaque jour dans notre boîte aux lettres. Quoi de plus rageant que de mettre 10 minutes à récupérer 5 messages lorsque ces derniers se révèlent être du spam ? Il existe des outils adaptés au filtrage des mails. Spamassassin en est un. Packages nécessaires : spamassassin, procmail, fetchmail, qpopper et votre MTA préféré (sous Debian celui par défaut est exim, je lui préfère sendmail, mais les goûts et les couleurs...). Premier truc, installer tout ce joyeux bazar... su - # on passe en root apt-get install spamassassin procmail fetchmail qpopper exit # on quitte le root, c'est pas secure du tout On va d'abord configurer fetchmail, pour aller récupérer les mails sur les serveurs de notre FAI ou de n'importe qui d'autre. Configuration de Fetchmail Sous Debian, on a la possibilité de lancer fetchmail en tant que root (beurk) ou d'un utilisateur lambda créé pour l'occasion, fetchmail (quelle originalité :) ) J'ai passé la nuit à essayer de faire fonctionner fetchmail en non-root, puis j'ai abandonné, parce que vraiment... Je ne comprenais pas. Donc, j'ai modifié le fichier /etc/init.d/fetchmail de cette manière : OPTIONS="--daemon 30 --syslog" J'ai supprimé les fonctions testconfig et fixconfperms, qui ne me servaient plus à rien Et j'ai remplacé : – Dans la section "start" du script, la ligne : if start-stop-daemon ${START} \ "--command=${DAEMON} ${OPTIONS}" ${RUNUSER} <&- >/dev/null 2>&1 par if $DAEMON ${OPTIONS} then; – Dans la section "stop", la ligne : if su "--command=${DAEMON} --quit" ${RUNUSER} <&- >/dev/null 2>&1 par if kill $(pidof fetchmail) >/dev/null 2>&1 ; then echo "fetchmail." Ensuite, dans le fichier /etc/fetchmailrc, nécessaire au fonctionnement de Fetchmail à l'échelle du système (et non pas d'un utilisateur), j'ai saisi : poll serveur.fai.tld protocol pop3 username "utilisateur" pass "xxxxxx" is "user-unix" here Diverses options sont disponibles, comme keep, qui permet de garder une copie du message sur le serveur (attention, certains FAI apprécient modérément ça, et si, sur le serveur, la boîtes aux lettres dépasse une certaine taille (entre 5 et 20 Mo), ils bloquent la réception de nouveaux messages. Il faut veiller à établir les bons droits sur ce fichier (/etc/fetchmailrc). En effet, ça ne serait pas très intelligent d'autoriser tout le monde à lire ce fichier, qui contient les mots de passe de vos messageries électroniques en clair :) ) donc chown root.root /etc/fetchmailrc chmod 0600 /etc/fetchmailrc Depuis ce moment, votre machine interroge toutes les 30 secondes votre serveur pop (ça peut paraître rapide mais avec certaines mailing-list c'est obligatoire si on ne veut pas récupérer 800 mails en une fois), et envoie ces messages dans les comptes des utilisateurs. Maintenant, on va configurer Procmail pour utiliser spamassassin, qui est l'objet de cet article :p Configuration de Procmail Première chose, pour les utilisateurs de sendmail, il faut ajouter procmail dans la liste des programmes utilisables par smrsh... Pour ce faire : ln -s /usr/bin/procmail /etc/mail/smrsh/procmail Ensuite, créez dans le répertoire de l'utilisateur un fichier .procmailrc, contenant les "recipes" (ou règles) suivantes : PMDIR=$HOME/Procmail LOGFILE=$PMDIR/log MAILDIR=$HOME/Maildir :0fw | spamassassin -P :0: * ^X-Spam-Status: Yes spambox La première recipe consiste à passer tous les messages à la moulinette de Spamassassin, la seconde à mettre tous les messages considérés comme étant du spam dans un fichier à part, en l'occurence spambox. Ensuite, il faut dire au MTA de passer par Procmail pour distribuer les mails... C'est le rôle du fichier .forward (toujours dans le répertoire utilisateur), qui doit contenir : "| procmail" (oui, c'est tout) Maintenant, tous les messages qui vous sont envoyés passent par spamassassin, dont vous pourrez modifier la config qui se trouve dans le répertoire /etc/spamassassin, afin de l'assaisonner à vos besoins (pour le moment ça me convient tel que). Au final Pourquoi avoir choisi Spamassassin ? Parce que son système de notation du spam permet de régler très finement ce qu'on considère comme étant du spam, et, qu'à priori, les fichiers de config sont relativement faciles à lire. Voici le résultat d'un mail filtré avec Spamassassin : SPAM: -------------------- Start SpamAssassin results SPAM: FROM_NAME_NO_SPACES (-0.1 points) From: no spaces in name SPAM: MSG_ID_ADDED_BY_MTA (4.0 points) 'Message-Id' was added by a relay SPAM: KOREAN_UCE_SUBJECT (3.4 points) Subject: contains Korean unsolicited email tag SPAM: INVALID_MSGID (1.8 points) Message-Id is not valid, according to RFC-2822 SPAM: NO_REAL_NAME (0.5 points) From: does not include a real name SPAM: FROM_ENDS_IN_NUMS (0.4 points) From: ends in numbers SPAM: PLING (0.1 points) Subject has an exclamation mark SPAM: MAILTO_TO_SPAM_ADDR (0.5 points) URI: Includes a link to a likely spammer email address SPAM: MAILTO_LINK (0.8 points) BODY: Includes a URL link to send an email SPAM: SUBJ_FULL_OF_8BITS (4.3 points) Subject is full of 8-bit characters SPAM: DATE_IN_PAST_12_24 (1.7 points) Date: is 12 to 24 hours before Received: date SPAM: CTYPE_JUST_HTML (1.7 points) HTML-only mail, with no text version On voit ci-dessus que Spamassassin note chaque composant type d'un mail de spam, et détermine de la sorte si le mail peut être considéré comme étant du spam. – SPAMassassin – Sendmail, ou sur le site CLX – Procmail – Des articles sur le fonctionnement général d'une messagerie et sur SPAMassassin http://www.troubleshooters.com/lpm/... Introduction au protocole HTTP Sebastien Couret — 2002-07-18T14:53:06Z De nos jours, "surfer" sur le Web est un acte entré dans le quotidien de bons nombre de personnes. Nous sommes de plus en plus nombreux à utiliser ce service par le biais de logiciels appelés "navigateurs", "butineurs" ou encore "browsers" pour les anglicistes. Et ceci bien sûr avec grand plaisir. Malheureusement,(d'aucuns diront heureusement) peu d'entre-nous savent ce qui se cache sous les clics de la souris. Aussi c'est dans une suite d'articles à la technicité croissante que je me propose de vous faire découvrir la face cachée du Web. Cet article, le premier volet de la série présente les bases nécessaires pour aller plus en avant. INTRODUCTION Le protocole HTTP est parmi tous les protocoles applicatifs sûrement celui dont l'utilisation est la plus courante chez les néophytes. Un peu comme Mr Jourdain qui fait de la prose sans le savoir, tous ceux qui "surfent" sur le web utilisent le protocole HTTP. Cet article a pour but d'entrer plus profondement dans le fonctionnement de ce fameux protocole HTTP afin de vous faire découvrir ce que fait votre navigateur préféré dans votre dos... PRESENTATION Nous allons par la suite utiliser le terme "client" pour parler de la machine sur laquelle s'exécute le navigateur et de "serveur" pour la machine qui renvoie les documents voulus (par exemple clx.anet.fr). De façon basique le client demande un document au serveur. Ce document est identifié via son URL [1]. Apprendre à lire une URL Voyons comment "lire" une URL : – Voici un exemple simple d'URL : http://10function.kicks-ass.org/back.jpg Un URL peut être décomposée en un certain nombre de champs comme suit : – http désigne le protocole utilisé. On peut aussi trouver des valeurs comme ftp, https, gopher ... Seul http nous intéresse pour l'instant. – :// est un séparateur qui permet de différencier le nom du protocole de la suite de l'URL. – 10function.kicks-ass.org désigne le nom d'hôte de la machine sur laquelle se trouve le document requis. Remarquez que le nom du serveur Web ou serveur HTTP peut aussi être identifié par une adresse IP comme 80.118.2.10. – / est un nouveau séparateur qui indique la fin du nom d'hôte du serveur. – On trouve ensuite la localistation du document sur le serveur. Ici back.jpg donne le nom du document. On peut voir rapidement qu'il s'agit d'un fichier nommé back.jpg, et de par son extension qu'il s'agit sans doute d'une image. Il arrive que l'on ait une URL un peu plus complexe comme : http://10function.kicks-ass.org:80/books/ruhacker.txt On retrouve une syntaxe proche de la précédente avec quelques "suppléments" : – :80 Indique le port TCP utilisé pour communiquer avec le serveur. Dans 95% des cas il s'agit du port 80 qui est le port standard pour un serveur HTTP. Remarquez que ne pas mentionner ce numero de port indique implicitement le port 80. – /books/ruhacker.txt Est le nom et l'emplacement du document voulu sur le serveur. Il est ici un peu plus complexe que précédement car il s'agit d'un chemin complet (un path) ; il faut donc "lire" que le document est 'ruhacker.txt' et qu'il se trouve dans le répertoire /books/. Si ce le nom du document n'est pas indiqué, et que seul le répertoire est mentionné, ce qui est très courant, le serveur renvoie un document défini comme étant le document par défaut dans son fichier de configuration [2] FONCTIONNEMENT Lorsque vous voulez "naviguer" sur le web. Vous commencez en général par saisir 'l'adresse du site' [3]. (ex : http://clx.anet.fr). Pour surfer, l'URL est la seule chose que vous ayez à fournir à votre navigateur dans la zone de saisie (la barre d'adresse). Quand vous cliquez sur un lien vous remarquerez que le navigateur remplit cette zone à votre place. Un lien n'est en fait ni plus ni moins qu'une URL vers une autre page. Après quelques instants, le navigateur affiche le document demandé. Mais voici ce qui se passe en réalité... en "coulisse". – Le navigateur (ou client) analyse (on dit parse en franglais informatique) l'URL qui lui a été fournie et tente d'établir un session TCP [4] avec l'hôte mentionné, sur le port indiqué, et via le protocole choisi. – Si la connexion s'effectue, le client envoie une requête HTTP vers le serveur (Le nom du document est inclu dans cette requête). – Le serveur reçoit et analyse cette requête puis recherche le document correspondant et s'il le possède renvoie l'ensemble du document précédé d'une "en-tête" de son cru vers le client. Il ferme ensuite la session TCP. – Le navigateur interprète (c'est à dire traduit) le document reçu sous une forme simple pour nous autres humains. *S'il s'agit d'une image, il l'affiche ; *S'il s'agit d'un texte, il l'affiche également ; *S'il s'agit d'une page HTML (ou page Web), il recherche les URLs désignant les documents inclus dans la page (images,sons,frames...) et reprend le processus au point 1) pour chacune de ces URL. *S'il s'agit d'un son (MP3/WAV/OGG VORBIS...), il lance le logiciel associé (ce dernier étant installé sur votre système). – Vous regardez ébahi, le résultat (de même pour cet article). PRATIQUE Fort bien. Après la théorie, passons à la pratique. Le protocole HTTP est un protocole assez ancien, l'échange se fait donc en mode texte. Il n'est ainsi pas nécessaire de coder des structures particulières pour communiquer avec ce protocole. En fait un simple client comme telnet suffit. Allez, c'est parti, nous allons simuler à la main le fonctionnement d'un navigateur. 1) On va établir la connection avec le serveur sur le port 80 : lucif3r:~$ telnet clx.anet.fr 80 Trying 80.118.2.10... Connected to gaia.anet.fr. Escape character is '^]'. 2) A partir de ce moment, le serveur attend une requête de notre part. Une requête très simple serait GET / \n \n le caractère '\n' correspond à un retour à la ligne, c'est à dire un appui sur la touche Entrée 3) A la réception de cette requête, le serveur vous renvoie le contenu du document par défaut. Puis clot la connexion : [ COUPE CAR TROP LONG ] Connection closed by foreign host. lucif3r:~$ La phase 4) est en fait une mise en page du document HTML qui apparait sous sa forme brute (le source) dans la réponse donnée par telnet. Easy non ? Les requêtes peuvent évidement être beaucoup plus complexes. Voyons de plus près ce qu'il est possible de faire : LES REQUETES HTTP Pour simplifier, nous allons nous intéresser aux trois requêtes les plus courantes. – GET : Comme nous venons de le voir GET permet de récupérer un document sur le serveur. – HEAD : Fonctionne comme GET, mais ne retourne qu'un en-tête e HTTP sans le corps du document. Ce type de requête peut être utile pour connaitre la taille du document par exemple. – POST : Permet d'envoyer des données au serveur dans le corps de la requête. En effet jusqu'à maintenant nous avons vu que les données étaient toujours envoyées par le serveur. Mais il arrive que le navigateur doive lui aussi faire parvenir des données au serveur. Le cas le plus courant est un formulaire où l'on vous demande vos coordonnées par exemple. Donc la requête commence en général par une commande GET, HEAD ou POST suivie du chemin du document à chercher. – / : Permet d'aller chercher le document par défaut qui est en général la page d'accueil du site. Mais on peut très bien mentionner un chemin complet : par exemple : lucif3r:~# telnet 10function.kicks-ass.org 80 Trying 80.13.111.104... Connected to 10function.kicks-ass.org. Escape character is '^]'. GET /books/ruhacker.txt \n \n Permet d'obtenir la prose de ReDragon.(Je rappelle que \n signifie entrée). En réalité les navigateurs ne se contentent pas de requêtes aussi simples, ils fournissent (parfois à votre insu) d'autres informations à la suite du GET. Il peut aussi s'agir de négocier certaines options comme la langue ou les tables de caractères supportées. Il s'agit de ce que nous appelerons une en-tête HTTP. L'entête HTTP (Envoyée par le client) L'entête est généralement une liste de variables et de valeurs associées. Voici un tableau recensant ces variables : Date Date et heure de génération de la requête Authorization Permet d'accéder à des ressources protégées par un mot de passe From Adresse e-mail de l'utilisateur effectuant la requête If-Modified-Since Spécifie une date permettant d'introduire une condition (GET conditionnel) Referer Pointe sur l'URL de la page à partir de laquelle le document est demandé. User-Agent Identifiant logiciel de navigation employé.(w3M RuleZ) Content-Type Type de données contenues dans le corps de la requête (Dans le cas d'un POST) Content-Length Longueur du corps éventuelle de la requête Content-Encoding Indique un codage supplémentaire associé à la ressource accédée. Connection Comportement désiré au niveau des connections persistantes. Accept Indique la liste des types de données supportées par le client Accept-Charset Enumère la ou les tables de caractères supportées Accept-Encoding Précise une spécification du type d'encodage accepté pour la réponse Accept-Language Spécifie la liste des langues préférés de l'utilisateur Host Indique le nom du serveur(+no de port) à partir duquel le document doit être récupéré.(cf VirtualHost) Tout d'abord, il faut savoir que pour utiliser ce type d'enttête, il faut mentionner à la suite de la requête la version du protocole utilisée. (en général HTTP 1.0 ou HTTP/1.0 voire HTTP 1.1 ou HTTP/1.1) Parmis toutes ces variables celle qui me parait la plus importante est 'Host'. En effet la plupart des serveurs HTTP - pour ne pas dire tous - n'hébergent pas qu'un seul site, pour des raisons d'économie d'adresses IP. On fait alors appel au virtual-host pour les distinguer les uns des autres. En pratique la valeur fixée avec Host permet d'arriver sur une racine de site différente, et d'associer plusieurs noms de sites à une seule et même adresse IP. Par exemple : lucif3r:~$ telnet clx.anet.fr 80 Trying 80.118.2.10... Connected to gaia.anet.fr. Escape character is '^]'. GET / HTTP 1.0\n Host:clx.anet.fr\n HTTP/1.1 200 OK Date: Sat, 13 Jul 2002 22:07:28 GMT Server: Apache/1.3.9 (Unix) Debian/GNU PHP/3.0.18 mod_ssl/2.4.10 OpenSSL/0.9.4 mod_perl/1.21_03-dev Last-Modified: Sun, 12 May 2002 11:52:42 GMT ETag: "7a81-7f-3cde578a" Accept-Ranges: bytes Content-Length: 127 Connection: close Content-Type: text/html; charset=iso-8859-1 Connection closed by foreign host. Nous permet de demander la page de garde du clx. Remarquons dès lors que le serveur a répondu en insérant lui aussi une en-tête HTTP. Nous allons donc détailler un peu plus l'en-tête HTTP retournée. L'en tête HTTP (Renvoyée par le serveur) Accept-Range Permet au serveur d'indiquer s'il accepte l'accès à des portions de documents et, si oui,avec quelle granularité(au niveau de l'octet par exemple) Content-length Taille du flux de sortie(en octets), considéré comme étant un binaire Content-type Type MIME du flux de sortie Date Date et heure de génération de la réponse Last-Modified Date de dernière modification Expires Date et heure de fin de validité du document, lequel doit alors être chargé à nouveau par le serveur. Pragma Document caché / non caché Status Etat de la requête (ne doit en aucun cas figurer dans un intitulé complet) Server Logiciel et version du serveur HTTP Location Redirection du serveur (ne doit en aucun cas apparaître dans un intitulé complet.)(Codes de statut 301 et 302) WWW-Authenticate Demande l'authentification de l'utilisateur(Réponse de type 401) Refresh Le client doit charger à nouveau le document mentionné Set-Cookie Le client stocke les données spécifiées, qui peuvent alors être conservées en mémoire entre deux requêtes Avec un peu d'attention, vous aurez sans doute remarqué que le serveur débute l'en-tête de la réponse par une chaîne du type : HTTP/1.1 200 OK HTTP/1.1 est la version du protocole utilisé par le serveur. 200 est un code de retour dont nous allons détailler tout de suite les valeurs. OK est le message associé à la valeur de retour. Code de retour 200 Réussite 201 Réussite et création d'un nouveau document (POST) 202 Requête acceptée, traitement en cours 204 Aucune Réponse (corps vide) 301 Document déplacé permanent 302 Document déplacé temporairement 304 La ressource demandée n'a pas été modifiée (GET conditionnel) 400 Erreur de syntaxe dans la requête envoyée 401 Autorisation non valable 403 Accès interdit 404 Introuvable 500 Erreur système 501 Opération non implémentée 502 Le serveur, utilisé comme intermédiaire, a reçu une réponse invalide du système accédé pour le compte du client 503 Service indisponible Voilà, c'est tout pour aujourd'hui... Bon test, et à bientôt ! [1] Uniform Ressource Locator [2] En général, le document par défaut se nomme index.html, index.htm ou index.php (sur un serveur apache) et default.htm, default.htm sur un serveur propriétaire Microsoft IIS [3] ie. l'URL [4] Une session TCP est une connexion avec un serveur distant

Compatible ?	Mutt	Kmail	Sylpheed	Mozilla	Gnus	Pine	IMP
Mutt	X	Oui [1]	?	?	?	oui	oui
Kmail		x	?	?	?
Sylpheed			x	?	?
Mozilla				x	?
Gnus					x
Pine						x	oui
IMP							x

Date	Date et heure de génération de la requête
Authorization	Permet d'accéder à des ressources protégées par un mot de passe
From	Adresse e-mail de l'utilisateur effectuant la requête
If-Modified-Since	Spécifie une date permettant d'introduire une condition (GET conditionnel)
Referer	Pointe sur l'URL de la page à partir de laquelle le document est demandé.
User-Agent	Identifiant logiciel de navigation employé.(w3M RuleZ)
Content-Type	Type de données contenues dans le corps de la requête (Dans le cas d'un POST)
Content-Length	Longueur du corps éventuelle de la requête
Content-Encoding	Indique un codage supplémentaire associé à la ressource accédée.
Connection	Comportement désiré au niveau des connections persistantes.
Accept	Indique la liste des types de données supportées par le client
Accept-Charset	Enumère la ou les tables de caractères supportées
Accept-Encoding	Précise une spécification du type d'encodage accepté pour la réponse
Accept-Language	Spécifie la liste des langues préférés de l'utilisateur
Host	Indique le nom du serveur(+no de port) à partir duquel le document doit être récupéré.(cf VirtualHost)

Accept-Range	Permet au serveur d'indiquer s'il accepte l'accès à des portions de documents et, si oui,avec quelle granularité(au niveau de l'octet par exemple)
Content-length	Taille du flux de sortie(en octets), considéré comme étant un binaire
Content-type	Type MIME du flux de sortie
Date	Date et heure de génération de la réponse		Last-Modified	Date de dernière modification
Expires	Date et heure de fin de validité du document, lequel doit alors être chargé à nouveau par le serveur.
Pragma	Document caché / non caché		Status	Etat de la requête (ne doit en aucun cas figurer dans un intitulé complet)
Server	Logiciel et version du serveur HTTP	Location	Redirection du serveur (ne doit en aucun cas apparaître dans un intitulé complet.)(Codes de statut 301 et 302)
WWW-Authenticate	Demande l'authentification de l'utilisateur(Réponse de type 401)
Refresh	Le client doit charger à nouveau le document mentionné
Set-Cookie	Le client stocke les données spécifiées, qui peuvent alors être conservées en mémoire entre deux requêtes

200	Réussite
201	Réussite et création d'un nouveau document (POST)
202	Requête acceptée, traitement en cours
204	Aucune Réponse (corps vide)
301	Document déplacé permanent
302	Document déplacé temporairement
304	La ressource demandée n'a pas été modifiée (GET conditionnel)
400	Erreur de syntaxe dans la requête envoyée
401	Autorisation non valable
403	Accès interdit
404	Introuvable
500	Erreur système
501	Opération non implémentée
502	Le serveur, utilisé comme intermédiaire, a reçu une réponse invalide du système accédé pour le compte du client
503	Service indisponible

Club LinuX Nord-Pas de Calais

Tutoriel : comment créer une bibliobox à partir d'une piratebox sur un raspberry pi 3

Déployer un firewall sous Xen pour ma soeur.....

Automount et smbfs : 10 ans après

Exemple avec une kubuntu 12.04

Vimproved, bizarrerie ou non ?

Contexte

Sed

Vim

Sed , quick & dirty tips

Remplacer .jpg par rien

Remplacer par bloc

RPM : Faites-le vous même !

5- RPM : Faites-le vous même !

outils accessoires et liens

Conclusion

4- Quelques exemples

exemples vécus

3- La démarche

En pratique

2- Les principes de la création d'un RPM

Les principes

1- Pourquoi créer ses propres paquetages

Des raisons de créer ses RPM

Installer la MandrakeLinux sans CD-Rom

Les pré-requis

La configuration préalable

La Configuration de la connexion

Ajout d'un serveur proxy

Configuration de la connexion au serveur FTP

L'installation

Fiabilité, rapidité et problèmes rencontrés

DMA - Direct Memory Access

Sous Debian

Avec Mandrake

Avec SuSE

Introduction à screen

Premier lancement

Navigation dans les terminaux

Détacher et réattacher les terminaux

Détection des silences et des activités

Autres fonctionnalités

Lutter efficacement contre les contenus SMTP dangeureux (1)

Le problème

La solution

Vite, un exemple pour illustrer cette théorie

Le prochain article

Ressources

Mettre en œuvre LVM

Principe de LVM

Mettre en oeuvre LVM

Réaliser un snapshot

Exemple d'utilisation pour la sauvegarde d'un système de fichiers

Références

Peut-on utiliser plusieurs logiciels de courriel ?

Peut-on faire confiance à plus d'un logiciel de courriel ?

Courriel : les duos qui marchent

Editeurs de texte orienté LaTeX

Gérer une zone "alias"

Fonctionnement de la résolution DNS

Les fichiers de zone de BIND

Les alias

Le resolver unix

Vous avez un DNS local

Lire les fichiers de zone et créer la zone alias

En savoir plus

Mettre à jour une Free-EOS

Introduction rapide

Mise à jour par réinstallation d'une version plus récente

Mise à jour par installation d'une archive

Signature aléatoire dans les emails

Déclarer ses revenus sous Linux

Bien configurer son système

Obtenir un certificat électronique

Redémarrer son navigateur

Automount et smbfs

Installation d'autofs

Configuration d'automount

Lancement du démon automount

Ajout du lien symbolique et test