Club LinuX Nord-Pas de Calais

La corbeille sous le shell

Olivier Duquesne (DaffyDuke) — 2010-12-17T13:25:35Z

Et oui, qui n'a jamais rippé sur le rm et souhaité vouloir récupérer ses fichiers, les a cherché dans la corbeille GNOME, a cherché après un undelete quelconque. A on aimerait avoir l'option "undo" à rm. Mais non, que neni, ce n'est pas dans la philosophie des administrateurs systèmes....

Un ami (Christophe Van Renterghem) vient de coder une solution pour remédier à ce manque, un frontend à rm afin de sécuriser la commande, mieux que l'option -i (interactive). Cette fois, rm déplace les fichiers ou les dossiers à supprimer dans la corbeille de GNOME et ajoute un timestamp qui va bien si une version existe déjà... Le script fonctionne sous une Ubuntu Maverick. L'absence de shell en début de script est normal, il est inclus par le .barshrc. Et surtout, n'oubliez pas de positionner un alias sur la commande rm pour passer dans les fonctions ci-dessous :

Le voici ci-dessous (.rm.bash) :

# mode debug # set -x # Pas de paramètres, on sort if [ $# -eq 0 ] then exit 1 fi recursive=1 nobin=1 optNoBin=- optFileOrDir=- param=1 # Options passées (r=récursif, f=force, s=suppression définitive, i=interactif, v=verbeux) while getopts hHrRfFsSiIvV arg do param=0 case $arg in h | H)	echo "usage: rm [-frsiv] file ... (f=force, r=recursive, s=suppress definitively, i=interactive, v=verbose)" exit 0;; r | R)	recursive=0 optNoBin=${optNoBin}r;; f | F)	optNoBin=${optNoBin}f optFileOrDir=${optFileOrDir}f;; s | S)	nobin=0;; i | I)	optNoBin=${optNoBin}i optFileOrDir=${optFileOrDir}i;; v | V)	optNoBin=${optNoBin}v optFileOrDir=${optFileOrDir}v;; \?)	exit 2;; esac done if [ ${optNoBin} = "-" ] then optNoBin= fi if [ ${optFileOrDir} = "-" ] then optFileOrDir= fi if [ $param -eq 0 ] then shift fi # Répertoire Poubelle directory=~/.local/share/Trash/files while [ $# -gt 0 ] do # Suppression définitive if [ $nobin -eq 0 ] then /bin/rm ${optNoBin} "$1" #Poubelle else fullName=readlink -f "$1" name=basename "${fullName}" dirname=dirname "${fullName}" # Fichier ou répertoire déjà existant dans la corbeille if [ -e "${directory}/${name}" ] then name=${name}.date +%s fullName=${dirname}/${name} fi newDest=${directory}/${name} ok=0 # Fichier ou répertoire inexistant if [ ! -e "$1" ] then ok=1 echo "$1: No such file or directory" # rm (-f) fichier elif [ -f "$1" ] then mv $optFileOrDir "$1" "${newDest}" # rm -r(f) répertoire elif [ -d "$1" -a $recursive -eq 0 ] then mv $optFileOrDir "$1" "${newDest}" # rm (-f) répertoire => erreur elif [ -d "$1" ] then ok=1 echo "rm: $1 is a directory" else ok=1 fi # Ecriture des infos de restaure du fichier if [ $ok -eq 0 ] then trashinfo=~/.local/share/Trash/info/$name.trashinfo echo "[Trash Info]" > "$trashinfo" echo "Path=$fullName" >> "$trashinfo" echo "DeletionDate=date +%FT%T" >> "$trashinfo" fi fi shift done exit 0

Debian et Carte Graphiques ATI : Mini How-TO

Damien VIGNERON — 2005-04-14T19:44:46Z

ATI. De bonnes cartes vidéo, de bonnes performances. Par défaut, et selon les versions de l'interface graphique X sous Linux, l'utilisation de ces cartes ne se fait pas au maximum de ses possibilités.
Pourtant, quelques manipulations simples permettent d'exploiter les fonctions avancées, et les différentes méthodes d'optimisation de l'affichage. Petite mise en lumiÚre, pour un gain de performances ... visible.

I) Installation des sources du noyau

Premièrement on va déterminer quelle version du noyau tourne sur votre machine, puis installer les sources correspondantes :

Pour déterminer la version du noyau, saisissez dans une console, la commande suivante :
uname -r

Installation des sources correspondantes :
apt-get install kernel-source-XXXXX

Par exemple si votre noyau est le 2.4.24, la commande uname -r affichera 2.4.24 et vous taperez donc :
apt-get install kernel-source-2.4.24

Attention, si votre noyau est le 2.4.18-bf24 d'origine sur la Debian
Woody, il va falloir changer de noyau via apt-get, les sources n'étant pas disponibles. Désolé...

II) Détermination de la version de Xfree86 et récupération du bon driver

Il faut maintenant connaître la version du serveur X.
Pour cela, on va tout simplement demander au gestionnaire de packages :

dpkg -l | grep xserver-xfree86

Dans le résultat de cette commande, vous devriez voir quelque part 4.1, 4.2 ou 4.3. Notez bien ce numéro.
Maintenant, direction le site ATI afin de récupérer le driver ou pilote correspondant.
Avec Mozilla, en haut de la page Web, vous remarquerez un bandeau. Cliquez sur "Drivers & Software", puis choisissez "Linux Drivers and Software ", et enfin sélectionnez la version de votre carte graphique. par exemple, optez pour le lien RADEON 8500 Series and higher si votre ordinateur est équipé d'une carte ATI récente.
Vous arriverez à une page proposant le téléchargement des drivers pour Xfree86 4.1.0, 4.2.0 ou 4.3.0 et même Xorg 6.8.
Téléchargez celui qui correspond à la version déterminée au paragraphe précédent.

III) Conversion et installation du driver

Nos amis de chez ATI n'ont visiblement pas pensé à nous autres pauvres
utilisateurs de Debian, leur driver est au format RPM. Bon, pas de problème, on va le convertir dans un format plus sympathique pour notre distro préférée.
Pour cela, nous allons utiliser l'utilitaire alien [1], que nous installons comme ceci :

apt-get install alien

Allez dans le répertoire contenant le driver au format RPM, puis convertissez
le paquetage du pilote :

alien "nom du package du pilote ATi"

Par exemple : alien fglrx-4.1.0-3.7.6.i386.rpm

Cela créera dans le répertoire un package .deb portant presque le même
nom, que nous allons installer immédiatement :

dpkg -i --force-overwrite "nom du package .deb"

Par exemple : dpkg -i --force-overwrite fglrx_4.1.0-3.7.6_i386.deb

Voilà, les sources du driver sont installées ; maintenant il va falloir compiler quelques trucs.

IV) Compilation du driver

Pas de panique c'est simple : on va rendre deux scripts exécutables, et les lancer. Rien de sorcier.

Allez dans /lib/modules/fglrx/build_mod, Rendez le script make.sh exécutable, puis exécutez-le :

cd /lib/modules/fglrx/build_mod chmod +x ./make.sh ./make.sh

On descend d'un répertoire, et on fait la même chose pour le script make_install.sh :

cd .. chmod +x ./make_install.sh ./make_install

Voilà, normalement tout est installé. Il ne reste plus qu'à configurer le driver.

V) Configuration du driver

A partir de maintenant, tous les réglages doivent être effectués à l'aide du programme fglrxconfig. Faites une copie de sauvegarde du fichier XF86Config-4 [2], puis lancez le programme de configuration :

fglrxconfig

Et répondez aux questions posées, qui sont à peu de chose près les mêmes
auxquelles vous avez répondu lors de l'installation du serveur X :
configuration du clavier, device de la souris (/dev/psaux pour les
souris PS/2), etc.
Sachez que les choix par défaut sont généralement très bien, donc si
vous bloquez sur une question, appuyez simplement sur la touche Entrée pour
utiliser le réglage par défaut. A la fin, autorisez le programme à
écrire le fichier XF86Config-4 afin de sauvegarder votre config.

VI) Pour finir...

Il ne reste plus qu'à relancer le mode graphique. Pour cela,
déloguez-vous, puis appuyez simultanément sur la combinaison de touches Control-Alt-Backspace pour
tuer le serveur X.
Normalement il se relance tout seul et la nouvelle configuration est active :)

Sur les Desktops récents (versions récentes de KDE et Gnome), un
utilitaire permet de changer directement la résolution, comme sous
Windows. Sinon, les bonnes vieilles combinaisons Control-Alt-+ et
Control-Alt— devraient fonctionner.

Martins Armando, Vigneron Damien, un Anonyme sur un forum

[1] Alien permet de convertir les paquetages des distributions autres que Debian, dans un format .deb. La gestion des dépendance n'est pas toujours parfaite, mais en général, pour un paquetage isolé, cela fonctionne plutôt bien.

[2] par exemple, avec une commande

 cp /etc/X11/XF86Config-4 /etc/X11/XF86Config-4.orig

Récupérer les données d'une clef USB

Vincent Beuselinck — 2004-06-28T13:57:26Z

Ma clef USB (contenant 384 Mo de données précieuses) a fait un vol plané. Linux ou Windows ont eu la même réaction : partition non formatée. C'est toujours à ce moment là qu'on se rend compte que la derniÚre sauvegarde a plus d'un mois...

Instant idéal pour prendre le temps d'étudier les commandes linux de sauvegarde, copie, exploration et tuttiquanti.

Cet article n'a pas pour ambition de vous donner une méthode infaillible ou efficace pour récupérer les données perdues mais de vous présenter par un exemple vécu quelques outils simples et utiles pour sonder sa clef.

Tout d'abord la première chose à faire est de ne pas jouer les apprentis sorciers : ne pas détruire encore plus les données qui s'y trouveraient encore avec des logiciels spécialisés dont j'ignore les actions et performances.

Nous travaillerons donc sur une copie de la clef USB.

« dd » est un outil de copie.Dans la mandrake il est installé d'office. Sa syntaxe est assez simple :

dd if=fichier_d'entrée of=fichier-de-sortie

Les options les plus courantes sont :
bs=taille_d'un_bloc-secteur
count=nombre_de_blocs_à_lire

Par exemple, la commande suivante crée une copie des 512 premiers octets de la partition 1 du disque 1 sur la première nappe IDE. C'est le "Master Boot Record" (MBR) ou "secteur de démarrage" :

dd if=/dev/hda of=./lesecteurmbr.dd bs=512 count=1

Notre clef étant reconnue comme un périphérique "sda", nous copierons donc sa première partition dans un fichier.
Notre commande sera donc ici :

dd if=/dev/sda1 of=./maclef.dd

Ce fichier maclef.dd fait quasiment 488 Mo, ça tombe bien puisqu'il s'agit presque de la taille de ma clef, donc de la partition unique qui s'y trouve.
Attention, j'ai voulu servir l'option bs de façon très réduite (bs=1) car j'ignorais la taille réelle des secteurs qui s'y trouvaient. Quelle mauvais idée : la copie était d'une lenteur... Finalement après plusieurs essais (512, 2048...), j'ai oté ce paramêtre car cela ne changeait rien sur le fichier résultant.

mc [1] est le couteau suisse du mode console. Il permet entre autres fonctions de naviguer parmi les répertoires, visualiser les fichiers textes, changer les droits, copier, effacer, détruire...

Nous naviguons donc dans la liste des fichiers pour sélectionner maclef.dd. Un appui sur la touche F3 permet d'en visualiser le début et de me rendre compte qu'un octet sur deux est un point. Un appui sur la touche F4 permet de visualiser en mode hexadécimal. Je me rends alors compte qu'un octet sur deux est à zéro.

A force de regarder ces caractères bizarres, j'arrive à repérer N.N.M. . . . précédé de F.T.2 puis r.s. .a.y. .k.y. Un cruciverbiste aurait probablement complété plus vite que moi les lettres manquantes : "NONAME", "FAT32" ainsi que "press any key". A l'aide de la touche F6, je recherche le texte complet et le trouve un peu plus loin. Je venais de redécouvrir que la FAT est inscrite deux fois sur un disque ! La même séquence commence sur la ligne C00 mais au complet. Plus de pointillé.

"C00", Kcalc [2] (et son bouton "base") me transforme cette valeur en nombre décimal : 3072 octets.

Visiblement, seuls les 512 premiers octets de ma clef ont ce syndrôme du pointillé (ce caractère nul, une fois sur deux), je vais donc extraire 512 octets à partir du 3072 et les remettre à la place des 512 premiers.

Encore une fois dd va venir à mon secours. Un "man dd" me donnera les informations nécessaires.
3072 c'est 6 fois 512 octets donc je dois extraire le 7ème bloc d'octets :

dd if=./maclef.dd of=./fatok.dd bs=512 count=1 skip=6

Détail de la commande :

– if (Input File = fichier duquel j'extrais)
– of (Output File = résultat de ma copie)
– bs=512 (BlockSize = nombre d'octets à lire d'un coup)
– count=1 (nombre de "tranches" de 512 octets à lire)
– skip=6 (mais en laissant de côté les 6 premières tranches de 512 octets soit 3072)

Avec mc, je vérifie que j'ai bien récupéré le bloc voulu puis on passe à l'intégration dans le fichier de départ mais cette fois-ci on le positionne au début du fichier :

dd if=./fatok.dd of=./maclef.dd bs=512 count=1 conv=notrunc

L'option supplémentaire conv=notrunc précise à dd de laisser maclef.dd à sa taille d'origine donc de ne pas le réduire à ce qu'on vient d'écrire. En d'autres termes, on écrase les 512 premiers octets mais on laisse intact tout ce qui est derrière. Sans cette option, maclef.dd ne ferait plus que 512 octets.

Arrivé là, j'ai procédé à la copie du fichier sur ma clef et j'ai croisé les doigts pour que ça marche... C'est faisable mais risqué ! Ensuite j'ai trouvé comment j'aurais pu éviter ce risque inconsidéré : mount et loop.

mount

C'est une commande que les mandrakephiles n'utilisent que rarement : les confortables supermount, hotplug et diskdrake se chargement généralement de maîtriser mount à notre place. Cette commande permet de "monter" un périphérique de type bloc, c'est-à-dire de passer d'une lecture bloc par bloc (octet par octet) à une lecture utilisant le système de fichier qui lui est associé (c'est-à-dire la reconnaissance des fichiers, dossiers ou répertoires, débuts et fins de fichiers, attributs...).

J'ai souvent entendu dire que "tout est fichier dans linux" donc pourquoi ne pas utiliser notre fichier maclef.dd comme s'il s'agissait d'une vraie clef USB ?

après quelques tâtonnements, je trouve la formule qui permet à mount de faire de mon fichier, une pseudo clef USB.

D'abord créer un point de montage car mount m'a dit que le point de montage n'existait pas :

mkdir /mnt/mapseudoclef

Ensuite mount me dira que ce n'est pas un périphérique "bloc" et qu'il me faut utiliser l'option -o loop. Vu comme ça c'est pas dur linux ! On essaye, et quand ça ne va pas, on suit la proposition !

mount -t vfat /home/beuz/maclef.dd /mnt/mapseudoclef -o loop

Les options sont :
– t vfat pour signifier que nous sommes en présence d'un système de fichier FAT (iso9660 permettrait ainsi d'explorer le contenu d'une image ISO)
– origine de mon montage (ici mon fichier)
– endroit où le système de fichier est intégré à l'arborescence existante (ici /mnt/mapseudoclef)
– o loop qui permet d'utiliser ce fichier comme un périphérique "bloc"

Plus de message d'erreur, je vais voir avec mc ce qu'il y a dans le répertoire /mnt/mapseudoclef et bingo ! Voilà mes fichiers. Je regarde l'intérieur d'un fichier et tout va bien.

Ensuite il ne restera plus qu'à recopier maclef.dd sur /dev/sda1 ou bien formater la clef et recopier les fichiers avec un gestionnaire de fichiers.

[1] il est installé par défaut avec la mandrake 10 mais pour la 9.2, taper "urpmi mc". Il existe probablement aussi en deb, tar.gz,etc. Plus d'info : http://www.ibiblio.org/mc/

[2] calculatrice sous kde mais n'importe quelle calculatrice capable de travailler en base 16 convient

Je vous vois venir : "Moi, ça ne marche pas avec ma clef qui est passée dans la machine à laver !" Oui, bon... Je n'avais pas la prétention de fournir la solution ultime mais simplement de donner quelques pistes en s'appropriant par cette occasion quelques commandes trÚs pratiques de linux.

Découverte de CVS

Yvonnick Esnault — 2004-04-19T12:46:03Z

Installation

L'installation à partir du paquet debian est très simple :
#apt-get install cvs
Il nous est posé deux questions à l'installation :

- « Veuillez indiquer la liste des répertoires qui sont à la racine de vos entrepôts... ». Par défaut c'est /var/lib/cvs. On garde la valeur par défaut.

- Une seconde question est posée et semble plus compliquée : « Le pserver CVS est un mécanisme client-serveur qui peut être utilisé par CVS ... Faut-il activer le pserver CVS ? ». Ici, tout dépend de la méthode d'accès à la base choisie après. C'est peut-être mieux de répondre oui pour tester ce mode d'accès.

L'installation a bien créé le répertoire /var/lib/cvs, d'ailleurs :

# ls /var/lib/cvs/ CVSROOT

Il est conseillé de ne pas toucher directement aux fichiers cvs dans ce répertoire.

Permissions

Tous les fichiers qui seront soumis au versionnement seront donc dans le répertoire /var/liv/cvs. Il faut donc que tous les utilisateurs de cvs ait le droit de modifier les fichiers.

De plus, nous ramarquons que :

# ls -la /var/lib/cvs/ total 12 drwxrwsr-x 3 root src 4096 2004-03-30 21:33 . drwxr-xr-x 39 root root 4096 2004-03-30 21:33 .. drwxrwsr-x 3 root src 4096 2004-03-30 21:33 CVSROOT

Il faut donc rajouter les personnes utilisant cvs au groupe cvs tel que :

# sudo adduser yvo src Ajout de l'utilisateur yvo au groupe src... Fait.

Notre répertoire local
Commençons d'abord à créer un répertoire dans notre dossier personnel où nous mettrons notre copie de travail. C'est dans ce répertoire que nous travaillerons sur nos projets.

Pour être clair, j'indique toutes mes commandes :

yvo@raclette:~$ cd /home/yvo/ yvo@raclette:~$ mkdir mondossiercvs yvo@raclette:~$ cd mondossiercvs/ yvo@raclette:~/mondossiercvs$

Méthodes d'accès

Il existe plusieurs méthodes d'accès à une base cvs :
- accès direct.
- mode serveur (avec pserver).
- mode ssh.
- mode serveur kerberos et GSSAPI, que l'on ne verra pas dans cette article.

Sur mon serveur nommé raclette, j'ai mon compte yvo. La base est sur :
yvo@raclette:~$ ls /var/lib/cvs/.

Configuration pour un accès direct
Notre variable d'environnement CVSROOT s'exporte telle que :

$export CVSROOT=/var/lib/cvs

Configuration pour un accès pserver
Pour l'accès en mode pserver, il faut modifier les fichiers /etc/services et /etc/inetd.conf. Debian fait ces modifications tout seul !
Fichier /etc/services :

# cat {{/etc/services}} | grep cvs cvspserver 2401/tcp # CVS client/server operations cvspserver 2401/udp

Fichier /etc/inetd.conf :

#cat /etc/inetd.conf | grep cvs cvspserver stream tcp nowait root /usr/sbin/tcpd /usr/sbin/cvs-pserver

Notre variable s'exporte telle que :

$export CVSROOT :pserver:yvo@raclette:/var/lib/cvs

Configuration pour un accès ssh
J'oublie volontairement l'accès rsh en préférant le ssh.

$export CVSROOT :ext:yvo@raclette:/var/lib/cvs $export CVS_RSH ssh

C'est à partir de cette variable CVSROOT que nos commandes cvs pourront s'effectuer.

Création de la base

Une fois la variable CVSROOT renseignée, nous pouvons créer la base telle que :
yvo@raclette:~/mondossiercvs$ cvs init
Cette commande crée les fichiers d'administration de la base dans le répertoire CVSROOT (ici /var/lib/cvs).

(FIXME : Debian a déjà fait ce travail à notre place ?)

Notre produit
Dans cette article, il nous faut un produit avec lequel cvs sera utilisé. Notre produit s'apellera SuperProduit et sera créé par yvo dans le répertoire :
/mondossiercvs/mon_produit
pour la première fois. Ce produit comporte un fichier nommé premier_fichier dans lequel une ligne est inscrite : première ligne

Plus clairement, cela donne :

yvo@raclette:~/mondossiercvs$ mkdir mon_produit yvo@raclette:~/mondossiercvs$ cd mon_produit yvo@raclette:~/mondossiercvs/mon_produit$ echo "première ligne" > premier_fichier yvo@raclette:~/mondossiercvs/mon_produit$ cat premier_fichier première ligne yvo@raclette:~/mondossiercvs/mon_produit$

Enregistrement de notre produit dans la base CVS

Notre produit est créé dans notre répertoire local, mais n'est pas encore inscrit dans la base cvs.

Cette inscription est un import : nous importons des fichiers de notre répertoire local sur le serveur.

La commande est :

yvo@raclette:~/mondossiercvs/mon_produit$ cvs import -m "Enregistrement de Super Produit dans le cvs" SuperProduit Recup V0 N SuperProduit/premier_fichier No conflicts created by this import

Visiblement, il n'y a pas eu de problème lors de l'import.

L'option -m est suivie ici de "Enregistrement de Super Produit dans le cvs". Cette option permet de donner un message de description pour la version. Si -m n'est pas renseignée, un éditeur de texte se lance.

L'option Recup est le nom de la branche.
L'option V0 est le nom de version.

Je n'explique pas plus ces options ici, vous comprendrez mieux avec la commande cvs log plus bas...

Récupération de SuperProduit

La récupération de SuperProduit s'effectue à l'aide de la commande : cvs checkout .

Dans mes manipulations ci-dessus, une erreur se situe au niveau de la commande :
- $mkdir mon_produit
et au niveau de ma réflexion sur le nom de mon produit...
Notre produit s'apellera SuperProduit

Pourquoi ?
Nous avons décidé d'appeler le produit SuperProduit, mais nous lui avons donner le répertoire mon_produit

Pas très logique n'est-ce pas !

Une seconde erreur s'est glissée... Si, si !
Elle corrige notre première erreur ! Oh !

Pourquoi (bis) ?
La seconde erreur (si cela en est une) a été d'effectuer la commande cvs import en étant dans le répertoire :
~/mondossiercvs/mon_produit$

Nous avons enregistré uniquement le fichier :
premier_fichier
dans la base cvs, et non pas le répertoire :
mon_produit contenant mon_fichier

Ceci dit, le nom de notre produit a été founi lors de la commande d'importation telle que :
yvo@raclette : /mondossiercvs/mon_produit$ cvs import -m "Enregistrement de Super Produit dans le cvs" SuperProduit Recup V0

La preuve par l'exemple :

yvo@raclette:~/mondossiercvs$ cvs checkout SuperProduit cvs checkout: Updating SuperProduit U SuperProduit/premier_fichier yvo@raclette:~/mondossiercvs$ ls mon_produit SuperProduit yvo@raclette:~/mondossiercvs$ cd mon_produit/ yvo@raclette:~/mondossiercvs/mon_produit$ ls premier_fichier yvo@raclette:~/mondossiercvs/mon_produit$ cd ../ yvo@raclette:~/mondossiercvs$ ls mon_produit SuperProduit yvo@raclette:~/mondossiercvs$ cd SuperProduit/ yvo@raclette:~/mondossiercvs/SuperProduit$ ls CVS premier_fichier yvo@raclette:~/mondossiercvs/SuperProduit$ cd ../ yvo@raclette:~/mondossiercvs$ ls mon_produit SuperProduit yvo@raclette:~/mondossiercvs$

Nous pouvons donc supprimer le répertoire mon_produit qui ne sert plus à rien ! Hop :

yvo@raclette:~/mondossiercvs$ rm -rf mon_produit/ yvo@raclette:~/mondossiercvs$

Cvs Log

Exécutons la commande cvs log :

yvo@raclette:~$ cvs log SuperProduit cvs log: cannot open CVS/Entries for reading: No such file or directory cvs log: nothing known about SuperProduit

En étant dans la bon répertoire, c'est mieux :

yvo@raclette:~/mondossiercvs$ cvs log SuperProduit cvs log: Logging SuperProduit RCS file: /var/lib/cvs/SuperProduit/premier_fichier,v Working file: SuperProduit/premier_fichier head: 1.1 branch: 1.1.1 locks: strict access list: symbolic names: V0: 1.1.1.1 Recup: 1.1.1 keyword substitution: kv total revisions: 2; selected revisions: 2 description: ---------------------------- revision 1.1 date: 2004/03/30 20:52:20; author: yvo; state: Exp; branches: 1.1.1; Initial revision ---------------------------- revision 1.1.1.1 date: 2004/03/30 20:52:20; author: yvo; state: Exp; lines: +0 -0 Enregistrement de Super Produit dans le cvs ============================================================================= yvo@raclette:~/mondossiercvs$

Je n'entre pas ici dans le détails du résultat de la commande.

Travaillons et Versionnons !

C'est bien beau tout çà, mais l'on a du travail ! Il faut rajouter le texte "je travaille sur la deuxième ligne" dans notre fichier premier_fichier.

yvo@raclette:~/mondossiercvs/SuperProduit$ echo "Je travaille sur la seconde ligne" >> premier_fichier yvo@raclette:~/mondossiercvs/SuperProduit$ cat premier_fichier première ligne Je travaille sur la seconde ligne yvo@raclette:~/mondossiercvs/SuperProduit$

Et comme nous sommes contents de notre travail, nous pouvons l'enregistrer dans la base cvs :

yvo@raclette:~/mondossiercvs/SuperProduit$ cvs commit -m "Travail sur la seconde ligne Ok" cvs commit: Examining . Checking in premier_fichier; /var/lib/cvs/SuperProduit/premier_fichier,v <-- premier_fichier new revision: 1.2; previous revision: 1.1 done yvo@raclette:~/mondossiercvs/SuperProduit$

Le résultat de la commande cvs commit est explicit. Cvs a trouvé des modifications au niveau du fichier premier_fichier et a incrémenté le numéro de version.

Comme pour la commande cvs import, l'option -m a permis de donner une description pour cette mise à jour.

CVS log (bis), après travail

Re-exécutons la commande cvs log après le cvs commit :

yvo@raclette:~/mondossiercvs$ cvs log SuperProduit/ cvs log: Logging SuperProduit RCS file: /var/lib/cvs/SuperProduit/premier_fichier,v Working file: SuperProduit/premier_fichier head: 1.2 branch: locks: strict access list: symbolic names: V0: 1.1.1.1 Recup: 1.1.1 keyword substitution: kv total revisions: 3; selected revisions: 3 description: ---------------------------- revision 1.2 date: 2004/03/30 21:42:40; author: yvo; state: Exp; lines: +1 -1 Travail sur la seconde ligne Ok ---------------------------- revision 1.1 date: 2004/03/30 20:52:20; author: yvo; state: Exp; branches: 1.1.1; Initial revision ---------------------------- revision 1.1.1.1 date: 2004/03/30 20:52:20; author: yvo; state: Exp; lines: +0 -0 Enregistrement de Super Produit dans le cvs =============================================================================

Nous constatons que nous sommes toujours dans la même branche nommée Recup avec sa version V0.

De plus, par rapport au premier cvs log, un paragraphe est ajouté : revision 1.2. Il reprend bien la description donnée à l'aide de l'option -m.

CVS Status

La commande cvs status est utile pour voir l'état d'un fichier local par rapport à un fichier distant.

Exemple

yvo@raclette:~/mondossiercvs/SuperProduit$ cvs status premier_fichier =================================================================== File: premier_fichier Status: Up-to-date Working revision: 1.2 Tue Mar 30 21:40:40 2004 Repository revision: 1.2 /var/lib/cvs/SuperProduit/premier_fichier,v Sticky Tag: (none) Sticky Date: (none) Sticky Options: (none) yvo@raclette:~/mondossiercvs/SuperProduit$

Le status est ici Up-to-date, aucune modification est présente entre le fichier premier_fichier local et le fichier premier_fichier du serveur.

Modifions maintenant ce fichier :

yvo@raclette:~/mondossiercvs/SuperProduit$ echo "Troisième ligne" >> premier_fichier

puis relançons cvs status :

yvo@raclette:~/mondossiercvs/SuperProduit$ cvs status premier_fichier =================================================================== File: premier_fichier Status: Locally Modified Working revision: 1.2 Tue Mar 30 21:40:40 2004 Repository revision: 1.2 /var/lib/cvs/SuperProduit/premier_fichier,v Sticky Tag: (none) Sticky Date: (none) Sticky Options: (none) yvo@raclette:~/mondossiercvs/SuperProduit$

Le fichier est maintenant dans le statut Locally Modified, soit en français modifié localement. Logique non ? ;-)

Cvs diff

Comme le cvs status nous indique une différence, nous souhaitons la voir plus précisément :

yvo@raclette:~/mondossiercvs/SuperProduit$ cvs diff -r 1.2 premier_fichier Index: premier_fichier =================================================================== RCS file: /var/lib/cvs/SuperProduit/premier_fichier,v retrieving revision 1.2 diff -r1.2 premier_fichier 2a3 > Troisième ligne yvo@raclette:~/mondossiercvs/SuperProduit$

Nous voyons donc que la différence entre les deux fichiers se situe au niveau de la ligne 2-3 avec pour changement :
> Troisième ligne.

Création d'un patch

yvo@raclette:~/mondossiercvs$ cvs diff -u -r1.2 SuperProduit cvs diff: Diffing SuperProduit Index: SuperProduit/premier_fichier =================================================================== RCS file: /var/lib/cvs/SuperProduit/premier_fichier,v retrieving revision 1.2 diff -u -r1.2 premier_fichier --- a/SuperProduit/premier_fichier 30 Mar 2004 21:42:40 -0000 1.2 +++ b/SuperProduit/premier_fichier 30 Mar 2004 21:56:12 -0000 @@ -1,2 +1,3 @@ première ligne Je travaille sur la seconde ligne +Troisième ligne yvo@raclette:~/mondossiercvs$

Cvs update

Imaginons maintenant que nous sommes pas seuls à travailler sur SuperProduit. Des modifications à premier_fichier peuvent apparaître, il ne faut donc pas trop tarder à faire notre commit.
Mais au lieu de se heurter à des problèmes possibles lors du commit (votre collègue a modifié la même ligne), il est bon de mettre à jour notre fichier localement.
Cette mise à jour n'efface pas le travail que l'on a fait depuis le dernier commit ou checkout (ici, le travail en question est d'avoir rajouté la troisième ligne). Si toutefois un collègue a travaillé sur le fichier, cela est mise à jour dans notre répertoire local.

yvo@raclette:~/mondossiercvs/SuperProduit$ cvs update cvs update: Updating . M premier_fichier yvo@raclette:~/mondossiercvs/SuperProduit$

Apparement, pas de modification effectuée par un collègue ! ;-)

Stop !

Nous nous arrêtons là pour cette approche pas à pas de CVS. Vous trouverez d'autres Howto plus complets sur le web tels que :

-
http://www.idealx.org/doc/cvs.fr.html
-
http://www.loria.fr/cgi-bin/molli/wilma.cgi/doc

Le site officiel est http://www.cvshome.org/

3- Découverte de CVS

Yvonnick Esnault — 2004-04-19T12:45:46Z

CVS est le gestionnaire de version de fichiers le plus répandu. Voici une installation pas à pas, puis une introduction aux commandes de bases.

Récupération de SuperProduit

La récupération de SuperProduit s'effectue à l'aide de la commande : cvs checkout .

Pourquoi ?
Nous avons décidé d'appeler le produit SuperProduit, mais nous lui avons donner le répertoire mon_produit

Pas très logique n'est-ce pas !

Une seconde erreur s'est glissée... Si, si !
Elle corrige notre première erreur ! Oh !

Pourquoi (bis) ?
La seconde erreur (si cela en est une) a été d'effectuer la commande cvs import en étant dans le répertoire :
~/mondossiercvs/mon_produit$

Nous avons enregistré uniquement le fichier :
premier_fichier
dans la base cvs, et non pas le répertoire :
mon_produit contenant mon_fichier

La preuve par l'exemple :

yvo@raclette:~/mondossiercvs$ cvs checkout SuperProduit cvs checkout: Updating SuperProduit U SuperProduit/premier_fichier yvo@raclette:~/mondossiercvs$ ls mon_produit SuperProduit yvo@raclette:~/mondossiercvs$ cd mon_produit/ yvo@raclette:~/mondossiercvs/mon_produit$ ls premier_fichier yvo@raclette:~/mondossiercvs/mon_produit$ cd ../ yvo@raclette:~/mondossiercvs$ ls mon_produit SuperProduit yvo@raclette:~/mondossiercvs$ cd SuperProduit/ yvo@raclette:~/mondossiercvs/SuperProduit$ ls CVS premier_fichier yvo@raclette:~/mondossiercvs/SuperProduit$ cd ../ yvo@raclette:~/mondossiercvs$ ls mon_produit SuperProduit yvo@raclette:~/mondossiercvs$

Nous pouvons donc supprimer le répertoire mon_produit qui ne sert plus à rien ! Hop :

yvo@raclette:~/mondossiercvs$ rm -rf mon_produit/ yvo@raclette:~/mondossiercvs$

2- Découverte de CVS

Yvonnick Esnault — 2004-04-19T12:45:35Z

CVS est le gestionnaire de version de fichiers le plus répandu. Voici une installation pas à pas sur une debian, puis une introduction aux commandes de bases.

Création de la base

(FIXME : Debian a déjà fait ce travail à notre place ?)

Plus clairement, cela donne :

yvo@raclette:~/mondossiercvs$ mkdir mon_produit yvo@raclette:~/mondossiercvs$ cd mon_produit yvo@raclette:~/mondossiercvs/mon_produit$ echo "première ligne" > premier_fichier yvo@raclette:~/mondossiercvs/mon_produit$ cat premier_fichier première ligne yvo@raclette:~/mondossiercvs/mon_produit$

Enregistrement de notre produit dans la base CVS

Notre produit est créé dans notre répertoire local, mais n'est pas encore inscrit dans la base cvs.

Cette inscription est un import : nous importons des fichiers de notre répertoire local sur le serveur.

La commande est :

yvo@raclette:~/mondossiercvs/mon_produit$ cvs import -m "Enregistrement de Super Produit dans le cvs" SuperProduit Recup V0 N SuperProduit/premier_fichier No conflicts created by this import

Visiblement, il n'y a pas eu de problème lors de l'import.

L'option Recup est le nom de la branche.
L'option V0 est le nom de version.

Je n'explique pas plus ces options ici, vous comprendrez mieux avec la commande cvs log dans les articles suivants...

1- Découverte de CVS

Yvonnick Esnault — 2004-04-19T12:45:21Z

CVS est le gestionnaire de version de fichiers le plus répandu. Voici une installation pas à pas, puis une introduction aux commandes de bases.

Installation

L'installation à partir du paquet debian est très simple :
#apt-get install cvs
Il nous est posé deux questions à l'installation :

- « Veuillez indiquer la liste des répertoires qui sont à la racine de vos entrepôts... ». Par défaut c'est /var/lib/cvs. On garde la valeur par défaut.

L'installation a bien créé le répertoire /var/lib/cvs, d'ailleurs :

# ls /var/lib/cvs/ CVSROOT

Il est conseillé de ne pas toucher directement aux fichiers cvs dans ce répertoire.

Permissions

Tous les fichiers qui seront soumis au versionnement seront donc dans le répertoire /var/liv/cvs. Il faut donc que tous les utilisateurs de cvs ait le droit de modifier les fichiers.

De plus, nous ramarquons que :

# ls -la /var/lib/cvs/ total 12 drwxrwsr-x 3 root src 4096 2004-03-30 21:33 . drwxr-xr-x 39 root root 4096 2004-03-30 21:33 .. drwxrwsr-x 3 root src 4096 2004-03-30 21:33 CVSROOT

Il faut donc rajouter les personnes utilisant cvs au groupe cvs tel que :

# sudo adduser yvo src Ajout de l'utilisateur yvo au groupe src... Fait.

Pour être clair, j'indique toutes mes commandes :

yvo@raclette:~$ cd /home/yvo/ yvo@raclette:~$ mkdir mondossiercvs yvo@raclette:~$ cd mondossiercvs/ yvo@raclette:~/mondossiercvs$

Méthodes d'accès

Il existe plusieurs méthodes d'accès à une base cvs :
- accès direct.
- mode serveur (avec pserver).
- mode ssh.
- mode serveur kerberos et GSSAPI, que l'on ne verra pas dans cette article.

Sur mon serveur nommé raclette, j'ai mon compte yvo. La base est sur :
yvo@raclette:~$ ls /var/lib/cvs/.

Configuration pour un accès direct
Notre variable d'environnement CVSROOT s'exporte telle que :

$export CVSROOT=/var/lib/cvs

# cat {{/etc/services}} | grep cvs cvspserver 2401/tcp # CVS client/server operations cvspserver 2401/udp

Fichier /etc/inetd.conf :

#cat /etc/inetd.conf | grep cvs cvspserver stream tcp nowait root /usr/sbin/tcpd /usr/sbin/cvs-pserver

Notre variable s'exporte telle que :

$export CVSROOT :pserver:yvo@raclette:/var/lib/cvs

Configuration pour un accès ssh
J'oublie volontairement l'accès rsh en préférant le ssh.

$export CVSROOT :ext:yvo@raclette:/var/lib/cvs $export CVS_RSH ssh

C'est à partir de cette variable CVSROOT que nos commandes cvs pourront s'effectuer.

4- Découverte de CVS

Yvonnick Esnault — 2004-04-19T10:27:23Z

CVS est le gestionnaire de version de fichiers le plus répandu. Voici une installation pas à pas, puis une introduction aux commandes de bases.

Travaillons et Versionnons !

C'est bien beau tout çà, mais l'on a du travail ! Il faut rajouter le texte "je travaille sur la deuxième ligne" dans notre fichier premier_fichier.

yvo@raclette:~/mondossiercvs/SuperProduit$ echo "Je travaille sur la seconde ligne" >> premier_fichier yvo@raclette:~/mondossiercvs/SuperProduit$ cat premier_fichier première ligne Je travaille sur la seconde ligne yvo@raclette:~/mondossiercvs/SuperProduit$

Et comme nous sommes contents de notre travail, nous pouvons l'enregistrer dans la base cvs :

yvo@raclette:~/mondossiercvs/SuperProduit$ cvs commit -m "Travail sur la seconde ligne Ok" cvs commit: Examining . Checking in premier_fichier; /var/lib/cvs/SuperProduit/premier_fichier,v <-- premier_fichier new revision: 1.2; previous revision: 1.1 done yvo@raclette:~/mondossiercvs/SuperProduit$

Le résultat de la commande cvs commit est explicit. Cvs a trouvé des modifications au niveau du fichier premier_fichier et a incrémenté le numéro de version.

Comme pour la commande cvs import, l'option -m a permis de donner une description pour cette mise à jour.

CVS log, après travail

Re-exécutons la commande cvs log après le cvs commit :

yvo@raclette:~/mondossiercvs$ cvs log SuperProduit/ cvs log: Logging SuperProduit RCS file: /var/lib/cvs/SuperProduit/premier_fichier,v Working file: SuperProduit/premier_fichier head: 1.2 branch: locks: strict access list: symbolic names: V0: 1.1.1.1 Recup: 1.1.1 keyword substitution: kv total revisions: 3; selected revisions: 3 description: ---------------------------- revision 1.2 date: 2004/03/30 21:42:40; author: yvo; state: Exp; lines: +1 -1 Travail sur la seconde ligne Ok ---------------------------- revision 1.1 date: 2004/03/30 20:52:20; author: yvo; state: Exp; branches: 1.1.1; Initial revision ---------------------------- revision 1.1.1.1 date: 2004/03/30 20:52:20; author: yvo; state: Exp; lines: +0 -0 Enregistrement de Super Produit dans le cvs =============================================================================

Nous constatons que nous sommes toujours dans la même branche nommée Recup avec sa version V0.

De plus, par rapport au premier cvs log, un paragraphe est ajouté : revision 1.2. Il reprend bien la description donnée à l'aide de l'option -m.

CVS Status

La commande cvs status est utile pour voir l'état d'un fichier local par rapport à un fichier distant.

Exemple

yvo@raclette:~/mondossiercvs/SuperProduit$ cvs status premier_fichier =================================================================== File: premier_fichier Status: Up-to-date Working revision: 1.2 Tue Mar 30 21:40:40 2004 Repository revision: 1.2 /var/lib/cvs/SuperProduit/premier_fichier,v Sticky Tag: (none) Sticky Date: (none) Sticky Options: (none) yvo@raclette:~/mondossiercvs/SuperProduit$

Le status est ici Up-to-date, aucune modification est présente entre le fichier premier_fichier local et le fichier premier_fichier du serveur.

Modifions maintenant ce fichier :

yvo@raclette:~/mondossiercvs/SuperProduit$ echo "Troisième ligne" >> premier_fichier

puis relançons cvs status :

yvo@raclette:~/mondossiercvs/SuperProduit$ cvs status premier_fichier =================================================================== File: premier_fichier Status: Locally Modified Working revision: 1.2 Tue Mar 30 21:40:40 2004 Repository revision: 1.2 /var/lib/cvs/SuperProduit/premier_fichier,v Sticky Tag: (none) Sticky Date: (none) Sticky Options: (none) yvo@raclette:~/mondossiercvs/SuperProduit$

Le fichier est maintenant dans le statut Locally Modified, soit en français modifié localement. Logique non ? ;-)

Cvs diff

Comme le cvs status nous indique une différence, nous souhaitons la voir plus précisément :

yvo@raclette:~/mondossiercvs/SuperProduit$ cvs diff -r 1.2 premier_fichier Index: premier_fichier =================================================================== RCS file: /var/lib/cvs/SuperProduit/premier_fichier,v retrieving revision 1.2 diff -r1.2 premier_fichier 2a3 > Troisième ligne yvo@raclette:~/mondossiercvs/SuperProduit$

Nous voyons donc que la différence entre les deux fichiers se situe au niveau de la ligne 2-3 avec pour changement :
> Troisième ligne.

Création d'un patch

yvo@raclette:~/mondossiercvs$ cvs diff -u -r1.2 SuperProduit cvs diff: Diffing SuperProduit Index: SuperProduit/premier_fichier =================================================================== RCS file: /var/lib/cvs/SuperProduit/premier_fichier,v retrieving revision 1.2 diff -u -r1.2 premier_fichier --- a/SuperProduit/premier_fichier 30 Mar 2004 21:42:40 -0000 1.2 +++ b/SuperProduit/premier_fichier 30 Mar 2004 21:56:12 -0000 @@ -1,2 +1,3 @@ première ligne Je travaille sur la seconde ligne +Troisième ligne yvo@raclette:~/mondossiercvs$

Cvs update

yvo@raclette:~/mondossiercvs/SuperProduit$ cvs update cvs update: Updating . M premier_fichier yvo@raclette:~/mondossiercvs/SuperProduit$

Apparement, pas de modification effectuée par un collègue ! ;-)

Stop !

Nous nous arrêtons là pour cette approche pas à pas de CVS. Vous trouverez d'autres Howto plus complets sur le web tels que :

-
http://www.idealx.org/doc/cvs.fr.html
-
http://www.loria.fr/cgi-bin/molli/wilma.cgi/doc

Le site officiel est http://www.cvshome.org/

- TortoiseCVS - Client graphique pour Ms Windows
http://www.tortoisecvs.org/
- Guide de l'utilisateur TortoiseCvs (en français)
href="http://cedric.babault.free.fr/TortoiseCVSDoc/UserGuide_fr.html#begin.whattortoisecvs"> http://cedric.babault.free.fr/TortoiseCVSDoc/UserGuide_fr.html

Recompiler son noyau Linux Mandrake

Vincent Beuselinck — 2004-02-25T12:37:25Z

Dans l'épisode précédent, nous avions installé la Mandrake 9.2 sur un portable Acer TravelMate 243. Celui-ci refusait obstinément les noyaux Mandrake. Le noyau de la Fedora nous a sorti du pétrin. Néanmoins, le fonctionnement d'une distribution avec le noyau d'une autre n'est pas satisfaisant. Nous avons perdu le confortable « supermount ». La lecture des forums permet de cibler une cause probable : LAPIC (Local APIC avec APIC acronyme de Advanced Programmable Interrupt Controller). Même si saisir l'option nolapic au démarrage du systÚme, lors de l'appaition du prompt boot :, n'a rien donnée. Mandrake l'inclut dans son noyau alors que la Fedora l'exclut. Compilons donc un noyau sans LAPIC...

Pré-requis

Il faut bien sûr avoir installé une mandrake 9.2 [1], connaître le mot de passe de l'administrateur (root) et avoir accès à une console (ou une fenêtre xterm). Pour illustrer nos propos, nous partons d'une session graphique KDE dans laquelle nous lançons une console fenêtrée (pour utiliser une console non graphique, appuyez simultanément sur les touches CTRL+ALT+F2). Dans le menu K, le sous-menu « Terminaux » vous donnera la liste des outils disponibles (Konsole, eterm ou xterm...). Le lancement de l'un d'eux ouvre une fenêtre dans laquelle nous allons passer administrateur en tapant su - et en répondant à la demande du mot de passe administrateur.

Vérification des paquetages nécessaires :

Il faut les paquetages gcc , kernel-source et leurs dépendances. Dans la version 9.2 de la mandrake, gcc est fourni dans sa version 3, la ligne suivante permet de s'assurer de l'installation de gcc :

urpmi gcc

De deux choses, l'une : où le résultat est une liste de paquetages suivie d'une demande de confirmation ou bien il sera écrit « tout est déjà installé ». Dans le premier cas, il faudra donc répondre par l'affirmative et insérer les CD réclamés. Dans le second, vous n'avez rien à faire de plus.
Même manipulation pour les sources du noyau :

urpmi kernel-source

Si vous avez une version « download edition » de la Mandrake 9.2, urpmi ne trouvera aucun paquetage nommé kernel-source, il faudra donc rechercher sur Internet et télécharger les paquetages kernel-source-2.4.22-10mdk.i586.rpm [2] Pour cela, le meilleur moyen est encore de consulter le site rpmfind et de lancer une recherche sur kernel-source, puis de préciser Mandrake dans le champ System, dès la première recherche terminée. Une fois téléchargé, il vous faudra encore installer le paquetage. Dans la console graphique, tapez par exemple :

urpmi /home/user/kernel-source-2.4.22-10mdk.i586.rpm

Remplacez /home/user par le chemin menant au fichier /home/user/kernel-source-2.4.22-10mdk.i586.rpm.

L'utilitaire urpmi récupérera éventuellement les paquetages nécessaires à la compilation du noyau : automake, autoconf et consors.

Préparation et Configuration

Allez dans le répertoire /usr/src/linux en tapant :

cd /usr/src/linux

En réalité, vous serez dans :
/usr/src/linux-2.4.22-10mdk... Là où tout se passe.

En effet, /usr/src/linux est un lien pointant vers /usr/src/linux-2.4.22-10mdk.

Trois possibilités vous sont offertes pour configurer notre futur noyau. « make config » est le moyen la plus rustique : mode texte, sans couleur, avec une succession de questions. Une version texte (interface ncurses) mais avec des couleurs et un menu déroulant se lancera via la commande « make menuconfig ». Enfin, une interface graphique est lancée par la commande « make xconfig » (nécessite les librairies graphiques tk). Nous utiliserons ici le deuxième moyen (texte avec menus) qui est un bon compromis entre aridité et fiabilité. Donc :

make menuconfig

Compilation du noyau - choix des options de compilation via make menuconfig

Les options de compilations du noyau spécifiques à l'architecture sont disponibles dans cette fenêtre.

On parcourt les menus à l'aide de la touche Tab (pour tabulation, à côté de la touche A et généralement représenté par deux flèches opposées). La barre d'espace sert à valider son choix ou à cocher une case. Dans les menus, la séquence « ---> » signifie un sous-menu. Un appui sur la barre d'espace permet de l'ouvrir. Pour chaque option (ou presque, vous aurez le choix entre 3 possibilités, correspondantes à trois caractères " ", * et m :
– [ ] qui signifie « non sélectionné » ou décoché,
– [*] pour une option sélectionnée donc intégrée au noyau,
– [m] pour une option disponible en module (donc « activable » via la commande modprobe).

En parcourant les menus et sous-menus, à la recherche de notre LAPIC que l'on soupçonne de bloquer notre noyau, nous rencontrons des options que l'on sait inutiles pour notre PC portable : old cdrom driver, IEEE 1394 (pas de connecteur firewire sur cette machine), IRDA (pas d'infrarouge non plus)...
Nous les décochons. Assurez-vous que vous n'avez pas besoin (ou que l'un des périphériques dont est équipé votre PC n'en a pas besoin) de l'option que vous venez de désactiver. Dans le doute, laissez l'option telle quelle (surtout lorsqu'il s'agit d'un module). En effet, le système ne le chargera en mémoire à la demande.

Enfin, nous trouvons l'option tant recherchée, LAPIC, intégrée au noyau. Décochons-la.

Détail des options de compilation du noyau Linux

Voici la fameuse option Local APIC qui bloque le lancement du systÚme avec l'ordinateur portable TravalMate 243.

Résumé de la configuration :

– Processor Type and Feature -> Local APIC (on décoche pour la compatibilité avec l'ACER) ;
– General Type -> aucun changement ;
– Memory Tech. Device -> aucun changement ;
– Parallel Port -> aucun changement ;
– Plug and Play configuration -> aucun changement ;
– Block Device -> aucun changement ;
– RAID -> aucun changement ;
– Networking -> aucun changement ;
– Telephony -> aucun changement ;
– ATA/IDE -> aucun changement ;
– SCSI -> aucun changement (Ne l'enlevez pas. Certains périphériques IDE peuvent être émulés en SCSI. C'est le cas du combo graveur CD/ lecteur DVD de ce portable) ;
– Fusion MPT -> aucun changement ;
– IEEE 1394 -> décoché car ce portable n'a pas de connecteur firewire ;
– IRDA -> décoché car ce portable n'a pas de port infrarouge ;
– old CDROM no ide/scsi -> décoché.

Par défaut, le noyau sera nommé 2.4.22-10.mdkcustom. Vous pouvez modifier le nom du noyau en éditant le fichier Makefile du répertoire /usr/scr/linux. Dans les toutes premières lignes de ce fichier, vous remarquerez la ligne EXTRAVERSION= qui désigne le numéro de version personnel du noyau. Dans notre exemple, EXTRAVERSION est égale à -10.mdkcustom.

La compilation

Elle peut se faire en une ou plusieurs commandes.
– En une seule fois :

make dep clean bzImage modules modules_install install

– En 6 commandes :

make dep make clean make bzImage make modules make modules_install make install

(Attention au i de bzImage, il est en majuscule !)

Vous pouvez bien sûr choisir une possibilité intermédiaire, le tout étant de respecter l'ordre de compilation.

dep recherche des dépendances est très court
clean nettoie les résidus éventuels d'une précédente compilation (rapide aussi)
bzImage compile le noyau (comptez un peu plus de temps)
modules compile les modules (étape la plus longue)
modules_install stocke les modules dans le répertoire /lib/modules (ils étaient stockés dans un répertoire temporaire de vos sources)
install copie les fichiers, dont le noyau, dans le répertoire /boot, met à jour les liens symboliques de ce même répertoire, crée le fichier initrd et ajoute l'entrée correspondant au noyau dans /etc/lilo.conf.

Contrôlez que la copie et la mise à jour des liens dans le répertoire /boot ait été correctement effectuée. Vous devez en effet y retrouver les fichiers suivants : vmlinuz, initrd (.img), config, system.map. Tous ces noms doivent être suivis du numéro de version personnalisé : 2.4.22-10mdkcustom.

Il faut ensuite vérifier le contenu du chargeur de démarrage Lilo (ou Grub si vous l'avez préféré) :
cat /etc/lilo.conf

Vérifiez que vous avez bien une entrée 2.4.22-10mdkcustom identique à l'entrée d'origine (2.4.22-10mdk), à l'exception du numéro de version pour les lignes suivantes : image, label et initrd.
Ne supprimez pas les lignes correspondantes à l'ancienne version du noyau. Ce dernier sera nécessaire si votre noyau personnalisé ne vous permet pas de lancer Linux. C'est le cas par exemple si vous avez oublié de compiler un module indispensable au démarrage de votre machine ou si le noyau est défaillant.
Testez, c'est fini.

Rétablir l'ancien noyau

Dans le cas où cela ne fonctionnerait pas, vous devez remettre par défaut l'ancien noyau au démarrage :

cd /boot ls -la

Vous voyez des liens de vmlinuz vers vmlinuz-votreversion, system.map vers system.map-votreversion, etc. Il faut rétablir les liens vers l'ancien noyau. Saisissez alors :

ln -s initrd-2.4.22-10mdk.img initrd.img ln -s system.map-2.4.22-10mdk system.map ln -s vmlinuz-2.4.22-10mdk vmlinuz

Les liens kernel.h et config ne devraient pas avoir été changés mais vérifiez quand même et le cas échéant, modifiez-les.

Pour aller plus loin...

On pourrait en profiter pour patcher le noyau 2.4.22 en 2.4.24 ou même passer sur un noyau 2.6, après avoir récupéré les sources sur kernel.org. Pour le moment, j'y ai renoncé : utiliser les patchs 2.4, impose de répondre à plein de questions plus ou moins complexes (Mandrake propose déjà des kernel hyperpatchés). Quant au noyau 2.6.1, il aboutit dans mon cas à un kernel panic (message d'erreur du noyau) parce qu'il n'a pas su monter les partitions ext3 [3].

Quelques liens :
– Un article du Linux Journal consacré à la compilation du noyau Linux http://www.linuxfocus.org/Francais/...,
– des échanges très intéressants sur APIC et LAPIC http://linuxfr.org/~redfish/2724.html.

[1] NDLR : Le principe général de la compilation s'applique à toutes les distributions linux ; la méthode est donc facilement transposable.

[2] ou kernel-source-2.4.22-26mdk, voir un paquetage plus récent, si vous souhaitez bénéficier des derniers correctifs de sécurité (NDLR : cette dernière option est chaudement recommandée).

[3] NDLR : il ne suffit pas d'installer les sources du noyau 2.6, il faut également installer de nouveaux outils pour la gestion des scripts d'initialisation et la gestion des modules. Pour tester un noyau 2.6 sur une Mandrake 9.2, mieux vaut passer par Cooker grâce à urpmi et easyurpmi.

Utiliser Linux... oui mais pas les yeux fermés !

Maurice Libes — 2002-11-05T14:19:17Z

Cet article a pour vocation de protéger un minimum le systÚme d'exploitation Linux avec des notions simples, valables quelles que soient les distributions. Il s'adresse essentiellement aux non-informaticiens.

Buts Objectifs

Chaque minutes de chaque jour, des centaines de réseaux connectés à Internet sont soumis à des attaques par des programmes de recherche automatique afin de trouver des vulnérabilités et les exploiter. Voilà comment commence un article trouvé sur linuxsecurity.com. Votre PC Linux est connecté à Internet ? il est donc soumis à ces possibilités d'attaques avec des outils logiciels automatiques qui vont exploiter les failles qu'ils trouvent. Cet article est destiné à vous faire prendre conscience de ces risques, et proposer un ensemble de mesures destinées à mettre en place, ou améliorer le niveau de sécurité de base sur un système Linux connecté en réseau.

Nombre d'utilisateurs, issus du monde Windows ou Mac, ont une culture informatique qui ne les prédispose pas toujours à connaître les fonctionnalités et arcanes d'un système d'exploitation multi-utilisateur et multitâches (i.e. plusieurs programmes s'exécutent de façon quasiment simultanée)... En outre la connexion de nos postes à un réseau planétaire comme Internet change les données du problème par rapport aux années 80. L'ouverture sur un réseau de cette échelle centuple les risques d'actes de malveillance informatique : intrusions, ou refus de services. En effet sur un système multitâche comme Linux, un grand nombre de programmes sont présents et actifs en mémoire. Appelés serveurs ou demons, ils s'exécutent sans trace apparente à l'écran (un serveur de messagerie, un serveur www par exemple). Cependant sur votre machine, ces programmes sont à l'écoute, et en attente de connexions provenant de l'extérieur. Si le poste Linux est peu ou mal administré, trop ouvert sur l'extérieur, ou encore s'il propose des versions de logiciels obsolètes, les facteurs de risques permettant des actes malveillants seront d'autant plus grands. Ces mises en garde générales ne sont d'ailleurs pas l'apanage de Linux seulement, mais concernent tous les systèmes d'exploitation multitâches.

Linux posséde de base une grande variété de programmes pouvant assurer de la sécurité.

Ces lignes visent à :

– attirer l'attention de certains utilisateurs sur la nécessité de mettre en place une administration de base de la machine prenant en compte la sécurité du sytème et du réseau
– faire connaître et passer en revue quelques éléments pour mettre en place un niveau de sécurité de base.

Lors de l'Installation

Certaines distributions Linux (Redhat, Mandrake, Suse, Debian..) facilitent la phase d'installation du système en proposant des classes d'installation prédéfinies. Dans ce cadre là, il s'agit de ne pas installer le système à l'aveuglette, sans connaître la portée de ce que l'installation automatique de votre distribution aura choisi pour vous. Il est en outre nécessaire de bien réfléchir à quoi va servir la machine que l'on installe ? est-ce une station de travail de bureautique, de développement ? ou bien une machine serveur réseau ?.. Par exemple une distribution Linux Mandrake propose des classes d'installation telles que :

– station de travail : classe d'installation la plus polyvalente. Celle ci installe un ensemble de programmes standards (bureautique, clients internet, logiciels scientifiques...)

– développement : Pour les utilisateurs qui souhaitent développer des logiciels ou les compiler. Le système installe un grand nombre de librairies de sous programmes (*.a, *.so) et de fichiers d'entêtes (*.h) nécessaires au développement d'applications et la compilation de programmes en "C" ou autre langage (Perl, Python...).

– serveur : classe permettant de transformer votre machine en serveur réseau. Un grand nombre de serveurs réseau sont proposés et installés (dns, mail, ftp, web, news,...).

D'autres distributions (Redhat) proposent l'installation d'ensembles de paquetages homogènes (Serveurs réseau, jeux, bureautique, bureaux...). Dans tous les cas, il sera nécessaire de :

– vérifier et compléter les choix prédéfinis en choisissant l'option choix des paquetages individuellement. Cela vous permettra de découvrir et apprendre à connaître les noms et fonctions des différents paquetages logiciels issus du monde du Logiciel Libre afin de décider en pleine lumière si oui ou non ils sont nécessaires sur votre machine... Au bénéfice du doute, il est sûrement préférable de ne pas installer un service si on ne sait pas à quoi il sert. Il sera en effet très facile de le rajouter par la suite si on en a besoin à l'aide des commande rpm ou dpkg.
– choisir les services que l'on souhaite lancer au démarrage... Il est nécessaire de ne pas négliger cette phase et de bien choisir les services qui seront strictement nécessaires. Enfin, à l'issue de l'installation, il sera nécessaire de vérifier ce qui a été effectivement installé.

Post Installation : Vérifier les services lancés au démarrage

L'installation est terminée, félicitations ! Un certain nombre de paquetages sont donc installés sur la partition système Linux /.

Il est maintenant nécessaire de passer en revue les services qui sont effectivement lancés en mémoire, afin de ne pas laisser de services inutiles qui pourraient être ultérieurement des cibles potentielles, pour d'éventuels pirates sur Internet.

Vérifions après l'installation, ce qui est vraiment lancé. Dans une fenêtre terminal, si vous tapez la commande :
$ chkconfig --level 3 --list
(ou bien chkconfig --level 35 --list pour inclure les niveaux de démarrage 3 et 5)

Vous verrez apparaître la liste de tous les services disponibles sur la machine avec l'indication de leur lancement au démarrage : "Arrêt" (ou Off) qui indique que le service n'est pas lancé au démarrage, et "Marche" (ou On) pour l'inverse. [Cette supervision s'obtient aussi en lancant certains programmes d'administration comme DrakConf sous Mandrake (choisir services de démarrage). Chaque distribution Linux a un outil d'administration graphique particulier pour vérifier cette liste des services démarrés. Nous préferons indiquer ici la commande de base chkconfig qui est commune à toutes les distributions.

... innd 0:Arrêt 1:Arrêt 2:Arrêt 3:Marche 4:Arrêt 5:Marche 6:Arrêt ldap 0:Arrêt 1:Arrêt 2:Arrêt 3:Arrêt 4:Arrêt 5:Arrêt 6:Arrêt nscd 0:Arrêt 1:Arrêt 2:Arrêt 3:Arrêt 4:Arrêt 5:Arrêt 6:Arrêt sshd 0:Arrêt 1:Arrêt 2:Marche 3:Marche 4:Marche 5:Marche 6:Arrêt ...

Ainsi par exemple : si je n'ai pas besoin du service innd (qui est un serveur de forums publics)

$ rpm -qi innd pour avoir les informations sur ce paquetage

$ rpm -e innd

pour désinstaller le paquetage

A contrario, si on veut lancer au démarrage un service qui ne l'était pas initialement, il suffit d'utiliser encore la commande chkconfig en indiquant successivement le niveau de démarrage, le nom du service et les mots clés "on" ou "off" (il faut être administrateur root pour lancer cette commande)

$ chkconfig --level 35 webmin on lance par exemple le service webmin aux niveau 3 et 5 de démarrage

Interdire le lancement de certaines applications

Que voit un pirate en herbe depuis l'extérieur de votre site ? Quels renseignements peut il obtenir sur votre machine ? Le logiciel nmap disponible sur Linux, est un outil d'exploration qui permet de déterminer quels services sont présents et actifs sur une machine connectée au réseau. Pour un éventuel pirate, il n'y a qu'à découvrir les services qu'une machine héberge, relever le numéro des versions des serveurs présents et tenter d'exploiter d'éventuelles failles (failles qui sont d'ailleurs décrites sur un grand nombre de sites Internet). Ces sites fournissent les vulnérabilités de telle ou telle application, ainsi que les programmes permettant d'exploiter cette vulnérabilité !.

Face à cette possibilité d'investigation par nmap, il est donc nécessaire :
– de montrer le moins de services ouverts possibles en désactivant ce qui est inutile, et
– de contrôler l'origine des connexions sur nos machines serveurs.

$ nmap monpc.monreseau.fr Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Interesting ports on localhost.localdomain (127.0.0.1): (The 1507 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 80/tcp open http 110/tcp open pop-3 443/tcp open https 515/tcp open printer 6000/tcp open X11

On voit ici que la machine monpc.monreseau.fr offre un certain nombre de services disponibles depuis l'extérieur... on voit aussi que le service répondant sur le port 110 (POP) est une version QPopper en version 4.0.3

$ telnet monpc.monreseau.fr 110 Trying 194.254.147.252... Connected to monpc.monreseau.fr . Escape character is '^]'. +OK Qpopper (version 4.0.3) at monpc.monreseau.fr starting.

Désactiver les services inutiles

Le lancement des services réseau d'un système Linux repose sur un système dit client-serveur. Le schéma est simple : une machine cliente initie une connexion vers un serveur en demandant le lancement d'une application particulière. Ces services (encore appelé dans le jargon démons, ou serveurs) sont des programmes qui sont lancés de 2 manières différentes :

– soit par le programme inetd : inetd est un programme activé dès le démarrage du système, et qui attend en mémoire des demandes de connexion pour un service donné. Quand un client extérieur (ou même local à la machine) demande une connexion par le réseau, inetd détermine quel est le service à lancer en consultant son fichier de configuration /etc/inetd.conf.

– soit au démarrage de la machine : sans passer par inetd. C'est le cas de certains services très sollicités (comme un serveur de mail, ou un serveur www) qui doivent être présents en mémoire et répondre rapidement et directement aux demandes de connexion sans passer par le "super serveur" inetd.

Première étape de sécurité : vérifier le contenu de /etc/inetd.conf. Il ne faut laisser dans ce fichier que les services que l'on désire explicitement activer, et aucun autre (il suffit pour cela de placer un caractère de commentaire "#" devant la ligne du service que l'on souhaite désactiver.

# #pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d #pop-3 stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/popper -s #spop3 stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/popper -s -f /etc/mail/pop/qpopper.config #imap stream tcp nowait root /usr/sbin/tcpd imapd #.

Deuxième étape de sécurité : ce schéma client-serveur basique est trop simple, et pas assez sécurisé ! En effet par défaut, on ne contrôle pas "qui" (i.e quelle machine cliente) est à l'origine de la demande. Or, les services qu'une machine propose n'ont pas forcément à être disponibles à tout l'Internet ! Il est nécessaire de restreindre l'utilisation des services réseau vers un ensemble de machines à qui on souhaite réserver ce service. Sauf cas particuliers de serveurs publics (comme un serveur WWW, ou de messagerie), les services réseau ne devraient pas être destinés à être accessibles depuis tout l'Internet. Aussi il faut sécuriser ce schéma de base simpliste de 2 manières :

– soit en utilisant tcpwrapper
– soit en utilisant xinetd

Contrôler l'accès aux services par tcpwrapper ou xinetd

Dans le contexte de sécurité actuel, l'utilisation de tcpwrapper ou xinetd sur Linux, devient indispensable ! L'idée de base de tcpwrapper (ou de xinetd comme successeur de inetd) est d'exercer un contrôle sur l'identité de la machine cliente qui veut lancer un service réseau du serveur. tcpwrapper permet donc de limiter les accès aux services réseau offerts par une machine serveur, en fonction de l'adresse réseau des machines clientes.

– utilisation de tcpwrapper : tcpwrapper est un petit programme appelé tcpd qui est lancé par inetd avant le service demandé par la machine cliente. Pour activer tcpwrapper (i.e tcpd) il suffit de le rajouter dans le fichier /etc/inetd.conf. Ce système est depuis longtemps intégré de base dans les distributions Linux (rpm -q tcp_wrappers pour vérifier sa présence).

 ftp stream tcp nowait root /usr/sbin/tcpd /opt/proftpd/sbin/proftpd

– Dans ce schéma, inetd lance tcpwrapper avant le service convoité, lequel tcpd va alors engager une série de vérifications pour savoir si le service demandé est permis ou non pour la machine cliente extérieure. les contrôles de tcpwrapper se font dans 2 fichiers seulement :

– /etc/hosts.deny : indique la listes des services qui sont interdits pour certaines machines et domaines internet. La syntaxe est simple :

: (le mot clé "All" indique tous les services et/ou "tout le monde" selon l'endroit ou il est placé)

# ci dessous tous les services sont interdits à tout le monde All : All #

– /etc/hosts.allow

# autorisation de tous les services pour les machines de mon reseau ALL: LOCAL, .monreseau.fr # autorisation d'accès à sshd pour tout le monde sshd: All # acess au service POP que depuis les machines du reseau local poppassd: LOCAL, 192.168.1.0/255.255.255.0 popper: LOCAL, 192.168.1.0/255.255.255.0 # ## accès au serveur imap non sécurisé uniquement en LOCAL imapd: LOCAL, localhost.localdomain, 192.168.1.0/255.255.255.0 # ## accès au service imapS sécurisé par ssl pour tout le monde imapsd: ALL

Dans quel ordre se font les contrôles entre hosts.allow et hosts.deny :

– l'accès à un service est autorisé lorsque que tcpwrapper trouve un couple service:réseau dans le fichier hosts.allow,
– sinon le fichier hosts.deny est consulté et le service est refusé si une paire service:réseau s'y trouve.
– Sinon le service est accepté.

La politique la plus efficace dans ce fichier hosts.deny est de commencer par tout interdire en écrivant All: All. Ce qui signifie que tous les services de ma machine sont interdits à tout le monde. Cela nous permet de mettre en place une politique de sécurité visant à Interdire tout ce qui n'est pas explicitement autorisé. Il nous faut alors définir ce qui est explicitement autorisé dans /etc/hosts.allow

– utilisation de xinetd : en bref, xinetd est le programme qui est amené progressivement à remplacer inetd. xinetd intègre de façon native le supplément de sécurité de tcp_wrappers et apporte quelques éléments de contrôle supplémentaires. Quelques options supplémentaires et intéressantes de xinetd sont :

- disable = yes|no permet d'activer ou désactiver un service - only_from =  permet de restreindre le service à un ou plusieurs réseau - no_access =  interdit l'accès aux services pour les réseaux cités - instances = "n" permet de contrôler la charge. xinetd ne lancera pas plus de "n" programmes demandés. - access_times = 8:00-12:00 13:00-17:00 permet de restreindre l'utilisation d'un service sur une plage horaire.

On place ces options dans les fichiers de configuration présents dans
/etc/xinetd.conf et /etc/xinetd.d :

 service pop3 { socket_type = stream wait = no user = root server = /usr/sbin/ipop3d log_on_success += USERID log_on_failure += USERID disable = no only_from = 192.168.1.0/24 }

On trouvera un très bon article en français sur les apports et nouveautés de xinetd sur :

http://www.fr.linuxfocus.org/Francais/November2000/article175.shtml

le problème des mots de passe

– complexité : On ne le dira jamais assez les mots de passe doivent être suffisamment complexes pour ne pas être trouvé par des individus, soit dotés de bon sens (pour trouver toto, azerty, vélo), soit dotés du logiciel john-the-ripper qui permet de décrypter les mots de passe dans un fichier de mots de passe. En bref, un bon mot de passe doit comporter au minimum 6 caractères, être une combinaison de minuscules, majuscules, chiffres, et caractères de ponctuation. Le mot de passe ne doit pas être un mot du dictionnaire !. Le plus simple est de trouver une combinaison d'une phrase qui ait un sens mnémotechnique. Exemple : "j'ai 2 amours mon pays et Marseille" pourrait donner G2amPeM

– chiffrage : Il est bon de le savoir...ou de le rappeler : lorsque vous tapez quelque chose sur votre clavier, lors de la connexion à un service distant (un serveur pop3 par exemple, lorsque vous relevez vos mails)... tout ce que vous tapez, toutes les informations du dialogue client-serveur (et donc votre mot de passe), circulent par défaut de façon lisible (on dit en clair dans le jargon) sur le parcours entre le client et le serveur. Il suffit à un individu mal intentionné de lancer un programme d'écoute (un sniffer dans le jargon) sur un PC connecté au réseau, pour voir circuler vos noms et mots de passe de façon lisible.. imaginez la facilité de piratage par la suite !

Deux solutions principales s'offrent à nous pour contrecarrer ses possibilités d'écoute sur le réseau (en plus du fait d'avoir un mot de passe solide). Ces solutions sont progressivement mises en place par les administrateurs systèmes et réseaux de nos campus et laboratoires :

– avoir une architecture réseau la plus segmentée possible (en utilisant des commutateurs éthernet, ou des réseaux virtuels "vlan", par exemple)

– utiliser désormais des applications clients-serveurs qui utilisent de la cryptologie. Ces applications utilisent des algorithmes de chiffrement (comme RSA par exemple), utilisant un système de 2 clés (une dite privée et l'autre publique) qui permettent de chiffrer les données sur le réseau. En bref, ces algorithmes à clefs asymétriques reposent sur des propriétés mathématiques de factorisation des grandes nombres premiers. Ils permettent de faire en sorte que tout ce qui est chiffré avec la clé privée, peut être déchiffré avec la clef publique correspondante, et réciproquement. Ce chiffrement permet de rendre illisibles les données qui sont échangées entre un client et un serveur, et difficilement déchiffrables par un tiers qui n'aurait pas la clé correspondante. En outre ce système de chiffrage par des "bi-clés" permet d'apporter des fonctionnalités d'authentification pour des serveurs ou des individus. En effet si je peux déchiffrer un message avec la clé publique de X, c'est que seul X a pu l'écrire avec sa clé privée.

Principales applications utilisant la cryptologie

Par défaut, les échanges qui se font sur l'internet entre un programme client et une application serveur se font "en clair", laissant ainsi toute possibilité à un individu malveillant d'intercepter et lire ce qui est échangé lors d'une connexion avec un serveur distant (www ou mail ou ftp...). Ainsi lorsque vous tapez votre mot de passe sur votre poste, en vue de relever votre courrier électronique, ou bien d'accéder à un site bancaire via le Web, une possibilité existe que votre mot de passe soit lu par une tierce partie. On imagine alors les conséquences néfastes sur la sécurité des systèmes informatiques, et votre vie privée. Cette possibilité est désormais inacceptable, et il convient de la rendre nulle en utilisant des programmes utilisant du chiffrement.

Les programmes utilisant des algorithmes de chiffrement basés sur des clés existent depuis plusieurs années, mais leur utilisation avec des clés de 128 bits en France était jusqu'à il y a peu de temps, légalement prohibée. Ce n'est que récemment (Février 2002) que le CNRS a obtenu pour 5 ans l'autorisation légale d'utiliser certains moyens de chiffrement avec des clés de 128bits (logiciel ssh).

Il est désormais nécessaire de privilégier et utiliser toute application permettant un chiffrage du dialogue client-serveur. Dans ce système, en bref, les parties "cliente" et "serveur" chiffrent, les données (resp. déchiffrent) par un système de clé privée/clé publique. Pour l'utilisateur final, ce procédé ne nécessite aucune action supplémentaire ou complexe. Il est juste nécessaire d'utiliser des applications clientes susceptibles d'engager une transaction chiffrée.. La majeure partie du travail se fait du coté du serveur (et donc pour l'administrateur du serveur).

Ce mode de transmission s'appelle SSL (Secure Socket Layer), normalisé en TLS (Transport Layer System). Que peut-on sécuriser avec les applications utilisant SSL/TLS ?

– le relevé de son courrier électronique : Seuls les programmes de mail suivants proposent un dialogue sécurisé par SSL/TLS. Il s'agit de "Outlook Express" ou "TheBat" sur Windows, "Netscape messenger" (toute plateforme), Kmail ou Mutt (sur Linux). En ce qui concerne Eudora, seule les versions supérieures à 5.1 proposent ce chiffrement. Pour utiliser ce chiffrement sur vos programmes, il vous suffit de chercher dans les options de configuration du programme, la case indiquant "utiliser une connexion sure SSL". Bien entendu il faudra que du coté du serveur de messagerie, l'administrateur du système ait installé les serveurs d'accès aux boites de Mail, permettant le chiffrage (POPS et/ou IMAPS).

– L'accès à un site web : Pour sécuriser les échanges avec un serveur web distant, il suffit juste pour le client d'utiliser la syntaxe https en lieu et place de http lors de la connexion à un site web. Ainsi https://www.camif.fr/ pemettra d'accéder au server WWW d'un site en mode sécurisé, les échanges étant chiffrés par le serveur. Du coté du serveur, il est bien entendu nécessaire que l'administrateur du site distant ait mis en place un serveur WWW sécurisé supportant SSL, sans quoi la connexion sera refusée.

– La connexion sur une machine distante : il est question là, de se connecter et travailler sur une machine B, alors que l'on se trouve devant une autre machine A distante. On peut donc utiliser au maximum les potentialités d'un réseau de machines. Depuis longtemps Linux (et tous les Unix) permettent de travailler en réseau en utilisant les processeurs et disques de machines différentes. Il y a quelques temps, les programmes de base s'appelaient telnet et rlogin. Ces programmes souffrent d'un certain nombre de faiblesses en partie dues au fait que les échanges, encore une fois, entre client et serveur sont potentiellement lisibles avec un analyseur de réseau. Il est désormais indispensable de reléguer aux oubliettes l'utilisation de ces 2 anciens programmes de connexion. D'autant qu'un substitut parfait est disponible ! SSH pour Secure Shell (ou SSF pour sa version française utilisant des clés inférieures à 128bits)

– L'échange de fichiers par ftp : là encore le dialogue client-serveur FTP peut être chiffré par sftp grâce aux serveurs SSHv2. Certains applications clientes (www.ssh.org) offrent des accès et transferts très ergonomiques.

Contrôler l'intégrité de son système (`tripwire, rpm -V`)

En cas d'intrusion sur votre système Linux, il est fréquent que les pirates installent ce que l'on appelle un rootkit (disponibles sur Internet). Un rootkit (boite à outils d'un faux administrateur malveillant) est un ensemble de logiciels qui vont permettre à un intrus de s'introduire sur un système cible, et le modifier en laissant le moins de traces possibles. Le but pour l'intrus étant d'agir, en passant inaperçu du vrai administrateur. Par exemple, la commande ls sera modifiée pour ne pas laisser apparaître certains fichiers du rootkit lui même. La commande ps cachera certains processus, la commande netstat n'affichera pas certaines connexions ouvertes, etc. Le cracker peut alors facilement installer un accès caché au système (encore appelé backdoor), sans que l'administrateur puisse le déceler. Dans ce contexte il très est difficile de déceler une intrusion par les moyens de base. Il est donc indispensable d'utiliser des systèmes de contrôle d'intégrité qui permettent de savoir quels fichiers du système ont pu être modifiés.

Le paquetage tripwire (http://www.tripwire.org) est un système d'utilisation assez simple, qui permet de vérifier l'intégrité d'un système Linux. Il permet de contrôler toute modification du système par rapport à un état de base sain. Tous les fichiers rajoutés, détruits, ou modifiés seront décelés. tripwire est donc un programme de détection d'intrusion dans la mesure ou il permet de vérifier très rapidement l'état d'un système après intrusion, et repérer si un intrus a modifié le système.

Apres avoir initialisé le système par la commande /etc/tripwire/twinstall.sh Le principe de base consiste :
– à calculer une image de base (encore appelée empreinte ou condensé) du système lors de l'installation originelle. Cette empreinte est chiffrée et conservée dans un fichier.
– recalculer l'empreinte du système régulièrement (chaque jour) et la comparer à l'empreinte originale. tripwire indique alors toutes les modifications entre les 2 états !

tripwire est assez simple à utiliser :

– /etc/tripwire/twinstall.sh : étape préliminaire consistant à générer les clés de chiffrage qui vont permettre de chiffrer les fichiers de rapport.
– tripwire --init : calcul de l'empreinte initiale (condensé) du système. Cette empreinte est stockée dans un fichier chiffré, appelé
/var/lib/tripwire/.twd
– /usr/sbin/tripwire --check : lance un contrôle d'intégrité. La base de données initiale sert de point de comparaison. Le diagnostic donne ce qui a été modifié entre les 2 contrôles. La commande /usr/sbin/tripwire —check produit un fichier journalier de rapport chiffré qui se trouve dans /var/lib/tripwire/report

Il est nécessaire de lancer régulièrement les contrôles d'intégrités. tripwire peut être lancé régulièrement par l'ordonnanceur de tâches (cron) de Linux. Un rapport vous est envoyé par mail.

Une autre manière permettant de vérifier l'intégrité d'un ensemble de fichiers, est de s'appuyer sur les gestionnaires de paquetages rpm. L'option -V de la commande rpm indique si le paquetage installé a été corrompu par rapport à la version de base.

rpm -Va ou rpm -V compare les informations des fichiers installés sur le disque avec les informations prises dans la base de données des rpm. Le contrôle vérifie la taille des fichiers, le checksum, les permissions, les propriétaires de chaque fichier du paquetage. Exemple :

#rpm -qf /bin/ls fileutils-4.0-13mdk # rpm -V fileutils # touch /bin/ls

(on modifie la commande ls)

# rpm -V fileutils

(la vérification par rpm indique cette modificaiton)

.......T /bin/ls

(#T indique un changement dans la date de modification de la commande..)

Mettre à jour rapidement une application avec Linux ?

En cas de réception d'un avis de sécurité (l'administrateur système d'un laboratoire CNRS devrait logiquement en être informé par le biais des CERT-Renater ou CERT-A) informant d'une faille critique sur un logiciel. Il est alors nécessaire de faire rapidement une mise à jour du paquetage incriminé. Les corrections dans la communauté du logiciel libre étant assez rapide à être faites, il faut alors se procurer la version corrigée sur certains sites officiels de l'Internet (debian.org, mandrake.com, rpmfind.net, redhat.com, isc.org etc..) et l'installer. Cela dépend de la distribution que vous utilisez :

– par exemple, DrakConf (sur une distribution Mandrake), choix mise à jour des logiciels, ou plus directement MandrakeUpdate automatise totalement la récupération et l'installation d'une version corrigée d'un logiciel.
– De manière moins directe, mais tout aussi efficace, le site http://www.rpmfind.net permet de chercher, et récupérer la dernière version d'un programme corrigé. Une fois le paquetage récupéré, il suffit de lancer la mettre à jour sur votre système, par la commande rpm $rpm -Uvh

Voici quelques autres commandes bien utiles pour bien gérer vos paquetages
installés avec le système de commandes RPM

$ rpm -qa

lister tous les paquetages installés sur mon PC

$ rpm -e

enlever/désinstaller un paquetage

$ rpm -qil

lister le contenu d'un paquetage déjà installé

$ rpm -qilp

lister le contenu d'un paquetage non encore installé (encore sous forme de fichier .rpm)

$ rpm -qf /chemin/vers/le/fichier

savoir à quel paquetage appartient un certain fichier ?

$ rpm -ivh

Installer un paquetage

$ rpm -Uvh

mettre à jour un paquetage

$ rpm -Va ou rpm -V

vérification de l'intégrité du paquetage

Un doute sur la fonction du paquetage inn ?

– $ rpm -qi inn vous indiquera à quoi sert le paquetage
– $ rpm -qil inn : indique la composition du paquetage (s'il est déjà installé sur la machine)
– $ rpm -qilp /mnt/cdrom/Mandrake/RPMS/inn-2.2.2-8mdk.i586.rpm indique la composition du paquettage rpm inn, celui ci n'étant pas encore installé sur la machine

rajouter après coup le paquetage tcpdump que j'ai oublié lors de l'installation ?

$ mount /mnt/cdrom $ rpm -ivh /mnt/cdrom/Mandrake/RPMS/tcpdump-3.6.2-2mdk.i586.rpm

Sécurité Linux avancée : filtrage au niveau du transport réseau (`ipchains`)

Enfin, dernier point qui mérite d'être signalé, le système Linux a depuis longtemps la possibilité de faire du filtrage de trames réseau TCP/IP. Cela signifie que, Linux a la capacité d'accepter ou de refuser de traiter des trames réseau qui lui proviennent, en fonction de plusieurs critères : protocole réseau utilisé, adresses sources, du port applicatif qui est demandé. Ce système de filtrage au niveau du noyau Linux s'appelle ipchains pour la série des noyaux Linux 2.2.*, ou iptables pour la série des noyaux 2.4.*.

On peut donc faire du filtrage d'accès au niveau des demandes de connexion réseau provenant de l'extérieur. Cela est un peu plus général et performant que le filtrage au niveau des applications que nous avons cité plus haut (par tcpwrapper et xinetd). En effet, à ce niveau on peut intervenir directement au niveau des couches de transport réseau et des protocoles comme TCP, UDP, ICMP, mais également au niveau de n'importe quelle application. On peut en outre différencier des connexions entrantes (input), sortantes (output), ou transmises (forward) dans le cas ou le PC Linux possède 2 interfaces réseau et agit comme un routeur.

Ce système permet également de faire la différence entre des demandes de connexions issues de l'intérieur du site, et celles issues de l'extérieur (connexion dites "established"). Ce système est un peu plus complexe à mettre en oeuvre, et demande une bonne connaissance du protocole TCP/IP, et des ports applicatifs... mais il est très efficace.

– par défaut, le noyau Linux accepte tout en entrée, sortie, et redirection.

$ /sbin/ipchains -L Chain input (policy ACCEPT): Chain forward (policy ACCEPT): Chain output (policy ACCEPT):

– Voici quelques options principales pour écrire une chaîne de filtre :

$ /sbin/ipchains -A input [rajoute une chaîne de filtre en entrée] -s adresse-source 0/0 [contrôle sur l'adresse source en notation CIDR] -d adresse-destination [contrôle sur l'adresse destination en notation CIDR] numéro-de-port protocole -y [indique que la demande connexion est initiée depuis l'extérieur] -j ACCEPT|DENY|REJECT [politique de filtrage à mettre en place] -l [pour tracer la règle de filtrage dans un fichier de journalisation]

– exemple d'un fichier de configuration de ipchains dans

/etc/sysconfig/ipchains. ## accepte toute connexion entrante de l'exétérieur sur le port 22 = ssh -A input -p tcp -s 0/0 -d 0/0 22 -y -j ACCEPT # autoriser tout tcp et udp depuis le site de confiance 138.125.2 entre les ports 0 et 1023 -A input -p tcp -s 138.125.2.0/24 -d 0/0 0:1023 -y -j ACCEPT -A input -p tcp -s 139.124.16.0/24 -d 0/0 0:1023 -y -j ACCEPT -A input -p udp -s 139.124.2.0/24 -d 0/0 0:1023 -j ACCEPT -A input -p udp -s 139.124.16.0/24 -d 0/0 0:1023 -j ACCEPT # rejeter tout le reste -A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT -l -A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT -l -A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT -l -A input -p udp -s 0/0 -d 0/0 2049 -j REJECT -l ## rejette X11 et xfs -A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT -l -A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT -l

Grâce à ce type de filtre opéré par le noyau Linux, on voit par un logiciel de scan comme nmap, qu'un certain nombre d'applications sont inaccessibles ("filtered") depuis une machine de l'extérieur. Avec l'option DENY à la place de REJECT, la mesure est plus sévère puisque aucune indication de rejet n'est fournie. L'indication "filtered" n'apparait pas, la machine protégée devient alors un "trou noir" qui ne laisse apparaître aucun des services qu'elle met en oeuvre.

$nmap sonpc.sonreseau.fr Interesting ports on monpc.monreseau.fr (138.125.1.101): (The 1511 ports scanned but not shown below are in state: closed) Port State Service 21/tcp filtered ftp 22/tcp open ssh 25/tcp filtered smtp 67/tcp filtered bootps 68/tcp filtered bootpc 69/tcp filtered tftp 80/tcp filtered http 98/tcp filtered linuxconf 110/tcp filtered pop-3 111/tcp open sunrpc 123/tcp filtered ntp

Conclusions

Ces quelques conseils sont relatifs à la sécurité de base sur des machines de type unix. Ils vous permettront de rester connecter au réseau mondial avec une bonne sécurité de base, et de tirer tous les bénéfices et avantages de Linux et des "logiciels libres" sans trop de dommages...

Mais bien entendu ces mesures ne sont pas suffisantes à elles seules, pour bâtir une politique de sécurité totale et cohérente sur l'ensemble d'un laboratoire ou d'un campus. Il est nécessaire de consolider les quelques mesures que nous avons passé en revue, par la mise en oeuvre d'autres mesures relatives à l'architecture physique des réseaux, à des filtrages en entrée de site, jusqu'à certaines mesures relevant du comportement individuel (chartes informatiques), mais cela dépasse le cadre de cet article.

Quelques références

– http://www.urec.fr/securite/
– http://www.cru.fr/securite/
– http://www.linuxsecurity.com
– http://www.xinetd.org
– http://www.fr.linuxfocus.org/Francais/November2000/article175.shtml
– http://www.tripwire.org
– http://perso.univ-rennes1.fr/bernard.perrot/SSF/
– http://www.openssh.org
– http://www.ssh.com

L'article original de Maurice Libes du Centre d'Océanologie de Marseille est disponible au format RTF .

Faire passer un flux HTTP (ou autre) dans un tunnel SSH

Gaétan RYCKEBOER — 2002-08-29T09:07:09Z

Le protocole SSH est un moyen trÚs pratique de se connecter à distance sur un serveur (ou une station), sans laisser à une tierce personne la chance de récupérer les données qui transitent. En somme, il s'agit d'un telnet crypté.
Mais il permet également de forwarder un port local vers un des ports de la machine distante de maniÚre à créer un VPN (Virtual Private Network ou Réseau Privé Virtuel [1].).
Dans cet article, nous allons :

Créer un tunnel ssh entre un serveur distant sur lequel vous avez la main et un client au sein d'une entreprise ;
Paramétrer le client pour "faire comme si" les services du serveur distant étaient hébergés en local. Ainsi depuis le poste client, vous pourrez naviguer sur le site du serveur distant, consulter vos mails, etc.) de maniÚre sécurisée et transparente.

[conventions typographiques]

Rappel : Qu'est que SSH ?

DESCRIPTION [nota]

ssh (SSH client) is a program for logging into a remote machine and for executing commands on a remote machine. It is intended to replace rlogin and rsh, and provide secure encrypted communications between two untrusted hosts over an insecure network. X11 connections and arbitrary TCP/IP ports can also be forwarded over the secure channel. ssh connects and logs into the specified hostname. The user must prove his/her identity to the remote machine using one of several methods depending on the protocol version used.

Dans cet extrait de la page de man de la commande ssh, on comprend que le protocole SSH est un moyen de saisir des commandes à distance, en faisant transiter les données, entre le client et le serveur, de manière cryptée.
En pratique, ssh [2] utilise les libraires openssl, et un algorithme à clé publiques/privées RSA (ou DSA pour la version 2 de ssh).

ssh se comporte exactement comme telnet, mais avec une connexion cryptée.
Le client encrypte les données qu'il envoie au serveur, qui les décryptera, et réciproquement.
En plus, grâce au mécanisme de clés, il est tout à fait possible de se faire identifier, non par un couple login/password classique,
mais par une clé RSA (resp. DSA) présente dans le répertoire .ssh de l'utilisateur, sur l'ordinateur client.

Pour plus de détails sur les clés, reportez-vous à l'excellente doc sur GPG et au site UZINE.

Rappel 2 : qu'est ce qu'un port ?

Le protocole TCP permet d'établir des connexions entre machines, c'est-à-dire entre un client, qui demande une connexion, et un serveur, qui écoute les demandes de connexion et y répond.
Pour différencier les services (par exemple la messagerie électronique du serveur Web), on attribue de manière arbitraire [3] un numéro de port à chaque service.
De même, on différencie les clients par un couple adresse IP/port "source", avec un port pris dans une plage comprise entre 1025 et 32000, ce sont des ports dits non privilégiés, n'importe qui à le droit de les utiliser.
Cela permet d'avoir plusieurs connexions simultanées en provenance
d'un seul client vers un même service présent sur un serveur distant.

Dans le fichier /etc/services, vous trouverez une liste de ports couramment utilisés pour les services, à savoir le port 25 associé au démon SMTP, le port 110 au démon POP3, le port 80 au démon HTTP, 22 au démon SSH, etc.

Sur ce schéma réalisé avec dia, le réseau d'entreprise s'appelle ENTREPRISE.COM, le réseau du serveur distant se nomme CHEZMOI.FR. serveur.chezmoi.fr désigne le PC familial par exemple et a.entreprise.com correspond au poste client.

Les pare-feux (sur firewall.entreprise.com dans notre exemple) ne filtrent les connexions TCP que sur un nombre restreint de ports, en fonction des besoins des utilisateurs et des services de base (webmail, accès distants...) mis en place par l'entreprise pour ses collaborateurs.
En général, les ports 80, 110, et parfois 25 sont ouverts pour les connexions du réseau local (ou LAN) vers l'extérieur.
Pour les connexions entrantes, sur les équipements de filtrage destinés à la protection du LAN, un bon administrateur ne laissera ouverts depuis l'extérieur que les ports utilisés par les ordinateurs qui doivent être accessibles depuis Internet. Il s'agit, généralement, là aussi des ports 80, 25 et 110, ainsi que le port 22 pour l'administration à distance.

`sshd` peut écouter sur un port arbitraire

On vient de le voir, les administrateurs qui font bien leur travail ne laissent pas sortir les connexions à destination des ports SSH. Mais le port HTTP (port 80) reste ouvert.

Si, depuis un réseau (entreprise.com) configuré ainsi, vous désirez accéder à une machine distante [4] via SSH, vous devrez utiliser un autre moyen qu'une connexion directe sur le port 22.
La solution consiste à forcer le démon SSH du poste client (a.entreprise.com) à écouter sur un des ports accessibles du serveur distant (serveur.chezmoi.fr), généralement le port 80 ou 110.
Vous trompez ainsi le pare-feu de votre entreprise (firewall.entreprise.com) sur le type de connexion que vous tentez d'établir. Il croit laisser passer une requête HTTP ou POP.

En pratique, il faut modifier le fichier /etc/ssh/sshd_config. La
syntaxe de ce dernier est simple et rappelle celle du fichier de configuration d'Apache. Repérez les lignes suivantes :

# What ports, IPs and protocols we listen for Port 22

Ajoutez le port 110 ou 80, ou les deux afin d'obtenir le résultat suivant :

Port 22,110,80

Redémarrez le démon sshd, soit par un kill -HUP PID de
sshd, soit par un /etc/init.d/sshd restart (ou encore
/etc/rc.d/init.d/sshd restart ou rcsshd restart).
Attention, il n'y a pas d'espace entre la virgule et le nombre qui la suit.

Attention également de ne pas couper la branche sur laquelle vous êtes assis. Il est bien évident que vous ne POUVEZ PAS redémarrer sshd si vous êtes connecté sur la machine distante via ssh (!).
[5].

La commande screen ouvre la voie d'une troisième solution, pour redémarrer le démon à distance.
screen est une commande qui permet de dissocier le shell du terminal ; le sh du ssh. [6].
Grâce à screen, si la connexion vient à être coupée, les commandes saisies et les programmes lancés continueront à s'exécuter et le démon sshd sera redémarré.

Vérifiez ensuite les erreurs éventuelles dans le fichier /var/log/messages par un

tail -f /var/log/messages

(sur serveur.chezmoi.fr).

Si la configuration de firewall.entreprise.com et firewall.chezmoi.fr, laissent passer les demandes de connexion sur le port 80 ou 110, vous pouvez vous connecter à serveur.chezmoi.fr avec la commande ssh -p 80 nom@machine.domaine (resp. 110). Un client SSH pour Windows, putty, permet également d'établir une telle connexion en modifiant le numéro de port dans la fenêtre principale de session (remplacer 22 par 80, resp. 110 dans le champ adéquat) [7].

Changer les ports utilisés par les services

Comment se connecter au port 110 ou 80 de serveur.chezmoi.fr avec SSH, alors que cet ordinateur héberge déjà un serveur POP3 et un
serveur HTTP ?
Il y a une astuce pour empêcher plusieurs services d'écouter les mêmes ports (ici sshd et httpd écoutent sur le même port : le port 80).

Changer le port sur lequel le démon SSH écoute
Plutôt que laisser écouter le démon sshd sur toutes les adresses locales de la machine, c'est-à-dire l'adresse de votre
LAN, l'adresse délivrée par votre fournisseur d'accès Internet (FAI) [8] et l'adresse localhost, nous allons affiner un peu la configuration de sshd, en associant les ports à des adresses précises.
Dans le /etc/ssh/sshd_config de serveur.chezmoi.fr, supprimez les modifications précédentes de manière à obtenir Port 22. Insérez ensuite les lignes suivantes :

ListenAddress 127.0.0.1:22 ListenAddress [VotreAdresseProvider]:110 ListenAddress [VotreAdresseProvider]:80

Que disent ces lignes ? Que le démon sshd va écouter sur le port 22 si les demandes entrent par l'adresse localhost (127.0.0.1), et sur les ports 110 et 80 si les requêtes parviennent à l'adresse publique VotreAdresseProvider, fournie par votre FAI .

Pour trouver VotreAdresseProvider, saisissez la commande ifconfig ppp0 par exemple (avec une liaison RNIS, il s'agit de ippp0). Repérez ensuite inet adr qui correspond à l'adresse attribuée par votre FAI.

L'astuce, c'est que le démon SSH n'écoute pas sur les ports 80 et 110 sur l'adresse localhost, cela sera utilisé par la suite.

Configuration du serveur Apache
Il faut maintenant configurer le serveur HTTP Apache pour qu'il n'écoute pas sur le port 80 associé à l'adresse
publique de votre FAI, mais uniquement sur le port 80 de l'adresse localhost. En premier lieu, nous allons le forcer à écouter sur un autre port : 8081.

Ouvrez le fichier /etc/apache/httpd.conf (ou /etc/httpd/conf/httpd.conf ou /etc/httpd/httpd.conf en
fonction de votre distribution (la commande locate httpd.conf devrait vous renseigner sur l'emplacement exact).
Remplacez 80 par 8081 dans la ligne :

Port 80

Vous obtenez alors :

Port 8081

Nous verrons plus tard comment préciser l'adresse sur laquelle les serveurs HTTP écoutent les demandes de connexion.

Redémarrez ensuite apache à l'aide de kill -HUP PID du httpd qui a le plus petit numéro ou de /etc/init.d/apache restart, et vérifiez qu'il écoute bien sur le port 8081 en vous connectant via telnet :

# telnet localhost 8081 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'.

Tapez

GET /

Ajoutez une ligne vide (appuyez sur la touche Entrée), et la page index.html devrait apparaître (enfin son code source, bien sûr).

Forwarder un port avec le protocole SSH

La partie serveur.chezmoi.fr est maintenant configurée, ssh écoute sur le port 80, est joignable depuis votre client distant, Apache écoute sur le port 8081, et sur localhost:80

Une autre astuce va être employée afin de créer le tunnel SSH. Nous allons dire au client SSH, sur a.entreprise.com d'écouter sur le port 80, et de le binder (c'est-à-dire relier) à un port donné de serveur.chezmoi.fr.

Votre client distant (a.entreprise.com) enverra toutes les demandes de connexion le port 80 qui lui seront faites au serveur distant, serveur.chezmoi.fr, qui se chargera de faire parvenir la connexion à l'adresse IP et le port que vous avez précisé à l'ouverture de la connexion SSH. C'est, en quelque sorte, une téléportation de connexions IP. Un peu compliqué à comprendre, mais très très pratique à l'usage. D'ailleurs, d'autres ont fait beaucoup mieux que moi, en terme de pédagogie sur SSH.

Nous allons demander de forwarder [9] le port 80 de localhost, vers le port 8081 du serveur.chezmoi.fr.
C'est exactement comme si on faisait un lien symbolique entre les deux ports, en utilisant le tunnel SSH établi entre les serveurs [10].

Dans le man, ils expliquent le forwarding (en anglais sur ma machine) de la sorte :

# man ssh ... -L port:host:hostport Specifies that the given port on the local (client) host is to be forwarded to the given host and port on the remote side. This works by allocating a socket to listen to port on the local side, and whenever a connexion is made to this port, the connection is forwarded over the secure channel, and a connection is made to host port hostport from the remote machine. Port forwardings can also be specified in the configuration file. Only root can forward privileged ports.

Attention, il est bien précisé que seul l'utilisateur root a le droit de forwarder le port 80 local vers une machine distante via SSH.

En pratique, ça se passe comme ça :

ssh -p 80 nom@serveur.chezmoi.fr -L 80:localhost:8081

Ce qui signifie que le client SSH enverra toutes les demandes de connexion qui lui seront faites, à serveur.chezmoi.fr, qui se chargera de les acheminer sur localhost:8081 (c'est à dire lui même).

Une fois votre mot de passe tapé, si vous n'utilisez pas de clé RSA, la connexion SSH est établie. Vérifiez que le tunnel est bien fonctionnel (à partir d'une autre console) :

# telnet localhost 80 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'.

Tapez

GET /

suivi d'une ligne vide, la page index.html devrait apparaître. Vous êtes sûr que le tunnel SSH fonctionne, et que le port 80 est bien forwardé sur votre serveur.

# telnet localhost 8081 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'.

Tapez

GET /

suivi d'une ligne vide, et la page index.html devrait apparaître.

J'attire votre attention sur ce point. Vous avez, grâce à la commande précédente, forwardé un service, pour faire comme si le service Web hébergé sur serveur.chezmoi.fr était hébergé sur votre client a.entreprise.com. Si vous ouvrez votre navigateur web, et si vous vous connectez sur "localhost", la pseudo-interface locale, vous accédez aux services Web de votre serveur.
Il est tout à fait possible de faire de même avec l'ensemble des services de votre serveur distant, afin de les utiliser depuis votre client local. Il vous suffit d'ajouter autant de fois le paramètre -L que nécéssaire, lorsque vous lancez ssh.

Utiliser Putty

Si vous n'avez pas de poste sous Linux à disposition, mais une machine sous Windows, la version de développement du logiciel Putty vous permettra d'utiliser les fonctions de port forwarding de ssh.
Téléchargez la version de développement, et affichez les paramètres SSH / Tunnels afin de définir une translation du port 80 local, vers l'adresse localhost:8081. La capture d'écran ci-dessous vous montre les paramètres à préciser :

La page tunneling de putty

Puis cliquez sur ajouter pour créer le tunnel.
N'oubliez pas de sauvegarder la configuration que vous venez de définir afin de la réutiliser lors de vos prochaines connexions sur serveur.chezmoi.fr.
Je ne vais pas ici vous donnner le mode d'emploi de Putty, pour cela reportez-vous au site de putty. Ah ben oui, c'est en anglais. Eh, oh, je suis pas votre père, hein ?

Notez bien qu'il est là aussi possible de forwarder plusieurs services, pour que le client accède par exemple, au serveur Web, à la messagerie, à sa base de données mysql, à un serveur vnc (pour de la prise de contrôle à distance) vers un PC sous Windows, sous Linux, etc.

Apache ne marche plus très bien...

Votre tunnel SSH est effectif. Vous vous connectez à votre serveur sur le port 80, et le port 80 local du poste client a.entreprise.com est redirigé vers le port 8081 local de serveur.chezmoi.fr.

Le serveur distant fait partie d'un LAN, et le serveur Web Apache ne marche plus... Les utilisateurs de chezmoi.fr ne sont pas contents de rajouter le numéro de port :8081 dans la barre d'adresse de leur fureteur Web à chaque fois qu'ils tentent de se connecter au serveur Web de serveur.chezmoi.fr. C'est compréhensible. Pour les calmer, il existe une solution du même tonneau que celle que nous avons vue pour ssh. Dans le fichier /etc/apache/httpd.conf de serveur.chezmoi.fr, ajoutez les lignes :

Listen 127.0.0.1:80 Listen serveur.chezmoi.fr:80

Redémarrez Apache, et hop, plus de problèmes depuis le réseau local de votre serveur distant (serveur.chezmoi.fr).

Et mon cucipop ?

Bon. Ben dans le script de conf de cucipop, y'a pas un truc comme "Ecouter sur le port n°XX", des fois ?
Allez, man et google sont vos amis. J'ai des mails à lire, moi. Je l'ai déjà dit, je suis pas otre père, non mais des fois !

[1] Il s'agit d'une solution pour le télétravail et la sécurité.

[conventions typographiques] :
– Un terme en majuscules (SSH) représente le nom du protocole,
– Un terme en police fixe (ssh) représente la commande à taper telle quelle,
– Un nom en italique (serveur.chezmoi.fr) représente un nom de machine, de domaine, ou un terme anglais pour lequelle une traduction nuirait à la comprehension (déjà sérieusement hypothéquée ;-).

[nota] toujours commencer une présentation par une page de man. Ça forge le caractère.

[2] Du moins la version que nous utilisons au CLX, c'est à dire Openssh.

[3] L'IANA recense tous les services officiellement utilisés et les numéros de port associés. On apelle d'ailleurs ces ports (entre 1 et 1024) des ports privilégiés, seul root a le droit d'y faire écouter un démon. La liste n'est pas exhaustive, vous comprendrez pourquoi plus bas.

[4] le PC familial, par exemple, sur lequel sont installés un certain nombre de services tels que POP SMTP ou HTTP. Sur notre schéma, c'est serveur.chezmoi.fr.

[5] En effet, le redémarrage du démon sshd se fait en deux étapes.

arrêt du démon
démarrage du démon
Si vous perdez la connexion — ce qui est logique — après la première commande, tous les process fils de votre terminal seront tués, dont le process de démarrage de sshd ; sshd ne sera pas redémarré.

Si vous devez redémarrer, à distance, le démon sshd et que le -HUP ne fonctionne pas, et si votre /etc/ssh/sshd_config ne contient pas d'erreur, vous pouvez programmer un redémarrage de sshd dans la crontab.
Vous perdrez la connexion avec le serveur, c'est vrai, mais le processus de redémarrage ne sera pas tué — puisque le père de ce process, c'est cron — contrairement à un /etc/init.d/sshd restart tapé depuis une console ssh.

[6] Un ssh sur un client distant ouvre une fenêtre d'affichage, une connexion sur le serveur, et exécute un shell pour exécuter les commandes.
screen ouvre un second shell un peu particulier. La commande screen -r permettra de retrouver votre session ssh initiale ; vous pouvez même forcer screen à détacher la session et la rattacher au terminal que vous utilisez, avec un screen -rd, par exemple pour récupérer une session ouverte sur l'un des terminaux virtuels de votre serveur distant, et vice-versa. man screen pour en savoir plus.

[7] Vous comprenez maintenant qu'il est possible de faire tourner n'importe quel service sur n'importe quel port, l'usage, et l'IANA, veulent pourtant que l'on respecte au maximum les fonctions associées aux différents ports — pour éviter de s'y perdre —.

[8] d'autant plus si votre machine est connectée à
Internet via l'ADSL

[9] à ne pas confondre avec translater, qui désigne une autre opération en réseau.

[10] Il est tout à fait possible, par ce même procédé, de forwarder n'importe quoi n'importe où. Dans les deux sens. La seule limite étant l'utilisation, à un moment donné d'un des port de l'un des deux bout du tunnel ; mais on peut très bien faire un tel lien entre un serveur Web, chez entreprise.com, et un des ports de serveur.chezmoi.com (puisque c'est l'un des bouts du tunnel ssh)

Si vous souhaitez aller plus loin, un support de cours TCP/IP est disponible sur le site Web du LAISSUS.

Vous pouvez consulter le trÚs bon et trÚs classique bouquin de Tannenbaum, ou celui de Pujolles. Attention, c'est technique (et sauvage, accrochez-vous). Pointez-vous dans n'importe quelle bonne librairie scientifique, demandez le Tannenbaum, vous aurez un pavé de 500 Pages.

Sinon, l'article Construire son réseau d'entreprise, nettement plus abordable, techniquement parlant, vous donnera de sérieuses bases en réseau.

Pour en savoir plus sur les VPN, vous pouvez consulter VPN AccÚs securisé à des pages web privées et transferts via ftp.

Enfin, les INCOUTOURNABLES HOWTO :
– VPN HOWTO
– NET4 HOWTO
– Network Administrator Guide (NAG) qui existe aussi en version Française, chez O'Reilly, dans toutes les libraires dignes de ce nom voire moins, puique je l'ai même vu à Carrefour (!).

Les commandes Linux

Sebastien Couret — 2002-07-15T14:50:14Z

Les commandes shell UNIX ne sont pas toujours faciles à retenir, mais elles sont tellement pratiques...
Voici une liste des commandes les plus usitées avec un bref descriptif. Une fois que vous connaissez le nom et la fonction de base, man will do the rest ...

A|B|C|D|E|F|G|H|I|J|K|L|M|N|O|P|Q|R|S|T|U|V|W|X|Y|Z

a2p Convertisseur de awk vers Perl

a2aps Conversion d'ASCII en PostScript

adb Debogueur

adduser Ajout d'un nouvel utilisateur

alias Définition d'abréviation de commandes

apropos Affichage des informations sur un mot clef (man -k)

ar Archivage de fichiers (bibliotheques .a)

arp Affichage de la table de conversion des adresses MAC

at Execution d'une commande à un moment précis

atq Affichage de la liste des commandes en attente pour un utilisateur

atrm Supression de la totalité des commandes en attente

as Compilateur Assembleur

ash Appel du A-shell

awk Language de programmation pour traitement de fichier

banner Affichage d'une bannière

basename Extraction du nom de fichier d'un chemin d'accès

bash Appel du Bourne Again Shell

bc Interpréteur de calcul

bg Execution d'un processus en arrière-plan

break Sortie d'une boucle

cal Affichage d'un calendrier

captoinfo Traduction termcap->terminfo

case Structure de controle a choix multiple

cat Afficher un fichier (texte)

catman Mise à jour de la base apropos

cd Changement de répertoire

cflow Analyse du code source (Debogage)

chfn Modification des informations de finger

chgrp Modification du groupe propriétaire d'un fichier

chkconfig Informations sur les niveaux de demarrage et les services

chmod Changement des permissions d'accés sur un fichier

chown Modification du propriétaire d'un fichier

chroot Changement du répertoire racine d'une commande

chsh Changement du shell de connexion

ci Stockage de la version courante (.v)

clear Effacement de l'écran

clock Affichage de l'heure

cmp Comparaison de deux fichiers

continue Reprise d'une boucle interrompue avant son terme

co Extrait la version d'un programme

cp Copie de fichiers

cpio Copie de fichier archive pour la sauvegarde

cpp Compilateur C

crontab Execution de commandes à intervalles reguliers

ctags Analyse du source (Debogage)

cut Découpage de lignes dans un fichier

cxref Analyse du source (Debogage)

cvs Gestion de projet CVS

date Date et heure du système

dbx Debogueur

dc Desk Calculator (Calculatrice en notation Polonaise inverse)

dd Copie un disque ou une disquette bloc à bloc

debugfs Recherche d'erreurs dans un système de fichiers

depmod Charge un module

df Affiche l'space libre sur support de données

diff Affiche les différences entre les fichiers (cf patch)

domainname Modifie le nom de domaine NIS

dosfsck Vérifie les secteurs défectueux d'une partition DOS

du Affiche l'espace occupé par des fichiers pour chaque répertoire

dump Sauvegarde des fichiers

dumpe2fs Affiche le détail d'un système de fichier

e2fsck Vérifie une partition LINUX (ext 2)

echo Affiche un texte

edquota Changement des quotas d'espace disque

egrep Recherche de fichiers avec filtres étendus

emacs Editeur de texte emacs

env Changement de l'environnement d'une variable

eval Execution multiple de commande de shell

exit Quitter le shell actuel

export Permet d'exporter une variable d'environnement

expr Exploitation et calcul d'expressions

fdisk Modifie la table de partitions

false Valeur de retour standard des scripts du shell

fc Rappel de lignes de commandes

fdisk Changement des partitions d'un disque dur

fdformat Formatte une disquette

fg Executer un processus au premier plan

fgrep Recherche rapide dans un fichier

file Determiner le type du fichier

find Recherche recursive de fichiers dans un répertoire

finger Finger des utilisateurs

for Structure de contrôle des boucles

free Afficher la mémoire libre

fsck Contrôle les secteurs défectueux dans un système de fichiers

gcc Compilateur GNU C

gdb Debugueur GNU

gpasswd Gestion de propriétés de groupes

gproff Analyse de performance GNU (profilage)

groupadd Ajout d'un groupe

groupdel Suppression d'un groupe

groupmod Changement des propriétés d'un groupe

groups Affiche les groupes dont on fait partie

grpck Vérifie la syntaxe du contenu du fichier /etc/group

guile Interpréteur LISP

gzip (De)Compresse les fichiers portant l'extension .gz

hostname Fixe ou affiche le nom de l'hôte

hwclock affiche l'heure de la carte mère (hardwareclock)

id Affiche le numéro de l'utilisateur courant ainsi que les groupe auquel ce dernier appartient

ident Extrait le numéro de version d'un exécutable

if indique un test dans un script Shell (si...)

ifconfig Affiche/configure les interfaces réseau et série (eth, ppp, l) disponibles

ifdown Arrête une interface réseau ou série

ifup Démarre une interface réseau ou série

info Appelle les pages infos

infocmp Affiche la source d'une entrée terminfo

insmod Chargement d'un module

ipcs Affiche des infos sur la communication inter-process

ipfwadm Configure le firewall ipchains (noyau 2.2)

iptables le module de filtrage (firewall) des noyaux 2.4

isapnp Configure les péripheriques ISA PNP (pLug and Play)

jobs Affiche les process qui s'exécutent en tâche de fond

join Mixe deux fichiers

key [S/KEY] Générateur de mot de passe

kill Envoie des signaux aux processus

killall Envoie un signal de fin d'exécution au processus indiqué

ksyms Affiche les symboles exportés par le noyau

lclint Détectt des imperfections dans un programme

less Affiche un texte (possibilité de déplacement, de recherche, etc.)

let Arithmétique dans le shell

lilo Installe le secteur d'amorcage de lilo et permet de prendre en compte les modifications apportées au fichier /etc/lilo.conf

lint Détecte des imperfections de programme

ln Crée un lien vers un fichier

locate Retrouve rapidement le chemin pour parvenir à un fichier d'après une partie ou l'intégralité de son nom entier

logger Envoie des messages au
démon syslogd

logname Affichage du nom d'utilisateur

lpd Lance le démon d'impression BSD

lpq Affiche des files d'attente d'impression

lpr Imprime des fichiers

lprm Supprime un job de la file d'attente

lptest Teste les imprimantes

ls Affiche le contenu du répertoire courant

lsattr Affiche les attributs étendus de fichiers

lsmod Affiche les modules chargés en mémoire

mail Envoi et réception d'e-mail

makewhatis Crée une base de données pour les mots-clefs de man

man Affiche de l'aide en ligne

mattrib Change les attributs d'un fichier MSDOS

mcd Change de répertoire MSDOS

mcopy Copie un fichier MSDOS

mdel Efface un fichier MSDOS

mdir Affiche un répertoire MSDOS

mdu Affiche l'espace utilisé par un répertoire MSDOS

mesg Gestion des accès sur terminaux par write et talk

mkfatimage16 Crée une image disque virtuelle pour DOSEMU

mformat Formatte un systeme de fichier MSDOS

mkbootdisk Crée une disquette de démarrage

mkdir Crée un repertoire

mkdosfs Crée un systeme de fichiers MSDOS

mke2fs Crée un systeme de fichiers linux (ext2)

mkfifo Crée dun tube nommé

mknod Crée des fichiers de périphérique et des FIFO

mkpasswd Crée un nouveau mot de passe

mkswap Formatte la partition de swap

mlabel Renomme un disque MSDOS

mmbd Serveur de noms NetBIOS (netbios-ns)

mmd Crée un repetore MSDOS

mmount Monte un disque MSDOS

mmove Monte ou renome un repertoire MSDOS

modprobe Chargement d'un module

more Afficher un fichier (texte) page par page

mount Montage système de fichier

mpartition Partition sur un disque MSDOS

mrd Efface un répertoire MSDOS

mren Renomme un fichier MSDOS

mroff Utilitaire de formatage des pages man

mtools Affiche les commandes MSDOS utilisables

mtype Affiche le contenu d'un fichier MSDOS

mv Déplace ou renomme un fichier

netcfg Configure le réseau via une interface graphique

netstat Affiche des infos sur la configuration réseau

nfstat Affiche des statistiques sur RPC

newgrp Change de groupe courant

nice Modifie la priorité d'un process (valeur entre 1 et 20)

nohup La commande suivant la commande nohup ignore le signal 1

nslookup Affiche des informations sur la résolution de nom via DNS

od Affichage d'un fichier en octal

passwd Change de mot de passe

patch Modifie le code source par versions

perl Interpréteur PERL

pnpdump Scanne les cartes PnP

prof Analyseur de performance (profilage)

ps Affiche la liste des processus

python Interpréteur Python

pwd Affiche le chemin courant

quotacheck Vérifie les quotas disque

quotaon Active les quotas disque

quotaoff Désactive les quotas disque

rcs Entre des descriptions de programme

rcdiff Affiche les différences entre deux révisions d'un programme

read Lit une valeur saisie

readonly Protège les variables Shell contre l'écrasement

reboot Redémarrage

renice Modifie le facteur de priorité aprés lancement

return Fin prematurée d'un Shell

rlog Affiche un résumé des modifications du fichier

rlogin Similaire à telnet (connecte sur une machine distante)

rm Efface un fichier

rmdir Effacer un répertoire

rmmod Décharge un module en mémoire

rsh Exécute une commande sur un serveur distant

rpcinfo Affiche des informations sur le port mappeur RPC

rusers Liste les utilisateurs connectés

ruptime Affiche le statut des machines locales sur le réseau

rwall Ecrit à tous les utilisateurs du réseau local

rwho Affiche tous les utilisateurs connectés

scanpci Effectue un scan de tous les periphériques PCI

sdb Debugueur

sed Editeur de texte batch

select Sélection de menu simple dans le shell (????????????????)

set Gère les variables et le comportement du shell

setsysfont Fixe le fond de la console

sg Change de groupe

shift Convertit des paramètres de position (shell)

shutdown Arrête le système (-h now ou -r 2 )

sleep Interruption du traitement pendant un certain temps

smbd Lance le démon SMB (netbios-ssm)

smbclient Lance le client SMB pour machines UNIX

smbprint Lance un script pour imprimer sur un hôte SMB

smbstatus Liste les connexions SMB présentes

smbrun Exécute un script pour faciliter le lancement d'applications sur des hôtes SMB

sort Filtre l'entrée ligne par ligne

startx Démarre le serveur X

strip Manipule les infos de debuggage sur un executable

stty Configue le terminal ou l'interface série

su Changement d'utilisateur

sudo Permet d'executer des commandes en tant que super-utilisateur

sulogin Login root en urgence

sum Calcule une somme de controle

suspend Place un shell en arriere plan

swapon Active une partition de swap

swapoff Désactive une partition de swap

sync Sauvegarde de la mémoire tampon d'entrée sortie

sysctl Affiche ou modifie les variables système

tac Affiche un fichier dans l'ordre inverse

tail Affichage de la dernière partie d'un fichier

talk Envoi de messages inter-utilisateurs

tar Sauvegarde et archivage de fichiers

tcsh Appel du Tene C-Shell

tclsh Interpreteur TCL

tee Redirection de saisie

telint Gestion des "niveaux" système

test Controle de conditions

tic Compile le source terminfo

time Permet de mesurer le temps nécessaire à une commande

tin Lecteur de news

touch Permet de créer un fichier vide

tr Conversion de caractères

traceroute Reconstitue la route qu'emprunte un paquet |

trap Gestion des signaux (shell)

true Valeur de retour standard pour un script shell

tset Initialise le terminal

tty Affichage des noms des terminaux

type Affiche le type du fichier

ulimit Pour définir la taille maximum d'un fichier |

umask Définit les droits (négatifs) de création d'un fichier

umount Démontage système de fichiers

umssync Synchronisation d'un système de fichier UMSDOS

unalias Suppression d'un nom d'alias

uname Informations (processeur , version ) système

unset Supression de définitions de variables et de fonctions

until Structure de controle des boucles

update Remet a jour les super-blocs du système de fichier

updatedb Reconstruit la BD des positions de fichiers

useradd Ajout d'un nouvel utilisateur

userdel Suppression d'un utilisateur

usermod Changement des attributs d'un utilisateur

vi Editeur texte vi

vipw Editeur pour le fichier password

wait Attend la fin d'un process en arrière plan

wall Envoi d'un message à tous les utilisateurs

wc comptabilisation des caractères, des mots et des lignes

whatis Retourne une breve description de la fonction

whereis Permet de recherche un executable dans le PATH

which Indique quel fichier sera appele (dans PATH)

while Structure de contrôle de boucle

who Affiche les utilisateurs courants

write Envoi d'un message à d'autres utilisateurs

winkey [LogDaemon] Generateur de mot de passe

xargs Combinaison de lignes de commandes et de saisie clavier

ypinit Génère les maps NIS

ypmatch Génère les maps NIS

yppasswd Modifie le mot de passe NIS

ypwhich Permet de savoir le nom du serveur NIS

A|B|C|D|E|F|G|H|I|J|K|L|M|N|O|P|Q|R|S|T|U|V|W|X|Y|Z

Document original

Le répertoire /etc

Sebastien Couret — 2002-07-11T10:29:50Z

Le répertoire /etc contient la plupart des fichiers de configuration d'un systÚme UNIX en général et Linux en particulier. Ce petit memento permettra au débutant de retrouver les plus importants...

"Aux armes /etc ra ...." :o)

aliases : Les alias de messagerie

amd.conf : Configuration du démon de montage AMD

at.deny : Liste des utilisateurs non autorisés à lancer des commandes at

dhcp.conf : Configuration du serveur DHCP

ethers : Conversion adresse MAC->nom d'hôte

exports : Liste des répertoires exportés via NFS

fstab : Liste des systèmes de fichiers à monter au démarrage

ftpaccess : Configuration du serveur FTP

ftpusers : Liste des utilisateurs interdits de FTP

group : Gestion des groupes d'utilisateurs

hostname : Le nom d'hôte

host.conf : Configuration resolver

hosts : Liste des hôtes (machines) connus sur le réseau (sans faire appel au serveur DNS)

hosts.allow : Liste des hôtes autorisés par le démon tcpd (TCP-WRAPPER)

hosts.deny : Liste des hôtes non autorisés par le démon tcpd (TCP-WRAPPER)

hosts.equiv : Liste des hôtes autorisés pour les R-commandes (rlogin, rcp, rcmd, rsh)

hosts.lpd : Liste des hôtes autorisés par le démon d'impression

inetd.conf : Configuration du super démon INET (Services réseaux)

inittab : Initialisation au démarrage, des terminaux et des lignes série

isapnp.conf : Configuration précédente des périphériques plug and play ISA (ISAPNP)

issue : Fichier affiché avant le login

ld.so.conf : Chemin des librairies dynamiques (cf ldconfig)

lilo.conf : Configuration du LInux LOader (lilo)

login.defs : Configuration du process de login

logrotate.conf : Configuration du 'rotateur' de journaux (logs)

mime.type : Les différents type mime de fichiers

modules.conf : Liste et configuration des modules chargés au démarrage

motd : Message affiché après connexion

mtab : Liste des systèmes de fichiers montés

mtools.conf : Configuration des mtools

named.boot : Fichier de configuration du serveur DNS (devient obsolète - bind 4)

named.conf : Fichier de configuration du serveur DNS

networks : Nom et masque des réseaux IP

nsswitch.conf : Configuration des principales bases de données système

ntp.conf : Fichier de configuration du serveur de temps NTP

pam.conf : Configuration de PAM (Plugable Authentication Module)

passwd : Liste des utilisateurs ainsi que de leur répertoire, groupe, etc.

printcap : Configuration de l'imprimante

profile : Liste des varaible d'environnement ou des programmes lancé au moment du login

protocols : Liste des protocoles réseau

pwdb.conf : Mode de stockage des mots de passe (shadow,nis,unix)

resolf.conf : Configuration de la résolution DNS (liste des DNS, etc.)

rpc : Mappage des numéros de programmes RPC

securetty : Liste des terminaux depuis lesquels le root peut se connecter

sendmail.cf : Fichier de configuration de sendmail

services : Mappage Port/nom pour services tcp/udp

shadow : Fichiers mot de passe cachés

shells : Shells autorisés

smb.conf : Configuration de samba

syslog.conf : Configuration du démon syslog

timezone : Définit la zone horaire

yp.conf : Configuration du client NIS

ypserv.conf : Configuration du serveur NIS

– Répertoires

apt/ : Mise à jour des packages Debian

init.d/ : Les scripts de démarrage

mysql/ : Fichiers de configuration de mysql

network/ : Configuration des couches réseau

pam.d/ : Configuration du Plugable Authentification Module (PAM)

ppp/ : Configuration de ppp (modems...)

rc.boot/ : Scripts de démarrage System V

rcx.d/ : Scripts de démarrage correspondant au niveau x

rc.d/ : Scripts de démarrage System V

skel/ : Squelette pour adduser

ssh/ : Fichiers de confiration pour SSH

snmp/ : Fichiers de configuration du démon SNMP

terminfo/ : Base de données sur les terminaux

Mettre sa linuxette à jour

Gaétan RYCKEBOER — 2002-06-01T15:07:35Z

La distribution Debian est réputée pour sa stabilité, d'une part, et le rythme infernal avec lequel les nouvelles versions sortent (hum).
Autrement dit, si vous n'avez pas un serveur, et que vous fonctionnez sous Debian... Attendre les versions stables n'est pas forcément la meilleure solution.

Voici comment ça marche.

Debian, distribution "démocratique" et non commerciale, ce n'est pas toujours simple... Un peu comme IBM, qui invente des outils géniaux - dans leur fonctionnement - mais... austères dans leur interface, et anti-ergonomiques.

Structuration

Tout d'abord, la distribution Debian est divisée en plusieurs branches, dans un état nommé :
– unstable, en développement perpétuel ;
– testing, en phase de tests de stabilité ;
– frozen, pas encore stable mais ça ne bouge plus beaucoup ;
– stable, la fameuse distribution stable, idéale pour les serveurs à haute disponibilité, et nécéssitant des besoins conséquents en sécurisation.

Les branches à proprement parler sont les versions de Debian, désignées par un nom de code :
– 2.1 slink qui n'est plus "supportée" ;
– 2.2 potato, actuellement stable ;
– 3.0 woody, actuellement testing ;
– 3.1 sid, actuellement unstable.

Pour chaque état Debian, qui actuellement correspondent aux 3 branches précédentes [1], et des mises à jour continuent à être faites en permanence dessus ; que ce soit des ajouts (sur les paquetages en testing et unstable), ou des mises à jour de sécurité (sur les paquetages en frozen et stable).

Comment ça marche ?

Un des aspect intéressant de la distribution Debian est le système qu'ils ont adopté pour mettre les packages [2] à la disposition du plus grand nombre. Comme Debian n'est pas une société commerciale, mais plutôt une association de ~~dangereux malfaiteurs~~ contributeurs bénévoles sur Internet, les packages sont accessibles très facilement via des sites FT ou des sites Web, et très facilement installables sur votre machine.

De plus, une gestion très évoluée et efficace des dépendances entre les packages [3] qui permet d'installer un logiciel par le biais d'une seule commande.

Enfin, les développeurs Debian ont pensé aux personnes n'ayant pas accès à Internet de manière permanente et/ou gratuite. Ils ont écrit un certain nombre d'outils pour récupérer, construire, utiliser, upgrader des images sur CD, afin de mettre à jour sa machine de chez soi, "comme si" on était sur Internet.

Les utilitaires

Le premier utilitaire, celui qu'il faut oublier rapidement, est dpkg. Il sert à installer un paquet (comme rpm pour les RedHat/Mandrake).

Un niveau au dessus, se trouve dselect. Lui aussi, il vaut mieux l'oublier.

Un niveau au dessus, se trouve apt-get. Lui, il ne faut pas l'oublier... C'est le plus utile.
La fonction de apt-get consiste à chercher un emplacement où récupérer un paquetage donné, de récupérer tous les paquetages dont il dépend, et de gérer les conflits entre paquetages [4].

Encore au dessus, se trouvent tout un panel de petits utilitaires bien pratiques, pour recréer une "source" pour apt-get ; on trouve ainsi apt-move, apt-proxy, apt-zip, et bien d'autres.

apt-get : mise à jour d'une machine

Le fonctionnement d'apt-get est relativement simple. Il possède une liste de sources (un CD, un serveur internet, un répertoire local...), récupère la liste des paquets disponibles sur ces différentes sources et, à la demande de l'administrateur, installe un/des paquetage(s) ainsi que tous les packages dont il(s) dépend(ent).
La syntaxe d'apt-get est la suivante :

apt-get  paquet(s)

La liste des commandes disponibles est :
– install : pour installer un paquetage ;
– remove : pour enlever un paquetage ;
– update : pour récupérer la liste des paquetages disponibles sur les différentes sources ;
– upgrade : pour mettre tous les paquetages à jour avec les versions les plus récentes trouvées.
Ainsi, apt-get install galeon donnera la liste des packages à installer pour faire tourner galeon, la taille des fichiers à récupérer, la taille de tout cela une fois décompacté, et installera l'ensemble. Pour le cas présent, il faut récupérer mozilla, donc... environ 15Mo ;-)

Simple, non ?

Plus difficile : le fichier /etc/apt/sources.list
C'est dans ce fichier que l'on place la liste des sources disponibles. La syntaxe est un peu bizarre, et je joins un fichier sources.list comme exemple.

sources.list

Un fichier /etc/apt/sources.list d'exemple

L'idée étant de recenser un certain nombre de sources, sur Internet ou non, avec le type de paquetages que l'on peut y trouver, et la distribution pour laquelle on peut trouver tout cela. Le mieux étant de lire le fichier d'exemple, et d'y faire le minimum de modifs ;-)
Sinon, l'utilitaire apt-setup permet de configurer relativement simplement ce fichier de sources.

apt-cdrom : ajout d'un CD-ROM aux sources pour apt

Un CD-Rom étant une source comme une autre, il peut servir à installer des paquets. Et heureusement. Seulement... Le format de l'entrée dans le fichier de liste est un peu... Bizarre.
Si vous récupérez et gravez une image ISO d'une nouvelle version de Debian, et/ou récupérez le CD complet (par Linux Mag France, un pote ou autre), l'utilitaire apt-cdrom permettra de le lire, de voir comment il fonctionne, et de l'ajouter à la liste des sources. C'est plus pratique.

apt-move

Ça, c'est carrément génial.
Le principe, c'est de mettre à profit les paquetages déjà téléchargés [5] et copiés dans un répertoire de "cache" sur votre disque dur [6], et de les transformer en une belle arborescence toute propre et bien fignolée, pour servir de source, à une autre machine par exemple.

En effet, les paquets téléchargés se trouvent dans /var/cache/apt/archives/, et ne sont utilisables que par dpkg. Le problème, c'est que dpkg ne gère absolument pas les dépendances, et agit de la même façon que rpm sur mandrake [7], et rend vite l'admin fou par des messages du type "impossible d'installer, il manque le paquetage xyz".
L'idée est donc de lire ce que contiennent les paquetages, de créer une arborescence pour une branche donnée, de créer la liste des paquetages et de rechercher les dépendances et enfin de copier les fichier dans la nouvelle arborescence toute propre. Ensuite, une ligne dans le sources.list, et le tour est joué.

Attention, apt-move ne fonctionne pas tout seul, il faut d'abord éditer le fichier de configuration de la bête...

Voici quelques variables tirées du fichier /etc/apt-move.conf

# Les sites dans ``/etc/apt/sources.list'' que vous voulez "miroiter" APTSITES="ftp.minet.net/pub/distrib/debian/ non-us.debian.org/debian-non-US www.opera.com/debian" # Les architectures pour lesquelles vous voulez générer la source ARCHS="i386" # Le chemin où créer la source LOCALDIR=/mnt/archives/apt-mirror # La distribution pour laquelle vous souhaitez créer la source DIST=testing

Pour créer une source à partir du cache apt, commencez par modifier le fichier apt-move.conf, puis tapez les commandes suivantes :

# apt-move get # apt-move packages # apt-move move

Et voilà !

Il ne vous reste plus qu'à ajouter votre source locale à /etc/apt/sources.list.

apt-proxy : un cache pour plusieurs machines

Une autre méthode de partage de connexion Internet entre plusieurs machines Debian, c'est apt-proxy. Comme son nom l'indique, il sert de cache intermédiaire entre les sources sur Internet, et votre apt-get local. Quel intérêt, puisqu'on l'a vu, il y a déjà un cache ?
Il y en a plusieurs.
Premièrement, apt-proxy utilise rsync. Il va donc récupérer de manière plus efficace les paquetages depuis les sources sur Internet. Et tout particulièrement si on demande à rsync d'activer le compression [8].
Deuxièmement, apt-proxy peux délivrer des paquetages à plusieurs machines sur le réseau local, que ce soient des sources sur Internet, comme pour votre machine locale, ou des sources locales générées par apt-move.
Enfin, apt-proxy ne récupère que les différences entre les fichiers de description des paquets (fichiers pouvant atteindre plusieurs mégas), permettant de se tenir à jour de manière plus rapide.

De cette façon, si on a un LAN avec plusieurs machines Debian, on ne téléchargera les packages qu'une seule fois (la première machine qui le demande), ou on fournira sa propre source créée avec apt-move.

En revanche, dans la mesure où ce n'est plus apt-get mais apt-proxy qui récupère le package depuis la source Internet, les "statistiques" de temps écoulé, de vitesse de transfert et de durée de téléchargement estimée ne seront plus valides... puisque apt-proxy attend d'avoir téléchargé complètement un paquetage avant de le transmettre à la machine qui le demande.

Pour utiliser apt-proxy, il va falloir mettre les sources de votre apt vers le fichier de apt-proxy, et changer indiquer à apt-get de ne plus utiliser que apt-proxy pour récupérer les paquetages.

Voici pour exemple mon fichier apt-proxy.conf, à partir des sources de mon /etc/apt/sources.list.

apt-proxy.conf

Le fichier de configurationpour apt-proxy

Le /etc/apt/sources.list ne contiendra plus que "localhost:9999" à la place du nom du serveur proposant les sources sur le net.
Ainsi, la ligne

deb ftp://non-us.debian.org/debian-non-US stable/non-US main contrib non-free

sera transformée en

deb http://localhost:9999 stable/non-US main contrib non-free

Attention la configuration de apt-proxy n'est pas forcément très simple. Une bonne lecture de la page de MAN et du fichier de configuration risque de s'avérer indispensable.

Debian, j'en veux

Voilà... J'espère que ce petit tour d'horizon vous aura permis d'y voir plus clair.

Comme d'habitude, n'hésitez pas à faire des commentaires sur le forum, des réclamations, des demandes d'améliorations ;-)
En attendant, voici de quoi récupérer les 8 images CD de la woody (actuellement en testing) pour vous installer une nouvelle distrib, ou mettre à jour une debian existante...

[1] il n'y a pas en ce moment de frozen, la woody est toujours en testing

[2] un package ou paquetage, c'est un fichier qui contient tout ce qu'il faut pour installer un logiciel

[3] ie. quelque chose comme "galeon utilise mozilla, qui utilise mozilla-common, qui utilise java, etc."

[4] Les fichiers identiques, les paquetages à mettre à jour, les packages à supprimer...

[5] downloadés, "descendus", récupérés...

[6] si vous n'avez pas désactivé la conservation des packages après installation.

[7] SuSE, RedHat, Mandrake...

[8] la ligne RSYNC=rsync -zu --partial dans le /etc/apt-proxy/apt-proxy.conf fera l'affaire

Sendmail : pour ou contre ?

Gaétan RYCKEBOER — 2002-05-04T18:21:59Z

Sendmail ? Encore ? Mais pourquoi faire ? Postfix, Exim ou Qmail sont nettement mieux, non ? Mieux, non. Plus faciles à installer, oh oui. Mais beaucoup moins complets... Le point sur les bons usages de Sendmail, points forts, points faibles.

Avantages

Configuration
La configration de la messagerie Sendmail, si elle est loin d'être simple, permet en revanche une souplesse d'utilisation sans égal. Le gros reproche que l'on fait souvent à Sendmail est le manque de clarté du fichier de configuration, le fameux sendmail.cf. En fait, le sendmail.cf est très très pratique à utiliser, une fois que l'on a compris comment il est construit.
Voir : Configuration avancée de Sendmail.

Sinon, sans passer par le redouté sendmail.cf, une bonne configuration des fichiers m4, livrés avec toute bonne distribution de Sendmail, permet un assez haut niveau de configuration, et le résultat reste relativement compréhensible.
E.JACOBONI a fait une excellente documentation sur l'installation de Sendmail pour une petite configuration de type station + modem, avec les options courantes de Sendmail. Sinon, la liste du CLX donne régulièrement un coup de main aux personnes qui ne comprennent pas grand chose à Sendmail... et tentent de le configurer sur leur machine.

Je joins tout de même un fichier de configuration m4 classique (documenté), pour que vous puissiez avoir une bonne base, si le serveur Sendmail installé avec votre distribution linux ne fonctionne pas par défaut... Avec une distribution debian, le script de configuration pose les bonnes questions, et suffit à lui tout seul à l'installation d'une messagerie Sendmail sur un petit serveur type "boîte noire" d'une PME/PMI.

sendmail.m4

Le fichier de configuration de Sendmail pour m4.
Sur Debian, c'est sendmail.mc

Voir aussi : Sendmail.org.

Plugins
En plus des options de configuration de base, de nombreux plugins ont été développés pour Sendmail, notamment :
– Le support du LDAP : pour gérer vos bases d'utilisateur via un annuaire LDAP ;
– Des dispositifs anti-spam perfectionnés, comme SPAM Assasin, ou Vipul's Razor par exemple. Par contre, cela fait appel à la libMILTER.
A ce propos, un article sur Perl.com explique (en anglais) pourquoi et comment filtrer le SPAM.
– Le cryptage GPG à la
volée, et le décryptage de la même manière. Cela permet de crypter les mails sortants lorsque le destinataire dispose d'une clé publique sur un serveur de clé (voir la configuration de GPG).

Trous de sécurité

Un autre repproche que l'on fait régulièrement à Sendmail est sa facheuse tendance à multiplier les trous de sécurité. En fait, après recherche sur le net, notamment via Security Focus, il n'y a plus grand chose depuis un moment... Mais étant un logiciel libre, donc à sources ouvertes, au début de la vie de Sendmail, il était relativement facile de voir les trous, et de les signaler.
Aujourd'hui, Sendmail n'est plus le seul sur le "marché", des trous sont également découverts dans Postfix, Qmail et Exim. Et Sendmail n'en a plus l'exclusivité ;-)

Enfin, on repproche souvent à Sendmail de fonctionner en mode "suid root", c'est à dire avec le privilèges du super utilisateur. Cela est rendu nécessaire pour pouvoir écrire le courrier de tous les utilisateurs, notamment celui de root.
En revanche, Sendmail utilise depuis la version 8 le smrsh, c'est à dire un shell limité et spécifique. Il regroupe plusieurs fonctions destinées à la gestion de la messagerie. Enfin, il est possible (une bonne lecture de la documentation est conseillée) de le faire fonctionner via smrsh.

Pour ma part, le seul problème que j'ai pu déceler dans les 6 derniers mois est un trou dans les noyaux Linux antérieurs au 2.2.15, qui permet de prendre le contrôle de la machine avec les privilèges "root" (à cause du suid root). Les dernières versions de Sendmail vérifient si ce bug est présent, et refuse de s'exécuter le cas échéant.

Mais il ne s'agit pas d'un bug propre à Sendmail, mais d'un bug du noyau linux, agravé par le fait que le serveur de messagerie est exécuté en suid root.

Conclusion

C'est un tout petit article, deux ou trois arguments permettant de vous aider à choisir entre tous ces logiciels de messagerie... Dans tous les cas, je vous invite à commenter votre (vos) choix, pour ou contre Sendmail, Postifix, Exim, Qmail...

Moi, je choisis Sendmail sans hésitation (flexibilité oblige).

Les DNS de Wanadoo et... moi

2002-04-23T11:19:15Z

Concilier serveur DNS et affichage de la consommation du crédit temps des forfaits Wanadoo Integrales se révÚle un véritable casse-tête... Sauf si on modifie la configuration de son serveur DNS. Explications.

Vous avez souscrit un forfait Wanadoo Integrales afin de vous connecter à Internet. Dans le même temps, vous avez configuré un serveur DNS (bind pour ne pas le nommer)pour améliorer, entre autres, les temps de réponse de votre réseau local.
Or, lorsque vous voulez vous connecter à la page vous permettant d'obtenir la consommation de votre forfait, vous vous apercevez que vous n'y avez plus accès. Et donc, vous ne pouvez plus savoir si il vous reste du temps de connexion ou si vous avez épuisé votre crédit temps.
La solution pour afficher votre consommation Internet consiste à ajouter les lignes suivantes dans le fichier /etc/named.conf (avec une Mandrake 7.1) :

zone "wanadoo.fr."{ type forward ; forward only ; forwarders { 193.252.19.3 ; 193.252.19.4 ; } ; } ; zone "19.252.193.in-addr.arpa."{ type forward ; forward only ; forwarders { 193.252.19.3 ; 193.252.19.4 ; } ; } ;

N'oubliez pas ensuite de relancer votre serveur DNS via la commande su -c "/bin/service named restart" (toujours pour une Mandrake) ou su -c "/usr/sbin/ndc restart".

Cet article n'est en aucune maniÚre associé avec le support technique du fournisseur d'accÚs Internet Wanadoo et vise uniquement à présenter une solution technique à certains problÚmes DNS rencontrés par les utilisateurs de ce FAI... En particulier pour des accÚs bas débit (ligne classique RTC, pas ADSL).

Chiffrer les partitions de swap

Fabien ILLIDE — 2002-04-13T17:58:48Z

Ce patch nous viens de la ML Open-Crypto de Michel Bouissou.

J'ai testé pour vous ce correctif de la Mandrake 8.2 et ça marche. (C'est un bug spécifique à la Mandrake 8.2)

La version d'origine se trouve ici.

N.B. :
– Ce patch de rc.sysinit a été réalisé UNIQUEMENT pour une Mandrake 8.2 et n'est probablement PAS compatible avec une autre distribution.
– Dans tous les cas de figure, ce patch nécessite la présence de loop-aes sur le systÚme (qui est inclus avec le noyau standard sur la Mandrake 8.2).
– L'utilisation de ce patch avec une autre distribution est susceptible de créer des problÚmes. Vous avez été prévenu ;-)
– Dans tous les cas de figure, l'utilisation de ce patch est entiÚrement à vos risques et périls, et je n'assume aucune responsabilité, ni ne fournis aucune espÚce de garantie, etc.
– Ce patch s'appliquant au script rc.sysinit sous licence GPL, est lui-même également sous licence GPL.

"La Mandrake 8.2, qui inclut le système loop-aes, permet supposément de chiffrer les partitions de swap de manière très facile.

Malheureusement, un bug dans /etc/rc.d/rc.sysinit fait que cela ne fonctionne pas. J'ai trouvé le bug, et écrit un patch correctif que je joins en attachement de ce message."

Installation du patch (en console root) :

Ce patch ce nomme doc19.gz sur le site du CLX. Renommez le en rc.sysinit.patch.gz ou adaptez les commandes ci-dessous.

Copier rc.sysinit.patch.gz (ou doc19.gz) dans /etc/rc.d, puis :

cd /etc/rc.d
gunzip rc.sysinit.patch.gz (ou doc19.gz)
patch < rc.sysinit.patch

Mise en oeuvre d'un swap chiffré :

Il suffit d'éditer /etc/fstab, et de modifier la ligne définissant le (ou les) swap(s) comme suit (exemple) :

/dev/hda4 swap swap defaults 0 0
qui devient
/dev/hda4 swap swap encrypted 0 0

...puis de rebooter le système.

Le swap sera alors automatiquement chiffré par AES128 en utilisant une clé de session aléatoire différente à chaque démarrage.

Une fois la machine redémarrée, il est facile de contrôler que le swap est
désormais chiffré, par exemple :

[root@totor etc]# swapon -s
Filename Type Size Used Priority
/dev/loop/0 partition 128512 0 0
/dev/loop/1 partition 128512 0 0

[root@totor etc]# losetup /dev/loop/0
/dev/loop/0 : [0007]:447 (/dev/hda4) décalage 0, AES128 cryptage

[root@totor etc]# losetup /dev/loop/1
/dev/loop/1 : [0007]:747 (/dev/sda3) décalage 0, AES128 cryptage

rc.sysinit.patch.gz

Patch correctif pour chiffrer
la swap d'une Mandrake 8.2.
A renommer en rc.sysinit.patch.gz
aprÚs le téléchargement.

La clé est générée par mcookie (man mcookie).

Une clé de session aléatoire est générée par mcookie à chaque boot, et est différente pour chaque swap (si l'on utilise plusieurs swaps) ;

Le programme mcookie utilise pour s'initialiser les éléments suivants :
– Un mélange de différents paramÚtres pseudo-aléatoires du systÚme à l'entropie probablement faible au démarrage : Timer, N° de pid...
– 64 octets provenants de /dev/urandom (sur une Mandrake 8.2), ou 16 octets de /dev/random (sur d'autres distribs). L'entropie de /dev/random est
probablement bonne, tandis que celle de /dev/urandom peut éventuellement laisser à désirer peu de temps aprÚs le démarrage du systÚme.
– 40 K octets tirés du swap chiffré tel qu'il était au démarrage de la machine, avant que celui-ci ne soit immédiatement écrasé par de nouvelles données pseudo-aléatoires (par chiffrement de zéros avec la nouvelle clé de session). Le contenu du swap chiffré au démarrage de la machine est trÚs hautement aléatoire, et ceci me semble donc constituer une excellente source
d'entropie d'appoint.

L'utilitaire mcookie faisant un mélange de tous ces éléments avant d'en ressortir un hash md5, il me semble que la clé de session obtenue en sortie offre toutes les garanties d'entropie nécessaires à une utilisation en toute sécurité.

Se connecter à Internet

2002-03-11T18:43:38Z

Dominique Aimon écrivait :

Bonjour,

Comment dois-je configurer ma machine pour que :
– 1 quand ma machine se connecte à internet
(par téléphone), les mails soient
téléchargés automatiquement
– 2 et mis à dispositons des utilisateurs
(nous sommes deux).
– 3 Le courrier attente expédié (sendmail ?)
– 4 qu'un message indique : "téléchargement
du courrier en cours"(pour éviter que
l'utilisateurs ne raccroche)

La solution locale (ça marche sur une redhat, mais je pense que ça
doit être relativement standard) :

1) Pour chaque utilisateur, configurer $HOME/.fetchmailrc, qui doit
ressembler à :

set postmaster "lefranc" poll pop3.nordnet.fr with proto POP3 user "marc.lefranc" there with password "........" is lefranc here

2) regarder la doc d'Eric Jacoboni sur www.linux-france.com (ou .org ?)
concernant la configuration de sendmail pour une machine se
connectant par PPP. Je crois qu'il y a quelque chose sur le site
du CLX aussi.

Sinon, tu peux essayer mes fichiers que je mets en annexe. Je
viens juste de les modifier à la suite d'un éclair de génie que
j'ai eu pour résoudre un problème que j'avais depuis longtemps.
Comme quoi on s'aide parfois en rendant service aux autres. Si ce
message arrive, c'est que c'est OK. Sinon, ne pas en tenir compte
:-)

3) créer un script, mettons /etc/ppp/get-mail :

1029 $ cat /etc/ppp/get-mail touch /var/lock/LCK..fetchmail su -c user1 fetchmail su -c user2 fetchmail rm -f /var/lock/LCK..fetchmail

4) modifier /etc/ppp/ip-up.local pour y rajouter les lignes :

/usr/sbin/sendmail -q & /etc/ppp/get-mail &

5) créer deux scripts, mettons open-ppp et close-ppp

(celui là est juste pour la symétrie, c'est ip-up.local qui fait le
boulot)

1030 $ cat open-ppp /sbin/ifup ppp0 1031 $ cat close-ppp while [ -f /var/lck/LCK..fetchmail ]; do sleep 5; done get-mail /sbin/ifdown ppp0

Explication : au démarrage, get-mail est appelé par ip-up.local. Quand
get-mail a terminé sa besogne, il efface le fichier de lock.

Lorsqu'on ferme la connection avec close-ppp, ce dernier vérifie que
le fichier de lock n'existe plus, ce qui indique que la récupération
du courrier lancée au démarrage est bien terminée. On refait un
get-mail pour profiter au maximum de la connexion et on ferme.

Annexe : fichiers de configuration sendmail

(le fichier de Jacoboni, A UNE MODIF IMPORTANTE PRES)
(le paquetage sendmail-cf soit être installé)

1032 $ cat /usr/lib/sendmail-cf/cf/config-socrate.mc include(../m4/cf.m4')dnl
OSTYPE(linux')dnl define(SMTP_MAILER_FLAGS',e')dnl FEATURE(redirect)dnl FEATURE(nocanonify)dnl dnl FEATURE(always_add_domain)dnl FEATURE(local_procmail)dnl GENERICS_DOMAIN(socrate.mon-domaine localhost)dnl FEATURE(genericstable)dnl FEATURE(masquerade_envelope)dnl define(confCF_VERSION',Eric Jacoboni - 14/01/98')dnl define(confCON_EXPENSIVE',True')dnl define(confME_TOO',True')dnl define(confCOPY_ERRORS_TO',Postmaster')dnl define(confDEF_CHAR_SET',ISO-8859-1')dnl define(confMIME_FORMAT_ERRORS',True')dnl define(SMART_HOST',smtp8:[smtp.nordnet.fr]')dnl define(confTO_QUEUEWARN',48h') MAILER(local) MAILER(smtp)

créer à partir de là /etc/sendmail.cf par

1033 $ m4 config-socrate.mc > /etc/sendmail.cf

Noter que j'ai commenté le FEATURE(always_add_domain)dnl (avec le dnl
devant). C'est cette instruction qui faisait que l'adresse de
provenance d'un message envoyé sur la machine locale était réécrite en
moi@fai.fr alors qu'il ne fallait pas le faire dans ce cas, parce
qu'alors le reply passe par le fournisseur. Sendmail ne réécrit pas
l'adresse pour une destination bidule@machine. Si on demande d'ajouter
systématiquement le nom de domaine, paf la réécriture se met en route.

Quand je pense que j'ai séché sur ce problème un moment et que j'avais
laissé tomber, et ça m'a traversé l'esprit en retournant voir pour
rédiger ce message.

Les règles de réécriture des adresses sortantes :

$cat /etc/genericstable lefranc: marc.lefranc@nordnet.fr user2 : compte_user2@unautre_fai.fr

Ensuite, il faut regénérer la base :

1024 $ cd /etc 1025 $ /usr/sbin/sendmail -bi -oA/etc/genericstable

Voilà. C'est tout pour ce soir. Promis.

Voila, à partir de là, plus rien à faire, c'est complètement
automatique, QUELQUE SOIT LE LECTEUR DE COURRIER qu'on utilise.

Marc.

Le fin du fin

1034 $ more .wmppprc speed: /etc/ppp/getmodemspeed start: open-ppp stop: close-ppp ifdown:

Club LinuX Nord-Pas de Calais

La corbeille sous le shell

Debian et Carte Graphiques ATI : Mini How-TO

I) Installation des sources du noyau

II) Détermination de la version de Xfree86 et récupération du bon driver

III) Conversion et installation du driver

IV) Compilation du driver

V) Configuration du driver

VI) Pour finir...

Récupérer les données d'une clef USB

Découverte de CVS

Installation

Permissions

Méthodes d'accès

Création de la base

Enregistrement de notre produit dans la base CVS

Récupération de SuperProduit

Cvs Log

Travaillons et Versionnons !

CVS log (bis), après travail

CVS Status

Cvs diff

Cvs update

Stop !

3- Découverte de CVS

Récupération de SuperProduit

2- Découverte de CVS

Création de la base

Enregistrement de notre produit dans la base CVS

1- Découverte de CVS

Installation

Permissions

Méthodes d'accès

4- Découverte de CVS

Travaillons et Versionnons !

CVS log, après travail

CVS Status

Cvs diff

Cvs update

Stop !

Recompiler son noyau Linux Mandrake

Pré-requis

Vérification des paquetages nécessaires :

Préparation et Configuration

La compilation

Rétablir l'ancien noyau

Pour aller plus loin...

Utiliser Linux... oui mais pas les yeux fermés !

Buts Objectifs

Lors de l'Installation

Post Installation : Vérifier les services lancés au démarrage

Interdire le lancement de certaines applications

Désactiver les services inutiles

Contrôler l'accès aux services par tcpwrapper ou xinetd

le problème des mots de passe

Principales applications utilisant la cryptologie

Contrôler l'intégrité de son système (tripwire, rpm -V)

Mettre à jour rapidement une application avec Linux ?

Sécurité Linux avancée : filtrage au niveau du transport réseau (ipchains)

Conclusions

Quelques références

Faire passer un flux HTTP (ou autre) dans un tunnel SSH

Rappel : Qu'est que SSH ?

Rappel 2 : qu'est ce qu'un port ?

sshd peut écouter sur un port arbitraire

Changer les ports utilisés par les services

Forwarder un port avec le protocole SSH

Utiliser Putty

Apache ne marche plus très bien...

Et mon cucipop ?

Les commandes Linux

Le répertoire /etc

Mettre sa linuxette à jour

Structuration

Comment ça marche ?

Les utilitaires

apt-get : mise à jour d'une machine

apt-cdrom : ajout d'un CD-ROM aux sources pour apt

apt-move

apt-proxy : un cache pour plusieurs machines

Contrôler l'intégrité de son système (`tripwire, rpm -V`)

Sécurité Linux avancée : filtrage au niveau du transport réseau (`ipchains`)

`sshd` peut écouter sur un port arbitraire