Wiki doc - Contributions [fr]

Busybox

2024-09-07T19:11:30Z

Ycharbi : /* Socket réseau en utilisateur standard */ Correction d'un résidu d'ancienne balise de syntaxe qui causait un problème d'affichage avec le modèle "Astuce"

[[Category:linux]]
[https://fr.wikipedia.org/wiki/BusyBox Busybox] est un exécutable regroupant une multitude d'utilitaires généralement disponibles via [https://fr.wikipedia.org/wiki/GNU_Core_Utilities GNU Core Utilities]. Il a l'avantage de ne prendre que très peu de place et peut être utilisé pour faire des [[Busybox_init|systèmes embarqués très simples]].

=Installation=
==Via le gestionnaire de paquet==
apt install busybox

==Via les sources==
Le paquet <code lang="bash" inline>build-essential</code> est nécessaire pour utiliser la commande <code lang="bash" inline>make</code>.
wget https://busybox.net/downloads/busybox-1.36.1.tar.bz2
tar xf busybox-1.36.1.tar.bz2
cd busybox-1.36.1/
make defconfig
make

Note : le code source est également disponible dans [https://{{SERVERNAME}}/fichiers/système/applications/busybox/busybox-1.36.1.tar.bz2 nos fichiers].

{{astuce|Il est possible d'embarquer les dépendances nécessaires au fonctionnement de l'ensemble directement dans le binaire via la commande de compilation <syntaxhighlight lang="bash" inline>make LDFLAGS="--static"</syntaxhighlight> (ce dernier sera par conséquent plus lourd). Ceci est utile lorsque ''Busybox'' est intégré à un système dépourvu des bibliothèques en question.}}

Un exécutable ''busybox'' a été créé dans le répertoire courant.

La commande <code lang="bash" inline>make defconfig</code> permet de créer le fichier de configuration pour <code lang="bash" inline>make</code> (''.config''). Les commandes de pré-configurations possibles sont :
* '''make defconfig''' : Créé la configuration la plus saine possible. Ça active la plupart des fonctionnalités sans quelques outils de débogage ainsi que les outils nécessitants des modifications du système comme les noms de périphériques ''selinux'' ou ''devfs''. Utiliser cette option si vous voulez démarrer depuis un ''Busybox'' complet pour, par la suite, écrémer les fonctionnalités pour en avoir un plus petit.
* '''make allnoconfig''' : Désactive tout. Cela crée une petite version de ''Busybox'' qui ne fait rien. Commencez ici si vous savez exactement ce que vous voulez et que vous souhaitez sélectionner uniquement ces fonctionnalités.
* '''make menuconfig''' : Modifie interactivement le fichier ''.config'' via une interface de menu à plusieurs niveaux. Utilisez-le après l'un des deux précédents.
Les autres options sont :
* '''make oldconfig''' : Mettre à jour un vieux fichier ''.config'' pour une nouvelle version de ''Busybox''.
* '''make allyesconfig''' : Sélectionnez absolument tout. Cela crée une version statiquement liée de ''Busybox'' remplie de code de débogage, avec des dépendances sur ''selinux'', en utilisant des noms de ''devfs''... Cela s'assure que tout est compilé. Que le résultat fasse quelque chose d'utile ou non est une question ouverte.
* '''make randconfig''' : Créer une configuration aléatoire à des fins de tests.

=Socket réseau en utilisateur standard=
Par défaut, un système ''Linux'' n'autorise la création et la gestion d'un socket réseau que par l'utilisateur ''root''. Il peut être pratique de permettre certains exécutables à le faire via un utilisateur standard (c'est chiant d'avoir à taper le mot de passe ''root'' tout le temps). Pour ce faire, nous utiliserons les [[Linux capabilities]].

'''Autorisation de redirection réseau'''
setcap CAP_NET_BIND_SERVICE=+eip /bin/busybox

{{Astuce|On peut voir cette autorisation avec la commande <code>getcap /bin/busybox</code>.}}

Les utilisateurs standards peuvent désormais utiliser le serveur ''HTTP'' ou autres intégré à ''Busybox''.

==Source de la section==
* https://superuser.com/questions/710253/allow-non-root-process-to-bind-to-port-80-and-443/892391

=Usage=
Nous allons partir du principe que l'emplacement de notre binaire ''busybox'' se trouve dans notre variable d'environnement <code lang="bash" inline>$PATH</code>.

'''Lister les programmes disponibles dans notre Busybox'''
busybox

'''Afficher le manuel des outils contenus dans Busybox'''
man busybox

''Avec un <code lang="bash" inline>/</code> suivi du nom de la commande + <code lang="bash" inline>entrer</code> + <code lang="bash" inline>n</code> on tombe directement sur le manuel de l'outil désiré.''

==Serveur WEB==
'''Utiliser le serveur WEB intégré'''
busybox httpd -f -v -h /tmp/foo/

''Le serveur httpd ne liste pas les fichiers, il faut entrer une URL complète comme pour le TFTP. Cependant, il redirige automatiquement sur un index.html si présent.''

Paramètres :
* '''-f''' : Ne rend pas la main. Ça permet de fermer le serveur web avec un <code lang="bash" inline>ctrl+c</code> au lieu de ce faire chier avec les commandes <code lang="bash" inline>ps</code> et <code lang="bash" inline>kill</code>
* '''-v''' : affiche les IP des clients se connectant et le message renvoyé par le serveur
* '''-h''' : Spécifie le répertoire de travail du serveur. Si ce paramètre n'est pas renseigné, le répertoire courant est utilisé

==Serveur DHCP==
'''Créer le fichiers du processus'''
touch /tmp/udhcpd.pid

'''Créer le fichier contenant les baux DHCP'''
touch /tmp/udhcpd.leases

'''Créer un fichier de configuration'''
<syntaxhighlight lang="python">
cat > /tmp/udhcpd.conf << _EOF_
# Plage d'adresse attribuable
start 192.168.0.1 # Par défaut: 192.168.0.20
end 192.168.0.253 # Par défaut: 192.168.0.254

# Interface réseau d'écoute
interface eth1 # Par défaut: eth0

# Nombre maximum de baux
max_leases 253 # Par défaut: 254

# Stocker le temps restant pour chaque bail dans le fichier des baux
# C'est utile sur les systèmes embarqués ne pouvant garder l'heure après un redémarrage
# Si cette valeur est définie à "no", l'heure de fin de bail sera stocker dans le fichier
# des baux au lieu du temps restant avant expiration

#remaining yes # Par défaut: yes

# Localisation du fichier des baux
lease_file /tmp/udhcpd.leases

# Localisation du fichier processus
pidfile /tmp/udhcpd.pid # Par défaut: /var/run/udhcpd.pid

# Les options suivantes sont pour le PXE
#siaddr 192.168.0.22 # Par défaut: 0.0.0.0
#sname zorak # Par défaut: (none)
#boot_file /var/nfs_root # Par défaut: (none)

# Options DHCP
# Elles peuvent être spécifiées via le mot clé "option" ou "opt" qui est un alias.
# La seule options définie par défaut est "lease" pour définir la durée des baux
opt dns 192.168.170.171 80.67.169.12
option subnet 255.255.255.0
opt router 192.168.0.254
#opt wins 192.168.10.10 # Ajoute un serveur WINS
#option dns 129.219.13.81 # Ajoute un autre DNS aux 2 autres ci-dessus
option domain local
option lease 864000 # 10 jours en secondes
_EOF_
</syntaxhighlight>

Vous pouvez adapter les adresses et nom d'interface avec les commande suivante en remplaçant ''toto'' par la donnée appropriée:
sed -i 's/192\.168\.0\./192\.168\.toto./g' /tmp/udhcpd.conf
sed -i 's/eth1/toto/g' /tmp/udhcpd.conf

Paramètres possibles :
{| class="wikitable"
|-
! Paramètre !! Effet !! Valeur par défaut
|-
| Paramètre 1 || Il fait ça || yes
|}

Liste exhaustive des options supportés. Voir le fichier source ''options.c'' :
{| class="wikitable"
|-
! Option !! Effet
|-
| toto || titi
|}

'''Exécuter le serveur DHCP'''
busybox udhcpd -fv /tmp/udhcpd.conf

Paramètres :
* '''-f''' : Ne rend pas la main. Ça permet de fermer le serveur DHCP avec un <code lang="bash" inline>ctrl+c</code> au lieu de ce faire chier avec les commandes <code lang="bash" inline>ps</code> et <code lang="bash" inline>kill</code>
* '''-v''' : affiche les requêtes ''ACK'' et ''OFFER'' entre le serveur et les clients (on voit l'IP attribué de ce fait)

'''Sources de la section'''
* Page officielle de udhcpd: https://udhcp.busybox.net/
* Fichier de configuration exemple: https://udhcp.busybox.net/udhcpd.conf

==NTP==
===Serveur NTP===
Définir l'horloge système depuis une source réseau
busybox ntpd -d -n -I eth0 -l -p 0.debian.pool.ntp.org

Paramètres :
* '''-d''' : mode verbeux
* '''-n''' : ne pas démoniser (ne pas exécuter en arrière plan)
* '''-I''' : écouter sur l'interface spécifiée pour les requêtes clientes
* '''-l''' : ouvre le socket ''UDP'' sur le port 123 pour les requêtes clientes
* '''-p''' : serveur de référence sur lequel se synchronise notre serveur

==TFTP==
===Client TFTP===
Télécharger un fichier via ''TFTP''
busybox tftp -r toto.txt 192.168.100.2 -g

Téléverser un fichier via ''TFTP''
busybox tftp -l toto.txt 192.168.100.2 -p

===Serveur TFTP===
Le serveur ''TFTP'' est rarement embarqué dans le ''Busybox'' des distributions ''Linux''. Dans ce cas, il faudra le compilé soit même (testé avec la version 1.36.1).

''Busybox tftpd'' a besoin de s'appuyer sur un programme (lui même présent dans ''Busybox'') d'ouverture de socket réseau : <code lang="bash" inline>udpsvd</code>.

/tmp/busybox-1.36.1/busybox udpsvd -vE 0.0.0.0 69 /tmp/busybox-1.36.1/busybox tftpd -c /tmp/tftp/

Paramètres :
* '''-r''' : lecture seule
* '''-c''' : téléversements autorisés
* '''-u''' : rendre l'utilisateur passé en paramètre propriétaire des fichiers téléversés
* '''-l''' : journaliser dans ''Syslog'' en plus du ''Stdout'' (non fonctionnel d'après mes tests)

==Netcat==
Les commandes [[netcat]] sont identique à la version ''APT'' (avec quelques options en moins).
busybox nc -l -p 2323

busybox nc ipserver 2323

'''Envoyer un [https://tutorials.technology/tutorials/How-to-transfer-files-over-the-network-using-Netcat.html fichier]'''

Sur le serveur :
busybox nc -l -p 9999 > /tmp/titi.dat

Sur le client :
busybox nc 192.168.0.1 9999 < /tmp/titi/titi.dat

==Terminal série==
On peut remplacer l'usage de [[Minicom]] par ''Busybox'' avec l'outil embarqué ''Microcom''.
busybox microcom -s 9600 /dev/ttyUSB0

Pour quitter ''Microcom'', faites la séquence d'échappement <code lang="bash" inline>ctrl+x</code>.

=Sources=
* https://busybox.net/FAQ.html#configure
* https://busybox.net/downloads/BusyBox.html

Proftpd

2024-09-01T20:51:37Z

Ycharbi : /* SFTP */ Correction d'une faute de français

[[Category:Service_partage]]

[http://proftpd.org/ ProFTPd] est un logiciel permettant de monter un serveur de fichiers basé sur les protocoles ''FTP'' ; ''FTPS'' et [[Sftp-server|SFTP]]. Il a la particularité d'utiliser des fichiers de configuration proches de ceux d'[[Apache2]].

=Installation=
Référence dans son domaine, il est probablement disponible dans les dépôts de la distribution ''Linux'' que vous utilisez. Pour ''Debian 12'', la commande suivante permet d'installer le paquet
apt install --no-install-recommends proftpd proftpd-mod-crypto

''ProFTPd'' supporte un grand nombre de modules. Le paquet <code>proftpd-mod-crypto</code> permet d'utiliser ''FTP'' sur ''TLS'', aussi appelé ''FTPS'' ainsi que ''SFTP'', le protocole de transfert de fichiers sur [[Openssh|SSH]].

==SFTP==
De nos jours, l'utilisation des protocoles ''FTP'' et sont pendant chiffré, ''FTPS'', est dépréciée. Les raisons principales de cette tendance, malgré les qualités indéniables de ces derniers sont principalement dû à l'explosion des ''NAT/PAT'' sur les réseaux ''WAN'' ainsi que la systématisation des règles de pare-feux. ''FTP'' est en effet un vieux protocole imaginé à une époque où il était normal (allez savoir pourquoi) d'utiliser une multitude de ports pour réaliser une action simple. Aussi, le port 20/''TCP'' était utilisé pour les données alors que le 21/''TCP'' servait pour transmettre les commandes. La version chiffrée quant à elle utilisait carrément des plages de ports au dessus de 1024 en plus de ceux mentionnés, rendant toute tentative de filtrage fin veine et occasionnait des problèmes de fiabilité avec certaines passerelles ''NAT'' (que je n'ai pour ma part jamais rencontré).

Cependant, la vacance occasionnée par la dépréciation de ces protocoles n'a jamais été réellement comblée. [[Apache2#Partage_WebDAV|WebDAV]] n'est pas très fiable dans ces implémentations (surtout sous [[Windows_net_use#Usages_concrets|Windows]]) et est plus que casse pied à configurer côté serveur (y'a toujours un truc qui va pas) ; ''HTTP'' seul ne permet pas le transfert de répertoires, [[Samba]] et [[Nfs|NFS]] ne sont pas fait pour du ''WAN'' en plus de proposer une sécurité (surtout pour ce dernier) très discutable, ''ISCSI'' ne fonctionne qu'en mode bloc ; [[Sftp-server|SFTP]] embarqué dans un serveur ''SSH'' utilise traditionnellement des utilisateurs ''POSIX'', ce qui oblige à porter une attention toute particulière au durcissement de la configuration en plus de permettre des répercutions catastrophiques en cas de faille (un utilisateur destiné au transfert de fichiers peut, en fin de compte, se connecter au serveur...) ; etc... Aucun remplaçant potentiel n'a donc su prendre la relève avec la légèreté et les fonctionnalités du protocole de transfert de fichiers (''File Transfer Protocol'') traditionnel :
* installation et utilisation simple
* utilisateurs virtuels avec base de données de multiple types allant du fichier plain à la base [[MariaDB - Gestion utilisateurs|SQL]] en passant par l'annuaire [[Ldap|LDAP]]
* emprisonnement des comptes utilisateurs dans un répertoire (''chroot'')
* pas de ''shell''
* gestion des droits
* reprise de téléchargements partiels
* performances maximales
* support très large

L'implémentation de ''SFTP'' proposée par ''ProFTPd'' s'avère alors particulièrement intéressante car elle est décorrélée de tout serveur ''SSH'' et permet l'utilisation de comptes virtuels emprisonnés sans utilisation de ''shell'', réduisant ainsi drastiquement la surface d'attaque. De plus, ce logiciel est reconnu comme apportant un soin prononcé à la sécurité et est éprouvé depuis plusieurs décennies. Il permettra donc de proposer un service quasiment similaire tout en apportant la confidentialité exigée par l'époque...

===Configuration du service===
En mode ''SFTP'' uniquement
mv /etc/proftpd/proftpd.conf /etc/proftpdproftpd.conf.ori

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/proftpd/proftpd.conf
# Chargement du module SFTP
LoadModule mod_sftp.c

# Désactiver le service FTPS
<IfModule mod_tls.c>
TLSEngine off
</IfModule>

# Activer SFTP
<IfModule mod_sftp.c>
SFTPEngine on
Port 2222
# Pièger l'utilisateur (chroot) dans son répertoire personnel
DefaultRoot ~
# Journalisation
SFTPLog /var/log/proftpd/sftp.log
SyslogLevel info
TransferLog /var/log/proftpd/xferlog
SystemLog /var/log/proftpd/proftpd.log
# UseLastlog on

SFTPHostKey /etc/proftpd/ssh_host_ed25519_key

# Méthode d'authentification
SFTPAuthMethods publickey
SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u
RequireValidShell off
</IfModule>

# Utiliser les utilisateurs virtuels
<IfModule mod_auth.c>
AuthOrder mod_auth_file.c
</IfModule>

# Base des utilisateurs virtuels
<IfModule mod_auth_file.c>
AuthUserFile /etc/proftpd/ftpd.passwd
AuthGroupFile /etc/proftpd/ftpd.group
</IfModule>

# Limiter l'accès aux utilisateurs virtuels
<Limit LOGIN>
AllowUser toto
DenyAll
</Limit>
_EOF_
</syntaxhighlight>

{{astuce|La configuration proposée impose l'usage de clés ''SSH'' pour la connexion des clients. Pour permettre l'utilisation des mots de passes en cas d'absence de clé, le mot <code>password</code> peut être ajouté à la suite après un espace dans le paramètre correspondant de la façon suivante : <code>SFTPAuthMethods publickey password</code>.}}

L'outil '''exige''' que le nom d'hôte redirige obligatoirement sur son adresse ''IP'' (il doit probablement utiliser cette information pour la création du socket ''TCP''). Définissez cette donnée en l'adaptant à votre configuration :
echo -e "10.0.0.100\t${HOSTNAME}" >> /etc/hosts

===Éléments secrets===
Génération d'une clé ''SSH'' serveur
ssh-keygen -t ed25519 -f /etc/proftpd/ssh_host_ed25519_key -N ""
chmod 600 /etc/proftpd/ssh_host_ed25519_key

Utilisation des clés ''SSH'' pour les clients
mkdir /etc/proftpd/authorized_keys

''Proftpd'' utilise volontairement un format de clé ''SSH'' différent d'[[Openssh|OpenSSH]] pour éviter les conflits avec ce dernier. Il a ainsi choisit la forme décrite dans la [https://www.rfc-editor.org/rfc/rfc4716 RFC 4716]. Il est possible de convertir une clé existante sans altération de l'originale (par retour sur ''stdout'') via la commande suivante sur le client
ssh-keygen -e -f ~/.ssh/id_ed25519.pub

Le résultat est à mettre dans le fichier de clés portant le nom de votre utilisateur ([http://www.proftpd.org/docs/contrib/mod_sftp.html#SFTPAuthorizedUserKeys directive] <code>SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u</code>).

Exemple avec l'utilisateur ''toto''

<syntaxhighlight lang="bash">
cat << '_EOF_' >> /etc/proftpd/authorized_keys/toto
---- BEGIN SSH2 PUBLIC KEY ----
VOTRE
CLÉ PUBLIQUE
AU FORMAT
RFC 4716
---- END SSH2 PUBLIC KEY ----
_EOF_
</syntaxhighlight>

Il est bien entendu possible de chaîner plusieurs clés dans ce même fichier. Il y aura donc autant de sections ''BEGIN/END'' que de clés.

chmod 600 /etc/proftpd/authorized_keys/toto

===Utilisateurs virtuels===
Création du répertoire personnel de l'utilisateur virtuel
mkdir -p /var/lib/proftpd/toto
chown 2000:2000 /var/lib/proftpd/toto

Création dudit utilisateur
ftpasswd --passwd --file=/etc/proftpd/ftpd.passwd --uid=2000 --gid 2000 --home=/var/lib/proftpd/toto --shell=/bin/false --sha256 --name=toto
ftpasswd --group --file=/etc/proftpd/ftpd.group --gid=2000 --member=toto --name=Moi

{{astuce|Il est possible de remplacer le mot de passe haché par un <code>!</code> ou tout autre caractère ne correspondant pas à un mot de passe haché dans le fichier <code>passwd</code> afin de désactiver le mot de passe. L'option <code>-l</code> ou <code>--lock</code> peut également être passée à la [http://www.proftpd.org/docs/contrib/ftpasswd.html commande] de création de l'utilisateur (concatène ce caractère au mot haché). Seule les connexions par clé ''SSH'' seront alors autorisées.}}

===Test et application===
Il est possible de tester la configuration avec la commande suivante
proftpd -t -d 10

Le paramètre <code>-d</code> permet d'augmenter le niveau de verbosité du journal sur la sortie standard (de 0 à 10). Il est également possible d'augmenter le niveau de journalisation en conduite en passant la valeur <code>debug</code> à la directive <code>SyslogLevel</code>.

Redémarrer le service pour prendre en compte les modifications (inutile pour la création ou le changement de mot de passe d'un utilisateur)
systemctl restart proftpd.service

Vous pouvez désormais utiliser un client ''SFTP'' pour vérifier le bon fonctionnement.

Exemple avec celui d{{'}}''OpenSSH'' :
sftp -oPort=2222 toto@10.0.0.100
ou
sftp -P 2222 toto@10.0.0.100

===Sources de la section===
* http://www.proftpd.org/docs/directives/
* https://linux.die.net/man/8/proftpd
* https://fr.linux-console.net/?p=5239
* https://blog.victor-hery.com/2019/03/installer-sftp-proftpd.html

Proftpd

2024-09-01T20:47:06Z

Ycharbi : Page créée avec « Category:Service_partage [http://proftpd.org/ ProFTPd] est un logiciel permettant de monter un serveur de fichiers basé sur les protocoles ''FTP'' ; ''FTPS'' et SFTP. Il a la particularité d'utiliser des fichiers de configuration proches de ceux d'Apache2. =Installation= Référence dans son domaine, il est probablement disponible dans les dépôts de la distribution ''Linux'' que vous utilisez. Pour ''Debian 12'', la commande suivante... »

[[Category:Service_partage]]

[http://proftpd.org/ ProFTPd] est un logiciel permettant de monter un serveur de fichiers basé sur les protocoles ''FTP'' ; ''FTPS'' et [[Sftp-server|SFTP]]. Il a la particularité d'utiliser des fichiers de configuration proches de ceux d'[[Apache2]].

=Installation=
Référence dans son domaine, il est probablement disponible dans les dépôts de la distribution ''Linux'' que vous utilisez. Pour ''Debian 12'', la commande suivante permet d'installer le paquet
apt install --no-install-recommends proftpd proftpd-mod-crypto

''ProFTPd'' supporte un grand nombre de modules. Le paquet <code>proftpd-mod-crypto</code> permet d'utiliser ''FTP'' sur ''TLS'', aussi appelé ''FTPS'' ainsi que ''SFTP'', le protocole de transfert de fichiers sur [[Openssh|SSH]].

==SFTP==
De nos jours, l'utilisation des protocoles ''FTP'' et sont pendant chiffré, ''FTPS'', est dépréciée. Les raisons principales de cette tendance, malgré les qualités indéniables de ces derniers est principalement dû à l'explosion des ''NAT/PAT'' sur les réseaux ''WAN'' ainsi que la systématisation des règles de pare-feux. ''FTP'' est en effet un vieux protocole imaginé à une époque où il était normal (allez savoir pourquoi) d'utiliser une multitude de ports pour réaliser une action simple. Aussi, le port 20/''TCP'' était utilisé pour les données alors que le 21/''TCP'' servait pour transmettre les commandes. La version chiffrée quant à elle utilisait carrément des plages de ports au dessus de 1024 en plus de ceux mentionnés, rendant toute tentative de filtrage fin veine et occasionnait des problèmes de fiabilité avec certaines passerelles ''NAT'' (que je n'ai pour ma part jamais rencontré).

Cependant, la vacance occasionnée par la dépréciation de ces protocoles n'a jamais été réellement comblée. [[Apache2#Partage_WebDAV|WebDAV]] n'est pas très fiable dans ces implémentations (surtout sous [[Windows_net_use#Usages_concrets|Windows]]) et est plus que casse pied à configurer côté serveur (y'a toujours un truc qui va pas) ; ''HTTP'' seul ne permet pas le transfert de répertoires, [[Samba]] et [[Nfs|NFS]] ne sont pas fait pour du ''WAN'' en plus de proposer une sécurité (surtout pour ce dernier) très discutable, ''ISCSI'' ne fonctionne qu'en mode bloc ; [[Sftp-server|SFTP]] embarqué dans un serveur ''SSH'' utilise traditionnellement des utilisateurs ''POSIX'', ce qui oblige à porter une attention toute particulière au durcissement de la configuration en plus de permettre des répercutions catastrophiques en cas de faille (un utilisateur destiné au transfert de fichiers peut, en fin de compte, se connecter au serveur...) ; etc... Aucun remplaçant potentiel n'a donc su prendre la relève avec la légèreté et les fonctionnalités du protocole de transfert de fichiers (''File Transfer Protocol'') traditionnel :
* installation et utilisation simple
* utilisateurs virtuels avec base de données de multiple types allant du fichier plain à la base [[MariaDB - Gestion utilisateurs|SQL]] en passant par l'annuaire [[Ldap|LDAP]]
* emprisonnement des comptes utilisateurs dans un répertoire (''chroot'')
* pas de ''shell''
* gestion des droits
* reprise de téléchargements partiels
* performances maximales
* support très large

L'implémentation de ''SFTP'' proposée par ''ProFTPd'' s'avère alors particulièrement intéressante car elle est décorrélée de tout serveur ''SSH'' et permet l'utilisation de comptes virtuels emprisonnés sans utilisation de ''shell'', réduisant ainsi drastiquement la surface d'attaque. De plus, ce logiciel est reconnu comme apportant un soin prononcé à la sécurité et est éprouvé depuis plusieurs décennies. Il permettra donc de proposer un service quasiment similaire tout en apportant la confidentialité exigée par l'époque...

===Configuration du service===
En mode ''SFTP'' uniquement
mv /etc/proftpd/proftpd.conf /etc/proftpdproftpd.conf.ori

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/proftpd/proftpd.conf
# Chargement du module SFTP
LoadModule mod_sftp.c

# Désactiver le service FTPS
<IfModule mod_tls.c>
TLSEngine off
</IfModule>

# Activer SFTP
<IfModule mod_sftp.c>
SFTPEngine on
Port 2222
# Pièger l'utilisateur (chroot) dans son répertoire personnel
DefaultRoot ~
# Journalisation
SFTPLog /var/log/proftpd/sftp.log
SyslogLevel info
TransferLog /var/log/proftpd/xferlog
SystemLog /var/log/proftpd/proftpd.log
# UseLastlog on

SFTPHostKey /etc/proftpd/ssh_host_ed25519_key

# Méthode d'authentification
SFTPAuthMethods publickey
SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u
RequireValidShell off
</IfModule>

# Utiliser les utilisateurs virtuels
<IfModule mod_auth.c>
AuthOrder mod_auth_file.c
</IfModule>

# Base des utilisateurs virtuels
<IfModule mod_auth_file.c>
AuthUserFile /etc/proftpd/ftpd.passwd
AuthGroupFile /etc/proftpd/ftpd.group
</IfModule>

# Limiter l'accès aux utilisateurs virtuels
<Limit LOGIN>
AllowUser toto
DenyAll
</Limit>
_EOF_
</syntaxhighlight>

{{astuce|La configuration proposée impose l'usage de clés ''SSH'' pour la connexion des clients. Pour permettre l'utilisation des mots de passes en cas d'absence de clé, le mot <code>password</code> peut être ajouté à la suite après un espace dans le paramètre correspondant de la façon suivante : <code>SFTPAuthMethods publickey password</code>.}}

L'outil '''exige''' que le nom d'hôte redirige obligatoirement sur son adresse ''IP'' (il doit probablement utiliser cette information pour la création du socket ''TCP''). Définissez cette donnée en l'adaptant à votre configuration :
echo -e "10.0.0.100\t${HOSTNAME}" >> /etc/hosts

===Éléments secrets===
Génération d'une clé ''SSH'' serveur
ssh-keygen -t ed25519 -f /etc/proftpd/ssh_host_ed25519_key -N ""
chmod 600 /etc/proftpd/ssh_host_ed25519_key

Utilisation des clés ''SSH'' pour les clients
mkdir /etc/proftpd/authorized_keys

''Proftpd'' utilise volontairement un format de clé ''SSH'' différent d'[[Openssh|OpenSSH]] pour éviter les conflits avec ce dernier. Il a ainsi choisit la forme décrite dans la [https://www.rfc-editor.org/rfc/rfc4716 RFC 4716]. Il est possible de convertir une clé existante sans altération de l'originale (par retour sur ''stdout'') via la commande suivante sur le client
ssh-keygen -e -f ~/.ssh/id_ed25519.pub

Le résultat est à mettre dans le fichier de clés portant le nom de votre utilisateur ([http://www.proftpd.org/docs/contrib/mod_sftp.html#SFTPAuthorizedUserKeys directive] <code>SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u</code>).

Exemple avec l'utilisateur ''toto''

<syntaxhighlight lang="bash">
cat << '_EOF_' >> /etc/proftpd/authorized_keys/toto
---- BEGIN SSH2 PUBLIC KEY ----
VOTRE
CLÉ PUBLIQUE
AU FORMAT
RFC 4716
---- END SSH2 PUBLIC KEY ----
_EOF_
</syntaxhighlight>

Il est bien entendu possible de chaîner plusieurs clés dans ce même fichier. Il y aura donc autant de sections ''BEGIN/END'' que de clés.

chmod 600 /etc/proftpd/authorized_keys/toto

===Utilisateurs virtuels===
Création du répertoire personnel de l'utilisateur virtuel
mkdir -p /var/lib/proftpd/toto
chown 2000:2000 /var/lib/proftpd/toto

Création dudit utilisateur
ftpasswd --passwd --file=/etc/proftpd/ftpd.passwd --uid=2000 --gid 2000 --home=/var/lib/proftpd/toto --shell=/bin/false --sha256 --name=toto
ftpasswd --group --file=/etc/proftpd/ftpd.group --gid=2000 --member=toto --name=Moi

{{astuce|Il est possible de remplacer le mot de passe haché par un <code>!</code> ou tout autre caractère ne correspondant pas à un mot de passe haché dans le fichier <code>passwd</code> afin de désactiver le mot de passe. L'option <code>-l</code> ou <code>--lock</code> peut également être passée à la [http://www.proftpd.org/docs/contrib/ftpasswd.html commande] de création de l'utilisateur (concatène ce caractère au mot haché). Seule les connexions par clé ''SSH'' seront alors autorisées.}}

===Test et application===
Il est possible de tester la configuration avec la commande suivante
proftpd -t -d 10

Le paramètre <code>-d</code> permet d'augmenter le niveau de verbosité du journal sur la sortie standard (de 0 à 10). Il est également possible d'augmenter le niveau de journalisation en conduite en passant la valeur <code>debug</code> à la directive <code>SyslogLevel</code>.

Redémarrer le service pour prendre en compte les modifications (inutile pour la création ou le changement de mot de passe d'un utilisateur)
systemctl restart proftpd.service

Vous pouvez désormais utiliser un client ''SFTP'' pour vérifier le bon fonctionnement.

Exemple avec celui d{{'}}''OpenSSH'' :
sftp -oPort=2222 toto@10.0.0.100
ou
sftp -P 2222 toto@10.0.0.100

===Sources de la section===
* http://www.proftpd.org/docs/directives/
* https://linux.die.net/man/8/proftpd
* https://fr.linux-console.net/?p=5239
* https://blog.victor-hery.com/2019/03/installer-sftp-proftpd.html

Openssh

2024-08-26T17:01:40Z

Ycharbi : Ajout de deux précision concernant les clés publiques + emplacement des balises "syntaxhighlight inline" par "code" pour optimisation + remplacement d'un lien mort + corrections typographiques + correction d'une balise de coloration syntaxique

[[Category:service_ssh]]
[[Category:shell]]

=Authentification par clef SSH=
Au lieu de s'authentifier par mot de passe, les utilisateurs peuvent s'authentifier grâce à la cryptographie asymétrique et son couple de clefs privée/publique, comme le fait le serveur ''SSH'' auprès du client ''SSH''.

==Générer ses clefs==
Pour générer un couple de clefs, tapez sur le client :
ssh-keygen -t ed25519

ou avec plus de paramètres :

ssh-keygen -a 100 -t ed25519 -f ~/.ssh/id_ed25519

Paramètres :
* '''-a''' : nombre d'itérations de la [https://fr.wikipedia.org/wiki/Fonction_de_d%C3%A9rivation_de_cl%C3%A9 fonction de dérivation de clé]. Permet de rendre la clé plus résistante aux attaques par force brut. La valeur par défaut est définie à 16
* '''-t''' : type de clé. La taille d'une clé ''ed25519'' est fixée dans le code d{{'}}''OpenSSH''. Le paramètre <code>-b</code> permet de la spécifier pour les autres formats
* '''-f''' : fichier de destination

Ensuite, il faut envoyer le fichier '''~/.ssh/id_ed25519.pub''' du client sur le serveur, tapez sur le client :
scp /home/user/.ssh/id_ed25519.pub UTILISATEUR@SERVEUR:/home/user/.ssh/authorized_keys

ou

ssh-copy-id -i ~/.ssh/id_ed25519.pub UTILISATEUR@SERVEUR

''Note: le même paramètre <code>-i</code> peut être utilisé avec la commande <code>ssh</code> afin de spécifier la clé à utiliser si plusieurs sont présentes.''

{{astuce|Pour [https://www.phcomp.co.uk/Tutorials/Unix-And-Linux/ssh-check-server-fingerprint.html vérifier l'empreinte] d'une clef, il faut utiliser la [https://linux.die.net/man/1/ssh-keygen commande] <code>ssh-keygen -lf /chemin/de/la/clef</code>. Le hachis résultant est à comparer avec celui de la clef qui est présenté lors de la première connexion à un serveur (les deux doivent bien sûr être identiques). L'algorithme par défaut est le ''SHA256''. Pour modifier ce paramètre, il est possible d'utiliser le paramètre <code>-E <algo_hash></code>. Exemple : <code>ssh-keygen -lE md5 -f ~/.ssh/id_ed25519</code>.}}

En cas de suppression accidentelle de la clé publique, il est possible de la régénérer (à l'identique) à partir de la clé privée
ssh-keygen -yf ~/.ssh/id_ed25519

==Restreindre l'usage d'une clef==
Il est possible de limiter le périmètre d'usage d'une clef ''SSH'' via quelques paramètres dans le fichier ''authorized_keys'' du client. Il est ainsi possible de permettre la connexion d'un client avec une clef spécifique seulement depuis une liste d'''IP'' tout en forçant une commande précise. Par exemple:
vim ~/.ssh/authorized_keys

<syntaxhighlight lang="bash">
from="192.168.1.4,192.168.1.10",command="ls -al --color /" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIKWbjAEe0X+NFr0WjEgdJ2vKAIYwYSW6WkJvP2Zg/M4q root@toto
</syntaxhighlight>

Le client n'effectuera alors automatiquement la commande définie par le paramètre ''command'' avant que la connexion ne se ferme d'elle même. De plus, la clef ne sera utilisable que depuis les adresses ''IP'' listés.

===Sources de la section===
* https://stackoverflow.com/questions/402615/how-to-restrict-ssh-users-to-a-predefined-set-of-commands-after-login
* https://www.linuxjournal.com/article/8257
* http://man.openbsd.org/OpenBSD-current/man5/sshd_config.5#ForceCommand

==Déactiver l'authentification par mot de passe==
Si nous voulons déactiver l'accès par mot de passe, il faut ajouter la ligne suivante au fichier '''/etc/ssh/sshd_config''' :
[...]
PasswordAuthentication no

Vous pouvez vous référer à la section traitant du fichier de configuration d{{'}}''OpenSSH'' [[#Fichier sshd_config|plus bas]].

=Déactiver known hosts de SSH=
==Problème==
Lors d'une exécution d'un script contenant du ''SSH'', et lorsque vous avez changé une de vos machines sur la quelle vous vous connectez, ssh demande une intervention humaine :

The authenticity of host '192.168.1.2 (192.168.1.2)' can't be established.
ECDSA key fingerprint is XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX.
Are you sure you want to continue connecting (yes/no)?

Lorsque vous avez change l'ordinateur en gardant la même ''IP'' :

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA host key for foo-bar.net has changed,
and the key for the corresponding IP address 127.0.0.1
is unchanged. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in /home/user/.ssh/known_hosts:6
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Le problème avec cette intervention est que le script n'avance pas sans vous.
Pour ma part, j'ai un script qui se lance lors d'une coupure électrique, sans mon intervention mon script qui permet l'extinction de mes machines virtuelles ne se termine pas... c'est pas cool.

==Résolution==
Voici une solution que j'ai trouvé : il faut passer des paramètres à notre commande ''SSH'' :

ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no root@192.168.1.2

{{attention|Ceci désactive la vérification de la somme de contrôle des clés ''SSH''. Ne faîtes ceci que si vous savez ce que vous faîtes car cela rend votre connexion plus sensible à des attaques [https://fr.wikipedia.org/wiki/Attaque_de_l'homme_du_milieu de l'homme du milieu].}}

=Séquences d'échappement=
Parfois lors de la perte d'une session ''SSH'' (problème de connexion ou bug coté serveur) le SHELL ne renvoi pas de ''broken pipe'', ce qui fait que l'on se retrouve avec un terminal bloqué (hyper casse couille) et la seule façon de s'en sortir est d'user de la commande <code>kill</code>. La seule ? Pas tout à fait.

Il existe un truc qui déchire et qu'on ne trouve nul par (c'est toujours les meilleurs choses les mieux gardées) : les séquences d'échappement.

Ces séquences permettent d'interagir avec le SHELL se trouvant en dessous de la session ''SSH'' via le client ''OpenSSH'' lui même. Ainsi, on peu demander à ce cher client de tuer lui même la session au lieu de devoir le faire à sa place quand rien ne va plus (sympa non ?).

==Liste==
Voici la liste exhaustive de ces merveilles (à précéder par la touche <code><Entrer></code>) :
* '''~.''' : Termine la connexion (et toute les sessions multiplexées)
* '''~B''' : Envoi un ''BREAK'' au système distant
* '''~C''' : Ouvre un prompt ''ssh'' (la commande <code>?</code> permet de lister ce que l'on peut y faire)
* '''~R''' : Renégocie la clé de session (SSH version 2 uniquement)
* '''~V/v''' : Augmente/diminue le degré de verbosity (LogLevel)
* '''~^Z''' : Met ''SSH'' en pause
* '''~#''' : Liste toute les connexions redirigées
* '''~&''' : Quitte la session ''SSH'' sans la fermer. On ne peut pas revenir dessus, ça ne sert donc complètement à rien (je ne vois pas pourquoi quelqu'un à développer ça ?!)
* '''~?''' : Écrit cette liste en anglais avec le vrai texte
* '''~~''' : Dans le cas ou le tild (''~'') entre en conflit avec quelque chose, il est possible de le taper 2 fois avant une séquence d'échappement pour l'envoyer.

{{info|Ceci ne fonctionne que lorsque le ''shell'' ne nous donne pas la main. Vous pouvez tester sur une page de <code>man</code> pour tester par exemple.}}

==Sources de la section==
* https://askubuntu.com/questions/29942/how-can-i-break-out-of-ssh-when-it-locks
* https://lonesysadmin.net/2011/11/08/ssh-escape-sequences-aka-kill-dead-ssh-sessions/amp/

=Absence de broken pipe après un redémarrage=
Sur une ''Debian 8'' (''Jessie''), le fait de redémarrer une machine alors que l'on est connecté en ''SSH'' sur celle-ci ne renvoi pas de ''broken pipe'' (la session n'est pas clôturée à l'extinction). Ceci est très énervant car on se retrouve avec un terminal bloqué sur un prompt inactif et l'arrivé du fameux ''broken pipe'' se fait, dans le meilleur des cas, attendre une bonne minute, dans le pire, pour toujours... Pour régler cette merde il suffit d'installer la librairie ''Systemd'' qui gère se comportement et de redémarrer la machine.
apt install libpam-systemd
reboot

=Tunnel SSH=
Faire un tunnel ''SSH'' :
ssh -L 5232:localhost:5232 root@192.168.180.32

Paramètres :
* '''-L''' : Rediriger un flux ''TCP'' ou un socket UNIX sur le client local
* '''Format''' : ''<port local que l'on utilisera sur notre machine>''''':'''''<adresse de l'hôte distant>''''':'''''<port du service distant>''
Ceci mérite une explication pour être clair. Parfois, on installe un programme ([http://radicale.org Radicale] pour mon exemple) qui écoute exclusivement sur son localhost (127.0.0.1) via le port 5232. Quand le serveur n'a pas d'interface graphique (ce qui est normalement le cas si on est pas ''Windobien''), on a pas de navigateur internet. Il peut être utile d'accéder quand même à l'interface d'admin du service (en fait on en a absolument besoin). Il faut donc rediriger le trafic du localhost de l'hôte distant sur notre machine pour l'administration. On prend donc le trafic localhost:5232 du serveur et on le balance sur le localhost:5232 de notre PC local d'admin.

=Relai SSH=
Dans le cas d'une machine accessible seulement depuis une autre (cas d'un PC derrière un routeur ''NAT'' par exemple) embarquant un serveur ''SSH'', il est possible de l'utiliser comme ''Proxy SSH'' afin de joindre celle-ci. Ceci m'est utile pour administrer des machines virtuelles opérants dans un ''VLAN NATté'' par l'hyperviseur avec ma [[#Authentification_par_clef_SSH|clé SSH]]. Pour ce faire, depuis le client:
ssh -J titi@relai toto@destination

==Source de la section==
* https://tuxicoman.jesuislibre.net/2017/02/connexion-ssh-a-travers-un-ordinateur-relai-avec-proxyjump.html

=SSH inversé=
Il est possible de se connecter au client ayant initié une session ''SSH'' via la création d'un socket spécifique. Cette technique se nomme le ''reverse SSH''. Cela peut-être utile dans le cas d'un dépannage ou pour transférer des fichiers à une machine ne disposant pas d'un accès publique à Internet (cas d'un ''NAT'' par exemple). Cette méthode permet alors la prise en main d'un client sans redirection de port au niveau de son accès ''WAN''.

Depuis le client vers le dépanneur :
ssh -NR 12345:localhost:22 utilisateur-dépanneur@ip-dépanneur

Paramètres :
* '''-N''' : n'exécute ni aucune commande ni aucun shell. Cela permet de n'utiliser la session ''SSH'' que pour ouvrir un socket distant et non pour administrer la destination. Dans notre cas, la session sert juste à créer le socket sur lequel nous allons nous connecter
* '''-R''' : redirige le socket local vers le socket distant. C'est ce paramètre qui permettra au dépanneur de se connecter au client via un socket local créé pour l'occasion
* '''12345:localhost:22''' : socket-sur-dépanneur:adresse-d'écoute-du-socket:socket-à-rediriger-vers-12345

Depuis le dépanneur vers le client en passant par le socket redirigé :
ssh -p 12345 utilisateur-client@localhost

Il est aussi possible d'y transférer des fichiers :
scp -P 12345 /chemin/fichier/dépanneur utilisateur-client@localhost:/destination/fichier/pour/le/client

==Source de la section==
* https://doc.ubuntu-fr.org/tutoriel/reverse_ssh#connexion_directe

=Agent SSH=
Le serveur ''OpenSSH'' embarque un agent capable d'enregistrer le mot de passe de vos clés ''SSH''. Vous pouvez donc initier des connexion sans avoir à renseigner cette information à chaque fois.

Initialiser l'agent pour le [[Shell bash|shell]] courant
eval "$(ssh-agent -s)"

Enregistrer le mot de passe de votre clé
ssh-add /root/.ssh/id_ed25519

{{Info|Utilisée sans argument, la commande <code>ssh-add</code> va chercher les clés dans le répertoire personnel de votre utilisateur local courant.}}

==Sources de la section==
* https://rabexc.org/posts/using-ssh-agent
* https://mytrashcode.com/open-connection-authentication-agent

=Fichier sshd_config=
Voici quelques paramètres qu'il peut être utile d'appliquer sur un serveur ''SSH'' (<code>/etc/ssh/sshd_config</code>) :

==Généralités==
PermitRootLogin no
PasswordAuthentication no

AllowUsers toto sauvegardes
ClientAliveInterval 1800

UseDNS no

Description des paramètres :
* '''PermitRootLogin''' ''{no|yes|prohibit-password}'' : définit si l'utilisateur ''root'' peut se connecter. La directive '''prohibit-password''' permet de n'autoriser que l'utilisation de [[#Authentification par clef SSH|clés SSH]] avec ce dernier
* '''PasswordAuthentication''' ''{no|yes}'' : définit si la connexion par mot de passe est autorisé pour tous les utilisateurs (''root'' à part) ou si seulement les clés SSH sont permises
* '''AllowUsers''' : liste blanche des utilisateurs autorisés à ce connecter
* '''ClientAliveInterval''' : si le paramètre est définit, ''OpenSSH'' compte le temps (en secondes) depuis le dernier paquet reçu du client et envoi une demande de réponse à celui-ci. Couplé au paramètre '''ClientAliveCountMax''' (valeur par défaut à ''3''), le serveur fermera automatiquement la session en cas de non réponse prolongée de ce dernier (nombre de fois compté depuis la dernière réponse). Ceci n'est utile que si la connexion entre les deux paires est interrompu (plus de réseau)
* '''UseDNS''' ''{no|yes}'' : définit si ''OpenSSH'' doit résoudre les noms de domaine. Ce paramètre, non content d'être inutile, ralenti CONSIDÉRABLEMENT l'établissement de la connexion dans le cas ou le serveur ''DNS'' est injoignable (fréquent dans des ''LAB'' de tests)

==Chiffrement==
N'utiliser que des [https://cipherlist.eu/ chiffrements sérieux] :
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com

Je vous conseil également d'utiliser que des clés ''RSA'' et ''ed25519'' en commentant les lignes <code>HostKey /etc/ssh/ssh_host_dsa_key</code> et <code>HostKey /etc/ssh/ssh_host_ecdsa_key</code>.

Vérifiez également que la version de ''SSH'' utilisée est la 2 via le paramètre <code>Protocol 2</code>.

N'oubliez pas de recharger le service :
systemctl reload ssh

=Fichier ssh_config=
Le client ''SSH'' peut aussi être configuré par utilisateur du système. Il sera alors possible de définir des paramètres personnalisés en fonction de celui se connectant à une machine. Le fichier est à créer dans le répertoire personnel de chaque utilisateur le nécessitant (<code>~/.ssh/config</code>).

Pour utiliser une clé spécifique pour la connexion à une machine :
<syntaxhighlight lang="bash">
Host nomMachine
Hostname fc00:0:0:1::2
User root
Port 22
IdentityFile ~/.ssh/id_ed25519-sauv
IdentitiesOnly yes
IgnoreUnknown UseKeychain,AddKeysToAgent
AddKeysToAgent yes
</syntaxhighlight>

Description des paramètres :
* '''Host nomMachine''' : Ouvre une section concernant un hôte en particulier. La valeur ''nomMachine'' vient créer un nom d'hôte utilisable par ''OpenSSH'' au même titre que si l'on avait rentré une ligne dans le fichier ''hosts''
* '''Hostname''' : adresse de la machine distante
* '''User''' : utilisateur de la machine distante
* '''Port''' : port ''SSH'' de la machine distante
* '''IdentityFile''' : clé ''SSH'' à utiliser (par défaut, seul les noms de clés par défaut sont recherchés)
* '''IdentitiesOnly''' : n'utilise que la clé spécifiée dans le paramètre précédent. Si omis, le client ''SSH'' va tester une connexion distante avec toute les clés qu'il trouvera (occasionnant autant d'échec de connexion sur la machine distante)
* '''IgnoreUnknown''' : permet d'ignorer les paramètres inexistants. Les deux valeurs sont des paramètres faisant la même chose mais sur deux systèmes différents. La première est pour MacOSX et la deuxième pour Linux. Cela permet de faire des copier/coller de configuration sans réfléchir
* '''AddKeysToAgent''' : si la clé ''SSH'' utilisée contient une phrase de passe, elle ne sera demandée que la première fois et stockée dans l'agent ''SSH''

==Sources de la section==
* https://www.man7.org/linux/man-pages/man5/ssh_config.5.html
* https://computingforgeeks.com/managing-ssh-connections-on-linux-unix-using-ssh-config-file/

Gns3

2024-08-23T21:00:58Z

Ycharbi : Correction d'une faute dans le nom de la catégorie "Méthode pyhton3 PIP" + actualisation de cette méthode d'installation + réorganisation de l'ordre des méthodes d'installation + remplacement des balises "sources" obsolètes + corrections typographiques + déplacement d'une partie de l'introduction de la section "Installation" dans la sous-section "Méthode APT"

[[Category:réseaux_linux]]
[https://github.com/GNS3/gns3-gui GNS3] est un logiciel de simulation réseau. il peut simuler des matériels de l'équipementier ''Cisco'' en exploitant de vrais ''IOS'' ; exploiter ''qemu'' au travers du cadriciel ''libvirt'' pour émuler des équipements ; utiliser ''Docker'' ; intégrer des ''IOS'' tournant directement sous ''Linux'' afin d'ajouter des commutateurs de niveau 3 et plus encore. Nous nous trouvons donc avec des équipements virtuels qui réagissent comme des équipement physiques et qui, après avoir été reliés au monde réel par l'intermédiaire d'un pont sur la carte réseau de l'hôte, peuvent communiquer avec leurs pairs physiques de la même manière que de vrai équipements.

{{info|Testé avec la version 2.0 sortie le 02/05/2017}}

=Téléchargement=
Partie obsolète. Passez par [https://github.com/GNS3/gns3-gui GitHub].
''GNS3'' fait partie de ces logiciels casses couilles qui nécessitent un compte pour être téléchargé. Comme je ne supporte pas cette pratique (d'autant plus que ça se dit "logiciel libre" - pas très libre comme façon de faire), j'ai donc recensé les liens ''SourceForge'' du projet (c'est surtout utile si vous voulez le compiler vous-même ou si vous utilisez Mac OS X ou Windows). Pour les distributions Linux, vous trouverez la plupart du temps un binaire dans les dépôts.

* '''Linux :''' https://sourceforge.net/projects/gns-3/files/Nightly%20Builds/2018-02-28/2.2/GNS3-2.2.0dev1.source.zip/download
* '''Mac :''' https://sourceforge.net/projects/gns-3/files/Releases/v2.1.3/GNS3-2.1.3.dmg/download
* '''Windows :''' https://sourceforge.net/projects/gns-3/files/Releases/v2.1.3/GNS3-2.1.3-all-in-one.exe/download
Dépôt du projet :
* https://sourceforge.net/projects/gns-3/files
* https://sourceforge.net/projects/gns-3/files/Nightly%20Builds/2018-02-28

=Installation=
{{info|Mise à jour du 23/08/2024 : depuis ''Debian 12'', '''seule''' la [[#Méthode_python3_PIP|méthode Python3 PIP]] est supporté via le paramètre d'installation <code>--break-system-packages</code>. La section dédiée a été actualisée en conséquence. Veuillez noter également que l'installation ne fonctionne plus sur ''Debian Sid'' à cette même date. La procédure va donc logiquement probablement changer pour la version 13... Un ticket sur la confection d'un paquet portable est ouvert sur le dépôt [https://github.com/GNS3/gns3-gui/issues/2911 GitHub] du projet sans grande avancée à ce stade. Cela pourrait régler le problème épineux de l'installation et des mises à jours de cet outil à terme.}}

Le paquet ''telnet'' sera également utile pour la connexion aux équipements virtuels
apt install telnet

==Méthode python3 PIP==
GNS3 est installable depuis le gestionnaire de paquet de ''Python3''. Cette méthode est la seule fonctionnelle sous ''Debian 12'' en 2024 :
apt install python3-pip
apt install python3-pyqt5.qtsvg python3-pyqt5.qtwebsockets

pip3 install --break-system-packages -U gns3-gui gns3-server PyQt5-sip PyQt5 aiohttp

wget https://doc.ycharbi.fr/fichiers/réseaux/gns3/ubridge -P /usr/bin/
chmod 777 /usr/bin/ubridge

''Note : le binaire de ubridge est celui des dépôts Debian Sid au 17/02/2019.''

{{info|Depuis la version 2.2.5 sortie le 9 janvier 2020, la suite est automatique. Vous pouvez vous arrêter là pour la méthode ''python3 PIP''.}}

Télécharger l'icône de l'application :
<syntaxhighlight lang="bash">
wget https://doc.ycharbi.fr/fichiers/réseaux/gns3/images/gns3.png -P /usr/share/icons/hicolor/48x48/apps/
</syntaxhighlight>

Et créer le lanceur :
vim /usr/share/applications/gns3.desktop

<syntaxhighlight lang="ini">
[Desktop Entry]
Version=1.0
Type=Application
Terminal=false
Exec=gns3 %f
Name=GNS3
Comment=GNS3 Graphical Network Simulator
Icon=/usr/share/icons/hicolor/48x48/apps/gns3.png
Categories=Education;Network;
MimeType=application/x-gns3;application/x-gns3a;application/x-gns3project;
Keywords=simulator;network;netsim;
</syntaxhighlight>

Pour mettre à jour :
pip3 install --break-system-packages -U sip gns3-gui gns3-server PyQt5-sip PyQt5 aiohttp

{{info|Si une des dépendances pose problème (c'était le cas pour ''pyqt5'' en version 5.14.1 vers fin 2019 - début 2020), il est possible d'en installer une version spécifique en la précisant ainsi : <code>pyqt5{{=}}{{=}}5.14.0</code>. Le paquet a depuis changé de casse dans son nom comme vous pouvez le constater dans la ligne ce-dessus... Cet écosystème est insupportable. Il faut faire une veille constante, ce qui rend chaque mises à jours risquées et le maintient d'une documentation fonctionnelle impossible.}}

==Méthode APT==
Méthode obsolète. Utilisez la [[#Méthode_python3_PIP|méthode Python3 PIP]].

La version de ''GNS3'' disponible dans les dépôts ''Debian'' est affligeante, il s'agit d'une très ancienne version (elle ne permet même pas de supprimer les câbles que l'on connectes aux équipements...), nous allons donc ajouter le dépôt du projet pour être à jour.

Depuis une installation via ''debootstrap'', le paquet <code>dirmngr</code> est absent et est nécessaire à l'importation des clés ''GPG''. Il faut l'installer
apt install dirmngr

{{info|Sous Debian Stretch, la dépendance ''libvirt-bin'' ne peut être satisfaite car il s'agit d'un paquet de transition qui s'est vu découpé en deux paquets nommés ''libvirt-daemon-system'' et ''libvirt-clients'' (voir [https://lists.debian.org/debian-user/2016/11/msg00518.html ici]). Le problème c'est que sans un paquet qui s'appel ''libvirt-bin'', GNS3 est impossible à installer (et c'est pas faute d'avoir essayé, merci le gestionnaire de paquet ''apt'' qui sait se comporter comme une grosse merde quand il le faut). J'ai donc mis au point deux solution pour palier au problème. L'une exploite ''apt'' et une bidouille avec son ''sources.list'', l'autre utilise directement ''dpkg'' pour contourner le problème. Je conseil vivement d'utiliser la solution ''apt''.}}

Comme nous l'avons vu, le paquet ''libvirt-bin'' n'est pas disponible dans les dépôts ''Stretch'' suite à un changement programmé de stratégies de ses mainteneurs. Cependant il est présent dans ceux de Debian Jessie puisque il en été au stade de transition à ce moment là. ''Jessie'' n'étant pas très différent de ''Stretch'', il n'y a pas de risques de stabilité en confondant ce paquet avec les autres. Nous allons donc combiner les dépôts de ''Jessie'' avec ceux de ''Stretch'' pour avoir ce qu'il nous faut. Pas de panique, ''apt'' n'étant pas si mal fait, il prendra toujours les paquets avec un numéros de version plus récent. Ce qui garanti que Seul les paquets absents de ''Stretch'' seront piochés dans ''Jessie''.

Ajouter les dépôts de ''GNS3'' et ''Debian Jessie'' dans ''Stretch''
echo -e '#GNS3\ndeb http://ppa.launchpad.net/gns3/ppa/ubuntu xenial main\n#Debian jessie (pour avoir le paquet libvirt-bin)\ndeb http://ftp.fr.debian.org/debian jessie main' >> /etc/apt/sources.list

{{attention|Avec ''Debian sid/buster'', il faut remplacer la branche '''xenial''' du dépôt '''http://ppa.launchpad.net/gns3/ppa/ubuntu''' par '''bionic'''.}}

Ajout de la clé ''GPG'' des dépôts ''GNS3''
apt-key adv --keyserver keyserver.ubuntu.com --recv-keys F88F6D313016330404F710FC9A2FD067A2E3EF7B

Mise à jour de la base ''apt''
apt update

Installation de ''GNS3''
apt install gns3-gui

Attribution des droits à l'outil ''ubridge''
chmod 777 /usr/bin/ubridge
setcap cap_net_admin,cap_net_raw=ep /usr/bin/ubridge

==Méthode DPKG==
Cette méthode a été testé avec ''GNS3 1.5.3''. Elle est fonctionnelle mais en plus de sa lourdeur, elle ne permet pas une monté en version simple. Elle reste toutefois plus abordable que la compilation depuis les sources et a été documenté car je me suis bien fait chier pour la pondre quand j'en avais besoin.

Installation des dépendances de ''gns3-gui'' (j'ai enlevé ''gns3-server'' qui réclame ''libvirt-bin'' qui n'existe pas)
apt install python3 python3-pyqt5 python3-pyqt5.qtsvg wireshark vinagre libc6 libexpat1 zlib1g

Installation des dépendances de ''gns3-server'' (j'ai enlevé ''libvirt-bin'' qui n'existe pas)
apt install python3 vpcs qemu-system-x86 qemu-system-arm qemu-kvm cpulimit x11vnc xvfb libc6 libexpat1 zlib1g

Téléchargement des dépendances non disponibles dans les dépôts ''Debian''
wget http://ppa.launchpad.net/gns3/ppa/ubuntu/pool/main/d/dynamips/dynamips_0.2.16-1~xenial1_amd64.deb http://ppa.launchpad.net/gns3/ppa/ubuntu/pool/main/u/ubridge/ubridge_0.9.11-1~yakkety_amd64.deb

Installation manuelle des dépendances non disponibles dans les dépôts Debian (dépôt ''GNS3'') pour ''gns3-server''
dpkg -i dynamips_0.2.16-1~xenial1_amd64.deb ubridge_0.9.11-1~xenial_amd64.deb

Installation de ''gns3-server'' sans ''libvirt-bin''
dpkg -i --ignore-depends=libvirt-bin gns3-server_1.5.4~xenial1_amd64.deb

Installation de ''gns3-gui''
dpkg -i gns3-gui_1.5.3~xenial5_amd64.deb

À ce stade nous avons ''GNS3'' d'installé. Ne criez pas victoire trop vite car ''libvirt-bin'', bien que nous ayant bien fiat chier reste un élément indispensable pour émuler les équipements. Il va donc falloir l'installer si on veut bénéficier de l’intérêt de ce logiciel. Pour se faire, soit vous optez pour l'installation des dépendances de ''libvirt-bin'' ainsi que lui même à la main, soit vous le récupérez depuis les dépôts ''Jessie'' comme avec la méthode ''apt''.

{{astuce|Les dépendances des ''.deb'' se trouvent avec la commande <code>dpkg-deb --info nom.deb</code>. Lorsque ''apt'' ne veut plus rien savoir et qu'il casse les couille on nettoie tout avec la commande <code>apt --fix-broken install</code>.}}

Attribution des droits à l'outil ''ubridge''
chmod 777 /usr/bin/ubridge
setcap cap_net_admin,cap_net_raw=ep /usr/bin/ubridge

==Ajout d'un IOS Cisco==
Les ''IOS Cisco'' sont disponibles dans [https://{{SERVERNAME}}/fichiers/réseaux/cisco/ios/ nos fichiers]. Il sont à ajouter dans les modèles de routeur (vous trouverez, ce n'est pas très compliqué).

=Lien avec le monde physique=
Faire son réseau virtuel est intéressant mais pouvoir exploiter ses atouts avec de vrais équipements, c'est encore mieux. Ainsi ont peut considérer sont PC hôte comme une baie avec plein d'équipement que l'on relie au réseau externe. Les possibilités sont infinies...

Pour se faire, il faut créer une interface de lien local ''tap'' et lui assigner une adresse ''IP''. On ajoutera ensuite un "cloud" dans ''GNS3'' (équipement avec l'icône de nuage) et on le configurera pour ajouter cette interface dans l'onglet ''NIO TAP''. Il faut rentrer le nom de l'interface dans le champ prévu à cet effet : ''tap0''.

{{info|Avec ''GNS3 2.0'', l'étape avec l'onglet n'est plus nécessaire car le nuage ajoute automatiquement les interfaces qu'il trouve sur l'hôte.}}

==Installation==
===Nouvelle méthode===
De nos jours, tout peut se faire via la commande <code>ip</code> du paquet <code>iproute2</code> comme expliqué [https://www.baturin.org/docs/iproute2/ ici].
ip tuntap add dev tap0 mode tap user toto
ip address add 10.200.200.1/30 dev tap0
ip link set tap0 up

===Ancienne méthode===
Installation des dépendances
apt install uml-utilities

Création de l'interface ''tap0'' et attribution d'une adresse ''IP''
tunctl -t tap0
ip a a 10.200.200.1/30 dev tap0
# ou via ifconfig du paquet net-tools
# ifconfig tap0 10.200.200.1 netmask 255.255.255.252

==Problèmes==
Cette étape aussi simple qu'il puisse y paraître peut générer des erreurs bloquantes. Un message disant quand le chemin de ''ubridge'' n'est pas valide ou qu'il n'est pas installé peut survenir. C'est un problème de permission (Tapez <code>ub+<tab></code> dans un terminal connecté avec l'utilisateur qui doit exécuter ''GNS3'', si ''Bash'' n'auto-complète pas en ''ubridge'', c'est que <code>/usr/bin/ubridge</code> n'a pas les bons droits. Sinon c'est que c'est un problème inconnu (ce qui ne serait pas surprenant vu comment c'est une galère à installer).

Pour régler ça. Faire ceci :
chown yohan:ubridge /usr/bin/ubridge
setcap cap_net_admin,cap_net_raw=ep /usr/bin/ubridge

Ce problème peut également survenir après une mise à jour de ''GNS3''.

=Utilisation des Ios On Unix (IOU)=
''IOS on UNIX'' est un ''IOS'' qui tourne comme un programme sur une distribution ''Linux'' (ça aurai donc dû s'appeler ''IOL'', on est d'accord...). L’intérêt de cette solution est quelle permet de s'affranchir de la principale lacune de ''GNS3'' : l'impossibilité d'utiliser des commutateurs. Les ''IOU'' permettent également d'utiliser un grand nombre de fonctions réservées au haut de gamme des chez ''Cisco''. Sous ''Windows'', ''GNS3'' utilise [[qemu]] pour émuler une distribution ''Linux'' afin de faire tourner ''IOU'', ce qui en diminue très grandement l'intérêt (en même temps qu'elle idée d'utiliser ''Windows''...).

Autre chose : Je n'ai pas réussi à déterminer si l'utilisation des ''IOU'' représentait une violation de licence car comme à son habitude, ''Cisco'' pratique l’obscurantisme sur les détails et personne ne semble se soucier de ce sujet...

Les ''IOU'' sont des programmes 32 bits (sans commentaires...), on est donc obligé d'ajouter une dépendance ''i386'' dans notre chère distribution ''amd64''.
dpkg --add-architecture i386

apt update

''Attention si vous utilisez ma documentation sur [[apt-mirror]] et que des erreurs 404 s'affichent dû au fait que vous n'avez pas l'ensemble des dépôts ''i386'' en local (même si c'est des dépôts qui n'ont rien avoir avec la choucroute), je vous recommande de changer de serveur ''DNS'' dans <code>/etc/resolv.conf</code> le temps de l'installation sinon vous allez tourner en rond avec des erreurs de dépendance APT bien casse couille (c'est du vécu) sans comprendre la raison de toute cette merde.''
apt install libssl1.1:i386

Il faut désormais créer un lien symbolique pour que ce balo d{{'}}''IOU'' la trouve (bah oui, c'est trop compliqué de pointer sur la bonne librairie hein, on va laisser l'utilisateur faire le travail à la place des dev de ''Cisco'' tien)
ln -s /usr/lib/i386-linux-gnu/libcrypto.so.1.1 /usr/lib/libcrypto.so.4

Pour que ''IOU'' fonctionne, il faut une licence, que l'on va devoir générer. Mais avant toute chose il faut faire pointer notre interface de lien local sur notre nom d'hôte ainsi qu'un nom de domaine de chez ''Cisco'' (probablement un mécanisme de vérification de licence). Dans mon exemple, mon nom d'hôte est ''debian'', adaptez à votre cas.
echo "debian" > /etc/hostname
hostname debian
echo -e "127.0.0.1 debian\n127.0.0.1 xml.cisco.com" >> /etc/hosts

{{attention|La suite de cette procédure doit être exécuté en utilisateur standard.}}

Téléchargez le script de génération de licence
wget https://doc.ycharbi.fr/fichiers/r%c3%a9seaux/cisco/iou/CiscoKeyGen.py

Générez la licence (veillez à bien utiliser python 2 et non 3)
python2.7 CiscoKeyGen.py

Copiez la section suivante dans <code>~/.iourc</code> (celle du script hein, pas la mienne, sinon ça va pas marcher gros bêta)
[license]
debian = b0acc48944f31bd4;

Créez le répertoire d'accueil des ''IOU''
mkdir -p ~/GNS3/images/IOU/

Téléchargez des ''IOU'' (avec la commande suivante ou [https://{{SERVERNAME}}/fichiers/r%c3%a9seaux/cisco/iou/ ici])
wget https://doc.ycharbi.fr/fichiers/r%c3%a9seaux/cisco/iou/i86bi-linux-l2-adventerprisek9-15.1a.bin https://doc.ycharbi.fr/fichiers/r%c3%a9seaux/cisco/iou/i86bi-linux-l3-adventerprisek9-15.2.4M1.bin -P ~/GNS3/images/IOU/

Les ''IOU'' étant des programmes, il faut leur donner les droits d'exécution
chmod +x ~/GNS3/images/IOU/*.bin

La suite ce passe sous ''GNS3'' :
# Ajouter la licence dans GNS3 <code>Edit > Préférences > IOS on UNIX > Edit | Aller chercher ~/.iourc > Apply</code>
# Ensuite, ajouter un modèle IOU dans GNS3 <code>Edit > Préférences > IOS on UNIX > IOU Device > New</code>
# Profitez d'un truck qui déchire pour vos archis !

==Sources de la section==
* '''Principale :''' Principale : https://nlabweb.wordpress.com/2016/04/06/running-cisco-switches-on-gns3/#more-147
* '''Problème de libcrypto.so.4 :''' https://www.youtube.com/watch?v=chcHuF3nEoQ
* '''CiscoKeyGen :''' https://gist.github.com/paalfe/8edd82f780c650ae2b4a/archive/bd7b6b8a81c338359e6de4ff0ed0def9f7dc9146.zip
* '''Images IOU :''' https://drive.google.com/file/d/0B8tSmsEbVQs-bjVXY3VqMFJrc1E/view

==À creuser==
Se passer de ''GNS3'' pour les ''IOU'' : https://myhowtosandprojects.blogspot.fr/2013/08/installing-and-running-iou-checking_10.html

=Utilisation de Docker=
[[Docker]] est une solution de conteneurisation. Il permettra de créer des serveurs et des postes clients virtuelles ainsi que faire des analyses réseaux au sein de l'infra virtuelle. Docker n'est malheureusement pas dans les dépôts Debian. Il faut donc ajouter le dépôt officiel à la main.

==Installation==
Pour l'installation de ''Docker'', ce référer à la page suivante : [[Docker#Installation|Installation de Docker]].

==Configuration==
Ajout de l'utilisateur se servant de ''GNS3'' au groupe <code>docker</code> (sinon l'application ne pourra pas se connecter au démon ''docker'' pour interagir avec les conteneurs)
usermod -aG docker <VOTRE_UTILISATEUR_DE_GNS3>

Je n'ai pas trouver comment appliquer ces changements autrement qu'en redémarrant, navré
reboot

Téléchargement d'un conteneur ''Kalilinux'' (en ''root'')
docker pull gns3/kalilinux

{{astuce|Il y a un bon nombre de conteneurs téléchargeables dans le [https://hub.docker.com/r/gns3/ dépôt Docker du projet GNS3]. Je vous conseils d'aller y faire un tour.}}

Il faut maintenant ajouter le conteneur à ''GNS3'' en tant que modèle. Pour se faire il faut aller dans les paramètres, dans la section dédié à ''Docker'' et faire du clickodrôme jusqu'à l'ajout de notre conteneur (le 3ème lien des sources montre la procédure officielle si vraiment vous êtes en galère).

==Problèmes==
Tout comme ''ubridge'', ''Docker'' peut ne pas fonctionner pour cause de permission. Si la commande <code>docker ps</code> renvoi une erreur de permission en tant que utilisateur utilisant ''GNS3'', c'est qu'il n'appartient pas au groupe <code>docker</code>.

J'ai également eu l'erreur <code>Docker has returned an error: 304 b</code> avec ''GNS3 1.5.3''. Je n'ai pas eu le temps de résoudre cette erreur qui a été corrigé avec la mise à jour 2.0 de ''GNS3'' et je n'ai pas de piste de résolution (ça semble être le problème de merde bien chiant à régler avec aucune aide sur Internet). Dieu vous garde si vous la rencontrez...

==Sources==
* https://store.docker.com/editions/community/docker-ce-server-debian?tab=description
* http://stackoverflow.com/questions/21871479/docker-cant-connect-to-docker-daemon
* https://docs.gns3.com/1KGkv1Vm5EgeDusk1qS1svacpuQ1ZUQSVK3XqJ01WKGc/index.html
* https://hub.docker.com/r/gns3/kalilinux/

=Sources=
* http://docs.gns3.com/1QXVIihk7dsOL7Xr7Bmz4zRzTsJ02wklfImGuHwTlaA4/

Mitmproxy

2024-08-15T15:42:16Z

Ycharbi : Corrections de fautes de français + légère mise en forme + ajout de la section "Sources"

[[Category:Services_mandataire]]

[https://mitmproxy.org/ Mitmproxy] est un mandataire (''proxy'') destiné au débogage, tests, notamment de pénétrations ainsi qu'aux évaluations des mesures de protections d'un système d'information.
Il est extrêmement utile pour comprendre le fonctionnement d'un programme officiant au travers de sessions ''HTTPS'' puisqu'il permet de réunir les éléments nécessaires à l'inspection des trames chiffrées par ''TLS''.

Il peut, en outre, servir à espionner la navigation ''HTTPS'' des utilisateurs d'un réseau à accès limité (obligeant l'accès au ''WAN'' par l'intermédiaire d'un mandataire). À l'issue de la lecture de ce document, vous devriez être sensibilisé à ne jamais réaliser d'opérations personnelles sur ce genre de réseau (connexion à un ''Webmail'' ou à tout portail nécessitant un identifiant personnel par exemple).

Cette documentation explique brièvement comment se servir de l'outil pour enregistrer les clés de sessions ''TLS'' et présente un cas pratique avec le déchiffrement d'un <code>docker pull</code>. Les trames capturées via [[Tcpdump]] pourront alors être examinées par un outil graphique comme [[Wireshark]].

=Mise en œuvre=
==Installation==
Installation de l'outil
apt install --no-install-recommends mitmproxy

Le fait de lancer <code>mitmproxy</code> créé automatiquement le répertoire <code>~/.mitmproxy</code> contenant les éléments secrets utilisés dans une transaction ''TLS''. Il est alors possible d'importer le certificat serveur dans la base local du client à espionner ou générer son propre certificat via [[openssl|OpenSSL]].

Afin d'agrémenter la démonstration, la seconde solution sera utilisée. Outre l'aspect didactique, générer votre propre certificat est indispensable lorsque l'interception concerne la communication d'une application exigeante en terme de vérification (ce pourquoi [[Docker]] est utilisé en guise d'exemple). Il est en effet nécessaire dans ce cas d'ajouter des noms alternatifs dans la section <code>subjectAltName</code> du [https://fr.wikipedia.org/wiki/X.509 certificat X.509] afin de spécifier les adresses signées par celui-ci.

==Configuration des clés==
Création du répertoire d'accueil des éléments secrets
mkdir -p ~/.mitmproxy/certs

Génération desdits éléments
<syntaxhighlight lang="bash" line>
# Génération de la clé privée de l'autorité de certification (AC)
openssl genrsa -out ~/.mitmproxy/certs/ca.key 2048
# Génération du couple de clés du serveur mandataire
openssl req -new -x509 -days 365 -key ~/.mitmproxy/certs/ca.key -subj "/C=CN/ST=GD/L=SZ/O=Acme, Inc./CN=Acme Root CA" -out ~/.mitmproxy/certs/ca.crt
# Création d'un fichier de demande de certificat auprès de l'AC
openssl req -newkey rsa:2048 -nodes -keyout ~/.mitmproxy/certs/serveur.key -subj "/C=CN/ST=GD/L=SZ/O=Acme, Inc./CN=*" -out ~/.mitmproxy/certs/serveur.csr
# Génération d'un certificat signé par l'AC et intégrant la liste des domaines à certifier
openssl x509 -req -extfile <(printf "subjectAltName=DNS:*.ycharbi.fr,DNS:*.docker.io,DNS:*.cloudflare.docker.com,IP:127.0.0.1") -days 365 -in ~/.mitmproxy/certs/serveur.csr -CA ~/.mitmproxy/certs/ca.crt -CAkey ~/.mitmproxy/certs/ca.key -CAcreateserial -out ~/.mitmproxy/certs/serveur.crt

# Chaînage du certificat avec la clé associée pour mitmproxy
cat ~/.mitmproxy/certs/serveur.crt ~/.mitmproxy/certs/serveur.key > ~/.mitmproxy/certs/cert.pem
</syntaxhighlight>

Le point d'intérêt principal de ces opérations et qui devra être personnalisé en fonction du cas à traiter est la sous-commande <code>printf "subjectAltName=DNS:*.ycharbi.fr,DNS:*.docker.io,DNS:*.cloudflare.docker.com,IP:127.0.0.1"</code> présente à la ligne numéro 8. Utilisez les domaines que vous voulez voir validé par ''TLS'' lors de la poignée de main entre une application cliente et votre mandataire.

==Tests de fonctionnement==
Afin de tester notre préparation, nous pouvons lancer <code>mitmproxy</code> de la façon suivante :
SSLKEYLOGFILE="/tmp/clés_tls_mitm.txt" mitmproxy --certs *=~/.mitmproxy/certs/cert.pem

où :
* '''SSLKEYLOGFILE= ''' : emplacement du fichier contenant les clés négociées lors des différentes sessions ''TLS''
* '''--certs *= ''' : emplacement du certificat chaîné serveur pour signer le domaine spécifié dans la commande (ici <code>*</code> pour tout les domaines). Il peut y avoir plusieurs fois ce paramètre pour mettre autant de certificats que de domaines au besoin

Les clients ''HTTP'' communs peuvent êtres utilisés pour tester le fonctionnement de la solution
curl --proxy 127.0.0.1:8080 --cacert ~/.mitmproxy/certs/cert.pem https://doc.ycharbi.fr/index.php/Mitmproxy
wget -e https_proxy=127.0.0.1:8080 --ca-certificate ~/.mitmproxy/certs/cert.pem https://doc.ycharbi.fr/index.php/Mitmproxy

L'exploitation du fichier de clés est expliqué dans le cas pratique de la section suivante.

=Cas pratique=
Comme énoncé en introduction, nous allons utiliser notre outil pour analyser les requêtes effectuées par un <code>docker pull</code>. Cet outil étant particulièrement chiant avec ''HTTPS'' (comme la majorité des applications écrites en ''Golang''), la mise en œuvre de notre capture représente un bon exercice.

Pour que cela fonctionne, il faut :
* un certificat avec les bons domaines renseignés dans le champ <code>subjectAltName</code> (fait dans l'étape préparatoire)
* ajouter ce certificat dans la configuration du registre d'image ''Docker'' dont l'adresse sera remplacée par celle de notre mandataire (la commande de tirage de l'image reste identique)
* configurer ''Docker'' pour utiliser notre mandataire
* ajouter ce même certificat dans la base interne du système client
* rafraîchir la configuration de ''Systemd'' et relancer le démon ''Docker''

==Installation des paquets==
Installation de ''Docker'' et de ''Tcpdump''
apt install --no-install-recommends docker.io tcpdump

Le premier servira d'application ''TLS'' cliente et le second capturera le trafic chiffré. Celui-ci sera par la suite déchiffré par ''Wireshark'' à l'aide des clés enregistrées par ''Mitmproxy'' pendant la communication.

==Configuration de l'environnement==
Ajout du certificat du mandataire comme celui d'un registre d'images
mkdir -p /etc/docker/certs.d/127.0.0.1:8080
cp ~/.mitmproxy/certs/serveur.crt /etc/docker/certs.d/127.0.0.1:8080/ca.crt

Configuration du mandataire pour les requêtes au dépôt distant
mkdir -p /etc/systemd/system/docker.service.d

<syntaxhighlight lang="ini">
cat << '_EOF_' > /etc/systemd/system/docker.service.d/http-proxy.conf
[Service]
Environment="HTTPS_PROXY=https://127.0.0.1:8080"
_EOF_
</syntaxhighlight>

Ajout du certificat dans la base interne du système
cp ~/.mitmproxy/certs/serveur.crt /usr/local/share/ca-certificates/
update-ca-certificates

Rechargement de la configuration de ''Systemd'' et du démon ''Docker''
systemctl daemon-reload
systemctl restart docker.service

{{astuce|Il est possible d'afficher les variables d'environnements passées à l'exécutable de ''Docker'' par le service ''Systemd'' via la commande <code>systemctl show --property{{=}}Environment docker</code> afin de valider la bonne prise en compte de notre paramètre. Un <code>docker search alpine</code> vous indiquera rapidement si votre installation est correcte. En cas de fonctionnement, le mandataire affichera la session et la commande renverra son résultat habituel. En cas d'erreur, une indication sur l'origine du problème rencontré par le client sera renvoyée dans la console.}}

==Tests de fonctionnement==
Nous aurons besoin de trois consoles pour réaliser les opérations qui vont suivre. Un multiplexeur de terminal comme [https://github.com/tmux/tmux/wiki Tmux] peut s'avérer bien utile dans de pareils circonstances. La commande <code>tmux new -A -s toto</code> peut être utilisée pour initier un tel environnement (totalement facultatif).

===Première console===
Exécuter le mandataire
SSLKEYLOGFILE="/tmp/clés_tls_mitm.txt" mitmproxy --certs *=~/.mitmproxy/certs/cert.pem

===Deuxième console===
Exécuter l'enregistreur de trames
tcpdump -ni any -w /tmp/tls.pcap port not 22

===Troisième console===
Tirer une image du registre distant
docker pull alpine

Si tout est bon, votre image a été récupérée par <code>docker</code>, <code>tcpdump</code> a enregistré l'échange chiffré et <code>mitmproxy</code> a journalisé les sessions en plus d'avoir enregistré les clés ''TLS'' de celles-ci. Il ne reste plus qu'à quitter les programmes des deux premières consoles pour en envoyer les fichiers de capture et de clés à une machine graphique possédant <code>wireshark</code> pour déchiffrement et analyse.
scp /tmp/tls.pcap /tmp/clés_tls_mitm.txt ycharbi@\[2001:db8::1\]:/tmp/

===Sur la machine graphique===
Ouvrir le fichier de capture <code>/tmp/tls.pcap</code> avec ''Wireshark'' et ajouter le fichier de clés <code>/tmp/clés_tls_mitm.txt</code> dans les paramètres du protocole ''TLS'' : <syntaxhighlight lang="ini" inline><ctrl>+<maj>+ > Protocols > TLS > (Pre)-Master-Sercret log filename > Parcourir... > /tmp/clés_tls_mitm.txt > OK</syntaxhighlight>.

Les paquets ''TLS'' se déchiffrent instantanément, laissant apparaître les paquets ''HTTP'' qu'ils masquaient. Vous pouvez ainsi observer les ''URL'' que le client ''Docker'' requêtes pour récupérer ses images.

=Sources=
* https://docs.mitmproxy.org/stable/
** https://docs.mitmproxy.org/stable/howto-wireshark-tls/
** https://docs.mitmproxy.org/stable/concepts-options/
* https://medium.com/@ifeanyiigili/how-to-setup-a-private-docker-registry-with-a-self-sign-certificate-43a7407a1613
* https://betterprogramming.pub/deploy-a-docker-registry-using-tls-and-htpasswd-56dd57a1215a

Mitmproxy

2024-08-15T15:20:21Z

Ycharbi : Page créée avec « Category:Services_mandataire [https://mitmproxy.org/ Mitmproxy] est un mandataire (''proxy'') destiné au débogage, tests, notamment de pénétrations ainsi qu'aux évaluation des mesures de protections d'un système d'information. Il est extrêmement utile pour comprendre le fonctionnement d'un programme officiant au travers de sessions ''HTTPS'' puisqu'il permet de réunir les éléments nécessaires à l'inspection des trames chiffrées par ''TLS''. Il... »

[[Category:Services_mandataire]]

[https://mitmproxy.org/ Mitmproxy] est un mandataire (''proxy'') destiné au débogage, tests, notamment de pénétrations ainsi qu'aux évaluation des mesures de protections d'un système d'information.
Il est extrêmement utile pour comprendre le fonctionnement d'un programme officiant au travers de sessions ''HTTPS'' puisqu'il permet de réunir les éléments nécessaires à l'inspection des trames chiffrées par ''TLS''.

Il peut, en outre, servir à espionner la navigation ''HTTPS'' des utilisateurs d'un réseau limité (obligeant l'accès au ''WAN'' par l'intermédiaire d'un mandataire). À l'issue de la lecture de ce document, vous devriez être sensibilisé à ne jamais réaliser d'opérations personnelles sur ce genre de réseau (connexion à un ''Webmail'' ou à tout portail nécessitant un identifiant personnel par exemple).

Cette documentation explique brièvement comment se servir de l'outil pour enregistrer les clés de sessions ''TLS'' et présente un cas pratique avec le déchiffrement d'un <code>docker pull</code>. Les trames capturées via [[Tcpdump]] pourront alors être examinées par un outil graphique comme [[Wireshark]].

=Mise en œuvre=
==Installation==
Installation de l'outil
apt install --no-install-recommends mitmproxy

Le fait de lancer <code>mitmproxy</code> créé automatiquement le répertoire <code>~/.mitmproxy</code> contenant les éléments secrets utilisés dans une transaction ''TLS''. Il est alors possible d'importer le certificat serveur dans la base local du client à espionner ou générer son propre certificat via [[openssl|OpenSSL]]. Afin d'agrémenter la démonstration, la seconde solution sera utilisée. Outre l'aspect didactique, générer votre propre certificat est indispensable lorsque l'interception de la communication d'une application exigeante en terme de vérification est utilisée (ce pourquoi [[Docker]] est utilisé en guise d'exemple). Il est en effet nécessaire dans ce cas d'ajouter des noms alternatifs dans la section <code>subjectAltName</code> du [https://fr.wikipedia.org/wiki/X.509 certificat X.509] afin de spécifier les adresses signées par celui-ci.

==Configuration des clés==
Création du répertoire d'accueil des éléments secrets
mkdir -p ~/.mitmproxy/certs

Génération desdits éléments
<syntaxhighlight lang="bash" line>
# Génération de la clé privée de l'autorité de certification (AC)
openssl genrsa -out ~/.mitmproxy/certs/ca.key 2048
# Génération du couple de clés du serveur mandataire
openssl req -new -x509 -days 365 -key ~/.mitmproxy/certs/ca.key -subj "/C=CN/ST=GD/L=SZ/O=Acme, Inc./CN=Acme Root CA" -out ~/.mitmproxy/certs/ca.crt
# Création d'un fichier de demande de certificat auprès de l'AC
openssl req -newkey rsa:2048 -nodes -keyout ~/.mitmproxy/certs/serveur.key -subj "/C=CN/ST=GD/L=SZ/O=Acme, Inc./CN=*" -out ~/.mitmproxy/certs/serveur.csr
# Génération d'un certificat signé par l'AC et intégrant la liste des domaines à certifier
openssl x509 -req -extfile <(printf "subjectAltName=DNS:*.ycharbi.fr,DNS:*.docker.io,DNS:*.cloudflare.docker.com,IP:127.0.0.1") -days 365 -in ~/.mitmproxy/certs/serveur.csr -CA ~/.mitmproxy/certs/ca.crt -CAkey ~/.mitmproxy/certs/ca.key -CAcreateserial -out ~/.mitmproxy/certs/serveur.crt

# Chaînage du certificat avec la clé associée pour mitmproxy
cat ~/.mitmproxy/certs/serveur.crt ~/.mitmproxy/certs/serveur.key > ~/.mitmproxy/certs/cert.pem
</syntaxhighlight>

Le point d'intérêt principal de ces opérations et qui devra être personnalisé en fonction du cas à traiter est la sous commande <code>printf "subjectAltName=DNS:*.ycharbi.fr,DNS:*.docker.io,DNS:*.cloudflare.docker.com,IP:127.0.0.1"</code> présente à la ligne numéro 8. Utilisez les domaines que vous voulez voir validé par ''TLS'' lors de la poignée de main entre une application cliente et votre mandataire.

==Tests de fonctionnement==
Afin de tester notre préparation, nous pouvons lancer <code>mitmproxy</code> de la façon suivante :
SSLKEYLOGFILE="/tmp/clés_tls_mitm.txt" mitmproxy --certs *=~/.mitmproxy/certs/cert.pem

où :
* '''SSLKEYLOGFILE= ''' : emplacement du fichier contenant les clés négociées lors des différentes sessions ''TLS''
* '''--certs *= ''' : emplacement du certificat chaîné serveur pour signer le domaine spécifié dans la commande (ici <code>*</code> pour tout les domaines). Il peut y avoir plusieurs fois ce paramètre pour mettre autant de certificat que de domaines au besoin

Les clients ''HTTP'' communs peuvent êtres utilisés pour tester le fonctionnement de la solution
curl --proxy 127.0.0.1:8080 --cacert ~/.mitmproxy/certs/cert.pem https://doc.ycharbi.fr/index.php/Mitmproxy
wget -e https_proxy=127.0.0.1:8080 --ca-certificate ~/.mitmproxy/certs/cert.pem https://doc.ycharbi.fr/index.php/Mitmproxy

L'exploitation du fichier de clés est expliqué dans le cas pratique de la section suivante.

=Cas pratique=
Comme énoncé en introduction, nous allons utiliser notre outil pour analyser les requêtes effectuées par un <code>docker pull</code>. Cet outil étant particulièrement chiant avec ''HTTPS'' (comme la majorité des applications écrites en ''Golang''), la mise en œuvre de notre capture représente un bon exercice.

Pour que cela fonctionne, il faut :
* un certificat avec les bons domaines renseignés dans le champ <code>subjectAltName</code> (fait dans l'étape préparatoire)
* ajouter ce certificat dans la configuration du registre d'image Docker dont l'adresse sera remplacée par celle de notre mandataire (la commande de tirage de l'image reste identique)
* configurer ''Docker'' pour utiliser notre mandataire
* ajouter ce même certificat dans la base interne du système client
* mettre à jour la configuration de ''Systemd'' et relancer le démon ''Docker''

==Installation des paquets==
Installation de ''Docker'' et de ''Tcpdump''
apt install --no-install-recommends docker.io tcpdump

Le premier servira d'application ''TLS'' cliente, le second, capturera le trafic chiffré. Celui-ci sera par la suite déchiffré par ''Wireshark'' à l'aide des clés enregistrées par ''Mitmproxy'' pendant la communication.

==Configuration de l'environnement==
Ajout du certificat du mandataire comme celui d'un registre d'images
mkdir -p /etc/docker/certs.d/127.0.0.1:8080
cp ~/.mitmproxy/certs/serveur.crt /etc/docker/certs.d/127.0.0.1:8080/ca.crt

Configuration du mandataire pour les requêtes au dépôt distant
mkdir -p /etc/systemd/system/docker.service.d

<syntaxhighlight lang="ini">
cat << '_EOF_' > /etc/systemd/system/docker.service.d/http-proxy.conf
[Service]
Environment="HTTPS_PROXY=https://127.0.0.1:8080"
_EOF_
</syntaxhighlight>

Ajout du certificat dans la base interne du système
cp ~/.mitmproxy/certs/serveur.crt /usr/local/share/ca-certificates/
update-ca-certificates

Rechargement de la configuration de ''Systemd'' et du démon ''Docker''
systemctl daemon-reload
systemctl restart docker.service

{{astuce|Il est possible d'afficher les variables d'environnements passées à l'exécutable de ''Docker'' par le service ''Systemd'' via la commande <code>systemctl show --property{{=}}Environment docker</code> afin de valider la bonne prise en compte de notre paramètre. Un <code>docker search alpine</code> vous indiquera rapidement si votre installation est correcte. En cas de fonctionnement, le mandataire affichera la session et la commande renverra son résultat habituel. En cas d'erreur, une indication sur l'origine du problème rencontré par le client sera renvoyée dans la console.}}

==Tests de fonctionnement==
Nous aurons besoin de trois consoles pour réaliser les opérations qui vont suivre. Un multiplexeur de terminal comme [https://github.com/tmux/tmux/wiki Tmux] peut s'avérer bien utile dans de pareils circonstances. La commande <code>tmux new -A -s toto</code> peut être utilisée pour initier un tel environnement (totalement facultatif).

===Première console===
Exécuter le mandataire
SSLKEYLOGFILE="/tmp/clés_tls_mitm.txt" mitmproxy --certs *=~/.mitmproxy/certs/cert.pem

===Deuxième console===
Exécuté l'enregistreur de trames
tcpdump -ni any -w /tmp/tls.pcap port not 22

===Troisième console===
Tirer une image du registre distant
docker pull alpine

Si tout est bon, votre image a été récupérée par <code>docker</code>, <code>tcpdump</code> a enregistré l'échange chiffré et <code>mitmproxy</code> a journalisé les sessions en plus d'avoir enregistré les clés de sessions ''TLS''. Il ne reste plus qu'à quitter les programmes des deux premières consoles pour en envoyer les fichiers de capture et de clés à une machine graphique possédant <code>wireshark</code> pour déchiffrement et analyse.
scp /tmp/tls.pcap /tmp/clés_tls_mitm.txt ycharbi@\[2001:db8::1\]:/tmp/

===Sur la machine graphique===
Ouvrir le fichier de capture <code>/tmp/tls.pcap</code> avec ''Wireshark'' et ajouter le fichier de clés <code>/tmp/clés_tls_mitm.txt</code> dans les paramètres du protocole ''TLS'' : <syntaxhighlight lang="ini" inline><ctrl>+<maj>+ > Protocols > TLS > (Pre)-Master-Sercret log filename > Parcourir... > /tmp/clés_tls_mitm.txt > OK</syntaxhighlight>.

Les paquets ''TLS'' se déchiffrent instantanément, laissant apparaître les paquets ''HTTP'' qu'ils masquaient. Vous pouvez ainsi observer les ''URL'' que le client ''Docker'' requêtes pour récupérer ses images.

Samba

2024-08-14T13:28:05Z

Ycharbi : Correction du paramètre de suppression d'un utilisateur + ajout des paramètres de désactivation et d'activation d'un utilisateur + changement de la commande de création d'un utilisateur pour réaliser d'une traite les opérations de la section "Interdiction d’accès" + suppression de la section "Interdiction d’accès" devenue inutile

[[Category:Service partage]]

Samba est une implémentation libre des protocoles SMB/CIFS de Microsoft. Il est utilisé pour mettre à disposition des ressources sur un réseau local et il comprend l'usage d'une [https://fr.wikipedia.org/wiki/Samba_(informatique)#Fonctionnalit%C3%A9s dizaine de services ainsi que d'une douzaine de protocoles]. Il permet entre autre les usages suivants:
* Partage de fichiers
* Partage d'imprimantes
* Service Active Directory comprenant une version modifiée de:
** Kerberos
** LDAP
* NetBIOS sur TCP/IP (NBT)
* Protocole d'appel distant DCE/RPC, MSRPC
* Serveur WINS aussi appelé NetBIOS Naming Service (NBNS)
* Les protocoles d'un domaine NT:
** L'ouverture d'une session NT
** Une base de données Security Account Manager (SAM)
** Un service Local Security Authority (LSA)
** Un service d'impression (Spoolss)
** NTLM

Le gros plus de cette solution étant sont extrême interopérabilité tant de plateformes que de régions linguistiques puisque géré par les systèmes Linux, BSD, Mac OS X et Windows avec un support des encodages UTF-8.

Ce projet est rendu possible par un accord d'[https://www.samba.org/samba/PFIF/ information technique] signé par Microsoft le 20 décembre 2007 faisant suite à un procès perdu contre l'Union européenne.

{{info|Cette documentation se base sur une Linux Debian 9.}}

'''Ports utilisés:'''
* 137 udp
* 138 udp
* 138 tcp
* 139 tcp

=Installation=
apt install samba

=Configuration=
Nous allons partir d'un fichier vierge. Il faut donc renommer l'ancien pour ne pas qu'il soit utilisé
mv /etc/samba/smb.conf /etc/samba/smb.conf.old

'''Création d'un nouveau fichier'''
vim /etc/samba/smb.conf

<source lang="bash">
[global]
server string = SAMBA-YCHARBI
workgroup = LAB
netbios name = SAMBA-YCHARBI
public = yes
encrypt passwords = true
guest ok = yes
map to guest = Bad User
dos charset = CP850
unix charset = UTF8
unix extensions = no
time server = yes
log file = /var/log/samba/log.%m
log level = 2
#Valeur en KB
max log size = 500
#force user = nobody
#force group = nogroup
server min protocol = SMB3
min protocol = SMB3

name resolve order = lmhosts wins bcast host

[Musiques]
path = /home/toto/Musiques
public = yes
read only = yes
writeable = no
browseable = yes
valid users = toto, titi, nobody
comment = Mes musiques

[Documentation]
path = /home/toto/Documentation
public = no
read only = yes
writeable = no
browseable = yes
valid users = toto
#force user = toto
#force group = toto
comment = Ma documentation

[Programmation]
path = /home/toto/Programmation
public = no
read only = yes
writeable = no
browseable = yes
valid users = toto
comment = Mes programmes

[Vidéos]
path = /home/toto/Vidéos
public = yes
read only = yes
writeable = no
browseable = yes
valid users = toto, titi, nobody
comment = Mes vidéos

[Logiciels]
path = /home/toto/Logiciels
public = yes
read only = no
writeable = yes
browseable = yes
valid users = toto, titi, nobody
comment = Mes logiciels

[Partage]
path = /home/toto/Partage
public = yes
read only = no
writeable = yes
browseable = yes
valid users = toto, titi, nobody
comment = Partage commun
#create mask = 0777
#force user = nobody
#force group = nogroup

[Windows]
path = /home/toto/Windows
public = yes
read only = yes
writeable = no
browseable = yes
valid users = toto, nobody
comment = Installation de Windows

[Titi]
path = /home/titi
public = no
read only = no
writeable = yes
browseable = yes
valid users = titi
comment = Fichiers de Titi
</source>

Comme nous pouvons le constater, un partage est défini par une section commençant par son nom entre crochets. Les accents sont supportés (pour le montage dans fstab, il faut utiliser [[fstab#Accents_dans_le_fstab|la syntaxe décrite dans le document dédié]]) et il est possible de définir des paramètres personnalisés à chacun d'eux.

{{Attention|Il faut bien penser à créer les répertoires des partages pour que le démon puisse s'exécuter correctement.}}

'''Redémarrer le démon'''
systemctl restart smbd.service

=Création d'un utilisateur=
Pour qu'un utilisateur puisse accéder aux partages, il faut qu'il existe au préalable en tant qu'utilisateur POSIX '''et''' SAMBA. Nous désactiverons la possibilité de connexion POSIX et définirons un mot de passe dédié aux seuls utilisateurs SAMBA (afin qu'une connexion sur le shell du serveur soit impossible par ce biais). Enfin, il faudra gérer les droits d'accès aux fichiers du serveur.

==Utilisateur POSIX==
Rappel, les fichiers gérants les utilisateurs utilisent un formatage sous forme de [https://fr.wikipedia.org/wiki/Champ_Gecos champ GECOS]. Je ne vais pas revenir sur la compréhension de ce formatage proche du CSV.

===Création POSIX===
'''Création de l'utilisateur "toto"'''
useradd -m -d /home/toto -s /bin/false -c "Utilisateur Samba toto" toto

Cette commande créée l'utilisateur <code>toto</code>, son répertoire personnel, lui attribue un ''shell'' non utilisable pour une connexion interactive et précise une description pour l'administrateur.

==Utilisateur SAMBA==
'''Création de l'utilisateur'''
smbpasswd -a toto

'''Suppression d'un utilisateur'''
smbpasswd -x toto

'''Désactivation d'un utilisateur'''
smbpasswd -d toto

'''Activation d'un utilisateur'''
smbpasswd -e toto

'''Aide sur la commande'''
smbpasswd -h

''Note: on peut aussi ce référer au [https://www.samba.org/samba/docs/current/man-html/smbpasswd.8.html manuel de la commande].''

'''Lister les utilisateurs'''
pdbedit -L -v

''Note: le '''-L''' permet de lister et le '''-v''' affiche des détails. Source [https://superuser.com/questions/271034/list-samba-users ici].''

=Droits POSIX=
Le truck le plus chiant avec Samba est la gestion des [[Gestion_des_droits_linux|droits d’accès aux fichiers]]. En effet, sous les système basé sur les concepts UNIX, un utilisateur est propriétaire des fichiers qu'il crée et le UMASK du système de fichiers définit les autres droits à appliquer à celui-ci. Le problème que cela pose dans le cadre d'un partage commun entre plusieurs utilisateurs est que tout ce qui est créé par quelqu'un est en lecture seule pour les autres (vachement pratique...). Une solution que j'aime bien pour palier au problème est l'utilisation des [[Gestion_des_droits_linux#Droits_.C3.A9tendus|ACL Linux]].

'''Installation du paquet'''
apt install acl

'''Gestion des droits d'un répertoire'''

Par exemple, pour permettre l'accès en lecture/écriture aux utilisateurs ''toto'' et ''titi'' sur les fichiers qu'ils créent entre eux. j'utilise ceci sur le répertoire "Partage":
setfacl -Rm d:u:toto:rwx,d:u:titi:rwx,d:u:nobody:rwx,d:g:toto:rwx,d:g:titi:rwx,d:g:nogroup:rwx,d:o:rwx /home/toto/Partage/

=Montage des volume=
==Ligne de commande==
===Sous Debian===
====mount====
'''Installation du paquet'''
apt install cifs-utils

''Note: ce paquet se nommait anciennement "smbfs" et le système de fichier à préciser avec "mount" portait le même nom.''

'''Montage du partage'''
mount -t cifs -o username="anonymous",password="anonymous" //192.168.170.178/Logiciel /mnt/

Ici, la connexion s'effectue en anonyme (un alias de '''-o username''' et '''password''' est '''-o guest'''), il suffit bien entendu de remplacer ceci par les bons identifiants de connexion lorsque nécessaire.

Le volume se monte avec les droit de l'utilisateur ayant attaché ce volume (si renseigné dans le ''fstab'', ce sera ''root''). Pour octroyé les droits du volume à un utilisateur particulier, il faut préciser son UID et son GID dans la commande. Ici, notre utilisateur POSIX ''toto'' possède l'UID 1000 et appartient au GID 1000 (on le voit dans les fichiers <source lang="bash" inline>/etc/passwd</source> et <source lang="bash" inline>/etc/shadow</source>.

On peut par exemple monter le volume ''Partage'' en tant qu'utilisateur ''toto'' avec les droits de ''titi'':

mount -t cifs -o username="toto",password="SonMotDePasse",uid=1001,gid=1001 //192.168.170.178/Partage

====fstab====
Le [[Fstab#Samba|fichier de montage automatique au démarrage]] n'est pas en reste puisque les partages Samba peuvent également en faire partie. Une syntaxe particulière doit être utilisée pour les noms de partages comportant des accents.

===Sous Windows===
[[Windows net use|Voir ici]].

==Interface graphique==
Avec une interface graphique à base de [[Gnome 3|GNOME]], le paquet gérant de manière générale les système de fichiers (et plus particulièrement SMB dans notre cas) dans ''Nautilus'' se nomme <source lang="bash" inline>gvfs-backends</source>. Il suffit donc de l'installer pour pouvoir les monter.
apt install gvfs-backends

Pour monter un répertoire Samba via ''Nautilus'' (alias "fichiers"), ''Caja'' ou autre fork, il faut taper dans la barre d'URL (généralement accessible via un <source lang="bash" inline><ctrl>+<l></source>, un chemin comme celui-ci: <source lang="bash" inline>smb://192.168.170.178/Partage</source>.

Les identifiants de connexion seront demandés à l'issue.

=Sources=
* http://www.linux-france.org/prj/edu/archinet/systeme/ch25s08.html
* https://www.samba.org/samba/docs/

Unified kernel image

2024-08-11T17:01:57Z

Ycharbi : /* Image Noyau Unifiée */ Suppression du support de la génération d'un UKI par le script post installation du noyau. Ceci engendrait un UKI contenant deux fois le noyau au lieu d'une fois celui-ci et une fois l'initrd. Après réflexion, aucun cas de figure ne justifie le maintient de la génération d'un UKI dans le cas de figure imaginé à l'origine

[[Category:Noyau_linux]]

Une Image Noyau Unifiée (INU) ou ''Unified Kernel Image'' (''UKI'') est la combinaison d'un programme de démarrage ''UEFI'', d'une image noyau ''Linux'', d'un ''initrd'' ainsi que d'autres ressources optionnelles dans un seul fichier ''UEFI [https://fr.wikipedia.org/wiki/Portable_Executable PE]''. Il peut alors être invoqué directement par :
* le micrologiciel ''UEFI'' : utile notamment dans certains environnements d'informatique en nuage ou confidentiels
* un chargeur de démarrage : généralement utile pour permettre plusieurs versions de noyau avec une sélection interactive ou automatique de la version dans laquelle démarrer ([[Systemd-boot]] ou [[Grub]] permettent cela)

L'amorçage de cette image unifiée est permise par le ''stub'', programme logé dans celle-ci et pouvant être interprété par l{{'}}''UEFI''. Il constitue donc la partie exécutable initiale de l'image combinée et charge par la suite d'autres ressources à partir du reste de l{{'}}''INU'', en particulier le noyau et l{{'}}''initrd''.

La [https://uapi-group.org/specifications/specs/unified_kernel_image/ spécification officielle] définit le format et les composants (obligatoires et optionnels) des ''UKI'' qui sont fournis en tant que sections ''PE/COFF'' de l'exécutable.

L'intérêt principal de cette approche est qu'elle permet de mieux sécuriser le démarrage d'un système en exposant un unique binaire (''UEFI PE'') en clair sur le disque d'amorçage (''EFI System Partition'' - ''ESP'') au lieu d'une multitude de fichiers pouvant être modifiés par le premier pirate venu. Cet exécutable pourra alors être signé par ''Secure Boot'' et permettre, entre-autre, le déchiffrement de la racine en s'assurant de l’absence de sa propre altération (enregistreur de frappes par exemple).

=Image Noyau Unifiée=
==Installation des outils==
La génération d'une ''INU'' nécessite quelques outils. Le projet ''Systemd'' met à disposition un programme ''Python'' nommé <code>Ukify</code> à partir de la version 253 de l{{'}}''init''. Il est logé à l'emplacement <code>/usr/lib/systemd/ukify</code> mais nécessite la bibliothèque <code>python3-pefile</code> et ses dépendances pour fonctionner. L'approche exposé dans ce document visant la frugalité (''Ukify'' apporte surtout une configuration épurée mais l'aspect fonctionnel est identique), le strict nécessaire sera installé.
apt install --no-install-recommends systemd-boot-efi binutils gawk sbsigntool

Détails des paquets installés :
* '''systemd-boot-efi''' : fournit le ''stub <code>/usr/lib/systemd/boot/efi/linuxx64.efi.stub</code>
* '''binutils''' : fournit le programme de construction du binaire ''PE'' <code>objdump</code>
* '''gawk''' : fournit la version ''GNU'' de l'interpréteur de langage ''AWK'' afin de ne pas avoir l'erreur de fonction non définie <code>function strtonum never defined</code> du <code>awk</code> de base
* '''sbsigntool''' : permet de signer l{{'}}''UKI'' en vu d'une validation ''Secure Boot'' (optionnel)

==Script de génération==
La génération d'une ''UKI'' nécessitant la concaténation d'une multitude d'éléments, il n'est pas envisageable de renseigner l'ensemble des paramètres manuellement. Je vous propose un script permettant la création d'une image ainsi que sa rotation sur trois versions différentes (l'une écrase la précédente à chaque nouvelle exécution).
vim /mnt/usr/local/sbin/gen-uki

<syntaxhighlight lang="bash">
#!/bin/bash

# Récupération de la version du noyau en cours d'utilisation
version_noyau="${1}"

# Chemin vers l'initrd de travail
chemin_initrd="${2}"

# Chemin vers le noyau de travail
chemin_noyau="/boot/vmlinuz-${version_noyau}"

# Définition des variables du script
chemin_lsb="/usr/lib/os-release"
chemin_stub="/usr/lib/systemd/boot/efi/linuxx64.efi.stub"
chemin_cmdline="/etc/kernel/cmdline"
chemin_splash="/dev/null"
nom_uki1="1-debian.efi"
nom_uki2="2-debian.efi"
nom_uki3="3-debian.efi"
chemin_base="/boot/efi/EFI/Linux/"
chemin_dst_uki="${chemin_base}/${nom_uki1}"
chemin_sb_clef="/usr/local/lib/secureboot/mok/MOK.priv"
chemin_sb_cert="/usr/local/lib/secureboot/mok/MOK.pem"

# Création de l'arborescence des UKI
mkdir -p "${chemin_base}"

# Préparation de l'UKI
align="$(objdump -p ${chemin_stub} | awk '{ if ($1 == "SectionAlignment"){print $2} }')"
align=$((16#$align))
osrel_offs="$(objdump -h "${chemin_stub}" | awk 'NF==7 {size=strtonum("0x"$3); offset=strtonum("0x"$4)} END {print size + offset}')"
osrel_offs=$((osrel_offs + "$align" - osrel_offs % "$align"))
cmdline_offs=$((osrel_offs + $(stat -Lc%s "${chemin_lsb}")))
cmdline_offs=$((cmdline_offs + "$align" - cmdline_offs % "$align"))
splash_offs=$((cmdline_offs + $(stat -Lc%s "${chemin_cmdline}")))
splash_offs=$((splash_offs + "$align" - splash_offs % "$align"))
initrd_offs=$((splash_offs + $(stat -Lc%s "${chemin_splash}")))
initrd_offs=$((initrd_offs + "$align" - initrd_offs % "$align"))
linux_offs=$((initrd_offs + $(stat -Lc%s "${chemin_initrd}")))
linux_offs=$((linux_offs + "$align" - linux_offs % "$align"))

# Roulement, si elle existe et n'est pas vide, de l'UKI 2 en 3
if [[ -s "${chemin_base}${nom_uki2}" ]]; then
echo "Copie de l'UKI 2 en 3..."
cp -v "${chemin_base}${nom_uki2}" "${chemin_base}${nom_uki3}"
fi

# Roulement, si elle existe et n'est pas vide, de l'UKI 1 en 2
if [[ -s "${chemin_dst_uki}" ]]; then
echo "Copie de l'UKI 1 en 2..."
cp -v "${chemin_dst_uki}" "${chemin_base}${nom_uki2}"
fi

echo "Génération de l'image noyau combinée (UKI) numéro 1..."
objcopy \
--add-section .osrel="${chemin_lsb}" --change-section-vma .osrel=$(printf 0x%x $osrel_offs) \
--add-section .cmdline="${chemin_cmdline}" --change-section-vma .cmdline=$(printf 0x%x $cmdline_offs) \
--add-section .splash="${chemin_splash}" --change-section-vma .splash=$(printf 0x%x $splash_offs) \
--add-section .initrd="${chemin_initrd}" --change-section-vma .initrd=$(printf 0x%x $initrd_offs) \
--add-section .linux="${chemin_noyau}" --change-section-vma .linux=$(printf 0x%x $linux_offs) \
"${chemin_stub}" "${chemin_dst_uki}"

# Signature de l'UKI pour la vérification Secure Boot seulement si la clé et son certificat son présents
if [[ -r "${chemin_sb_clef}" && -r "${chemin_sb_cert}" ]]; then
sbsign --key "${chemin_sb_clef}" --cert "${chemin_sb_cert}" --output "${chemin_dst_uki}" "${chemin_dst_uki}"
sbverify --cert "${chemin_sb_cert}" "${chemin_dst_uki}"
fi
</syntaxhighlight>

Les [[Paramètres linux|paramètres]] du noyau (de la variable <code>$chemin_cmdline</code>) doivent contenir les informations sur votre système de fichier racine afin que ''Linux'' puisse l'amorcer. Vous pouvez vous appuyer sur l'exemple ci-dessous qui comprend une partition chiffrée contenant un sous-volume ''BTRFS''.

<syntaxhighlight lang="bash">
echo "root=UUID=${uuid_racine} cryptdevice=UUID=${uuid_luks} ro rootflags=subvol=@rootfs console=tty0 console=ttyS0,115200n8" > /mnt/etc/kernel/cmdline
</syntaxhighlight>

Pensez bien entendu à remplacer les variables par vos propres valeurs...

Vous pouvez également vous appuyer sur le <code>/proc/cmdline</code> pour visualiser les paramètres utilisés par votre propre système afin de vous en inspirer. La liste des paramètres possible est visualisable dans la [https://www.kernel.org/doc/html/v6.5/admin-guide/kernel-parameters.html documentation] du noyau.

chmod u+x /usr/local/sbin/gen-uki

==Automatisation==
Le script ainsi créé peut être lancé manuellement mais il est préférable qu'il soit appelé à chaque mise à jour de noyau ou d{{'}}''initrd'' afin de garantir un démarrage sur la dernière version disponible. Cette dépendance se créée en l'exposant dans le répertoire de post-construction de l{{'}}''initrd'' (<code>/etc/initramfs/post-update.d/</code>). Il n'est pas souhaitable (voir balise "info" ci-après) de spécifier d'actions dans <code>/etc/kernel/postinst.d/</code> puisque une installation ou une mise à jour du noyau exécute systématiquement une reconstruction de l{{'}}''initrd''.

{{info|Nous ne voulons pas générer un ''UKI'' depuis la phase post-installation du noyau pour deux raisons :
* le paramètre <code>$2</code> envoyé au script est égale au chemin absolut du nouveau noyau et non de l{{'}}''initrd''. Cela a pour effet de générer un ''UKI'' contenant deux fois le noyau et aucune fois l{{'}}''initrd'' (corrompu de fait)
* dans la mesure où <code>dpkg</code> exécute à la fois les scripts des répertoires <code>/etc/initramfs/post-update.d/</code> et <code>/etc/kernel/postinst.d/</code>, deux roulements d{{'}}''UKI'' (dont un corrompu) s'effectuerait, ce qui n'a aucun sens et n'est clairement pas souhaitable car deux images sur trois sont alors issues de la même mise à jour}}

mkdir -p /etc/initramfs/post-update.d
ln -s /usr/local/sbin/gen-uki /etc/initramfs/post-update.d/zz-gen-uki
chmod u+x /etc/initramfs/post-update.d/zz-gen-uki

{{info|Le répertoire <code>/etc/initramfs/post-update.d</code> n'est pas créé par défaut dans ''GNU/Linux Debian'' mais est bien parcouru lors de la génération d'une nouvelle archive d{{'}}''init''.}}

==Création des entrées de démarrage==
Dans l'optique d'optimiser au mieux le démarrage de notre machine, nous n'utiliserons aucun chargeur d'amorçage. Nous créerons alors des entrées de démarrage dans notre ''UEFI'' pointant directement sur nos ''UKI'' (son menu nous permettra de sélectionner la version à lancer). Pour se faire, il est possible de passer par l'interface de celui-ci (lorsque l'option est disponible) ou via l'outil [[Efibootmgr]] (universel). Voici un exemple pour les trois générées par le script (il est possible de créer les entrées avant les images) :

<syntaxhighlight lang="bash">
disque_systeme=/dev/nvme0n1

efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\1-debian.efi' -L "Debian UKI 1"
efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\2-debian.efi' -L "Debian UKI 2"
efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\3-debian.efi' -L "Debian UKI 3"
</syntaxhighlight>

Ainsi, dans le cas malencontreux où une mise à jour de noyau ou une reconstruction d{{'}}''initrd'' occasionne une impossibilité à démarrer, les versions précédentes de votre image vous permettront de vous en sortir.

==Sources de la section==
* https://uapi-group.org/specifications/specs/unified_kernel_image/
* https://0pointer.de/blog/brave-new-trusted-boot-world.html
* https://wiki.debian.org/EFIStub#Setting_up_a_Unified_Kernel_Image

=Secure Boot=

{{info|Cette section est facultative.}}

''Secure Boot'' ([https://uefi.org/sites/default/files/resources/UEFI_Spec_2_3_1.pdf chapitre 27] des spécification ''UEFI'') est une fonctionnalité apparue avec la version 2.3.1 de l{{'}}''UEFI'' permettant de borner l'amorçage aux seuls systèmes dont la signature cryptographique est reconnue par sa base interne. Son intérêt principal est d'empêcher l'exécution de code ayant été ajouté à l{{'}}''UEFI PE'' à l'insu de l'administrateur de la machine mais il peut également servir, entre-autre, à empêcher tout autre système (amorçage ''USB'' par exemple) de démarrer.

Afin que cette fonction ai un sens, il est préférable de n'autoriser que vos propres clés. Ceci n'est malheureusement pas possible sur la plupart des ''PC'' du marcher. En effet, les ''UEFI'' des machines grand publique embarquent celles de ''Microsoft'' pour le démarrage de ''Windows'' (obligatoire pour bénéficier de la certification idoine) et elles ne proposent pas (dans toutes celles que j'ai vu) de fonction pour gérer la base interne de clés (elles ne proposent bien souvent même pas d'administrer les entrées de démarrage...). Il est peut-être possible de contourner cette limitation avec l'outil <code>mokutil</code> mais je n'ai pas creusé cette piste... La problématique des clés ''Microsoft'' est bien entendu que leur présence rend caduc l'exclusivité de la validité de vos signatures. Qui peut utiliser leur clé ? L'administration de ce paramètre semble donc réservée aux ordinateurs professionnels (les ''DELL XPS'' le permettent) et aux plateformes serveurs.

Il convient en outre de s'assurer qu'aucun accès physique non autorisé à la machine n'a lieu car les gros malins qui ont rédigés les spécifications de l{{'}}''UEFI'' n'ont pas crus bon d'imposer le stockage de sa configuration en mémoire morte... L'utilisation d'une mémoire vive maintenue par une pile comme sur l'antique ''BIOS'' ayant retenu leur préférence, le débranchement de cette dernière engendrera une réinitialisation complète des paramètres et de la base de clés ''Secure Boot'' (permettant ainsi l'introduction de toute forme de charges utiles au démarrage). Ceci aura donc pour effet de ruiner la mince barrière de sécurité que nous venons de mettre en place...

Enfin, un mot de passe d'accès aux paramètres de l{{'}}''UEFI'' reste tout de même une pratique à suivre afin de vous assurer qu'aucune injection de clé non autorisée n'ai lieu. Dans le cas d'une réinitialisation par débranchement de la pile, vous saurez au moins qu'une action physique a été opérée sur la machine et pourrez entreprendre les mesures qui s'imposent (à commencer par ne surtout pas taper votre phrase de passe [[Cryptsetup|LUKS]] !). Vous pourrez par la suite vérifier la signature de votre ''UKI'' via un autre système pour s'assurer de son intégrité (pensez également à vérifier la présence d'enregistreurs de frappes [https://www.youtube.com/watch?v=AMzv6ymmUcw matériels]).

==Glossaire==
La base de clés de ''Secure Boot'' comporte cinq [https://www.malekal.com/quest-ce-que-secure-boot-protection-pc-uefi-comment-ca-marche/ sections] :
* '''MOK''' (''Machine Owner Key'') : base de données contenant les clés de l'utilisateur - inutile pour cette procédure
* '''PK''' (''Plateform Key'') : base de données contenant les clés de la machine - utile pour cette procédure
* '''DB''' (''Data Base'') : base de données des clés autorisées (liste blanche) - utile pour cette procédure
* '''KEK''' (''Key Exchange Keys'') : aucune idée - inutile pour cette procédure
* '''DBX''' : (''Data Base'' <introuvable dans les specs mais probablement ''Exclusion''>) : base de données des clés interdites (liste noire) - inutile pour cette procédure

==Génération de clés==
Création du répertoire de travail
mkdir -p /usr/local/lib/secureboot/mok

Génération d'une clé privée ''RSA'' 4096 bits (le maximum possible avec ''Shim'' - que nous n'utilisons pas - est, aux dernières nouvelles ([https://wiki.debian.org/SecureBoot#Generating_a_new_key 21/06/2022]) 2048 bits) et d'un certificat public associé
openssl req -nodes -new -x509 -newkey rsa:4096 -keyout /usr/local/lib/secureboot/mok/MOK.priv -outform DER -out /usr/local/lib/secureboot/mok/MOK.der -days 36500 -subj "/CN=Mon Nom/"

Conversion du certificat en ''PEM'' afin d'être utilisable par <code>sbsign</code>
openssl x509 -inform der -in /usr/local/lib/secureboot/mok/MOK.der -out /usr/local/lib/secureboot/mok/MOK.pem

Empêcher la lecture de ces fichiers par un autre utilisateur que root
chmod 400 /usr/local/lib/secureboot/mok/{MOK.priv,MOK.der,MOK.pem}

Les étapes qui suivent sont réalisées automatiquement par le script créé plus haut et sont notées à titre indicatif.

Le certificat au format ''PEM'' est utilisé par les commandes du paquet <code>sbsigntool</code> alors que la ''DER'' est utilisée par les ''UEFI'' (pourquoi utiliser le même format hein ?). il doit être renseignée deux fois dans les menus de gestion des clés de votre carte mère :
* une fois dans ''Plateform Key'' (''PK'')
* l'autre dans ''DB'' (''Authorized Signatures'')

Le certificat ''DER'' doit être accessible à l{{'}}''UEFI'' pour injection. Vous pouvez le mettre dans toute partition ''FAT'' comme votre ''ESP'' <code>/boot/efi/EFI/</code> ou sur une clé ''USB'' afin de l'y sélectionner depuis le menu dédié (peut être supprimé à l'issue).

==Signature de l'image==
Dans la commande qui suit, la signature de l'image va réécrir par dessus l'originale (sa somme de contrôle va changer). Ce comportement est volontaire mais peut être changé en modifiant la valeur de <code>--output</code>
sbsign --key /usr/local/lib/secureboot/mok/MOK.priv --cert /usr/local/lib/secureboot/mok/MOK.pem --output /boot/efi/EFI/Linux/1-debian.efi /boot/efi/EFI/Linux/1-debian.efi

Vérification de la signature
sbverify --cert /usr/local/lib/secureboot/mok/MOK.pem /boot/efi/EFI/Linux/1-debian.efi

Une fois ''Secure Boot'' activé et votre système démarré, vous pouvez vérifier l'effectivité de cette fonctionnalité via la commande suivante du paquet <code>mokutil</code>
mokutil --sb-state

{{astuce|La signature d'un module noyau complilé par vous même peut se faire via la commande suivante (exemple pour le pilote <code>ixgbe</code>) : <code>/usr/lib/linux-kbuild-6.1/scripts/sign-file sha512 /usr/local/lib/secureboot/mok/MOK.{priv,der} /lib/modules/6.1.0-17-amd64/updates/drivers/net/ethernet/intel/ixgbe/ixgbe.ko /tmp/ixgbe.ko</code>.}}

==Sources de la section==
* https://uefi.org/specifications
* https://wiki.debian.org/SecureBoot#Generating_a_new_key
* https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11

Firefox

2024-08-01T20:23:35Z

Ycharbi : Ajout de la section "Désactiver précédent et suivant au trackpad"

[[Category:navigateurs web]]

=Activer la gestion du tactile=
Comme beaucoup de fonctions dans Firefox, la gestion des écrans tactile n'est pas activée par défaut dans nombre d’environnements (c'est le cas de Debian). Pour l'activer, il faut définir une variable d'environnement et activer l'option dans la section dédiée de Firefox.

==Définir la variable d'environnement==
echo 'MOZ_USE_XINPUT2=1' >> /etc/environment

La modification prend effet au redémarrage. Il est possible de lancer Firefox avec la définition de cette variable manuellement via le terminal en attendant: <code>MOZ_USE_XINPUT2=1 firefox</code>.

==Activation de l'option dans Firefox==

Il faut se rendre dans <code>about:config</code> et mettre le paramètre '''dom.w3c_touch_events.enabled''' à '''1'''. La modification est active instantanément. Vous pouvez profiter du défilement, de la sélection et du zoom au doigt.

==Source de la section==
* https://support.mozilla.org/es/questions/1091627

=Utiliser Wayland=
Il est possible d'utiliser ''Firefox'' avec [[Wayland]] en définissant la [https://www.reddit.com/r/firefox/comments/c8itj2/enabling_wayland_on_linux/ variable d'environnement] <code>MOZ_ENABLE_WAYLAND=1</code> dans <code>/etc/environment</code>. Un redémarrage du programme est nécessaire et il faut s'assurer que la variable est bien définie lors de son lancement (le plus simple est de redémarrer le système).

=Désactiver le détachement d'un onglet=
Une fonctionne ultra casse couilles avec Firefox c'est bien le [https://www.askvg.com/firefox-tip-disable-tabs-drag-n-drop-feature-to-move-to-new-window/ glisser/déposer d'un onglet] qui en fait une nouvelle fenêtre. Juste insupportable. Pour désactiver cette merde, il faut passer la valeur <code>browser.tabs.allowTabDetach</code> à '''false'''.

=Restaurer la fenêtre de téléchargement=
Avec Firefox 98 (et comme avec chaque nouvelle version), une fonctionnalité indispensable a été supprimée : la possibilité d'ouvrir un fichier sans l'enregistrer quelque part sur le disque (il va simplement dans le <code>/tmp</code>). Pour restaurer ce comportement, il faut passer la valeur <code>browser.download.improvements_to_download_panel</code> à <code>false</code> dans le <code>about:config</code>.

=Forcer l'usage du presse papier=
Certains sites ''WEB'' se croient malins en interdisant l'utilisation du copier/coller dans les formulaires (réinitialisation de mots de passe par exemple). Cette pratique, en plus d'être une atteinte à notre liberté d'utiliser nos outils informatiques comme nous l'entendons, nous empêche de gérer nos [[Génération de mots de passe|mots de passe]] à notre guise (la meilleur clé est celle que vous ne connaissez pas et donc que vous ne pouvez pas taper dans un champ de formulaire...). Comme souvent, sous couvert de sécurité, le résultat est l'exact opposé. Aux développeurs ''WEB'' : laissez-nous gérer nos outils informatiques comme nous l'entendons, nous sommes bien plus à même de savoir ce qui est bon pour nous que vous !

Pour dire à ''Firefox'' de ne pas respecter le ''Javascript'' qui lui dit d'adopter un comportement aussi débile, il faut passer la [https://www.howtogeek.com/251807/how-to-enable-pasting-text-on-sites-that-block-it/ valeur] <code>about:config</code>dom.event.clipboardevents.enabled</code> à '''false'''.

Vous pouvez alors de nouveau de vous prendre pour un [https://fr.wikipedia.org/wiki/Pasteur_(christianisme) pasteur] en usant de ''copy/paste'' !

{{attention|La désactivation de cette fonction empêche le [https://github.com/element-hq/element-web/issues/25695 collage de textes] dans le champ de discutions de [[Matrix_synapse#Client_WEB_Element|element-web]] (un <code>ctrl+v</code> n'a donc plus aucun effet).}}

=Désactiver le rafraîchissement automatique=
Certains sites non respectueux de leurs utilisateurs (les sites de presse en tête), utilisent du ''Javascript'' pour rafraîchir automatiquement les pages de leur site (probablement pour générer du revenu avec la publicité).
Cette pratique, outre le fait de consommer de la bande passante et du ''CPU'' (donc de l'électricité), engendre un comportement non désiré et inattendu de l'utilisateur (seul maître légitime de son ordinateur).

Pour faire cesser ça, il faut initier la clé <code>accessibility.blockautorefresh</code> à ''true'' dans <code>about:config</code>.

=Désactiver la géolocalisation=
Certains sites envoient une requête au navigateur afin de demander d'activer la géolocalisation. Cela se matérialise dans ''Firefox'' par un popup au niveau de la barre d'adresse qui masque une partie du site (pénible). Calqué sur le modèle de celui demandant d'enregistrer un mot de passe, celui-ci n'est pas désactivable dans les paramètres (cela doit être trop difficile à coder pour ''Mozilla''...). Cela se fait donc via les habituels paramètres avancés de <code>about:config</code>, en [https://whatismyipaddress.com/enabling-and-disabling-geolocation-on-your-browser#h-firefox passant] <code>geo.enabled</code> à <code>false</code>.

=Désactiver précédent et suivant au trackpad=
Autre réelle mauvaise idée de ce navigateur, la fonctionnalité précédent et suivant via des gestes latéraux avec un trackpad. Mise à part réaliser des actions involontaires pouvant êtres, au mieux, ultra désagréables en rechargeant les pages et au pire, dangereusement catastrophique en fonction des cas (quitter une page avant la fin d'une opération est rarement sans conséquence dans le traitement...), il m'apparaît de l'ordre du bon sens de désactiver cette aberration qui n'aurait jamais dû voir le jour.

Via <code>about:config</code>, [https://superuser.com/questions/1270620/how-do-i-disable-option-swipe-navigating-history-forward-and-back-in-firefox#answer-1850606 vider les champs] <code>browser.gesture.swipe.left</code> et <code>browser.gesture.swipe.right</code> (le bouton de réinitialisation permet de restaurer les valeurs par défaut si vous avez l'idée saugrenue de vouloir revenir en arrière).

Sysfs

2024-07-07T18:09:13Z

Ycharbi : Ajout de la section "Interroger les sondes de température"

[[Category:Pseudo systèmes de fichiers]]

=Savoir si on a démarré en UEFI=
Un système ayant démarré en ''UEFI'' permet une interaction avec celui-ci via un ensemble de variables accessibles dans <syntaxhighlight lang="bash" inline>/sys</syntaxhighlight>.

On vérifiera donc le type de micro-logiciel nous ayant permis de démarrer via la commande suivante :
ls /sys/firmware/efi/efivars/

Bien sûr, le retour de cette commande n'est pas bon si nous sommes en ''BIOS''.

==Source de la section==
* https://unix.stackexchange.com/questions/148356/how-to-know-if-im-booting-using-uefi

=Ajuster la luminosité de l'écran=
Afficher la luminosité actuelle
cat /sys/class/backlight/intel_backlight/brightness

La modifier
echo 500 > /sys/class/backlight/intel_backlight/brightness

==Source de la section==
* https://unix.stackexchange.com/questions/192853/how-to-set-the-monitor-brightness-gracefully-at-boot-time

=Interroger les sondes de température=
Il est possible d'afficher la température mesurée par les sondes de votre machine sans installer d'[https://phoenixnap.com/kb/linux-cpu-temp#ftoc-heading-5 outils tiers]. Ces informations sont contenues dans les fichiers de la section <code>thermal</code> de <code>sysfs</code>.
cat /sys/class/thermal/thermal_zone*/temp | column -s $'\t' -t | sed 's/$.$..$/.\1°C/'

Letsencrypt

2024-07-07T17:53:47Z

Ycharbi : /* Automatisation de la tâche */ Correction du service appelé par le minuteur afin qu'il dépende de lui

[[Category:X.509]]

[https://fr.wikipedia.org/wiki/Let%27s_Encrypt Letsencrypt] est une [https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification autorité de certification] lancée le 3 décembre 2015 (Bêta Version Publique). Elle permet de générer des certificats [[:Category:X.509|X.509]] gratuitement et sans limite de nombre.

C'est un service fourni par l{{'}}''Internet Security Research Group'' (''ISRG''). Les mécènes principaux sont l{{'}}''Electronic Frontier Foundation'' (''EFF''), la Fondation ''Mozilla'', ''Akamai'', ''Cisco Systems'' , ''PlanetHoster'' et ''OVH''. D'autres partenaires, tels que l'autorité de certification ''IdenTrust'', l'Université du Michigan (''U-M''), la ''Stanford Law School'', la Fondation ''Linux'', l'entreprise ''Free10'', ainsi que ''Stephen Kent'' de ''Raytheon / BBN Technologies'' et ''Alex Polvi'' de ''CoreOS'' sont également impliqués dans le projet. Bref c'est un truc sérieux et cela représente tout de même 51,21% des certificats ''TLS'' en avril 2018 d'après ''NetTrack''.

L{{'}}autorité de certification se base sur le protocole ''Automatic Certificate Management Environment'' (''ACME'' ou "environnement de gestion automatique de certificat") permettant l{{'}}automatisation des échanges entre les autorités de certification et les administrateurs de serveurs, rendant ainsi possible le déploiement automatisé d’une infrastructure à clé publique à très bas coût. Plusieurs implémentations de ce protocole existent.

=ACME.sh=
[https://github.com/acmesh-official/acme.sh ACME.sh] est une implémentation libre (''GPL v3.0'') du protocole idoine écrite en [[Script bash|langage Shell]]. Elle a le gros avantage d'être très légère en déploiement et en usage. Cet outil fonctionne avec un seul script (ses dépendances se trouvent dans le répertoire livré avec) et s'utilise en une seule commande sans rien installer.

==Usage==
Téléchargement de l'outil
export VERSION_ACME="3.0.4"
wget https://github.com/acmesh-official/acme.sh/archive/refs/tags/"${VERSION_ACME}".tar.gz -qO - | tar -xvz -C /tmp/ && cp -av /tmp/acme.sh-"${VERSION_ACME}" /opt/
ln -vs /opt/acme.sh-"${VERSION_ACME}" /opt/acme.sh

Afin de ne pas nécessiter d'intervention manuelle, il est possible de créer une clé ''API'' auprès de nombreux [https://github.com/acmesh-official/acme.sh/wiki/dnsapi registres DNS]. Celle-ci permet au logiciel d'ajouter automatiquement un champ ''TXT'' servant à authentifier la légitimité de la requête.

Génération d'un certificat simple

<syntaxhighlight lang="bash">
GANDI_LIVEDNS_KEY="INSEREZ_VOTRE_CLEF_API" /opt/acme.sh/acme.sh --issue --server letsencrypt --keylength ec-384 -d test.ycharbi.fr --dns dns_gandi_livedns --force
</syntaxhighlight>

{{info|Un répertoire <syntaxhighlight lang="bash" inline>~/.acme.sh/</syntaxhighlight> est automatiquement créé et contiendra l'ensemble des certificats et clés gérés. Pensez à y faire un ménage régulier car les certificats générés ne sont valides que 3 mois. La régénération d'un certificat pour un même ''FQDN'' remplace le précédent.}}

Vous pouvez afficher le contenu de vos certificats (notamment la validité) via la commande
openssl x509 -noout -text -in ~/.acme.sh/test.ycharbi.fr_ecc/fullchain.cer

==Automatisation==
Dans la mesure où les certificats ont une validité de 3 mois et au vu de l’importance de les maintenir à jour, il est recommandé d'automatiser leur renouvellement. Voici un script permettant de générer un certificat valide pour tous les sous-domaines (joker) de ''ycharbi.fr''. Le résultat est mis, tant en forme qu'à disposition de [[Haproxy|HAProxy]] avant un rechargement de son service.

{{attention|La méthode pour renseigner la clé ''API'' peut varier d'un registre à un autre. référez-vous à la [https://github.com/acmesh-official/acme.sh/wiki/dnsapi documentation] pour adapter le script à votre fournisseur. L'exemple ci-dessous est valide pour les ''DNS'' de [https://gandi.net Gandi].}}

===Script de génération===
<syntaxhighlight lang="php">
cat << '_EOF_' > /usr/local/sbin/genX509.sh
#!/bin/bash

CLEF_API_DNS="INSEREZ_VOTRE_CLEF_API"
DOMAINE="ycharbi.fr"
CHEMIN_DST="/root/letsencrypt/"
HAPROXY_TLS_DST="/etc/haproxy/tls/"

mkdir -p /"${CHEMIN_DST}"/"${DOMAINE}"/

GANDI_LIVEDNS_KEY="${CLEF_API_DNS}" /opt/acme.sh/acme.sh --issue --server letsencrypt --keylength ec-384 -d "*.${DOMAINE}" --dns dns_gandi_livedns --cert-file /root/letsencrypt/"${DOMAINE}"/"${DOMAINE}".crt --key-file /"${CHEMIN_DST}"/"${DOMAINE}"/"${DOMAINE}".key --fullchain-file /"${CHEMIN_DST}"/"${DOMAINE}"/"${DOMAINE}"-full.crt --force --reloadcmd "cat /"${CHEMIN_DST}"/"${DOMAINE}"/"${DOMAINE}"-full.crt /"${CHEMIN_DST}"/"${DOMAINE}"/"${DOMAINE}".key > /"${HAPROXY_TLS_DST}"/"${DOMAINE}".pem && systemctl reload haproxy.service"
_EOF_
</syntaxhighlight>

chmod +x /usr/local/sbin/genX509.sh

{{info|En précisant la destination des fichiers à générer, ceux-ci se trouveront à la fois dans le répertoire voulu ainsi que dans le <syntaxhighlight lang="bash" inline>~/.acme.sh/</syntaxhighlight> de d'habitude.}}

===Automatisation de la tâche===
Afin d'exécuter le script automatiquement, divers outils peuvent êtres utilisés comme [[Cron]] ou les [[Minuteur - systemd|minuteurs Systemd]]. Je recommande cette dernière solution pour des raisons de fiabilité et de facilité de supervision.

mkdir -p /usr/local/etc/systemd/system

<syntaxhighlight lang="ini">
cat << _EOF_ > /usr/local/etc/systemd/system/genX509.service
[Unit]
Description=Génération du certificat joker pour les sous-domaines d'ycharbi.fr
After=network.target

[Service]
Type=oneshot
ExecStart=genX509.sh
RemainAfterExit=no
_EOF_
</syntaxhighlight>

<syntaxhighlight lang="ini">
cat << _EOF_ > /usr/local/etc/systemd/system/genX509.timer
[Unit]
Description=Exécution mensuelle de la génération du certificat joker pour les sous-domaines d'ycharbi.fr

[Timer]
OnCalendar=monthly
Persistent=true

[Install]
WantedBy=timers.target
_EOF_
</syntaxhighlight>

ln -s /usr/local/etc/systemd/system/genX509.service /etc/systemd/system/
ln -s /usr/local/etc/systemd/system/genX509.timer /etc/systemd/system/

systemctl daemon-reload

systemctl enable genX509.timer
systemctl start genX509.timer

Les informations sur la prochaine exécution sont visualisables avec la commande
systemctl status genX509.timer

=Certbot=
Cette section traite de l'outil historique bien trop lourd à mon goût. Je ne l'utilise plus car il impose trop de contraintes et peut être remplacé sans difficultés par plus simple. Ne sera abordé que la génération de certificats sans la partie automatisation.

==Génération de certificats==
Il existe différents modes de génération de certificats. Voici ceux que j'utilise avec l'outil ''certbot''.

===Mode autonome===
Ce mode permet de récupérer un certificat signé directement sur une machine proposant un service WEB (les commande seront à effectuées sur la machine répondant au domaine).

{{attention|Cette méthode installe tout un tas de bordel sur la machine dont un serveur [[Apache]]. Pour ma part, je lance une machine dédiée (un [[Squashfs]] dans mon cas), qui se chargera de la génération des certificats que je récupèrent et transferts sur la machine de destination (opération lourde destinée principalement à des tests).}}

====Installation====
apt install python-certbot-apache

====Génération====
Il faut que le domaine à signé dirige les requêtes vers l'adresse IP de la machine ''certbot'' sinon l'erreur 503 renvoyé par celui-ci et interrompra la procédure.

{{astuce|Il est possible d'automatiser le remplissage du nom de domaine lié au certificat à générer si le paramètre "ServerName domaine.ycharbi.fr" est ajouté dans un vHost. La procédure de création d'un vHost HTTPS par ''certbot'' sera donc automatique (sinon il demande de taper le numéro correspondant au vHost affiché dans la liste qu'il a généré en regardant dans le répertoire ''sites-availables'').}}

'''Génération de certificat pour tube.ycharbi.fr'''
certbot --authenticator standalone --installer apache -d tube.ycharbi.fr --pre-hook "service apache2 stop" --post-hook "service apache2 start"

{{info|Il va demander une adresse e-mail qui servira à prévenir de l'expiration imminente du certificat.}}

Le résultat est stocké dans ces emplacements:
* '''Clé publique/certificat:''' /etc/letsencrypt/live/tube.ycharbi.fr/fullchain.pem
* '''Clé privé:''' /etc/letsencrypt/live/tube.ycharbi.fr/privkey.pem

Il est bien sûr possible d'en faire un certificat chaîné pour certaines applications comme [[Haproxy]] par exemple:
cat /etc/letsencrypt/live/tube.ycharbi.fr/fullchain.pem /etc/letsencrypt/live/tube.ycharbi.fr/privkey.pem > /etc/ssl/tube.ycharbi.fr.pem

====Source de la section====
* https://community.letsencrypt.org/t/solution-client-with-the-currently-selected-authenticator-does-not-support-any-combination-of-challenges-that-will-satisfy-the-ca/49983

===Mode manuel===
Cette méthode permet de générer des certificat joker (''wildcard''). Selon moi, elle est beaucoup plus propre et n'installe pas tout un tas de paquets sur la machine. Elle peut être utilisée depuis une machine qui n'héberge aucun services (je l'utilise personnellement depuis mon proxy inverse).

====Installation====
apt install certbot

====Génération====
certbot certonly --rsa-key-size 4096 --server https://acme-v02.api.letsencrypt.org/directory --manual -d '*.ycharbi.fr'

Il va poser une chiée de question et donner le nom et la valeur d'un champ TXT DNS à entrer dans la zone du domaine à signé (il s'agit d'une clé d'authentification pour le protocole ACMEv2). Une fois ce champ renseigné et appliqué dans la zone DNS, faire <syntaxhighlight lang="bash" inline><entrer></syntaxhighlight> au prompte pour récupérer le certificat ainsi que sa clef privée (disponibles dans <syntaxhighlight lang="bash" inline>/etc/letsencrypt/archive/ycharbi.fr</syntaxhighlight>).

====Sources de la section====
* https://blog.blaisot.org/letsencrypt-wildcard-part1.html
* https://wiki.dureuil.info/doku.php/linux:cert-ssl-letsencrypt-wildcard-api-gandi-livedns

Firefox

2024-07-07T08:01:58Z

Ycharbi : Ajout de la section "Désactiver la géolocalisation"

Lacp - cisco

2024-05-18T11:25:07Z

Ycharbi : /* Configuration */ Ajout d'une précision dans le cas d'une erreurs de protocole

[[Category:cisco]]
[https://fr.wikipedia.org/wiki/IEEE_802.3ad IEEE 802.3ad] (''Link Aggregation Control Protocol'' ou ''LACP'') est un protocole de niveau 2 du modèle ''OSI'' qui permet de grouper plusieurs ports physiques en une seule voie logique.

Nous allons donc utiliser 2 interfaces sur un commutateur Cisco 2960 pour en faire une logique afin de bénéficier d'une plus grande bande passante (uniquement dans le cas d'accès concurrents et en fonction de la configuration des serveurs) ainsi que de la résilience de panne.

{{attention|Cette technique ne permet pas d'avoir un tuyau égale à la somme des bandes passantes des liens qui le compose. Le ''LACP'' permet de répartir les transferts sur les interfaces qui en font parti. Un seul client ne pourra alors pas bénéficier de plus de la capacité d'un lien mais plusieurs clients pourront chacun utiliser la bande passante d'une interface et donc ne pas se saturer l'un l'autre. ce caractéristique est personnalisable à la marge en fonction de l’algorithme de hachage utilisé par la machine émettant le trafic (voir [https://www.kernel.org/doc/html/latest/networking/bonding.html xmit_hash_policy] sous les ponts ''Linux'' et en particulier ''layer3+4'').}}

=Configuration=

<syntaxhighlight lang="bash">
conf t
# Création de l'interface d'agrégat
interface port-channel 1
# Sur certains commutateurs de niveau 3, il faut préciser que l'on va faire du niveau 2
switchport
# Il est possible de préciser que l'interface est en trunk mais cela est facultatif. Seul la configuration des interfaces membres importe

# Configuration des interfaces membres de l'agrégat
interface range fa 0/1 - 2
description --- LACP vers Commut2 ---
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active

# Dans le cas de certaines erreurs de protocole, l'agrégat peut se bloquer (un comble)
# Pour le débloquer automatiquement, la commande suivante peut être utilisée
errdisable recovery cause channel-misconfig
# L'intervalle de restauration après erreur peut être définit comme suit
errdisable recovery interval 60
</syntaxhighlight>

=Source=
*http://www.cisco.com/c/en/us/td/docs/ios/12_2sb/feature/guide/gigeth.html

Agrégation de liens - linux

2024-05-18T08:48:15Z

Ycharbi : Ajout d'une précision sur l'algorithme de hachage du LACP + remplacement de la balise source obsolète

[[Category:iproute2]]

Le noyau ''Linux'' propose de grouper plusieurs interfaces réseau en un agrégat régit par différents modes possibles. L'intérêt est bien souvent de bénéficier d'une haute disponibilité sur un lien mais certains modes peuvent apporter un accroissement de performances lors de cas de figures particuliers.

=Les modes de fonctionnements=
Les modes proposés, au nombre de 7, sont les suivants:
* '''Mode 0 (balance-rr)''': Aussi connu sous le nom de ''Round-robin'', ce mode permet de transmettre et recevoir les paquets séquentiellement un à un par chaque interface. Il en résulte un '''''équilibrage de la charge'''''.
* '''Mode 1 (active-backup)''' : Dans ce mode, une seule interface est active, tandis que toutes les autres sont en état de sauvegarde. Si l'interface active échoue, une de sauvegarde la remplace en tant que seule active dans la liaison. L'adresse de contrôle d'accès au support (''MAC'') de l'interface de liaison n'est visible que sur un seul port, ce qui évite toute confusion pour le commutateur. Ce mode offre une '''''tolérance aux pannes'''''.
* '''Mode 2 (balance-xor)''' : L'adresse ''MAC'' source utilise une logique exclusive (ou ''XOR'') avec l'adresse ''MAC'' de destination. Ce calcul garantit que la même interface esclave est sélectionnée pour chaque adresse ''MAC'' de destination. Ce mode assure la '''''tolérance aux pannes''''' et l''''''équilibrage de charge'''''.
* '''Mode 3 (broadcast)''' : Toutes les transmissions sont envoyées à tous les esclaves. Ce mode assure une '''''tolérance aux pannes'''''.
* '''Mode 4 (802.3ad)''' : Ce mode crée des groupes d'agrégation qui partagent les mêmes paramètres de vitesse et de mode de transmission ([Half-]duplex). Il nécessite un commutateur prenant en charge un lien dynamique ''[https://fr.wikipedia.org/wiki/IEEE_802.3ad IEEE 802.3ad]'' (ou ''LACP''). Le lien qui en résulte permet d'exploiter la bande passante de chaque interface lors d'accès concurrents (cette notion sera abordé un peu [[#plus bas|plus bas]]). Il offre une '''''tolérance aux pannes''''' et un '''''équilibrage de charge'''''.
* '''Mode 5 (balance-tlb)''' : Ce mode garantit que la répartition du trafic sortant est définie en fonction de la charge sur chaque interface et que l'une d'elle reçoive tout le trafic entrant. Si elle n'en reçoit pas, une autre est alors assignée à ce rôle. Il offre une '''''tolérance aux pannes''''' et un '''''équilibrage de charge'''''.
* '''Mode 6 (balance-alb)''' : Les paquets reçus sont équilibrés par la négociation du protocole de résolution d'adresse (''ARP''). Il offre une '''''tolérance aux pannes''''' et un '''''équilibrage de charge''''' (ceci n'est pris en charge que dans les environnements ''x86'').

Quel que soit le mode choisi, les commandes utilisées seront les mêmes. Il faudra simplement spécifier ce choix par son numéro ou le mot clé qui y est associé (écrit entre parenthèses dans la liste ci-dessus).

Vous l'avez probablement remarqué mais le rôle de chacun d'entre eux est plutôt redondant. Honnêtement je n'ai jamais vu autre chose que le mode 4 en condition réelles et je me demande bien à quoi servent les autres. Je pense qu'historiquement ils étaient là avant l'invention du ''LACP'' et qu'ils ont permis (par de sacrés bidouilles) de répondre à un besoin maintenant normé. Leur existence actuelle est probablement dû à un désir de conservation de méthodes ingénieuses qui ont fait leurs preuves par le passer.

{{info|Dans le cas du mode 4 (''LACP''), il est également possible de préciser l’algorithme de hachage utilisé par la liaison (voir [https://www.kernel.org/doc/html/latest/networking/bonding.html xmit_hash_policy]. Ceci permet de spécifier le mode de distribution des trames lors d'accès concurrents par des clients vers plusieurs machines servies par LACP (la politique ''layer3+4'' permet d'utiliser 100% de la bande passante des liens composant le ''LACP'' dans certains cas). La valeur <code>layer2</code> est définit par défaut.}}

=Configuration d'un agrégat=
Afin de configurer un agrégat de liens sous un ''Linux'' récent, il faut les outils du paquet ''[[:Category:iproute2|iproute2]]'' installés sur votre machine.

==Exemple avec LACP==
Je vais présenter les commandes nécessaires à l'établissement d'un agrégat se basant le protocole ''IEEE 802.3ad''. Comme expliqué dans la documentation de celui-ci pour [[Lacp - cisco|Cisco IOS]], il est important de préciser que cette norme ne permet pas d'avoir un tuyau égale à la somme des bandes passantes des liens qui le compose. Le ''LACP'' permet de répartir les transferts sur les interfaces qui en font parti. Ainsi, un seul client ne pourra pas bénéficier de plus de la capacité d'un lien mais plusieurs clients pourront chacun utiliser la bande passante d'une interface et donc ne pas se saturer l'un l'autre. Ne vous attendez donc pas à avoir du 5gbps (en couplant 5 interfaces gigabits) lors d'un transfert avec un seul PC (relié en 10gbps). Ce n'est pas ce que permet le ''LACP'' (si c'est ce que vous voulez, tournez-vous plutôt vers le [[Multipath TCP]]).

La série de commandes qui suit utilise la notion de filtrage de ''VLAN'' exploité dans [[Vlan - linux|ce document]]. L'''IEEE 802.3ad'' peut donc tout à fait s'intégrer dans une configuration déjà existante pour peu que vous ayez suffisamment d'interfaces réseau sur votre machine.

<syntaxhighlight lang="bash">
# Création d'un pont gérant le 802.1Q
ip link add br0 type bridge vlan_filtering 1
ip link set br0 up

# Création de l'interface d'agrégat
ip link add bond0 type bond
ip link set bond0 type bond miimon 100 mode 4
# Pour préciser la fonction de hachage à utiliser :
# ip link set bond0 type bond miimon 100 mode 4 xmit_hash_policy layer3+4

# Ajout des interfaces physique à celui-ci
ip link set eth0 down
ip link set eth0 master bond0
ip link set eth1 down
ip link set eth1 master bond0
ip link set bond0 up

# Ajout de l'agrégat au pont
ip link set bond0 master br0

# Suppression du VLAN par défaut
bridge vlan del dev br0 vid 1 self
bridge vlan del dev bond0 vid 1 master

# Ajout de VLAN au trunk transporté par l'agrégat
bridge vlan add dev br0 vid 180 tagged self
bridge vlan add dev br0 vid 181 tagged self
bridge vlan add dev bond0 vid 180 tagged master
bridge vlan add dev bond0 vid 181 tagged master

# Création d'interfaces VLAN (SVI)
ip link add link br0 name vlan180 type vlan id 180
ip link set vlan180 up
ip address add 192.168.180.224/24 dev vlan180

ip link add link br0 name vlan181 type vlan id 181
ip link set vlan181 up
ip address add 192.168.181.224/24 dev vlan181
</syntaxhighlight>

{{astuce|Pour les suppressions et les retraits d'interfaces, il faut utiliser les mots clés <code>del</code> et <code>nomaster</code> à la place de <code>add</code> et <code>master</code>.}}

{{info|Le paramètre <code>miimon 100</code> passé à la définition du type de l'interface <code>bond0</code> permet de spécifier la fréquence de surveillance de la liaison ''[http://jmainy.free.fr/guill.web-/Fea3.html MII]'' (''Medium Indepedant Interface'') en millisecondes. Cela détermine la fréquence à laquelle l'état du lien vers chaque esclave est inspecté pour détecter les défaillances de ceux-ci. Une valeur de zéro désactive la surveillance de la liaison ''MII''. Une valeur de 100 est une valeur standard. Source ''[https://www.linuxquestions.org/questions/linux-networking-3/mode%3D1-miimon%3D100-934723/ ici]'' et ''[https://www.tecmint.com/network-nic-bonding-teaming-in-debian-linux/ là]''.}}

=Sources=
* https://developer.rackspace.com/blog/lacp-bonding-and-linux-configuration/
* https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/7/html/networking_guide/sec-using_channel_bonding
* https://developers.redhat.com/blog/2017/09/14/vlan-filter-support-on-bridge/

Lacp - cisco

2024-05-18T08:41:55Z

Ycharbi : Ajout d'une précision sur l'algorithme de hachage du LACP + remplacement de la balise source obsolète

[[Category:cisco]]
[https://fr.wikipedia.org/wiki/IEEE_802.3ad IEEE 802.3ad] (''Link Aggregation Control Protocol'' ou ''LACP'') est un protocole de niveau 2 du modèle ''OSI'' qui permet de grouper plusieurs ports physiques en une seule voie logique.

Nous allons donc utiliser 2 interfaces sur un commutateur Cisco 2960 pour en faire une logique afin de bénéficier d'une plus grande bande passante (uniquement dans le cas d'accès concurrents et en fonction de la configuration des serveurs) ainsi que de la résilience de panne.

{{attention|Cette technique ne permet pas d'avoir un tuyau égale à la somme des bandes passantes des liens qui le compose. Le ''LACP'' permet de répartir les transferts sur les interfaces qui en font parti. Un seul client ne pourra alors pas bénéficier de plus de la capacité d'un lien mais plusieurs clients pourront chacun utiliser la bande passante d'une interface et donc ne pas se saturer l'un l'autre. ce caractéristique est personnalisable à la marge en fonction de l’algorithme de hachage utilisé par la machine émettant le trafic (voir [https://www.kernel.org/doc/html/latest/networking/bonding.html xmit_hash_policy] sous les ponts ''Linux'' et en particulier ''layer3+4'').}}

=Configuration=

<syntaxhighlight lang="bash">
conf t
# Création de l'interface d'agrégat
interface port-channel 1
# Sur certains commutateurs de niveau 3, il faut préciser que l'on va faire du niveau 2
switchport
# Il est possible de préciser que l'interface est en trunk mais cela est facultatif. Seul la configuration des interfaces membres importe

# Configuration des interfaces membres de l'agrégat
interface range fa 0/1 - 2
description --- LACP vers Commut2 ---
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active
</syntaxhighlight>

=Source=
*http://www.cisco.com/c/en/us/td/docs/ios/12_2sb/feature/guide/gigeth.html

Ffmpeg

2024-05-15T21:36:45Z

Ycharbi : Ajout de la section "Rotation d'une vidéo" + remplacement d'une balise "syntaxhighlight inline" par une balise "code"

[[Category:linux]]
[https://fr.wikipedia.org/wiki/FFmpeg FFmpeg] est une collection de logiciels libres destinés au traitement de flux audio ou vidéo (enregistrement, lecture ou conversion d'un format à un autre). Cette bibliothèque est utilisée par de nombreux autres logiciels ou services comme ''VLC'', ''iTunes'' ou ''YouTube''.

Développé sur ''GNU/Linux'', ''FFmpeg'' peut être compilé sur la plupart des systèmes d'exploitation, y compris [[:Category:Windows|Windows]]. Le projet est distribué sous licence libre, [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_GNU GPL] 2+ ou [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_limit%C3%A9e_GNU LGPL] 2.1+ en fonction des options de compilation du projet.

=Extraire le son=
Voici comment [http://www.loopsbeats.com/convert/extract-audio-with-ffmpeg.html extraire le son] d'une vidéo ''mp4'' en ''mp3'' :
ffmpeg -i toto.mp4 -vn -ar 44100 -ac 2 -ab 192 -f mp3 toto.mp3

=Extraire la jaquette=
Les fichiers audios embarquent souvent une image (communément la jaquette de l'album). Voici comment la [https://unix.stackexchange.com/questions/41287/how-to-extract-album-cover-image-from-mp3-file récupérer] :
ffmpeg -i fichier.mp3 -an -c:v copy fichier.jpg

=Couper un extrait=
Il est possible de [https://superuser.com/questions/138331/using-ffmpeg-to-cut-up-video#704118 découper un morceau] de fichier avec ceci :
ffmpeg -ss 00:00:53 -i Pas\ de\ manières-5hjNP5dNNs4.m4a -t 00:00:11 -c copy Ta_cherie.m4a

Explications :
* '''-ss''' : début de la découpe
* '''-i''' : fichier source
* '''-t''' : temps à garder à partir de '''-ss'''
* '''-c''' : action à effectuer

Il est aussi possible de préciser le nombre de trames à conserver à partir d'un temps donnée (plus précis) :
ffmpeg -y -ss 00:01:28 -i Toto.mp4 -c:v libx264 -c:a aac -frames:v 100 /tmp/titi.mp4

Paramètres différents :
* '''-c:v libx264''' : codec vidéo de transcodage (facultatif)
* '''-c:a aac''' : codec audio de transcodage (facultatif)
* '''-frames:v 100''' : garder 100 trames (le "v" peut être remplacé par un "a" en cas de fichier uniquement audio)

Dans le cas d'une vidéo comportant [https://stackoverflow.com/questions/60445661/ffmpeg-how-do-i-choose-the-correct-audio-track plusieurs] pistes audios, il est possible de sélectionner la désirée de la manière suivante :
ffmpeg -y -ss 00:27:26 -i Toto.mp4 -c:v libx264 -c:a aac -frames:v 530 -map 0:v:0 -map 0:a:2 /tmp/titi.mp4.mp4

Paramètres différents :
* '''-map 0:v:0''' : première piste vidéo
* '''-map 0:a:2''' : troisième piste audio

=Convertir un fichier=
Pour [https://fr.wikihow.com/utiliser-FFmpeg convertir un fichier] dans un autre format :
ffmpeg -i Ni_flic_ni_pd.ogg Ni_flic_ni_pd.mp3

''Note: L'outil détecte automatiquement le format du fichier voulu en lisant l'extension de destination.''

Il est possible d'ajouter des paramètres afin de préciser des [https://trac.ffmpeg.org/wiki/Encode/H.264 caractéristiques d'encodage]. [https://emirchouchane.com/h264-ffmpeg/ Par exemple], pour une conversion vidéo en ''h264'' :
ffmpeg -i vidéo.m4v -c:v libx264 -crf 23 vidéo.mp4

Explications :
* '''-c:v libx264''' : sélection du codec (''-c'') vidéo ('':v'') h264 (''libx264'')
* '''-crf 23''' : facteur de taux constant (''Constant Rate Factor'') à 23. Permet de définir le débit binaire de la vidéo

<img src="https://{{SERVERNAME}}/fichiers/multim%c3%a9dia/conversion/ffmpeg/%c3%89chelle_Constant_Rate_Factor.svg"></img>

Autre exemple avec une conversion en [https://trac.ffmpeg.org/wiki/Encode/H.265 h265] :
ffmpeg -i vidéo.mp4 -c:v libx265 -crf 26 -preset fast -c:a eac3 -b:a 640k /tmp/vidéo.mp4

* '''-c:v libx265''' : codec vidéo en ''h265''
* '''-preset fast''' : vitesse d'encodage et profile de compression (énumérés [https://trac.ffmpeg.org/wiki/Encode/H.265#ConstantRateFactorCRF ici])
* '''-c:a eac3''' : codec audio en ''eac3''
* '''-b:a 640k''' : débit binaire du flux audio

=Redimensionner une vidéo=
Outre le codec à utiliser et le ''CRF'' à modifier, il est possible d'alléger une vidéo en réduisant ses dimensions. Les différentes techniques combinées peuvent permettre d'arriver à envoyer péniblement une vidéo par [https://fr.wikipedia.org/wiki/Multimedia_Messaging_Service MMS]...
ffmpeg -y -i /tmp/a.mp4 -crf 33 -vf "scale=iw/2:ih/2" /tmp/b.mp4

Explications :
* '''-y''' : écrase la destination sans demander de confirmation
* '''-i''' : fichier source
* '''-crf 33''' : forte compression (destructrice) de la vidéo
* '''-vf "scale=iw/2:ih/2"''' : réduction par deux des dimensions de la vidéo

=Rotation d'une vidéo=
Il n'est pas rare de tomber sur une vidéo capturée via un téléphone en mode portrait du fait d'un utilisateur ayant commencé la prise de vue dans cette orientation et s’étant rendu compte, après coup, qu'il fallait tourner la caméra pour avoir un bon rendu... Il est possible de corriger cela via une [https://www.baeldung.com/linux/ffmpeg-rotate-video rotation] avec le paramètre <code>transpose=0</code> où <code>0</code> correspond à l'orientation à appliquer d'après la liste suivante :
* <code>0</code> : sens inverse des aiguilles d'une montre et inversion verticale (par défaut)
* <code>1</code> : sens des aiguilles d'une montre
* <code>2</code> : sens inverse des aiguilles d'une montre
* <code>3</code> : sens des aiguilles d'une montre et inversion verticale

Exemple :
ffmpeg -i VID_20240415_150506.mp4 -vf "transpose=2" VID_20240415_150506_r2.mp4

=Fusionner une bande vidéo et une bande son=
Il est possible de [https://qastack.fr/superuser/277642/how-to-merge-audio-and-video-file-in-ffmpeg regrouper] dans un même fichier multimédia ([https://fr.wikipedia.org/wiki/Format_conteneur conteneur]) une bande vidéo et une bande son. Un cas typique est le téléchargement d'une vidéo sur le site [https://crowdbunker.com crowdbunker.com] via les fichiers <code>.m3u</code> capturés dans le trafic réseau. La vidéo est découplé du son (deux téléchargements séparés) et c'est le lecteur vidéo ''WEB'' qui se charge de lire les deux en même temps. Pour fusionner les deux après téléchargement en local, la commande suivante peut être utilisée :
ffmpeg -i Vidéo_source.mp4 -i Audio_source.mp4 -c:v copy -c:a aac -strict experimental Vidéo_et_audio_destination.mp4

Chrony

2024-04-24T15:46:24Z

Ycharbi : Voir modifs

[[Category:Service_temps]]

[https://chrony-project.org Chrony] est, comme sont homologue [[Ntp - linux|éponyme]], une implémentation libre du protocole [https://fr.wikipedia.org/wiki/Network_Time_Protocol NTP] (Network Time Protocol). Il peut synchroniser l'horloge système avec d'autres serveurs ''NTP'', des horloges de référence matériel comme des récepteurs GPS ainsi que manuellement. L'outil embarque un client permettant la synchronisation avec des sources externes ainsi qu'un serveur pouvant accepter les requêtes de temps de clients autorisés.

''Chrony'' supporte, depuis la version 4.0, le protocole [https://datatracker.ietf.org/doc/rfc8915/ NTS] (Network Time Security) permettant d'authentifier les serveurs via une couche de sécurité [https://fr.wikipedia.org/wiki/Transport_Layer_Security TLS] (Transport Layer Security).

{{info|La présente documentation est réalisée sous ''GNU/Linux Debian 12'' et ''chrony 4.3-2''.}}

=Serveur=
==Installation==
Installation du service
apt install --no-install-recommends chrony

==Configuration de base==
L'outil se base sur un unique fichier <code>/etc/chrony/chrony.conf</code> (changeable via un <code>-f</code>) pouvant être atomisé dans <code>/etc/chrony/conf.d/</code>. Les directives des serveurs peuvent quand à elle (et elles seules) être atomisées dans <code>/etc/chrony/sources.d/</code>. Il n'est cependant généralement intéressant d'utiliser cette atomicité que dans des configurations complexes.

Voici le contenu de ce fichier pour une configuration simple en mode serveur pour deux réseaux clients

<syntaxhighlight lang="bash">
# Bienvenue dans le fichier de configuration de chrony. Veuillez voir la page de
# manuel chrony.conf(5) pour plus d'informations sur les directives utilisables.

# Inclure les fichiers de configurations trouvés dans /etc/chrony/conf.d.
confdir /etc/chrony/conf.d

# Utiliser les serveurs de temps de Debian.
# Toutes les IP retournées par le DNS seront utilisées dans la plage (pool).
pool 2.debian.pool.ntp.org iburst

# Utiliser les serveurs de temps fournis par les baux DHCP.
# sourcedir /run/chrony-dhcp

# Utiliser les serveurs NTP trouvés dans /etc/chrony/sources.d.
sourcedir /etc/chrony/sources.d

# Cette directive spécifie la localisation du fichier contenant le couple ID/clé
# pour l'authentification NTP.
keyfile /etc/chrony/chrony.keys

# Cette directive spécifie le fichier dans lequel chrony va stocker les
# informations de ratios.
driftfile /var/lib/chrony/chrony.drift

# Sauvegarder les les clés et cookies du protocole NTS dans /var/lib/chrony.
ntsdumpdir /var/lib/chrony

# Dé-commenter la ligne suivant pour activer la journalisation.
# Chaque mot définit un type de données à journaliser. Se référer au manuel.
#log tracking measurements statistics

# Localisation des fichiers de journaux
logdir /var/log/chrony

# Arrêter de considérer la source RTC matériel comme fiable au bout du seuil définit.
maxupdateskew 100.0

# Cette directive active la synchronisation RTC du noyau (toute les 11 minutes).
# Notez l'incompatibilité de cette option avec la directive 'rtcfile'.
rtcsync

# Ajuster d'une traite l'horloge au lieu de modifier la vitesse du temps pour
# ajuster le décalage lorsque celui-ci est supérieur à 1 seconde mais
# seulement pour les 3 premières synchronisations.
makestep 1 3

# Obtenir le décalage TAI-UTC et les secondes intercalaires à partir de la
# base de données tz du système. Cette directive doit être commentée lors de
# l'utilisation de sources de temps qui utilisent des secondes intercalaires.
leapsectz right/UTC

# Désactiver l'usage de chronyc via IP (port par défaut : UDP/323)
cmdport 0

# Autoriser les clients NTP des réseaux suivants à se synchroniser au serveur
allow 192.168.1.0/24
allow 10.0.2.0/23
</syntaxhighlight>

Les directives <code>allow</code> sont responsables du comportement en mode serveur de ''Chrony''. En l'absence de paramètre, tous les clients sont autorisés à requêter le serveur (''NTP'' publique'').

Redémarrer le service
systemctl restart chrony.service

Afficher le statut du service pour voir d’éventuelle erreur
systemctl status chrony.service

==Authentification==
Deux modes d'authentification sont pris en charge :
* authentification ''NTP'' ([https://www.rfc-editor.org/rfc/rfc5906 RFC 5906])
* NTS ([https://www.rfc-editor.org/info/rfc8915 RFC 8915])

Dans la mesure où le temps n'est pas une donnée confidentielle (les raisons sont assez évidentes...), aucun mécanismes ne permet le chiffrement de son échange. Les méthodes existantes ne permettent que l'authenticité et l'intégrité des paquets transmis.

===Authentification NTP===

L'authentification ''NTP'' est le mécanisme historique assurant l'intégrité des réponses du serveur. Il se base sur une clé hachée via différents algorithmes (''SHA256'' dans notre exemple mais couramment [http://Ntp%20-%20cisco MD5]) et partagée entre les paires. Chaque clé comporte un identifiant unique et est contenue dans une base (texte plein pour ''Chrony'') des deux côtés de la communication. Le clients et le serveur doivent donc disposer du même couple identifiant/clé pour que les paquets soient jugés valides.

{{attention|Cela ne fonctionne pas. Il doit y avoir quelque chose d'autre à faire car après altération de la clé, ça se synchronise quand même... Cette méthode n'ayant jamais eu aucun intérêt de toute façon je ne vais pas perdre de temps à la faire fonctionner. Utilisez ''NTS'' si vous voulez de la sécurité. C'est mieux en tout point et bien moins compliqué à mettre en œuvre.}}

Génération de la clé côté serveur
chronyc keygen 1 SHA256 256 >> /etc/chrony/chrony.keys
systemctl restart chrony.service

Il faut copier la ligne générée dans le même fichier sur le client et préciser la clé à utiliser dans la ligne du serveur du fichier de configuration
server nts1.exemple.fr iburst key 1

systemctl restart chrony.service

===NTS===
''NTS'' est un mécanisme normalisé en septembre 2020 permettant d’utiliser ''TLS'' pour assurer l'authentification cryptographique du mode client-serveur du ''NTP''.

Génération des clés du serveur
mkdir /etc/chrony/nts
openssl req -x509 -nodes -days 36500 -newkey rsa:4096 -out /etc/chrony/nts/chrony.crt -keyout /etc/chrony/nts/chrony.key -subj "/CN=nts1.exemple.fr/"

Le service s'exécutant avec des privilèges restreints, il est important que l'utilisateur l'exécutant est la propriété sur les éléments générés
chown _chrony:_chrony /etc/chrony/nts/chrony.*

Il convient enfin d'ajouter les directive demandant au serveur de les utiliser dans la configuration du service

<syntaxhighlight lang="bash">
cat >> /etc/chrony/chrony.conf << _EOF_

# Configuration du NTS
ntsservercert /etc/chrony/nts/chrony.crt
ntsserverkey /etc/chrony/nts/chrony.key
_EOF_
</syntaxhighlight>

systemctl restart chrony.service
systemctl status chrony.service

=Client=
La configuration du client est très similaire à celle du serveur.

<syntaxhighlight lang="bash">
# Bienvenue dans le fichier de configuration de chrony. Veuillez voir la page de
# manuel chrony.conf(5) pour plus d'informations sur les directives utilisables.

# Inclure les fichiers de configurations trouvés dans /etc/chrony/conf.d.
confdir /etc/chrony/conf.d

# Utiliser le serveur de temps NTS définit dans la section "serveur".
# Pour un NTP normal, il faut enlever le paramètre "NTS".
# Pour un NTP authentifié, faut utiliser le paramètre "key <id_clé>"
server nts1.exemple.fr iburst nts

# Utiliser les serveurs de temps fournis par les baux DHCP.
# sourcedir /run/chrony-dhcp

# Utiliser les serveurs NTP trouvés dans /etc/chrony/sources.d.
sourcedir /etc/chrony/sources.d

# Cette directive spécifie la localisation du fichier contenant le couple ID/clé
# pour l'authentification NTP.
keyfile /etc/chrony/chrony.keys

# Cette directive spécifie le fichier dans lequel chrony va stocker les
# informations de ratios.
driftfile /var/lib/chrony/chrony.drift

# Sauvegarder les les clés et cookies du protocole NTS dans /var/lib/chrony.
ntsdumpdir /var/lib/chrony

# Dé-commenter la ligne suivant pour activer la journalisation.
#log tracking measurements statistics

# Localisation des fichiers de journaux
logdir /var/log/chrony

# Arrêter de considérer la source RTC matériel comme fiable au bout du seuil définit.
maxupdateskew 100.0

# Cette directive active la synchronisation RTC du noyau (toute les 11 minutes).
# Notez l'incompatibilité de cette option avec la directive 'rtcfile'.
rtcsync

# Ajuster d'une traite l'horloge au lieu de modifier la vitesse du temps pour
# ajuster le décalage lorsque celui-ci est supérieur à 1 seconde mais
# seulement pour les 3 premières synchronisations.
makestep 1 3

# Obtenir le décalage TAI-UTC et les secondes intercalaires à partir de la
# base de données tz du système. Cette directive doit être commentée lors de
# l'utilisation de sources de temps qui utilisent des secondes intercalaires.
leapsectz right/UTC

# Désactiver l'usage de chronyc via IP (port par défaut : UDP/323)
cmdport 0
</syntaxhighlight>

Pour le ''NTS'', dans le cas où votre certificat est auto-généré, il faudra l'ajouter dans la base interne des clients. La méthode sous ''Debian'' est désormais la [https://www.baeldung.com/linux/ca-certificate-management suivante] (sur le client) :
cp chrony.crt /usr/local/share/ca-certificates/
update-ca-certificates -v

Redémarrer le service
systemctl restart chrony.service

Afficher le statut du service pour voir d’éventuelle erreur
systemctl status chrony.service

Afficher les sources NTP
chronyc sourcestats

Afficher l'état de la session NTS
chronyc authdata

=Sources=
* Pages de manuelles https://chrony-project.org/documentation.html :
** https://chrony-project.org/doc/4.4/chrony.conf.html
** https://chrony-project.org/doc/4.4/chronyd.html
** https://chrony-project.org/doc/4.4/chronyc.html
* https://ubuntu.com/server/docs/how-to-serve-the-network-time-protocol-with-chrony
* https://mpolinowski.github.io/docs/DevOps/Linux/2022-09-29--build-an-chrony-nts-client-from-source/2022-09-29/
* https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/9/html/configuring_basic_system_settings/using-chrony-to-configure-ntp_configuring-basic-system-settings
* https://www.it-connect.fr/ntp-la-synchronisation-temporelle-avec-chrony/#V_Securisation_de_chrony

Chrony

2024-04-21T22:31:31Z

Ycharbi : Écriture d'une première ébauche à compléter plus tard car il est tard

[[Category:Service_temps]]

{{chantier}}

[https://chrony-project.org Chrony] est, comme sont homologue [[Ntp - linux|éponyme]], une implémentation libre du protocole [https://fr.wikipedia.org/wiki/Network_Time_Protocol NTP] (Network Time Protocol). Il peut synchroniser l'horloge système avec d'autres serveurs ''NTP'', des horloges de référence matériel comme des récepteurs GPS ainsi que manuellement. L'outil embarque un client permettant la synchronisation avec des sources externes ainsi qu'un serveur pouvant accepter les requêtes de temps de clients autorisés.

''Chrony'' supporte, depuis la version 4.0, le protocole [https://datatracker.ietf.org/doc/rfc8915/ NTS] (Network Time Security) permettant d'authentifier les serveurs via une couche de sécurité [https://fr.wikipedia.org/wiki/Transport_Layer_Security TLS] (Transport Layer Security).

{{info|La présente documentation est réalisée sous ''GNU/Linux Debian 12'' et ''chrony 4.3-2''.}}

=Serveur=
==Installation==
Installation du service
apt install --no-install-recommends chrony

==Configuration de base==
L'outil se base sur un unique fichier <code>/etc/chrony/chrony.conf</code> (changeable via un <code>-f</code>) pouvant être atomisé dans <code>/etc/chrony/conf.d/</code>. Les directives des serveurs peuvent quand à elle (et elles seules) être atomisées dans <code>/etc/chrony/sources.d/</code>. Il n'est cependant généralement intéressant d'utiliser cette atomicité que dans des configurations complexes.

Voici le contenu de ce fichier pour une configuration simple en mode serveur pour deux réseaux clients

<syntaxhighlight lang="bash">
# Bienvenu dans le fichier de configuration de chrony. Veuillez voir la page de
# manuel chrony.conf(5) pour plus d'informations sur les directives utilisables.

# Inclure les fichiers de configurations trouvés dans /etc/chrony/conf.d.
confdir /etc/chrony/conf.d

# Utiliser les serveurs de temps de Debian.
# Use Debian vendor zone.
pool 2.debian.pool.ntp.org iburst

# Utiliser les serveurs de temps fournis par les baux DHCP.
# sourcedir /run/chrony-dhcp

# Utiliser les serveurs NTP trouvés dans /etc/chrony/sources.d.
sourcedir /etc/chrony/sources.d

# Cette directive spécifie la localisation du fichier contenant le couple ID/clé
# pour l'authentification NTP.
keyfile /etc/chrony/chrony.keys

# Cette directive spécifie le fichier dans lequel chrony va stocker les
# informations de ratios.
driftfile /var/lib/chrony/chrony.drift

# Sauvegarder les les clés et cookies du protocole NTS dans /var/lib/chrony.
ntsdumpdir /var/lib/chrony

# Dé-commenter la ligne suivant pour activer la journalisation.
#log tracking measurements statistics

# Localisation des fichiers de journaux
logdir /var/log/chrony

# Arrêter de considérer la source RTC matériel comme fiable au bout du seuil définit.
maxupdateskew 100.0

# Cette directive active la synchronisation RTC du noyau (toute les 11 minutes).
# Notez l'incompatibilité de cette option avec la directive 'rtcfile'.
rtcsync

# Ajuster d'une traite l'horloge au lieu de modifier la vitesse du temps pour
# ajuster le décalage lorsque celui-ci est supérieur à 1 seconde mais
# seulement pour les 3 premières synchronisations.
makestep 1 3

# Obtenir le décalage TAI-UTC et les secondes intercalaires à partir de la
# base de données tz du système. Cette directive doit être commentée lors de
# l'utilisation de sources de temps qui utilisent des secondes intercalaires.
leapsectz right/UTC

# Désactiver l'usage de chronyc via IP (port par défaut : UDP/323)
cmdport 0

# Autoriser les clients NTP des réseaux suivants à se synchroniser au serveur
allow 192.168.1.0/24
allow 10.0.2.0/23
</syntaxhighlight>

Les directives <code>allow</code> sont responsables du comportement en mode serveur de ''Chrony''. En l'absence de paramètre, tous les clients sont autorisés à requêter le serveur (''NTP'' publique'').

==Authentification==
Deux modes d'authentification sont pris en charge :
* authentification ''NTP''
* NTS

===Authentification NTP===

===NTS===
''NTS'' est un mécanisme normalisé en septembre 2020 ([https://www.rfc-editor.org/info/rfc8915 RFC 8915]) permettant d’utiliser ''TLS'' pour assurer l'authentification cryptographique du mode client-serveur du ''NTP''.

Génération des clés du serveur
mkdir /etc/chrony/nts
openssl req -x509 -nodes -days 5000 -newkey rsa:4096 -out /etc/chrony/nts/chrony.crt -keyout /etc/chrony/nts/chrony.key -subj "/CN=nts1.exemple.fr/"

Le service s'exécutant avec des privilèges restreints, il est important que l'utilisateur l'exécutant est la propriété sur les éléments générés
chown _chrony:_chrony /etc/chrony/nts/chrony.*

Il convient enfin d'ajouter les directive demandant au serveur de les utiliser dans la configuration du service

<syntaxhighlight lang="bash">
cat > /etc/chrony/chrony.conf << _EOF_

# Configuration du NTS
ntsservercert /etc/chrony/nts/chrony.crt
ntsserverkey /etc/chrony/nts/chrony.key
_EOF_
</syntaxhighlight>

=Client=

=Sources=
* Pages de manuelles https://chrony-project.org/documentation.html :
** https://chrony-project.org/doc/4.4/chrony.conf.html
** https://chrony-project.org/doc/4.4/chronyd.html
** https://chrony-project.org/doc/4.4/chronyc.html
* https://ubuntu.com/server/docs/how-to-serve-the-network-time-protocol-with-chrony
* https://mpolinowski.github.io/docs/DevOps/Linux/2022-09-29--build-an-chrony-nts-client-from-source/2022-09-29/
* https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/9/html/configuring_basic_system_settings/using-chrony-to-configure-ntp_configuring-basic-system-settings
* https://www.it-connect.fr/ntp-la-synchronisation-temporelle-avec-chrony/#V_Securisation_de_chrony

Cryptsetup

2024-04-19T23:54:25Z

Ycharbi : /* Bitlocker */ Menues corrections de syntaxe et ajout d'un nom type pour le fichier de récupération

[[Category:chiffrement]]
[[Category:périphériques bloc]]
''Cryptsetup'' est l'implémentation du standard ''LUKS'' sur la plupart des distributions ''Linux''. Il permet de chiffrer des périphériques de type bloc. Dans les distributions ''Debian'', il est fournit par le paquet <code>cryptsetup</code>.

=Mise en œuvre=
Voici un exemple de mise en œuvre de ''cryptsetup'' décrivant la création, le montage et le démontage d'un volume chiffré.

{{astuce|Il est possible de réaliser un test de performance des différents algorithmes supportés via la commande <code>cryptsetup benchmark</code>.}}

Chiffrement du disque ''sdc'' dans son intégralité (écrase tout dessus). Taper '''YES''' (en majuscule) et entrer le mot de passe de déchiffrement 2 fois
cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/sdc

Ouvrir le volume (ça fait un volume "montable" dans ''/dev/mapper/sdc_crypt'')
cryptsetup luksOpen /dev/sdc sdc_crypt

Créer le système de fichier
mkfs.ext4 /dev/mapper/sdc_crypt

Monter le volume
mount /dev/mapper/sdc_crypt /mnt

Démonter le volume
umount /mnt

Fermer le volume
cryptsetup luksClose sdc_crypt

Afficher les détails du volume (type de chiffrement notamment)
cryptsetup luksDump /dev/sdc

=Gestion des clef=
''Cryptsetup'' n'utilise pas réellement le mot de passe que vous avez fourni pour chiffrer le volume. Il génère lui même une clé qu'il va chiffrer avec l'un des moyens que vous lui fournissez (mot de passe ou fichier de clef). Ceci permet de pouvoir non seulement changer de mot de passe sans re-chiffrer tout le volume (seul la clef maitraisse l'est), mais également d'en avoir plusieurs.

==Changement de clef==
cryptsetup luksChangeKey /dev/sdc

Si vous avez plusieurs clefs d'enregistrées, vous pouvez sélectionner le crénau contenant celle à changer en ajoutant le paramètre suivant
cryptsetup luksChangeKey /dev/sdc -S 2

Les créneaux sont visualisables avec la commande
cryptsetup luksDump /dev/sdc

==Ajout d'une clef==
cryptsetup luksAddKey /dev/sdc

==Suppression d'une clef==
cryptsetup luksRemoveKey /dev/sdc

==Tester une clef==
Lorsqu'un volume est en cours d'utilisation, il peut arriver que vous soyez dans le doute concernant la clé utilisée pour le dé-chiffrer. Afin de la tester sans fermer le volume (et donc d'être dans l'incapacité de récupérer les données si vous avez perdu la clef), il est possible de copier la partie ''Luks'' dans un fichier et d'effectuer les tests dessus.

head -c 128M /dev/sda2 > /tmp/sda2.img
cryptsetup luksOpen /tmp/sda2.img testClef

Il est également possible d'utiliser un fichier de clef si vous en avez [[#Déchiffrement_automatique|ajouté-un]] dans votre volume
cryptsetup luksOpen /tmp/sda2.img testClef --key-file /root/fichier_clef.luks

Si le volume se déverrouille c'est que vous avez renseigné la bonne clef. Vous pouvez le fermer
cryptsetup luksClose testClef

{{astuce|Vous pouvez afficher les algorithmes utilisés pour un volume avec la commande <code>file -sL /tmp/sda2.img</code>.}}

==Source de la section==
* https://www.maketecheasier.com/change-luks-encryption-passphrase/
* https://unix.stackexchange.com/questions/590849/how-can-i-verify-a-luks-master-key
* https://www.cyberciti.biz/hardware/cryptsetup-add-enable-luks-disk-encryption-keyfile-linux/

=Fichier crypttab=
Le fichier <code>/etc/crypttab</code> est aux volumes chiffrés ce qu'est son homologue [[fstab]] aux systèmes de fichiers (il en partage d'ailleurs les mêmes [[fstab#Options de montages|options]]). Il est lu au démarrage par ''Cryptsetup'' afin de déchiffrer les volumes qui y sont renseignés (un par ligne). Si une phrase de passe est demandée, l'utilisateur sera invité à la rentrée, si c'est une clef sous [[#Déchiffrement automatique|forme de fichier]], celui-ci sera exploité depuis l'emplacement précisé dans la ligne.

Une entrée ''crypttab'' comporte 4 champs :
<nom_du_volume> <périphérique_bloc> <fichier_de_clef> <options>

Explications :
* '''<nom_du_volume>''' : correspond au nom qui sera donnée au volume une fois déchiffré et qui sera disponible dans <code>/dev/mapper/<nom_du_volume></code>
* '''<périphérique_bloc>''' : chemin ou ''UUID'' du périphérique à déchiffrer (même syntaxe que pour ''fstab'')
* '''<fichier_de_clef>''' : chemin du fichier de clef. Mettre '''none''' si une identification par mot de passe est préférée
* '''<options>''' : prends le paramètre obligatoire '''luks''' suivit de divers options facultatives identiques au ''fstab''

=Déchiffrement automatique=
Si vous avez plusieurs volumes chiffrés, il est possible d'utiliser des fichiers de clef présent sur le premier pour déchiffrer les autres. Nous allons partir du principe que mon premier disque de démarrage (chiffré) est ''vda'' et que le second est ''vdb''.

Création du répertoire de travail
mkdir /root/luks

Création du fichier de clé
dd if=/dev/urandom of=/root/luks/fichier_clef.luks bs=4096 count=1

Attribution des droits
chmod 500 luks/
chmod 400 luks/fichier_clef

Un volume ''LUKS'' peut gérer plusieurs ''mots de passes/clefs'', nous allons donc ajouter celle que nous avons créé à notre deuxième disque
cryptsetup luksAddKey /dev/vdb /root/luks/fichier_clef.luks

Récupération de l{{'}}''UUID'' de ''vdb''
export UUID_LUKS=$(blkid -s UUID -o value /dev/vdb)

Ajout d'une entrée dans le fichier de déchiffrement
echo "vbd_luks UUID=${UUID_LUKS} /root/luks/fichier_clef.luks luks,discard" >> /etc/crypttab

Le paramètre <code>discard</code> permet d'autoriser les commandes ''TRIM'' pour les ''SSD''. Cela n'a pas de sens si vous utilisez des disques durs. Si votre disque est amovible (et donc potentiellement absent lors du démarrage), il peut être judicieux d'ajouter l'option <code>nofail</code> qui permettra au système de ne pas se bloquer s'il ne trouve pas le périphérique. La commande <code>cryptdisks_start <nom_du_volume></code> devra alors être utilisée pour déchiffrer le volume.

{{info|Le fichier <code>/etc/crypttab</code> va initier un déchiffrement des volumes qui y sont indiqués au démarrage. Si le volume demande un mot de passe, un prompt sera proposé à l'utilisateur (c'est ce que fait la première ligne du fichier pour votre disque principal). Si la méthode d'accès est un fichier de clef, ''Cryptsetup'' va le soumettre au volume et si il correspond à celui de sa bibliothèque, il le déchiffre.}}

À ce stade, le volume se déchiffrera automatiquement au démarrage. Vous pouvez utiliser la [https://serverfault.com/questions/714605/can-cryptsetup-read-mappings-from-etc-crypttab commande] <code>cryptdisks_start vbd_luks</code> pour parcourir la ligne du fichier ''crypttab'' et en appliquer les directives (c'est ce que fait ''init'' au démarrage) afin de tester votre configuration immédiatement.

Il est également possible d’enchaîner avec un [[fstab|montage automatique]] du système de fichier via le <code>/etc/fstab</code>.

Déchiffrer manuellement le volume ''LUKS''
cryptsetup luksOpen /dev/vdb vbd_luks

Formater la partition
mkfs.btrfs -n 32K /dev/mapper/vbd_luks

Ajouter une une entrée dans le ''fstab''
echo "/dev/mapper/vbd_luks /mnt btrfs rw,relatime,space_cache,subvolid=5,subvol=/ 0 0" >> /etc/fstab

Au redémarrage, le volume sera automatiquement déchiffré et monté dans <code>/mnt/</code>.

==Source de la section==
* https://www.howtoforge.com/automatically-unlock-luks-encrypted-drives-with-a-keyfile

=Bitlocker=
''Cryptsetup'' est compatible avec le chiffrement des disques sur les systèmes ''Microsoft Windows'' nommé [https://support.microsoft.com/fr-fr/windows/chiffrement-d-appareils-dans-windows-ad5dcf4b-dbe0-2331-228f-7925c2a3012d Bitlocker].

Lors de la création d'un tel volume sous ''Windows'', aucune clé de chiffrement n'est demandée à l'utilisateur car le système en génère une et la stock dans le ''TPM'' de l'ordinateur (j'imagine qu'une clé est demandée uniquement si ce composant matériel est absent). Un secret de récupération est alors fourni sous forme de fichier texte (<code>Clé de récupération BitLocker XXXXXXXX-....txt</code>. Il est très important de garder la clé qu'il contient car c'est cette dernière qui permettra de déverrouiller le disque chiffré via un autre système d'exploitation (<code>/dev/nvme0n1p3</code> et ''Debian 11'' dans l'exemple suivant).

L'intérêt d'une telle manipulation est évident : être capable de récupérer les données du disque système si ''Windows'' refuse de démarrer.

Déchiffrer le disque
cryptsetup open --type=bitlk /dev/nvme0n1p3 disque_windows

Monter le disque
mount -o ro /dev/mapper/disque_windows /mnt

Les commandes de démontage de re-verrouillage du disque sont identiques à ce qui a déjà été traité.

==Source de la section==
* https://superuser.com/questions/376533/how-to-access-a-bitlocker-encrypted-drive-in-linux

Cryptsetup

2024-04-19T22:45:22Z

Ycharbi : Ajout de la section "Bitlocker" + remplacement des balise "source" obsolètes

[[Category:chiffrement]]
[[Category:périphériques bloc]]
''Cryptsetup'' est l'implémentation du standard ''LUKS'' sur la plupart des distributions ''Linux''. Il permet de chiffrer des périphériques de type bloc. Dans les distributions ''Debian'', il est fournit par le paquet <code>cryptsetup</code>.

=Mise en œuvre=
Voici un exemple de mise en œuvre de ''cryptsetup'' décrivant la création, le montage et le démontage d'un volume chiffré.

{{astuce|Il est possible de réaliser un test de performance des différents algorithmes supportés via la commande <code>cryptsetup benchmark</code>.}}

Chiffrement du disque ''sdc'' dans son intégralité (écrase tout dessus). Taper '''YES''' (en majuscule) et entrer le mot de passe de déchiffrement 2 fois
cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/sdc

Ouvrir le volume (ça fait un volume "montable" dans ''/dev/mapper/sdc_crypt'')
cryptsetup luksOpen /dev/sdc sdc_crypt

Créer le système de fichier
mkfs.ext4 /dev/mapper/sdc_crypt

Monter le volume
mount /dev/mapper/sdc_crypt /mnt

Démonter le volume
umount /mnt

Fermer le volume
cryptsetup luksClose sdc_crypt

Afficher les détails du volume (type de chiffrement notamment)
cryptsetup luksDump /dev/sdc

=Gestion des clef=
''Cryptsetup'' n'utilise pas réellement le mot de passe que vous avez fourni pour chiffrer le volume. Il génère lui même une clé qu'il va chiffrer avec l'un des moyens que vous lui fournissez (mot de passe ou fichier de clef). Ceci permet de pouvoir non seulement changer de mot de passe sans re-chiffrer tout le volume (seul la clef maitraisse l'est), mais également d'en avoir plusieurs.

==Changement de clef==
cryptsetup luksChangeKey /dev/sdc

Si vous avez plusieurs clefs d'enregistrées, vous pouvez sélectionner le crénau contenant celle à changer en ajoutant le paramètre suivant
cryptsetup luksChangeKey /dev/sdc -S 2

Les créneaux sont visualisables avec la commande
cryptsetup luksDump /dev/sdc

==Ajout d'une clef==
cryptsetup luksAddKey /dev/sdc

==Suppression d'une clef==
cryptsetup luksRemoveKey /dev/sdc

==Tester une clef==
Lorsqu'un volume est en cours d'utilisation, il peut arriver que vous soyez dans le doute concernant la clé utilisée pour le dé-chiffrer. Afin de la tester sans fermer le volume (et donc d'être dans l'incapacité de récupérer les données si vous avez perdu la clef), il est possible de copier la partie ''Luks'' dans un fichier et d'effectuer les tests dessus.

head -c 128M /dev/sda2 > /tmp/sda2.img
cryptsetup luksOpen /tmp/sda2.img testClef

Il est également possible d'utiliser un fichier de clef si vous en avez [[#Déchiffrement_automatique|ajouté-un]] dans votre volume
cryptsetup luksOpen /tmp/sda2.img testClef --key-file /root/fichier_clef.luks

Si le volume se déverrouille c'est que vous avez renseigné la bonne clef. Vous pouvez le fermer
cryptsetup luksClose testClef

{{astuce|Vous pouvez afficher les algorithmes utilisés pour un volume avec la commande <code>file -sL /tmp/sda2.img</code>.}}

==Source de la section==
* https://www.maketecheasier.com/change-luks-encryption-passphrase/
* https://unix.stackexchange.com/questions/590849/how-can-i-verify-a-luks-master-key
* https://www.cyberciti.biz/hardware/cryptsetup-add-enable-luks-disk-encryption-keyfile-linux/

=Fichier crypttab=
Le fichier <code>/etc/crypttab</code> est aux volumes chiffrés ce qu'est son homologue [[fstab]] aux systèmes de fichiers (il en partage d'ailleurs les mêmes [[fstab#Options de montages|options]]). Il est lu au démarrage par ''Cryptsetup'' afin de déchiffrer les volumes qui y sont renseignés (un par ligne). Si une phrase de passe est demandée, l'utilisateur sera invité à la rentrée, si c'est une clef sous [[#Déchiffrement automatique|forme de fichier]], celui-ci sera exploité depuis l'emplacement précisé dans la ligne.

Une entrée ''crypttab'' comporte 4 champs :
<nom_du_volume> <périphérique_bloc> <fichier_de_clef> <options>

Explications :
* '''<nom_du_volume>''' : correspond au nom qui sera donnée au volume une fois déchiffré et qui sera disponible dans <code>/dev/mapper/<nom_du_volume></code>
* '''<périphérique_bloc>''' : chemin ou ''UUID'' du périphérique à déchiffrer (même syntaxe que pour ''fstab'')
* '''<fichier_de_clef>''' : chemin du fichier de clef. Mettre '''none''' si une identification par mot de passe est préférée
* '''<options>''' : prends le paramètre obligatoire '''luks''' suivit de divers options facultatives identiques au ''fstab''

=Déchiffrement automatique=
Si vous avez plusieurs volumes chiffrés, il est possible d'utiliser des fichiers de clef présent sur le premier pour déchiffrer les autres. Nous allons partir du principe que mon premier disque de démarrage (chiffré) est ''vda'' et que le second est ''vdb''.

Création du répertoire de travail
mkdir /root/luks

Création du fichier de clé
dd if=/dev/urandom of=/root/luks/fichier_clef.luks bs=4096 count=1

Attribution des droits
chmod 500 luks/
chmod 400 luks/fichier_clef

Un volume ''LUKS'' peut gérer plusieurs ''mots de passes/clefs'', nous allons donc ajouter celle que nous avons créé à notre deuxième disque
cryptsetup luksAddKey /dev/vdb /root/luks/fichier_clef.luks

Récupération de l{{'}}''UUID'' de ''vdb''
export UUID_LUKS=$(blkid -s UUID -o value /dev/vdb)

Ajout d'une entrée dans le fichier de déchiffrement
echo "vbd_luks UUID=${UUID_LUKS} /root/luks/fichier_clef.luks luks,discard" >> /etc/crypttab

Le paramètre <code>discard</code> permet d'autoriser les commandes ''TRIM'' pour les ''SSD''. Cela n'a pas de sens si vous utilisez des disques durs. Si votre disque est amovible (et donc potentiellement absent lors du démarrage), il peut être judicieux d'ajouter l'option <code>nofail</code> qui permettra au système de ne pas se bloquer s'il ne trouve pas le périphérique. La commande <code>cryptdisks_start <nom_du_volume></code> devra alors être utilisée pour déchiffrer le volume.

{{info|Le fichier <code>/etc/crypttab</code> va initier un déchiffrement des volumes qui y sont indiqués au démarrage. Si le volume demande un mot de passe, un prompt sera proposé à l'utilisateur (c'est ce que fait la première ligne du fichier pour votre disque principal). Si la méthode d'accès est un fichier de clef, ''Cryptsetup'' va le soumettre au volume et si il correspond à celui de sa bibliothèque, il le déchiffre.}}

À ce stade, le volume se déchiffrera automatiquement au démarrage. Vous pouvez utiliser la [https://serverfault.com/questions/714605/can-cryptsetup-read-mappings-from-etc-crypttab commande] <code>cryptdisks_start vbd_luks</code> pour parcourir la ligne du fichier ''crypttab'' et en appliquer les directives (c'est ce que fait ''init'' au démarrage) afin de tester votre configuration immédiatement.

Il est également possible d’enchaîner avec un [[fstab|montage automatique]] du système de fichier via le <code>/etc/fstab</code>.

Déchiffrer manuellement le volume ''LUKS''
cryptsetup luksOpen /dev/vdb vbd_luks

Formater la partition
mkfs.btrfs -n 32K /dev/mapper/vbd_luks

Ajouter une une entrée dans le ''fstab''
echo "/dev/mapper/vbd_luks /mnt btrfs rw,relatime,space_cache,subvolid=5,subvol=/ 0 0" >> /etc/fstab

Au redémarrage, le volume sera automatiquement déchiffré et monté dans <code>/mnt/</code>.

==Source de la section==
* https://www.howtoforge.com/automatically-unlock-luks-encrypted-drives-with-a-keyfile

=Bitlocker=
''Cryptsetup'' est compatible avec le chiffrement de disques des systèmes ''Windows'' nommé [https://support.microsoft.com/fr-fr/windows/chiffrement-d-appareils-dans-windows-ad5dcf4b-dbe0-2331-228f-7925c2a3012d Bitlocker].

Lors de la création d'un tel volume sous ''Windows'', aucune clé de chiffrement n'est demandée à l'utilisateur car le système en génère une et la stock dans le ''TPM'' de l'ordinateur (j'imagine qu'une clé est demandée uniquement si ce composant matériel est absent). Une clé de récupération est alors fournie sous forme de fichier texte. Il est très important de garder la clé qu'il contient car c'est cette dernière qui permettra de déverrouiller le disque chiffré via un autre système d'exploitation (<code>/dev/nvme0n1p3</code> et ''Debian 11'' dans l'exemple suivant).

L'intérêt d'une telle manipulation est évident : être capable de récupérer les données du disque système si ''Windows'' refuse de démarrer.

Déchiffrer le disque
cryptsetup open --type=bitlk /dev/nvme0n1p3 disque_windows

Monter le disque
mount -o ro /dev/mapper/disque_windows /mnt

Les commande de démontage de re-verrouillages du disque sont identiques à ce qui a déjà été traité.

==Source de la section==
* https://superuser.com/questions/376533/how-to-access-a-bitlocker-encrypted-drive-in-linux

Matrix synapse

2024-03-24T11:17:19Z

Ycharbi : Ajout de la section "Réinitialisation de mot de passe"

[[Category:Service_communication]]

{{chantier}}

[https://github.com/matrix-org/synapse/ Synapse] est une implémentation serveur libre (licence ''Apache 2.0'') du protocole [https://fr.wikipedia.org/wiki/Matrix_(protocole) Matrix] écrit en ''Python''. Le projet, initié en 2014, est maintenu par la fondation [https://matrix.org Matrix.org] et passe en version stable (''1.0.0'') en 2019. Il est disponible dans les dépôts ''Bullseye-Backports'' et ''Testing'' de ''Debian''.

Il permet la communication électronique textuelle, orale et vidéo entre plusieurs interlocuteurs au travers de réseaux ''IP''. Il propose en outre la possibilité d'envoyer des fichiers et de partager les écrans des correspondants. Une attention toute particulière est porté sur la sécurité des échanges avec un système de chiffrement de bout en bout obligatoire, tant entre clients (pair à pair) que lors de transactions avec le serveur (client/serveur).

Il est nécessaire de permettre la communication vers les ports suivants :
* Fédération ''Synapse'' : 8448 ''TCP''
* ''TURN'' : 3478 ''TCP/UDP''

=Service Synapse=
==Installation==
Ajout des dépôts ''Backports'' pour ''Debian 11''

<syntaxhighlight lang="bash">
echo "deb http://ftp2.fr.debian.org/debian bullseye-backports main" >> /etc/apt/sources.list
apt update
apt install --no-install-recommends -t bullseye-backports matrix-synapse
</syntaxhighlight>

La réponse aux questions n'a pas d'importance car les fichiers de configuration seront re-générés plus loin.

==Configuration==
Le domaine utilisé pour l'exemple est le suivant
export DNS_SYNAPSE=synapse.exemple.fr

Génération des fichiers configuration et de la clé de signature

<syntaxhighlight lang="bash">
synapse_generate_config --server-name ${DNS_SYNAPSE} --config-dir /etc/matrix-synapse --data-dir /etc/matrix-synapse/ --report-stats no --generate-secrets -o /etc/matrix-synapse/homeserver.yaml
synapse_generate_log_config -o /etc/matrix-synapse/${DNS_SYNAPSE}.log.config
synapse_generate_signing_key -o /etc/matrix-synapse/${DNS_SYNAPSE}.signing.key

echo 'report_stats: false' > /etc/matrix-synapse/conf.d/report_stats.yaml
echo "server_name: \"${DNS_SYNAPSE}\"" > /etc/matrix-synapse/conf.d/server_name.yaml
</syntaxhighlight>

Écouter les requêtes clientes sur toutes les adresses ''IP'' du serveur
sed -i "s/bind_addresses: \[.*\]/bind_addresses: ['0.0.0.0']/g" /etc/matrix-synapse/homeserver.yaml

Redémarrer le service
systemctl restart matrix-synapse.service

Vous devriez voir un port 8008 ''TCP'' en écoute avec un <syntaxhighlight lang="bash" inline>ss -ltn</syntaxhighlight>. Celui-ci permet aux outils d'administrations d'utiliser les ''API'' de ''Synapse'' pour interagir avec lui.

==Gestion des utilisateurs==
Actuellement, seule la création d'un utilisateur est possible avec les outils fournis. Leur suppression ou modification (ou même leur listage) n'est pas supporté (oui c'est aberrant). Ce sujet est traité dans ce [https://github.com/matrix-org/synapse/issues/1707 ticket].

La syntaxe d'un utilisateurs dans les différents clients ''Matrix'' est <syntaxhighlight lang="bash" inline>@michel:synapse.exemple.fr</syntaxhighlight>. Ceci est utile pour en ajouter comme contact depuis un logiciel client (pourquoi faire simple ?).

===Création d'un utilisateur===
synapse_register_new_matrix_user http://127.0.0.1:8008 -c /etc/matrix-synapse/homeserver.yaml

===Source de la section===
* https://matrix-org.github.io/synapse/latest/setup/installation.html

=Service TURN=
Dans la mesure où le vrai monde est peuplé de ''NAT'' à profusion et qu'aucun protocole de communication en temps réel ne sais gérer cette situation correctement (la raison m'échappe toujours...), il est indispensable d'employer un service mitigeant cette contrainte. Ceci est le rôle des protocoles [https://en.wikipedia.org/wiki/Traversal_Using_Relays_around_NAT TURN]/[https://en.wikipedia.org/wiki/STUN STUN] implémenté dans le logiciel [https://github.com/coturn/coturn Coturn].

==Installation==
Le paquet est disponible dans les dépôts ''Sable''
apt install --no-install-recommends coturn

==Configuration==
Les informations spécifiques à l'instance de cette documentations seront les suivantes

<syntaxhighlight lang="bash">
export DNS_COTURN=turn.exemple.fr
export SECRET_COTURN=$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)
export IP_EXTERNE=$(wget -qO - ifconfig.co)
export IP_INTERNE=192.168.0.100
</syntaxhighlight>

Le fichier de configuration du service se composera comme suit

<syntaxhighlight lang="bash">
cat << _EOF_ > /etc/turnserver.conf
use-auth-secret
static-auth-secret=${SECRET_COTURN}
realm=${DNS_COTURN}

# Le trafic VoIP est entièrement UDP. Il n'y a aucune raison de laisser les utilisateurs se connecter à des points d'extrémité TCP arbitraires via le relais
no-tcp-relay

# Ne laissez pas le relais essayer de se connecter à des plages d'adresses IP privées au sein de votre réseau (s'il y en a)
# Étant donné que le serveur tournant est probablement derrière votre pare-feu, n'oubliez pas d'inclure également toutes les adresses IP publiques privilégiées
denied-peer-ip=10.0.0.0-10.255.255.255
denied-peer-ip=192.168.0.0-192.168.255.255
denied-peer-ip=172.16.0.0-172.31.255.255

# À recommandé, blocage de pairs locaux supplémentaires, afin de limiter l'accès externe aux services internes
# https://www.rtcsec.com/article/slack-webrtc-turn-compromise-and-bug-bounty/#how-to-fix-an-open-turn-relay-to-address-this-vulnerability
no-multicast-peers
denied-peer-ip=0.0.0.0-0.255.255.255
denied-peer-ip=100.64.0.0-100.127.255.255
denied-peer-ip=127.0.0.0-127.255.255.255
denied-peer-ip=169.254.0.0-169.254.255.255
denied-peer-ip=192.0.0.0-192.0.0.255
denied-peer-ip=192.0.2.0-192.0.2.255
denied-peer-ip=192.88.99.0-192.88.99.255
denied-peer-ip=198.18.0.0-198.19.255.255
denied-peer-ip=198.51.100.0-198.51.100.255
denied-peer-ip=203.0.113.0-203.0.113.255
denied-peer-ip=240.0.0.0-255.255.255.255

# Cas particulier : le serveur TURN lui-même pour que les flux client->TURN->TURN->client fonctionnent
# Il doit s'agir de l'une des adresses IP d'écoute du serveur TURN
allowed-peer-ip=${IP_INTERNE}

# Examinez si vous souhaitez limiter le quota de flux relayés par utilisateur (ou total) pour éviter les risques de DoS
user-quota=12 # 4 flux par appel vidéo, donc 12 flux = 3 appels relayés simultanés par utilisateur
total-quota=1200

# Certificats TLS, y compris les certificats intermédiaires
# Pour les certificats Let's Encrypt, utilisez 'fullchain.pem' ici
cert=/srv/tls/corturn.pem

# Fichier TLS de clé privée
pkey=/srv/tls/corturn.key

# Assurez-vous que les lignes de configuration qui désactivent TLS/DTLS sont commentées ou supprimées.
#no-tls
#no-dtls

external-ip=${IP_EXTERNE}
listening-ip=${IP_INTERNE}
_EOF_
</syntaxhighlight>

===Support du TLS===
Créer le répertoire d'accueil des éléments de chiffrement
mkdir /srv/tls

Ces éléments peuvent être issus d'une autorité de certification publique comme [[Letsencrypt|Letsencrypt]] (mettre la clé et le certificat '''chaînés''') ou privée, via [[Openssl|OpenSSL]] par exemple.

<syntaxhighlight lang="bash">
chown -R root:root /srv/tls
chmod 500 /srv/tls
chmod 400 /srv/tls/*
</syntaxhighlight>

Redémarrer le service
systemctl restart coturn.service

Le service écoute sur le port 3478 ''TCP/UDP''.

Il est à présent possible de configurer ''Synapse'' afin qu'il informe les clients d'utiliser notre service ''TURN'' lors de l'établissement des communications pair à pair entre eux.

<syntaxhighlight lang="bash">
cat << _EOF_ >> /etc/matrix-synapse/homeserver.yaml

turn_uris: [ "turn:${DNS_COTURN}?transport=udp", "turn:${DNS_COTURN}?transport=tcp" ]
turn_shared_secret: "${SECRET_COTURN}"
turn_user_lifetime: 86400000
turn_allow_guests: True
_EOF_
</syntaxhighlight>

systemctl restart matrix-synapse.service

==Enregistrement DNS==
Cette section est totalement facultative et n'apporte rien. Il existe peut-être une configuration de ''Synapse'' permettant de trouver automatiquement le serveur ''TURN'' via ''DNS''...

Enregistrements ''DNS SRV'' (à ajouter dans la configuration de votre zone)

<syntaxhighlight lang="bash">
_stun._udp 10800 IN SRV 0 5 3478 exemple.fr.
_turn._udp 10800 IN SRV 0 5 3478 exemple.fr.
</syntaxhighlight>

Il est possible de requêter le serveur de noms sur ces champs précis via les commandes suivantes

<syntaxhighlight lang="bash">
dig +short _stun._udp._tcp 10800 IN SRV 0 5 3478 exemple.fr.
dig +short _turn._udp._tcp 10800 IN SRV 0 5 3478 exemple.fr.
</syntaxhighlight>

==Test de fonctionnement==
Voici une [https://nextcloud-talk.readthedocs.io/en/latest/TURN/#6-testing-the-turn-server méthode] permettant de tester le fonctionnement du service en ligne de commande. Elle peut aider à deceler des problèmes simplement.
turnutils_uclient -p 3478 -W <CLÉ_SERVEUR_TURN> -v -y turn.exemple.fr

==Source de la section==
* https://matrix-org.github.io/synapse/latest/setup/turn/coturn.html

=Client WEB Element=
[https://github.com/vector-im/element-web Element] est un client WEB pour ''Matrix''. Anciennement connu sous le nom de ''Riot'', il existe aussi sous forme d'application ''IOS'' et ''Android''.

==Installation==
N'étant pas dans les dépôts ''Debian'', nous utiliserons la version ''Git''

<syntaxhighlight lang="bash">
apt install --no-install-recommends apache2

wget https://github.com/vector-im/element-web/releases/download/v1.10.14/element-v1.10.14.tar.gz -P /tmp

tar xf /tmp/element-v1.10.14.tar.gz -C /var/www/
ln -s /var/www/element-v1.10.14/ /var/www/element
chown -R www-data: /var/www/element*
</syntaxhighlight>

==Configuration==
L'hôte virtuel d{{'}}''Apache'' doit pointer vers le programme

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/apache2/sites-available/element.conf
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/element
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
_EOF_
</syntaxhighlight>

Désactivation de l'hôte virtuel par défaut et activation du nouveau
<syntaxhighlight lang="bash">
a2dissite 000-default.conf
a2ensite element.conf
</syntaxhighlight>

Le domaine utilisé sera le suivant
export DNS_ELEMENT=element.exemple.fr

La configuration de notre instance sera celle-ci

<syntaxhighlight lang="bash">
cat << _EOF_ > /var/www/element/config.json
{
"default_server_config": {
"m.homeserver": {
"base_url": "https://${DNS_SYNAPSE}",
"server_name": "${DNS_SYNAPSE}"
},
"m.identity_server": {
"base_url": "https://vector.im"
}
},
"disable_custom_urls": false,
"disable_guests": false,
"disable_login_language_selector": false,
"disable_3pid_login": false,
"brand": "Element",
"bug_report_endpoint_url": "https://element.io/bugreports/submit",
"uisi_autorageshake_app": "element-auto-uisi",
"default_country_code": "FR",
"show_labs_settings": false,
"features": { },
"default_federate": false,
"default_theme": "light",
"enable_presence_by_hs_url": {
"https://matrix.org": false,
"https://matrix-client.matrix.org": false
},
"setting_defaults": {
"breadcrumbs": true
},
"features": {
"feature_you_want_to_turn_on": true,
"feature_you_want_to_keep_off": false
}
}
_EOF_
</syntaxhighlight>

Redémarrer ''Apache''
systemctl restart apache2.service

==Source==
* https://github.com/vector-im/element-web/tree/develop/docs

=Fédération=
Un des atouts de cette solution est la décentralisation. En effet, il est possible d'interconnecter plusieurs serveurs afin de permettre la communication d'utilisateurs enregistrés sur des instances différentes. Ces interconnexions doivent êtres explicitement spécifiées dans la configuration de ''Synapse''.

Le domaine du serveur distant sera le suivant
export DNS_SRV_DISTANT_SYNAPSE=synapse.toto.fr

Ajout de celui-ci dans la configuration de ''Synapse'' (ceci doit être fait des deux côtés)

<syntaxhighlight lang="bash">
sed -i "s/^trusted_key_servers:/trusted_key_servers:\n - server_name: \"${DNS_SRV_DISTANT_SYNAPSE}\"/g" /etc/matrix-synapse/homeserver.yaml
sed -i "s/^#federation_domain_whitelist:/federation_domain_whitelist:\n - ${DNS_SRV_DISTANT_SYNAPSE}/g" /etc/matrix-synapse/homeserver.yaml
</syntaxhighlight>

systemctl restart matrix-synapse.service

=Cas d'une connexion mandaté=
Dans la mesure où il est courant qu'un serveur ne soit jamais relié directement à Internet (comprendre par la qu'il ne dispose pas d'IP publique), le cas d'un [[:Category:Reverse_proxy|mandataire inverse]] officiant entre les clients du ''WAN'' et le serveur ''Element'' du ''LAN'' est le plus probable. Ce point complique la transparence des échanges entre les machines et doit être géré au niveau de cet intermédiaire. Deux services ont étés testés en production avec succès. Leur configuration est donnée ci-après.

==Traefik==
Ajout d'un point d'entrer dans Traefik pour le port 8448

<syntaxhighlight lang="bash">
cat << _EOF_ >> /etc/traefik/config/vhosts/matrix.toml
[http]
[http.routers]
[http.routers.synapse]
entryPoints = ["websecure"]
rule = "Host(\`${DNS_SYNAPSE}\`)"
service = "synapse"
[http.routers.synapse.tls]
certResolver = "myresolver"

[http.routers.element]
entryPoints = ["websecure"]
rule = "Host(\`${DNS_ELEMENT}\`)"
service = "element"
[http.routers.element.tls]
certResolver = "myresolver"

[http.routers.synapsefed]
entryPoints = ["synapsefed"]
rule = "Host(\`${DNS_SYNAPSE}\`)"
service = "synapse"
[http.routers.synapsefed.tls]
certResolver = "myresolver"

[http.services]
[http.services.synapse.loadBalancer]
[[http.services.synapse.loadBalancer.servers]]
url = "http://${IP_INTERNE}:8008"
[http.services.element.loadBalancer]
[[http.services.element.loadBalancer.servers]]
url = "http://${IP_INTERNE}:80"
_EOF_
</syntaxhighlight>

==HAProxy==
<syntaxhighlight lang="bash">
cat << _EOF_ >> /etc/haproxy/haproxy.cfg
frontend matrix-federation
bind *:8448,[::]:8448 ssl crt /etc/haproxy/tls/ alpn h2,http/1.1
http-request set-header X-Forwarded-Proto https if { ssl_fc }
http-request set-header X-Forwarded-Proto http if !{ ssl_fc }
http-request set-header X-Forwarded-For %[src]
default_backend synapse

frontend https
http-response add-header X-Frame-Options SAMEORIGIN

bind :443 ssl crt /etc/haproxy/tls/ alpn h2,http/1.1

acl host_synapse hdr(host) -i synapse.exemple.fr

use_backend synapse if host_synapse

<backend synapse
option forwardfor except 127.0.0.1
option http-server-close
server synapse 192.168.170.178:8008 check maxconn 32
_EOF_
</syntaxhighlight>

=Débogage=
La configuration de ''Synapse'' est quelque peu imbuvable et les problèmes, difficiles à corriger. Il est possible de s'appuyer sur les journaux du service afin de cibler l'origine des disfonctionnements.
tail -f /var/log/matrix-synapse/homeserver.log

Un outil permettant de determiner les caractéristiques du serveur est disponible à l'adresse https://federationtester.matrix.org/. Il peut s'avérer d'une aide précisieuse (surtout le rapport ''Json'').

=Réinitialisation de mot de passe=
Aussi étrange que cela puisse parraitre, il n'existe pas de fonction pour réinitialiser le mot de passe d'un utilisateur (incroyable) ! Les développeurs de cette solution doivent ignorer que ces derniers perdent régulièrement leur mot de passe et qu'il s'agit donc d'une fonctionnalité indispensable en production.
Heureusement, la structure de l'authentification étant très simple, il est triviale de réaliser cette opération [https://paritoshbh.me/blog/reset-user-password-synapse-matrix-homeserver soit-même] dans la base de données après génération d'un mot de passe haché .

# Génération du mot de passe haché
su - matrix-synapse -s /bin/sh -c 'python3 /usr/libexec/matrix-synapse/hash_password -c /etc/matrix-synapse/homeserver.yaml'
# connexion à la base de donnée de Synapse
su - matrix-synapse -s /bin/sh -c 'sqlite3 /etc/matrix-synapse/homeserver.db'

Après avoir identifié l'utilisateur dont le mot de passe doit être réinitialisé ("michel" pour l'exemple), utiliser le hachi généré pour remplacer l'ancien
<syntaxhighlight lang="sql">
SELECT * FROM users;
UPDATE users SET password_hash='$2b$12$OkrnSR1hOCj0xjb7mDnvf.OXVQ0P/EU8u4lUpMuU5YepvHXpv3sxm' WHERE name='@michel:synapse.exemple.fr';
</syntaxhighlight>

Le changement est instantané.

Unbound

2024-03-11T18:52:45Z

Ycharbi : Ajout d'une astuce pour autoriser un ensemble de sous-domaines dans une liste RPZ

[[Category:Service_dns]]

[https://www.nlnetlabs.nl/projects/unbound/about/ Unbound] est un serveur ''DNS'' faisant office de résolveur récursif et pouvant faire autorité sur des domaines locaux. Il est développé par [https://www.nlnetlabs.nl/ NLnet Labs] et se veut à la fois complet en fonctionnalité, léger (grâce à la modularité de ces dernières) et simple à configurer.

=Installation et configuration=
Installation du service avec une ''Debian Bullseye''
apt install --no-install-recommends unbound

Afin d'utiliser directement les serveurs racines pour la résolution récursive des requêtes clientes, il faut télécharger [https://{{SERVERNAME}}/fichiers/services/dns/root.hints la liste] contenant leurs adresses
wget https://www.internic.net/domain/named.root -O /var/lib/unbound/root.hints && chown unbound:unbound /var/lib/unbound/root.hints

Le fichier de configuration suivant sera utilisé

<syntaxhighlight lang="nestedtext">
cat << _EOF_ > /etc/unbound/unbound.conf
# Fichier de configuration d'Unbound pour Debian.
#
# Référez-vous à la page de manuel unbound.conf(5).
#
# Voyez /usr/share/doc/unbound/examples/unbound.conf pour un
# fichier de configuration de référence commenté.
#
# La ligne suivante permet d'inclure les fichiers de configuration
# additionnels depuis le répertoire /etc/unbound/unbound.conf.d.
include-toplevel: "/etc/unbound/unbound.conf.d/*.conf"

server:
statistics-interval: 0
extended-statistics: yes
statistics-cumulative: yes
verbosity: 3

# Paramètres réseau
interface: 127.0.0.1
interface: 192.168.1.5
port: 53
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: no

# Contrôle d'accès
access-control: 127.0.0.0/8 allow
access-control: 192.168.0.0/16 allow
access-control: 0.0.0.0/0 refuse

# DNSSEC
# auto-trust-anchor-file: "/var/lib/unbound/root.key"
harden-dnssec-stripped: yes

# Adresses des serveurs racine
root-hints: "/var/lib/unbound/root.hints"

# Paramètres système
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 3600
cache-max-ttl: 86400
prefetch: yes
num-threads: 6
msg-cache-slabs: 16
rrset-cache-slabs: 16
infra-cache-slabs: 16
key-cache-slabs: 16
rrset-cache-size: 256m
msg-cache-size: 128m
so-rcvbuf: 1m
unwanted-reply-threshold: 10000
do-not-query-localhost: yes
val-clean-additional: yes

# Journalisation
use-syslog: no
logfile: /var/log/unbound.log

# Paramètres du cache
cache-min-ttl: 3600
cache-max-ttl: 86400
prefetch: yes
prefetch-key: yes
_EOF_
</syntaxhighlight>

Il est possible de servir des domaines locaux (faire autorité)

<syntaxhighlight lang="nestedtext">
cat << _EOF_ > /etc/unbound/unbound.conf.d/ycharbi.yo.conf
server:
local-zone: "ycharbi.yo." static
local-data: "ycharbi.yo. IN A 192.168.1.1"
local-data: "toto1.ycharbi.yo. IN A 192.168.1.25"
local-data: "ycharbi.yo. IN MX 10 toto1.ycharbi.yo."
_EOF_
</syntaxhighlight>

Il est également possible de rediriger des requêtes clientes après modification (''DNS'' menteur aussi appelée ''Reponse Policy Zone'' ou ''RPZ'') afin d’interdire l'accès à certains domaines. J'utilise cette fonctionnalité à deux fins :
* Servir mon [[Debmirror|miroir de dépôt local]] à toute mes machines sans avoir à changer leur [[Sources.list|configuration]]
* Éviter certains sites irrespectueux des données personnelles (utilisation d'une liste automatique [[#Liste_RPZ_automatique|plus bas]])

Il est à noter que tous les sous-domaines de chaque entrée sont automatiquement pris en compte.

{{astuce|Si vous voulez [https://serverfault.com/questions/1104690/how-to-whitelist-domain-in-unbound autoriser] un ensemble de sous-domaines inclus dans un sous-domaine bloqué, vous pouvez utiliser une ligne comportant la syntaxe suivante (exemple pour ''Gmail'') : <code>local-zone: "l.google.com" always_transparent</code>.}}

<syntaxhighlight lang="nestedtext">
cat << _EOF_ > /etc/unbound/unbound.conf.d/rpz.conf
server:
# Miroirs de dépôts APT Debian
local-zone: "ftp.fr.debian.org" redirect
local-data: "ftp.fr.debian.org A 192.168.1.77"
local-zone: "http.debian.net" redirect
local-data: "http.debian.net A 192.168.1.77"
local-zone: "deb.debian.org" redirect
local-data: "deb.debian.org A 192.168.1.77"
local-zone: "security.debian.org" redirect
local-data: "security.debian.org A 192.168.1.77"
local-zone: "httpredir.debian.org" redirect
local-data: "httpredir.debian.org A 192.168.1.77"
local-zone: "debian.map.fastlydns.net" redirect
local-data: "debian.map.fastlydns.net A 192.168.1.77"

# APT utilise aussi des champs SRV pour résoudre l'adresse des miroirs
local-zone: "prod.debian.map.fastly.net" redirect
local-data: "prod.debian.map.fastly.net A 192.168.1.77"
local-zone: "dpvctowv9b08b.cloudfront.net" redirect
local-data: "dpvctowv9b08b.cloudfront.net A 192.168.1.77"
local-zone: "_http._tcp.deb.debian.org." redirect
local-data: "_http._tcp.deb.debian.org. 3600 IN SRV 10 1 80 prod.debian.map.fastly.net."
local-data: "_http._tcp.deb.debian.org. 3600 IN SRV 10 1 80 dpvctowv9b08b.cloudfront.net."

# Saloperies à supprimer
local-zone: "doubleclick.net" redirect
local-data: "doubleclick.net A 127.0.0.1"
local-zone: "googlesyndication.com" redirect
local-data: "googlesyndication.com A 127.0.0.1"
local-zone: "googleadservices.com" redirect
local-data: "googleadservices.com A 127.0.0.1"
local-zone: "google-analytics.com" redirect
local-data: "google-analytics.com A 127.0.0.1"
local-zone: "ads.youtube.com" redirect
local-data: "ads.youtube.com A 127.0.0.1"
local-zone: "adserver.yahoo.com" redirect
local-data: "adserver.yahoo.com A 127.0.0.1"
local-zone: "ask.com" redirect
local-data: "ask.com A 127.0.0.1"
local-zone: "facebook.com" redirect
local-data: "facebook.com A 127.0.0.1"
local-zone: "truste-svc.net" redirect
local-data: "truste-svc.net A 127.0.0.1"
local-zone: "trustarc.com" redirect
local-data: "trustarc.com A 127.0.0.1"
local-zone: "gstatic.com" redirect
local-data: "gstatic.com A 127.0.0.1"
local-zone: "consent.google.com" redirect
local-data: "consent.google.com A 127.0.0.1"
local-zone: "consent.youtube.com" redirect
local-data: "consent.youtube.com A 127.0.0.1"
local-zone: "cdn.privacy-mgmt.com" redirect
local-data: "cdn.privacy-mgmt.com A 127.0.0.1"
local-zone: "privacy-mgmt.com" redirect
local-data: "privacy-mgmt.com A 127.0.0.1"
local-zone: "cdn.cookielaw.org" redirect
local-data: "cdn.cookielaw.org A 127.0.0.1"
local-zone: "digitalfeedback.us.confirmit.com" redirect
local-data: "digitalfeedback.us.confirmit.com A 127.0.0.1"

# Télémétrie Mozilla
local-zone: "incoming.telemetry.mozilla.org" redirect
local-data: "incoming.telemetry.mozilla.org A 127.0.0.1"
_EOF_
</syntaxhighlight>

Vérification de la configuration du service
unbound-checkconf

Redémarrage du service
systemctl restart unbound

Il est également possible de recharger la configuration sans relancer le logiciel. Cela a pour effet de ne pas le faire planter si jamais un fichier de configuration contient une erreur
unbound-control reload

Enfin, il est possible de configurer le système du serveur pour utiliser notre résolveur local et ne pas dépendre d'un résolveur de plus haut niveau (celui de notre ''FAI'' par exemple)
echo "nameserver 127.0.0.1" > /etc/resolv.conf

==Sources de la section==
* https://memo-linux.com/debian-installer-le-serveur-dns-unbound/
* https://memo-linux.com/ubuntu-serveur-dns-unbound/
* https://lists.nlnetlabs.nl/pipermail/unbound-users/2014-October/003573.html
* https://unbound.docs.nlnetlabs.nl/en/latest/manpages/unbound.conf.html

=Convertir une liste de domaines en RPZ=
Il est possible de trouver des listes de domaines générées par des tiers sur Internet ([https://raw.githubusercontent.com/schrebra/Windows.10.DNS.Block.List/main/hosts.txt exemple] d'une liste de domaine utilisés par ''Windows 10'' - [https://github.com/schrebra/Windows.10.DNS.Block.List source]).

Pour les convertir en fichier de configuration ''RPZ'' avec syntaxe ''Unbound'', vous pouvez utiliser mon script :

<syntaxhighlight lang="bash">
#!/bin/bash

# Via un fichier distant
unbound_rbl_src=$(wget -qO - https://raw.githubusercontent.com/schrebra/Windows.10.DNS.Block.List/main/hosts.txt)
# ou via un fichier local
# unbound_rbl_src=$(cat /tmp/windows10-rbl.txt)
unbound_rbl_dst="/tmp/windows10-rbl-unbound.conf"

echo "server:" > "${unbound_rbl_dst}"
for i in $unbound_rbl_src; do
echo -e "\tlocal-zone: \"${i}\" redirect\n\tlocal-data: \"${i} A 127.0.0.1\"" >> "${unbound_rbl_dst}"
done
</syntaxhighlight>

Ce fichier sera à placer dans le répertoire des configurations du résolveur ''DNS'' <code>/etc/unbound/unbound.conf.d/</code> avant rechargement <code>unbound-control reload</code>.

=Liste RPZ automatique=
Le site [https://pgl.yoyo.org pgl.yoyo.org] met à jour et publie une [https://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext liste de domaines] à interdire au format ''Unbound''. Ceci peut être utile afin de filtrer les sites irrespectueux de la vie privée des utilisateurs

{{info|De façon générale, il est préférable de laisser ce filtrage être opéré par les utilisateurs eux-même afin de maintenir un [https://www.arcep.fr/nos-sujets/la-neutralite-du-net.html réseau aussi neutre que possible]. Il est important également de considérer l'aspect sécuritaire au fait de récupérer une liste de résolution canonique sur un site tiers. Rien ne garanti que son administrateur (ou un pirate) n'utilisera cette liste pour faire rediriger un site légitime vers une adresse externe et compromettre l'authenticité de vos communications avec celui-ci. Cette solution est à adapter à la situation locale.}}

Le script suivant (écrit par [https://zestedesavoir.com/@sgble sgble] et adapté par mes soins) permet de récupérer la dernière version de la liste tout en sauvegardant sa copie actuelle, d'en vérifier la syntaxe et ainsi de soit recharger le service, soit restaurer sa version fonctionnelle :

<syntaxhighlight lang="php">
cat << _EOF_ > /usr/local/sbin/maj-rbl-unbound
#!/bin/bash

# Lien de la liste
yoyo_url="https://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext"

# Localisation de la configuration Unbound
unbound_confs="/etc/unbound/unbound.conf.d/"

# Si le fichier précédent existe déjà, le garder en réserver au cas où
if [ -f "${unbound_confs}"/yoyo_blocus.conf ]; then
cp "${unbound_confs}"/yoyo_blocus.conf /tmp/yoyo_blocus.conf.sauv
fi

# Télécharger et placer la liste au bon endroit
wget "${yoyo_url}" -O "${unbound_confs}"/yoyo_blocus.conf && sed -i '1 s/^/server:\n/' "${unbound_confs}"/yoyo_blocus.conf

# Vérifier que Unbound ne rencontre aucun problème avec la liste et recharger si vrai
if unbound-checkconf; then
echo "La nouvelle liste est bonne"
unbound-control reload
echo "Unbound a été rechargé"
# Sinon, rétablir l'ancien fichier qu'on a gardé en réserve
else
echo "La nouvelle liste semble mal formaté"
mv /tmp/yoyo_blocus.conf.sauv "${unbound_confs}"/yoyo_blocus.conf
echo "Une restauration de l'ancienne liste a été effectuée"
fi
_EOF_
</syntaxhighlight>

chmod +x /usr/local/sbin/maj-rbl-unbound

Création d'un [[Minuteur - systemd|minuteur Systemd]] afin d'automatiser l'actualisation de la liste (tous les jours)
mkdir -p /usr/local/etc/systemd/system

<syntaxhighlight lang="ini">
cat << _EOF_ > /usr/local/etc/systemd/system/maj-rbl-unbound.service
[Unit]
Description=Actualisation de la liste RPZ d'Unbound
After=network.target

[Service]
Type=oneshot
ExecStart=maj-rbl-unbound
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target
_EOF_
</syntaxhighlight>

<syntaxhighlight lang="ini">
cat << _EOF_ > /usr/local/etc/systemd/system/maj-rbl-unbound.timer
[Unit]
Description=Exécution journalière de l'actualisation de la liste RPZ d'Unbound

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target
_EOF_
</syntaxhighlight>

ln -s /usr/local/etc/systemd/system/maj-rbl-unbound.service /etc/systemd/system/
ln -s /usr/local/etc/systemd/system/maj-rbl-unbound.timer /etc/systemd/system/

systemctl daemon-reload

systemctl enable maj-rbl-unbound.timer
systemctl start maj-rbl-unbound.timer

=Sources de la section=
* https://zestedesavoir.com/billets/3908/avoir-son-dns-local-securite-controle-et-performance/

Ffmpeg

2024-03-05T17:27:58Z

Ycharbi : /* Redimensionner une vidéo */ Correction d'une mise en gras non terminée

[[Category:linux]]
[https://fr.wikipedia.org/wiki/FFmpeg FFmpeg] est une collection de logiciels libres destinés au traitement de flux audio ou vidéo (enregistrement, lecture ou conversion d'un format à un autre). Cette bibliothèque est utilisée par de nombreux autres logiciels ou services comme ''VLC'', ''iTunes'' ou ''YouTube''.

Développé sur ''GNU/Linux'', ''FFmpeg'' peut être compilé sur la plupart des systèmes d'exploitation, y compris [[:Category:Windows|Windows]]. Le projet est distribué sous licence libre, [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_GNU GPL] 2+ ou [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_limit%C3%A9e_GNU LGPL] 2.1+ en fonction des options de compilation du projet.

=Extraire le son=
Voici comment [http://www.loopsbeats.com/convert/extract-audio-with-ffmpeg.html extraire le son] d'une vidéo ''mp4'' en ''mp3'' :
ffmpeg -i toto.mp4 -vn -ar 44100 -ac 2 -ab 192 -f mp3 toto.mp3

=Extraire la jaquette=
Les fichiers audios embarquent souvent une image (communément la jaquette de l'album). Voici comment la [https://unix.stackexchange.com/questions/41287/how-to-extract-album-cover-image-from-mp3-file récupérer] :
ffmpeg -i fichier.mp3 -an -c:v copy fichier.jpg

=Couper un extrait=
Il est possible de [https://superuser.com/questions/138331/using-ffmpeg-to-cut-up-video#704118 découper un morceau] de fichier avec ceci :
ffmpeg -ss 00:00:53 -i Pas\ de\ manières-5hjNP5dNNs4.m4a -t 00:00:11 -c copy Ta_cherie.m4a

Explications :
* '''-ss''' : début de la découpe
* '''-i''' : fichier source
* '''-t''' : temps à garder à partir de '''-ss'''
* '''-c''' : action à effectuer

Il est aussi possible de préciser le nombre de trames à conserver à partir d'un temps donnée (plus précis) :
ffmpeg -y -ss 00:01:28 -i Toto.mp4 -c:v libx264 -c:a aac -frames:v 100 /tmp/titi.mp4

Paramètres différents :
* '''-c:v libx264''' : codec vidéo de transcodage (facultatif)
* '''-c:a aac''' : codec audio de transcodage (facultatif)
* '''-frames:v 100''' : garder 100 trames (le "v" peut être remplacé par un "a" en cas de fichier uniquement audio)

Dans le cas d'une vidéo comportant [https://stackoverflow.com/questions/60445661/ffmpeg-how-do-i-choose-the-correct-audio-track plusieurs] pistes audios, il est possible de sélectionner la désirée de la manière suivante :
ffmpeg -y -ss 00:27:26 -i Toto.mp4 -c:v libx264 -c:a aac -frames:v 530 -map 0:v:0 -map 0:a:2 /tmp/titi.mp4.mp4

Paramètres différents :
* '''-map 0:v:0''' : première piste vidéo
* '''-map 0:a:2''' : troisième piste audio

=Convertir un fichier=
Pour [https://fr.wikihow.com/utiliser-FFmpeg convertir un fichier] dans un autre format :
ffmpeg -i Ni_flic_ni_pd.ogg Ni_flic_ni_pd.mp3

''Note: L'outil détecte automatiquement le format du fichier voulu en lisant l'extension de destination.''

Il est possible d'ajouter des paramètres afin de préciser des [https://trac.ffmpeg.org/wiki/Encode/H.264 caractéristiques d'encodage]. [https://emirchouchane.com/h264-ffmpeg/ Par exemple], pour une conversion vidéo en ''h264'' :
ffmpeg -i vidéo.m4v -c:v libx264 -crf 23 vidéo.mp4

Explications :
* '''-c:v libx264''' : sélection du codec (''-c'') vidéo ('':v'') h264 (''libx264'')
* '''-crf 23''' : facteur de taux constant (''Constant Rate Factor'') à 23. Permet de définir le débit binaire de la vidéo

<img src="https://{{SERVERNAME}}/fichiers/multim%c3%a9dia/conversion/ffmpeg/%c3%89chelle_Constant_Rate_Factor.svg"></img>

Autre exemple avec une conversion en [https://trac.ffmpeg.org/wiki/Encode/H.265 h265] :
ffmpeg -i vidéo.mp4 -c:v libx265 -crf 26 -preset fast -c:a eac3 -b:a 640k /tmp/vidéo.mp4

* '''-c:v libx265''' : codec vidéo en ''h265''
* '''-preset fast''' : vitesse d'encodage et profile de compression (énumérés [https://trac.ffmpeg.org/wiki/Encode/H.265#ConstantRateFactorCRF ici])
* '''-c:a eac3''' : codec audio en ''eac3''
* '''-b:a 640k''' : débit binaire du flux audio

=Redimensionner une vidéo=
Outre le codec à utiliser et le ''CRF'' à modifier, il est possible d'alléger une vidéo en réduisant ses dimensions. Les différentes techniques combinées peuvent permettre d'arriver à envoyer péniblement une vidéo par [https://fr.wikipedia.org/wiki/Multimedia_Messaging_Service MMS]...
ffmpeg -y -i /tmp/a.mp4 -crf 33 -vf "scale=iw/2:ih/2" /tmp/b.mp4

Explications :
* '''-y''' : écrase la destination sans demander de confirmation
* '''-i''' : fichier source
* '''-crf 33''' : forte compression (destructrice) de la vidéo
* '''-vf "scale=iw/2:ih/2"''' : réduction par deux des dimensions de la vidéo

=Fusionner une bande vidéo et une bande son=
Il est possible de [https://qastack.fr/superuser/277642/how-to-merge-audio-and-video-file-in-ffmpeg regrouper] dans un même fichier multimédia ([https://fr.wikipedia.org/wiki/Format_conteneur conteneur]) une bande vidéo et une bande son. Un cas typique est le téléchargement d'une vidéo sur le site [https://crowdbunker.com crowdbunker.com] via les fichiers <syntaxhighlight lang="bash" inline>.m3u</syntaxhighlight> capturés dans le trafic réseau. La vidéo est découplé du son (deux téléchargements séparés) et c'est le lecteur vidéo ''WEB'' qui se charge de lire les deux en même temps. Pour fusionner les deux après téléchargement en local, la commande suivante peut être utilisée :
ffmpeg -i Vidéo_source.mp4 -i Audio_source.mp4 -c:v copy -c:a aac -strict experimental Vidéo_et_audio_destination.mp4

Ffmpeg

2024-03-05T16:58:12Z

Ycharbi : /* Couper un extrait */ Ajout d'une méthode pour sélectionner une piste audio + correction typographique

[[Category:linux]]
[https://fr.wikipedia.org/wiki/FFmpeg FFmpeg] est une collection de logiciels libres destinés au traitement de flux audio ou vidéo (enregistrement, lecture ou conversion d'un format à un autre). Cette bibliothèque est utilisée par de nombreux autres logiciels ou services comme ''VLC'', ''iTunes'' ou ''YouTube''.

Développé sur ''GNU/Linux'', ''FFmpeg'' peut être compilé sur la plupart des systèmes d'exploitation, y compris [[:Category:Windows|Windows]]. Le projet est distribué sous licence libre, [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_GNU GPL] 2+ ou [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_limit%C3%A9e_GNU LGPL] 2.1+ en fonction des options de compilation du projet.

=Extraire le son=
Voici comment [http://www.loopsbeats.com/convert/extract-audio-with-ffmpeg.html extraire le son] d'une vidéo ''mp4'' en ''mp3'' :
ffmpeg -i toto.mp4 -vn -ar 44100 -ac 2 -ab 192 -f mp3 toto.mp3

=Extraire la jaquette=
Les fichiers audios embarquent souvent une image (communément la jaquette de l'album). Voici comment la [https://unix.stackexchange.com/questions/41287/how-to-extract-album-cover-image-from-mp3-file récupérer] :
ffmpeg -i fichier.mp3 -an -c:v copy fichier.jpg

=Couper un extrait=
Il est possible de [https://superuser.com/questions/138331/using-ffmpeg-to-cut-up-video#704118 découper un morceau] de fichier avec ceci :
ffmpeg -ss 00:00:53 -i Pas\ de\ manières-5hjNP5dNNs4.m4a -t 00:00:11 -c copy Ta_cherie.m4a

Explications :
* '''-ss''' : début de la découpe
* '''-i''' : fichier source
* '''-t''' : temps à garder à partir de '''-ss'''
* '''-c''' : action à effectuer

Il est aussi possible de préciser le nombre de trames à conserver à partir d'un temps donnée (plus précis) :
ffmpeg -y -ss 00:01:28 -i Toto.mp4 -c:v libx264 -c:a aac -frames:v 100 /tmp/titi.mp4

Paramètres différents :
* '''-c:v libx264''' : codec vidéo de transcodage (facultatif)
* '''-c:a aac''' : codec audio de transcodage (facultatif)
* '''-frames:v 100''' : garder 100 trames (le "v" peut être remplacé par un "a" en cas de fichier uniquement audio)

Dans le cas d'une vidéo comportant [https://stackoverflow.com/questions/60445661/ffmpeg-how-do-i-choose-the-correct-audio-track plusieurs] pistes audios, il est possible de sélectionner la désirée de la manière suivante :
ffmpeg -y -ss 00:27:26 -i Toto.mp4 -c:v libx264 -c:a aac -frames:v 530 -map 0:v:0 -map 0:a:2 /tmp/titi.mp4.mp4

Paramètres différents :
* '''-map 0:v:0''' : première piste vidéo
* '''-map 0:a:2''' : troisième piste audio

=Convertir un fichier=
Pour [https://fr.wikihow.com/utiliser-FFmpeg convertir un fichier] dans un autre format :
ffmpeg -i Ni_flic_ni_pd.ogg Ni_flic_ni_pd.mp3

''Note: L'outil détecte automatiquement le format du fichier voulu en lisant l'extension de destination.''

Il est possible d'ajouter des paramètres afin de préciser des [https://trac.ffmpeg.org/wiki/Encode/H.264 caractéristiques d'encodage]. [https://emirchouchane.com/h264-ffmpeg/ Par exemple], pour une conversion vidéo en ''h264'' :
ffmpeg -i vidéo.m4v -c:v libx264 -crf 23 vidéo.mp4

Explications :
* '''-c:v libx264''' : sélection du codec (''-c'') vidéo ('':v'') h264 (''libx264'')
* '''-crf 23''' : facteur de taux constant (''Constant Rate Factor'') à 23. Permet de définir le débit binaire de la vidéo

<img src="https://{{SERVERNAME}}/fichiers/multim%c3%a9dia/conversion/ffmpeg/%c3%89chelle_Constant_Rate_Factor.svg"></img>

Autre exemple avec une conversion en [https://trac.ffmpeg.org/wiki/Encode/H.265 h265] :
ffmpeg -i vidéo.mp4 -c:v libx265 -crf 26 -preset fast -c:a eac3 -b:a 640k /tmp/vidéo.mp4

* '''-c:v libx265''' : codec vidéo en ''h265''
* '''-preset fast''' : vitesse d'encodage et profile de compression (énumérés [https://trac.ffmpeg.org/wiki/Encode/H.265#ConstantRateFactorCRF ici])
* '''-c:a eac3''' : codec audio en ''eac3''
* '''-b:a 640k''' : débit binaire du flux audio

=Redimensionner une vidéo=
Outre le codec à utiliser et le ''CRF'' à modifier, il est possible d'alléger une vidéo en réduisant ses dimensions. Les différentes techniques combinées peuvent permettre d'arriver à envoyer péniblement une vidéo par [https://fr.wikipedia.org/wiki/Multimedia_Messaging_Service MMS]...
ffmpeg -y -i /tmp/a.mp4 -crf 33 -vf "scale=iw/2:ih/2" /tmp/b.mp4

Explications :
* '''-y''' : écrase la destination sans demander de confirmation
* '''-i''' : fichier source
* '''-crf 33''' : forte compression (destructrice) de la vidéo
* '''-vf "scale=iw/2:ih/2" réduction par deux des dimensions de la vidéo

=Fusionner une bande vidéo et une bande son=
Il est possible de [https://qastack.fr/superuser/277642/how-to-merge-audio-and-video-file-in-ffmpeg regrouper] dans un même fichier multimédia ([https://fr.wikipedia.org/wiki/Format_conteneur conteneur]) une bande vidéo et une bande son. Un cas typique est le téléchargement d'une vidéo sur le site [https://crowdbunker.com crowdbunker.com] via les fichiers <syntaxhighlight lang="bash" inline>.m3u</syntaxhighlight> capturés dans le trafic réseau. La vidéo est découplé du son (deux téléchargements séparés) et c'est le lecteur vidéo ''WEB'' qui se charge de lire les deux en même temps. Pour fusionner les deux après téléchargement en local, la commande suivante peut être utilisée :
ffmpeg -i Vidéo_source.mp4 -i Audio_source.mp4 -c:v copy -c:a aac -strict experimental Vidéo_et_audio_destination.mp4

Shred

2024-02-29T20:27:28Z

Ycharbi : Correction de fautes

[[Category:Linux]]

[https://www.man7.org/linux/man-pages/man1/shred.1.html Shred] (déchiqueter) est un outil des [https://www.gnu.org/software/coreutils/coreutils.html GNU coreutils] permettant l’effacement sécurisé de données sur un système de fichiers monté en lecture/écriture. Il permet de s'assurer qu'un fichier a bien été totalement écrasé sans laisser de trace dans les blocs l'ayant accueilli en écrivant des caractères pseudos-aléatoires par dessus celui-ci (3 fois par défaut). Il agit donc comme une déchiqueteuse de papier physique.

En effet, la suppression traditionnelle ainsi que les formatages rapides se contentent généralement de vider les nœuds d'index (''inodes'') correspondants aux blocs contenants l'information et non les données elles mêmes. Les fichiers sont alors récupérables via des outils dédiés.

Le programme n'intégrant pas d'option de récursivité, il faut passer par une boucle pour supprimer le contenu d'un répertoire. La [https://unix.stackexchange.com/questions/27027/how-do-i-recursively-shred-an-entire-directory-tree commande] <code>find</code> peut être employée pour réaliser cette tâche finement
find <rèp> -type f -exec shred -uvz {} \;

Options :
* '''-u''' : dés-alloue les blocs et supprime le fichier après réécriture (par défaut, il le laisse rempli avec des caractères pseudos-aléatoires)
* '''-v''' : affiche les opérations en cours
* '''-z''' : ajoute une passe de zéro pour masquer le déchiquetage

Shred

2024-02-29T16:15:10Z

Ycharbi : Correction d'une faute de frappe dans la catégorie de la page

[[Category:Linux]]

[https://www.man7.org/linux/man-pages/man1/shred.1.html Shred] (déchiqueter) est un outil des [https://www.gnu.org/software/coreutils/coreutils.html GNU coreutils] permettant l’efficacement sécurisé de données sur un système de fichiers monté en lecture/écriture. Il permet de s'assurer qu'un fichier a bien été totalement écrasé sans laisser de trace dans les blocs l'ayant accueilli en réécrivant des caractères pseudos-aléatoires par dessus celui-ci (3 fois par défaut). Il agit donc comme une déchiqueteuse de papier physique.

En effet, la suppression traditionnelle ainsi que les formatages rapides se contentent généralement vider les nœud d'index (''inodes'') correspondant aux blocs contenant les données et non les données elles mêmes. Les fichiers sont alors récupérables via des outils dédiés.

Le programme n'intégrant pas d'option de récursivité, il faut passer par une boucle pour supprimer le contenu d'un répertoire. La [https://unix.stackexchange.com/questions/27027/how-do-i-recursively-shred-an-entire-directory-tree commande] <code>find</code> peut être employée pour réaliser cette tâche finement
find <rèp> -type f -exec shred -uvz {} \;

Options :
* '''-u''' : dés-alloue les blocs et supprime le fichier après réécriture (par défaut, il le laisse rempli des caractères pseudos-aléatoires)
* '''-v''' : affiche les opérations en cours
* '''-z''' : ajoute une passe de zéro pour masquer le déchiquetage

Shred

2024-02-29T16:14:09Z

Ycharbi : Page créée avec « Linux [https://www.man7.org/linux/man-pages/man1/shred.1.html Shred] (déchiqueter) est un outil des [https://www.gnu.org/software/coreutils/coreutils.html GNU coreutils] permettant l’efficacement sécurisé de données sur un système de fichiers monté en lecture/écriture. Il permet de s'assurer qu'un fichier a bien été totalement écrasé sans laisser de trace dans les blocs l'ayant accueilli en réécrivant des caractères pseudos-aléatoire... »

[[Categoy|Linux]]

[https://www.man7.org/linux/man-pages/man1/shred.1.html Shred] (déchiqueter) est un outil des [https://www.gnu.org/software/coreutils/coreutils.html GNU coreutils] permettant l’efficacement sécurisé de données sur un système de fichiers monté en lecture/écriture. Il permet de s'assurer qu'un fichier a bien été totalement écrasé sans laisser de trace dans les blocs l'ayant accueilli en réécrivant des caractères pseudos-aléatoires par dessus celui-ci (3 fois par défaut). Il agit donc comme une déchiqueteuse de papier physique.

En effet, la suppression traditionnelle ainsi que les formatages rapides se contentent généralement vider les nœud d'index (''inodes'') correspondant aux blocs contenant les données et non les données elles mêmes. Les fichiers sont alors récupérables via des outils dédiés.

Le programme n'intégrant pas d'option de récursivité, il faut passer par une boucle pour supprimer le contenu d'un répertoire. La [https://unix.stackexchange.com/questions/27027/how-do-i-recursively-shred-an-entire-directory-tree commande] <code>find</code> peut être employée pour réaliser cette tâche finement
find <rèp> -type f -exec shred -uvz {} \;

Options :
* '''-u''' : dés-alloue les blocs et supprime le fichier après réécriture (par défaut, il le laisse rempli des caractères pseudos-aléatoires)
* '''-v''' : affiche les opérations en cours
* '''-z''' : ajoute une passe de zéro pour masquer le déchiquetage

Ffmpeg

2024-02-28T21:42:48Z

Ycharbi : Ajout d'une méthode supplémentaire pour couper un extrait de média + ajout de la section "Redimensionner une vidéo"

[[Category:linux]]
[https://fr.wikipedia.org/wiki/FFmpeg FFmpeg] est une collection de logiciels libres destinés au traitement de flux audio ou vidéo (enregistrement, lecture ou conversion d'un format à un autre). Cette bibliothèque est utilisée par de nombreux autres logiciels ou services comme ''VLC'', ''iTunes'' ou ''YouTube''.

Développé sur ''GNU/Linux'', ''FFmpeg'' peut être compilé sur la plupart des systèmes d'exploitation, y compris [[:Category:Windows|Windows]]. Le projet est distribué sous licence libre, [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_GNU GPL] 2+ ou [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_limit%C3%A9e_GNU LGPL] 2.1+ en fonction des options de compilation du projet.

=Extraire le son=
Voici comment [http://www.loopsbeats.com/convert/extract-audio-with-ffmpeg.html extraire le son] d'une vidéo ''mp4'' en ''mp3'' :
ffmpeg -i toto.mp4 -vn -ar 44100 -ac 2 -ab 192 -f mp3 toto.mp3

=Extraire la jaquette=
Les fichiers audios embarquent souvent une image (communément la jaquette de l'album). Voici comment la [https://unix.stackexchange.com/questions/41287/how-to-extract-album-cover-image-from-mp3-file récupérer] :
ffmpeg -i fichier.mp3 -an -c:v copy fichier.jpg

=Couper un extrait=
Il est possible de [https://superuser.com/questions/138331/using-ffmpeg-to-cut-up-video#704118 découper un morceau] de fichier avec ceci :
ffmpeg -ss 00:00:53 -i Pas\ de\ manières-5hjNP5dNNs4.m4a -t 00:00:11 -c copy Ta_cherie.m4a

Explications :
* '''-ss''' : début de la découpe
* '''-i''' : fichier source
* '''-t''' : temps à garder à partir de '''-ss'''
* '''-c''' : action à effectuer

Il est aussi possible de préciser le nombre de trames à conserver à partir d'un temps donnée (plus précis)
ffmpeg -y -ss 00:01:28 -i Toto.mp4 -c:v libx264 -c:a aac -frames:v 100 /tmp/titi.mp4

Paramètres différents :
* '''-c:v libx264''' : codec vidéo de transcodage (facultatif)
* '''-c:a aac''' : codec audio de transcodage (facultatif)
* '''-frames:v 100''' : garder 100 trames (le "v" peut être remplacé par un "a" en cas de fichier uniquement audio)

=Convertir un fichier=
Pour [https://fr.wikihow.com/utiliser-FFmpeg convertir un fichier] dans un autre format :
ffmpeg -i Ni_flic_ni_pd.ogg Ni_flic_ni_pd.mp3

''Note: L'outil détecte automatiquement le format du fichier voulu en lisant l'extension de destination.''

Il est possible d'ajouter des paramètres afin de préciser des [https://trac.ffmpeg.org/wiki/Encode/H.264 caractéristiques d'encodage]. [https://emirchouchane.com/h264-ffmpeg/ Par exemple], pour une conversion vidéo en ''h264'' :
ffmpeg -i vidéo.m4v -c:v libx264 -crf 23 vidéo.mp4

Explications :
* '''-c:v libx264''' : sélection du codec (''-c'') vidéo ('':v'') h264 (''libx264'')
* '''-crf 23''' : facteur de taux constant (''Constant Rate Factor'') à 23. Permet de définir le débit binaire de la vidéo

<img src="https://{{SERVERNAME}}/fichiers/multim%c3%a9dia/conversion/ffmpeg/%c3%89chelle_Constant_Rate_Factor.svg"></img>

Autre exemple avec une conversion en [https://trac.ffmpeg.org/wiki/Encode/H.265 h265] :
ffmpeg -i vidéo.mp4 -c:v libx265 -crf 26 -preset fast -c:a eac3 -b:a 640k /tmp/vidéo.mp4

* '''-c:v libx265''' : codec vidéo en ''h265''
* '''-preset fast''' : vitesse d'encodage et profile de compression (énumérés [https://trac.ffmpeg.org/wiki/Encode/H.265#ConstantRateFactorCRF ici])
* '''-c:a eac3''' : codec audio en ''eac3''
* '''-b:a 640k''' : débit binaire du flux audio

=Redimensionner une vidéo=
Outre le codec à utiliser et le ''CRF'' à modifier, il est possible d'alléger une vidéo en réduisant ses dimensions. Les différentes techniques combinées peuvent permettre d'arriver à envoyer péniblement une vidéo par [https://fr.wikipedia.org/wiki/Multimedia_Messaging_Service MMS]...
ffmpeg -y -i /tmp/a.mp4 -crf 33 -vf "scale=iw/2:ih/2" /tmp/b.mp4

Explications :
* '''-y''' : écrase la destination sans demander de confirmation
* '''-i''' : fichier source
* '''-crf 33''' : forte compression (destructrice) de la vidéo
* '''-vf "scale=iw/2:ih/2" réduction par deux des dimensions de la vidéo

=Fusionner une bande vidéo et une bande son=
Il est possible de [https://qastack.fr/superuser/277642/how-to-merge-audio-and-video-file-in-ffmpeg regrouper] dans un même fichier multimédia ([https://fr.wikipedia.org/wiki/Format_conteneur conteneur]) une bande vidéo et une bande son. Un cas typique est le téléchargement d'une vidéo sur le site [https://crowdbunker.com crowdbunker.com] via les fichiers <syntaxhighlight lang="bash" inline>.m3u</syntaxhighlight> capturés dans le trafic réseau. La vidéo est découplé du son (deux téléchargements séparés) et c'est le lecteur vidéo ''WEB'' qui se charge de lire les deux en même temps. Pour fusionner les deux après téléchargement en local, la commande suivante peut être utilisée :
ffmpeg -i Vidéo_source.mp4 -i Audio_source.mp4 -c:v copy -c:a aac -strict experimental Vidéo_et_audio_destination.mp4

Unified kernel image

2024-02-28T11:46:40Z

Ycharbi : /* Secure Boot */ Ajout d'une recommandation sur le mot de passe UEFI

[[Category:Noyau_linux]]

Une Image Noyau Unifiée (INU) ou ''Unified Kernel Image'' (''UKI'') est la combinaison d'un programme de démarrage ''UEFI'', d'une image noyau ''Linux'', d'un ''initrd'' ainsi que d'autres ressources optionnelles dans un seul fichier ''UEFI [https://fr.wikipedia.org/wiki/Portable_Executable PE]''. Il peut alors être invoqué directement par :
* le micrologiciel ''UEFI'' : utile notamment dans certains environnements d'informatique en nuage ou confidentiels
* un chargeur de démarrage : généralement utile pour permettre plusieurs versions de noyau avec une sélection interactive ou automatique de la version dans laquelle démarrer ([[Systemd-boot]] ou [[Grub]] permettent cela)

L'amorçage de cette image unifiée est permise par le ''stub'', programme logé dans celle-ci et pouvant être interprété par l{{'}}''UEFI''. Il constitue donc la partie exécutable initiale de l'image combinée et charge par la suite d'autres ressources à partir du reste de l{{'}}''INU'', en particulier le noyau et l{{'}}''initrd''.

La [https://uapi-group.org/specifications/specs/unified_kernel_image/ spécification officielle] définit le format et les composants (obligatoires et optionnels) des ''UKI'' qui sont fournis en tant que sections ''PE/COFF'' de l'exécutable.

L'intérêt principal de cette approche est qu'elle permet de mieux sécuriser le démarrage d'un système en exposant un unique binaire (''UEFI PE'') en clair sur le disque d'amorçage (''EFI System Partition'' - ''ESP'') au lieu d'une multitude de fichiers pouvant être modifiés par le premier pirate venu. Cet exécutable pourra alors être signé par ''Secure Boot'' et permettre, entre-autre, le déchiffrement de la racine en s'assurant de l’absence de sa propre altération (enregistreur de frappes par exemple).

=Image Noyau Unifiée=
==Installation des outils==
La génération d'une ''INU'' nécessite quelques outils. Le projet ''Systemd'' met à disposition un programme ''Python'' nommé <code>Ukify</code> à partir de la version 253 de l{{'}}''init''. Il est logé à l'emplacement <code>/usr/lib/systemd/ukify</code> mais nécessite la bibliothèque <code>python3-pefile</code> et ses dépendances pour fonctionner. L'approche exposé dans ce document visant la frugalité (''Ukify'' apporte surtout une configuration épurée mais l'aspect fonctionnel est identique), le strict nécessaire sera installé.
apt install --no-install-recommends systemd-boot-efi binutils gawk sbsigntool

Détails des paquets installés :
* '''systemd-boot-efi''' : fournit le ''stub <code>/usr/lib/systemd/boot/efi/linuxx64.efi.stub</code>
* '''binutils''' : fournit le programme de construction du binaire ''PE'' <code>objdump</code>
* '''gawk''' : fournit la version ''GNU'' de l'interpréteur de langage ''AWK'' afin de ne pas avoir l'erreur de fonction non définie <code>function strtonum never defined</code> du <code>awk</code> de base
* '''sbsigntool''' : permet de signer l{{'}}''UKI'' en vu d'une validation ''Secure Boot'' (optionnel)

==Script de génération==
La génération d'une ''UKI'' nécessitant la concaténation d'une multitude d'éléments, il n'est pas envisageable de renseigner l'ensemble des paramètres manuellement. Je vous propose un script permettant la création d'une image ainsi que sa rotation sur trois versions différentes (l'une écrase la précédente à chaque nouvelle exécution).
vim /mnt/usr/local/sbin/gen-uki

<syntaxhighlight lang="bash">
#!/bin/bash

# Récupération de la version du noyau en cours d'utilisation
if [[ -n "${1}" ]]; then
version_noyau="${1}"
else
version_noyau="$(uname -r)"
fi

# Chemin vers l'initrd de travail
if [[ -n "${2}" ]]; then
chemin_initrd="${2}"
else
chemin_initrd="/boot/initrd.img-${version_noyau}"
fi

# Chemin vers le noyau de travail
if [[ -n "${2}" ]]; then
chemin_noyau="/boot/vmlinuz-${1}"
else
chemin_noyau="/boot/vmlinuz-${version_noyau}"
fi

# Définition des variables du script
chemin_lsb="/usr/lib/os-release"
chemin_stub="/usr/lib/systemd/boot/efi/linuxx64.efi.stub"
chemin_cmdline="/etc/kernel/cmdline"
chemin_splash="/dev/null"
nom_uki1="1-debian.efi"
nom_uki2="2-debian.efi"
nom_uki3="3-debian.efi"
chemin_base="/boot/efi/EFI/Linux/"
chemin_dst_uki="${chemin_base}/${nom_uki1}"
chemin_sb_clef="/usr/local/lib/secureboot/mok/MOK.priv"
chemin_sb_cert="/usr/local/lib/secureboot/mok/MOK.pem"

# Création de l'arborescence des UKI
mkdir -p "${chemin_base}"

# Préparation de l'UKI
align="$(objdump -p ${chemin_stub} | awk '{ if ($1 == "SectionAlignment"){print $2} }')"
align=$((16#$align))
osrel_offs="$(objdump -h "${chemin_stub}" | awk 'NF==7 {size=strtonum("0x"$3); offset=strtonum("0x"$4)} END {print size + offset}')"
osrel_offs=$((osrel_offs + "$align" - osrel_offs % "$align"))
cmdline_offs=$((osrel_offs + $(stat -Lc%s "${chemin_lsb}")))
cmdline_offs=$((cmdline_offs + "$align" - cmdline_offs % "$align"))
splash_offs=$((cmdline_offs + $(stat -Lc%s "${chemin_cmdline}")))
splash_offs=$((splash_offs + "$align" - splash_offs % "$align"))
initrd_offs=$((splash_offs + $(stat -Lc%s "${chemin_splash}")))
initrd_offs=$((initrd_offs + "$align" - initrd_offs % "$align"))
linux_offs=$((initrd_offs + $(stat -Lc%s "${chemin_initrd}")))
linux_offs=$((linux_offs + "$align" - linux_offs % "$align"))

# Roulement, si elle existe et n'est pas vide, de l'UKI 2 en 3
if [[ -s "${chemin_base}${nom_uki2}" ]]; then
echo "Copie de l'UKI 2 en 3..."
cp -v "${chemin_base}${nom_uki2}" "${chemin_base}${nom_uki3}"
fi

# Roulement, si elle existe et n'est pas vide, de l'UKI 1 en 2
if [[ -s "${chemin_dst_uki}" ]]; then
echo "Copie de l'UKI 1 en 2..."
cp -v "${chemin_dst_uki}" "${chemin_base}${nom_uki2}"
fi

echo "Génération de l'image noyau combinée (UKI) numéro 1..."
objcopy \
--add-section .osrel="${chemin_lsb}" --change-section-vma .osrel=$(printf 0x%x $osrel_offs) \
--add-section .cmdline="${chemin_cmdline}" --change-section-vma .cmdline=$(printf 0x%x $cmdline_offs) \
--add-section .splash="${chemin_splash}" --change-section-vma .splash=$(printf 0x%x $splash_offs) \
--add-section .initrd="${chemin_initrd}" --change-section-vma .initrd=$(printf 0x%x $initrd_offs) \
--add-section .linux="${chemin_noyau}" --change-section-vma .linux=$(printf 0x%x $linux_offs) \
"${chemin_stub}" "${chemin_dst_uki}"

# Signature de l'UKI pour la vérification Secure Boot seulement si la clé et son certificat son présents
if [[ -r "${chemin_sb_clef}" && -r "${chemin_sb_cert}" ]]; then
sbsign --key "${chemin_sb_clef}" --cert "${chemin_sb_cert}" --output "${chemin_dst_uki}" "${chemin_dst_uki}"
sbverify --cert "${chemin_sb_cert}" "${chemin_dst_uki}"
fi
</syntaxhighlight>

Les [[Paramètres linux|paramètres]] du noyau (de la variable <code>$chemin_cmdline</code>) doivent contenir les informations sur votre système de fichier racine afin que ''Linux'' puisse l'amorcer. Vous pouvez vous appuyer sur l'exemple ci-dessous qui comprend une partition chiffrée contenant un sous-volume ''BTRFS''.

<syntaxhighlight lang="bash">
echo "root=UUID=${uuid_racine} cryptdevice=UUID=${uuid_luks} ro rootflags=subvol=@rootfs console=tty0 console=ttyS0,115200n8" > /mnt/etc/kernel/cmdline
</syntaxhighlight>

Pensez bien entendu à remplacer les variables par vos propres valeurs...

Vous pouvez également vous appuyer sur le <code>/proc/cmdline</code> pour visualiser les paramètres utilisés par votre propre système afin de vous en inspirer. La liste des paramètres possible est visualisable dans la [https://www.kernel.org/doc/html/v6.5/admin-guide/kernel-parameters.html documentation] du noyau.

chmod u+x /usr/local/sbin/gen-uki

==Automatisation==
Le script ainsi créé peut être lancé manuellement mais il est préférable qu'il soit appelé à chaque mise à jour de noyau ou d{{'}}''initrd'' afin de garantir un démarrage sur la dernière version disponible. Cette dépendance se créée en l'exposant dans les répertoire de post-construction de nos deux composants d'intérêts.

mkdir -p /etc/initramfs/post-update.d
ln -s /usr/local/sbin/gen-uki /etc/initramfs/post-update.d/zz-gen-uki
ln -s /usr/local/sbin/gen-uki /etc/kernel/postinst.d/zz-gen-uki
chmod u+x /etc/initramfs/post-update.d/zz-gen-uki /etc/kernel/postinst.d/zz-gen-uki

{{info|Le répertoire <code>/etc/initramfs/post-update.d</code> n'est pas créé par défaut dans ''GNU/Linux Debian'' mais est bien parcouru lors de la génération d'une nouvelle archive d{{'}}''init''.}}

==Création des entrées de démarrage==
Dans l'optique d'optimiser au mieux le démarrage de notre machine, nous n'utiliserons aucun chargeur d'amorçage. Nous créerons alors des entrées de démarrage dans notre ''UEFI'' pointant directement sur nos ''UKI'' (son menu nous permettra de sélectionner la version à lancer). Pour se faire, il est possible de passer par l'interface de celui-ci (lorsque l'option est disponible) ou via l'outil [[Efibootmgr]] (universel). Voici un exemple pour les trois générées par le script (il est possible de créer les entrées avant les images) :

<syntaxhighlight lang="bash">
disque_systeme=/dev/nvme0n1

efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\1-debian.efi' -L "Debian UKI 1"
efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\2-debian.efi' -L "Debian UKI 2"
efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\3-debian.efi' -L "Debian UKI 3"
</syntaxhighlight>

Ainsi, dans le cas malencontreux où une mise à jour de noyau ou une reconstruction d{{'}}''initrd'' occasionne une impossibilité à démarrer, les versions précédentes de votre image vous permettront de vous en sortir.

==Sources de la section==
* https://uapi-group.org/specifications/specs/unified_kernel_image/
* https://0pointer.de/blog/brave-new-trusted-boot-world.html
* https://wiki.debian.org/EFIStub#Setting_up_a_Unified_Kernel_Image

=Secure Boot=

{{info|Cette section est facultative.}}

''Secure Boot'' ([https://uefi.org/sites/default/files/resources/UEFI_Spec_2_3_1.pdf chapitre 27] des spécification ''UEFI'') est une fonctionnalité apparue avec la version 2.3.1 de l{{'}}''UEFI'' permettant de borner l'amorçage aux seuls systèmes dont la signature cryptographique est reconnue par sa base interne. Son intérêt principal est d'empêcher l'exécution de code ayant été ajouté à l{{'}}''UEFI PE'' à l'insu de l'administrateur de la machine mais il peut également servir, entre-autre, à empêcher tout autre système (amorçage ''USB'' par exemple) de démarrer.

Afin que cette fonction ai un sens, il est préférable de n'autoriser que vos propres clés. Ceci n'est malheureusement pas possible sur la plupart des ''PC'' du marcher. En effet, les ''UEFI'' des machines grand publique embarquent celles de ''Microsoft'' pour le démarrage de ''Windows'' (obligatoire pour bénéficier de la certification idoine) et elles ne proposent pas (dans toutes celles que j'ai vu) de fonction pour gérer la base interne de clés (elles ne proposent bien souvent même pas d'administrer les entrées de démarrage...). Il est peut-être possible de contourner cette limitation avec l'outil <code>mokutil</code> mais je n'ai pas creusé cette piste... La problématique des clés ''Microsoft'' est bien entendu que leur présence rend caduc l'exclusivité de la validité de vos signatures. Qui peut utiliser leur clé ? L'administration de ce paramètre semble donc réservée aux ordinateurs professionnels (les ''DELL XPS'' le permettent) et aux plateformes serveurs.

Il convient en outre de s'assurer qu'aucun accès physique non autorisé à la machine n'a lieu car les gros malins qui ont rédigés les spécifications de l{{'}}''UEFI'' n'ont pas crus bon d'imposer le stockage de sa configuration en mémoire morte... L'utilisation d'une mémoire vive maintenue par une pile comme sur l'antique ''BIOS'' ayant retenu leur préférence, le débranchement de cette dernière engendrera une réinitialisation complète des paramètres et de la base de clés ''Secure Boot'' (permettant ainsi l'introduction de toute forme de charges utiles au démarrage). Ceci aura donc pour effet de ruiner la mince barrière de sécurité que nous venons de mettre en place...

Enfin, un mot de passe d'accès aux paramètres de l{{'}}''UEFI'' reste tout de même une pratique à suivre afin de vous assurer qu'aucune injection de clé non autorisée n'ai lieu. Dans le cas d'une réinitialisation par débranchement de la pile, vous saurez au moins qu'une action physique a été opérée sur la machine et pourrez entreprendre les mesures qui s'imposent (à commencer par ne surtout pas taper votre phrase de passe [[Cryptsetup|LUKS]] !). Vous pourrez par la suite vérifier la signature de votre ''UKI'' via un autre système pour s'assurer de son intégrité (pensez également à vérifier la présence d'enregistreurs de frappes [https://www.youtube.com/watch?v=AMzv6ymmUcw matériels]).

==Glossaire==
La base de clés de ''Secure Boot'' comporte cinq [https://www.malekal.com/quest-ce-que-secure-boot-protection-pc-uefi-comment-ca-marche/ sections] :
* '''MOK''' (''Machine Owner Key'') : base de données contenant les clés de l'utilisateur - inutile pour cette procédure
* '''PK''' (''Plateform Key'') : base de données contenant les clés de la machine - utile pour cette procédure
* '''DB''' (''Data Base'') : base de données des clés autorisées (liste blanche) - utile pour cette procédure
* '''KEK''' (''Key Exchange Keys'') : aucune idée - inutile pour cette procédure
* '''DBX''' : (''Data Base'' <introuvable dans les specs mais probablement ''Exclusion''>) : base de données des clés interdites (liste noire) - inutile pour cette procédure

==Génération de clés==
Création du répertoire de travail
mkdir -p /usr/local/lib/secureboot/mok

Génération d'une clé privée ''RSA'' 4096 bits (le maximum possible avec ''Shim'' - que nous n'utilisons pas - est, aux dernières nouvelles ([https://wiki.debian.org/SecureBoot#Generating_a_new_key 21/06/2022]) 2048 bits) et d'un certificat public associé
openssl req -nodes -new -x509 -newkey rsa:4096 -keyout /usr/local/lib/secureboot/mok/MOK.priv -outform DER -out /usr/local/lib/secureboot/mok/MOK.der -days 36500 -subj "/CN=Mon Nom/"

Conversion du certificat en ''PEM'' afin d'être utilisable par <code>sbsign</code>
openssl x509 -inform der -in /usr/local/lib/secureboot/mok/MOK.der -out /usr/local/lib/secureboot/mok/MOK.pem

Empêcher la lecture de ces fichiers par un autre utilisateur que root
chmod 400 /usr/local/lib/secureboot/mok/{MOK.priv,MOK.der,MOK.pem}

Les étapes qui suivent sont réalisées automatiquement par le script créé plus haut et sont notées à titre indicatif.

Le certificat au format ''PEM'' est utilisé par les commandes du paquet <code>sbsigntool</code> alors que la ''DER'' est utilisée par les ''UEFI'' (pourquoi utiliser le même format hein ?). il doit être renseignée deux fois dans les menus de gestion des clés de votre carte mère :
* une fois dans ''Plateform Key'' (''PK'')
* l'autre dans ''DB'' (''Authorized Signatures'')

Le certificat ''DER'' doit être accessible à l{{'}}''UEFI'' pour injection. Vous pouvez le mettre dans toute partition ''FAT'' comme votre ''ESP'' <code>/boot/efi/EFI/</code> ou sur une clé ''USB'' afin de l'y sélectionner depuis le menu dédié (peut être supprimé à l'issue).

==Signature de l'image==
Dans la commande qui suit, la signature de l'image va réécrir par dessus l'originale (sa somme de contrôle va changer). Ce comportement est volontaire mais peut être changé en modifiant la valeur de <code>--output</code>
sbsign --key /usr/local/lib/secureboot/mok/MOK.priv --cert /usr/local/lib/secureboot/mok/MOK.pem --output /boot/efi/EFI/Linux/1-debian.efi /boot/efi/EFI/Linux/1-debian.efi

Vérification de la signature
sbverify --cert /usr/local/lib/secureboot/mok/MOK.pem /boot/efi/EFI/Linux/1-debian.efi

Une fois ''Secure Boot'' activé et votre système démarré, vous pouvez vérifier l'effectivité de cette fonctionnalité via la commande suivante du paquet <code>mokutil</code>
mokutil --sb-state

{{astuce|La signature d'un module noyau complilé par vous même peut se faire via la commande suivante (exemple pour le pilote <code>ixgbe</code>) : <code>/usr/lib/linux-kbuild-6.1/scripts/sign-file sha512 /usr/local/lib/secureboot/mok/MOK.{priv,der} /lib/modules/6.1.0-17-amd64/updates/drivers/net/ethernet/intel/ixgbe/ixgbe.ko /tmp/ixgbe.ko</code>.}}

==Sources de la section==
* https://uefi.org/specifications
* https://wiki.debian.org/SecureBoot#Generating_a_new_key
* https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11

Ipxe

2024-02-28T11:17:51Z

Ycharbi : Ajout d'une explication sur la compilation multi-plateforme + remplacement des balises sources obsolètes + ajout d'un lien en introduction + corrections typographiques

[[Category:pxe]]
[https://ipxe.org/start IPXE] est une ''ROM'' contenant un micrologiciel permettant d'amorcer un système depuis le réseau (comme celui intégré aux cartes mères). Sa particularité réside dans le fait qu'il ne se limite pas à une utilisation basique du protocole ''PXE'' mais va beaucoup plus loin. Il est notamment possible d'amorcer un système via ''HTTP/HTTPS'', ''FTP'', ''SLAM'', ''NFS'' et ''ISCSI'' en plus du ''TFTP/TFTP-Multicast'' traditionnel. Il est également capable d’exécuter des scripts et on peut le personnaliser avant sa compilation pour intégrer plus ou moins de fonctionnalité en fonction des besoins.

Une image IPXE pré-compilée est disponible sur le [http://ipxe.org site officiel] à [http://boot.ipxe.org/ipxe.iso cette adresse]. Nous allons détailler les étapes de compilation manuelles. Il est à noter que l'usage de l'outil en ligne ([https://github.com/xbgmsharp/ipxe-buildweb/ auto-hébergeable]) https://rom-o-matic.eu/ permet une compilation à distance en cliquant sur les éléments que l'on veut intégrer à notre image.

=Compilation=
'''Installation des dépendances'''
apt install git make gcc perl binutils liblzma-dev genisoimage

'''Téléchargement des sources'''
git clone git://git.ipxe.org/ipxe.git

'''Édition du fichier de configuration'''

L'outil ''make'' lit le fichier de configuration <code>./src/config/general.h</code> pour déterminer les modules à intégrer à la compilation.

Tout les paramètres à prendre en compte doivent être précédés par un croisillon (<code>#</code>). Les modules à définir doivent êtres passés en paramètre à <code>define</code> et ceux qui ne doivent pas l'être, à <code>undefine</code>.

Aussi, voici ce que nous avons pour la gestion de l{{'}}''IPv6'', du ''NFS'' et de l{{'}}''ISCSI'' (fichier partiel, j'ai juste mis ce que j'ai modifié en remplaçant les autres lignes par <code>...</code>) :

cd ./ipxe/src/
vim config/general.h

<syntaxhighlight lang="bash">
...
#define NET_PROTO_IPV6 /* IPv6 protocol */
...
#define DOWNLOAD_PROTO_NFS
...
#define SANBOOT_PROTO_ISCSI
...
</syntaxhighlight>

make -j 9

Un fichier <code>bin/ipxe.iso</code> a été créé. Nous y trouvons également d'autre fichiers tel que des ''ROM'' pour cartes réseau et un noyau Linux ''iPXE'' (''ipxe.lkrn'') permettant l'amorçage par le réseau via ''pxelinux'' (nous utilisons ce dernier dans notre documentation sur l'[[Installation Windows via PXE|Installation de Windows via PXE]]).

'''Multi-plateforme'''

Pour compiler l'outil sur les plateformes ''UEFI'' (32 et 64 bits) et ''Bios'' pour amorçage ''PXE'', les commandes suivantes peuvent êtres utilisées :
make bin-x86_64-efi/ipxe.efi -j 9
make bin-i386-efi/ipxe.efi -j 9
make bin-i386-pcbios/ipxe.pxe -j 9

Les binaires d'amorçage sont disponibles aux noms indiqués dans les commandes pour leur plateforme respective. La liste supportés est disponible sur la page de [https://ipxe.org/appnote/buildtargets documentation] du projet.

=Test=
Dés à présent, l'ISO généré peut être utilisé dans un média amorçable, un [[serveur PXE]] ou testé via [[Qemu]] comme suit :
qemu-system-x86_64 -m 1024 -vga qxl -fda /tmp/ipxe/src/bin/ipxe.iso -tftp /tmp/pxe -bootp lpxelinux.0 -boot n -net user -net nic,model=e1000,macaddr=00:11:22:33:44:55 -net tap,ifname=qtap0 -netdev tap,id=t0,ifname=vnet0,script=no,downscript=no -device e1000,netdev=t0 --enable-kvm -cpu host -smp cores=2,threads=1,sockets=1

J'ai copié les fichiers nécessaires au démarrage ''PXE'' de mon serveur dans le <code>/tmp/pxe</code> (créé pour l'occasion) de mon hôte. L'interface réseau '''vnet0''' se créée toute seule sur l'hôte et permet une communication paire à paire avec la machine virtuelle (c'est avec ce lien que l'amorçage s'effectue). La deuxième interface permet à la ''MV'' de sortir sur le ''WAN'' si un routage est effectué dans votre réseau ou si vous utilisez du ''NAT'' comme ceci :

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
ip a a 172.16.1.1/24 dev vnet0
ip l set vnet0 up

Ne pas oublié le serveur ''HTTP'' sur l'hôte (un [[Busybox#Serveur_WEB|busybox httpd]] fait très bien l'affaire) :
busybox httpd -fvv -h /tmp/pxe/

=Sources=
* http://ipxe.org/download
* https://blog.widodh.nl/2015/11/pxe-boot-over-ipv6-with-ipxe/

Unified kernel image

2024-02-28T00:34:12Z

Ycharbi : Page créée avec « Category:Noyau_linux Une Image Noyau Unifiée (INU) ou ''Unified Kernel Image'' (''UKI'') est la combinaison d'un programme de démarrage ''UEFI'', d'une image noyau ''Linux'', d'un ''initrd'' ainsi que d'autres ressources optionnelles dans un seul fichier ''UEFI [https://fr.wikipedia.org/wiki/Portable_Executable PE]''. Il peut alors être invoqué directement par : * le micrologiciel ''UEFI'' : utile notamment dans certains environnements d'informatique en... »

[[Category:Noyau_linux]]

Une Image Noyau Unifiée (INU) ou ''Unified Kernel Image'' (''UKI'') est la combinaison d'un programme de démarrage ''UEFI'', d'une image noyau ''Linux'', d'un ''initrd'' ainsi que d'autres ressources optionnelles dans un seul fichier ''UEFI [https://fr.wikipedia.org/wiki/Portable_Executable PE]''. Il peut alors être invoqué directement par :
* le micrologiciel ''UEFI'' : utile notamment dans certains environnements d'informatique en nuage ou confidentiels
* un chargeur de démarrage : généralement utile pour permettre plusieurs versions de noyau avec une sélection interactive ou automatique de la version dans laquelle démarrer ([[Systemd-boot]] ou [[Grub]] permettent cela)

L'amorçage de cette image unifiée est permise par le ''stub'', programme logé dans celle-ci et pouvant être interprété par l{{'}}''UEFI''. Il constitue donc la partie exécutable initiale de l'image combinée et charge par la suite d'autres ressources à partir du reste de l{{'}}''INU'', en particulier le noyau et l{{'}}''initrd''.

La [https://uapi-group.org/specifications/specs/unified_kernel_image/ spécification officielle] définit le format et les composants (obligatoires et optionnels) des ''UKI'' qui sont fournis en tant que sections ''PE/COFF'' de l'exécutable.

L'intérêt principal de cette approche est qu'elle permet de mieux sécuriser le démarrage d'un système en exposant un unique binaire (''UEFI PE'') en clair sur le disque d'amorçage (''EFI System Partition'' - ''ESP'') au lieu d'une multitude de fichiers pouvant être modifiés par le premier pirate venu. Cet exécutable pourra alors être signé par ''Secure Boot'' et permettre, entre-autre, le déchiffrement de la racine en s'assurant de l’absence de sa propre altération (enregistreur de frappes par exemple).

=Image Noyau Unifiée=
==Installation des outils==
La génération d'une ''INU'' nécessite quelques outils. Le projet ''Systemd'' met à disposition un programme ''Python'' nommé <code>Ukify</code> à partir de la version 253 de l{{'}}''init''. Il est logé à l'emplacement <code>/usr/lib/systemd/ukify</code> mais nécessite la bibliothèque <code>python3-pefile</code> et ses dépendances pour fonctionner. L'approche exposé dans ce document visant la frugalité (''Ukify'' apporte surtout une configuration épurée mais l'aspect fonctionnel est identique), le strict nécessaire sera installé.
apt install --no-install-recommends systemd-boot-efi binutils gawk sbsigntool

Détails des paquets installés :
* '''systemd-boot-efi''' : fournit le ''stub <code>/usr/lib/systemd/boot/efi/linuxx64.efi.stub</code>
* '''binutils''' : fournit le programme de construction du binaire ''PE'' <code>objdump</code>
* '''gawk''' : fournit la version ''GNU'' de l'interpréteur de langage ''AWK'' afin de ne pas avoir l'erreur de fonction non définie <code>function strtonum never defined</code> du <code>awk</code> de base
* '''sbsigntool''' : permet de signer l{{'}}''UKI'' en vu d'une validation ''Secure Boot'' (optionnel)

==Script de génération==
La génération d'une ''UKI'' nécessitant la concaténation d'une multitude d'éléments, il n'est pas envisageable de renseigner l'ensemble des paramètres manuellement. Je vous propose un script permettant la création d'une image ainsi que sa rotation sur trois versions différentes (l'une écrase la précédente à chaque nouvelle exécution).
vim /mnt/usr/local/sbin/gen-uki

<syntaxhighlight lang="bash">
#!/bin/bash

# Récupération de la version du noyau en cours d'utilisation
if [[ -n "${1}" ]]; then
version_noyau="${1}"
else
version_noyau="$(uname -r)"
fi

# Chemin vers l'initrd de travail
if [[ -n "${2}" ]]; then
chemin_initrd="${2}"
else
chemin_initrd="/boot/initrd.img-${version_noyau}"
fi

# Chemin vers le noyau de travail
if [[ -n "${2}" ]]; then
chemin_noyau="/boot/vmlinuz-${1}"
else
chemin_noyau="/boot/vmlinuz-${version_noyau}"
fi

# Définition des variables du script
chemin_lsb="/usr/lib/os-release"
chemin_stub="/usr/lib/systemd/boot/efi/linuxx64.efi.stub"
chemin_cmdline="/etc/kernel/cmdline"
chemin_splash="/dev/null"
nom_uki1="1-debian.efi"
nom_uki2="2-debian.efi"
nom_uki3="3-debian.efi"
chemin_base="/boot/efi/EFI/Linux/"
chemin_dst_uki="${chemin_base}/${nom_uki1}"
chemin_sb_clef="/usr/local/lib/secureboot/mok/MOK.priv"
chemin_sb_cert="/usr/local/lib/secureboot/mok/MOK.pem"

# Création de l'arborescence des UKI
mkdir -p "${chemin_base}"

# Préparation de l'UKI
align="$(objdump -p ${chemin_stub} | awk '{ if ($1 == "SectionAlignment"){print $2} }')"
align=$((16#$align))
osrel_offs="$(objdump -h "${chemin_stub}" | awk 'NF==7 {size=strtonum("0x"$3); offset=strtonum("0x"$4)} END {print size + offset}')"
osrel_offs=$((osrel_offs + "$align" - osrel_offs % "$align"))
cmdline_offs=$((osrel_offs + $(stat -Lc%s "${chemin_lsb}")))
cmdline_offs=$((cmdline_offs + "$align" - cmdline_offs % "$align"))
splash_offs=$((cmdline_offs + $(stat -Lc%s "${chemin_cmdline}")))
splash_offs=$((splash_offs + "$align" - splash_offs % "$align"))
initrd_offs=$((splash_offs + $(stat -Lc%s "${chemin_splash}")))
initrd_offs=$((initrd_offs + "$align" - initrd_offs % "$align"))
linux_offs=$((initrd_offs + $(stat -Lc%s "${chemin_initrd}")))
linux_offs=$((linux_offs + "$align" - linux_offs % "$align"))

# Roulement, si elle existe et n'est pas vide, de l'UKI 2 en 3
if [[ -s "${chemin_base}${nom_uki2}" ]]; then
echo "Copie de l'UKI 2 en 3..."
cp -v "${chemin_base}${nom_uki2}" "${chemin_base}${nom_uki3}"
fi

# Roulement, si elle existe et n'est pas vide, de l'UKI 1 en 2
if [[ -s "${chemin_dst_uki}" ]]; then
echo "Copie de l'UKI 1 en 2..."
cp -v "${chemin_dst_uki}" "${chemin_base}${nom_uki2}"
fi

echo "Génération de l'image noyau combinée (UKI) numéro 1..."
objcopy \
--add-section .osrel="${chemin_lsb}" --change-section-vma .osrel=$(printf 0x%x $osrel_offs) \
--add-section .cmdline="${chemin_cmdline}" --change-section-vma .cmdline=$(printf 0x%x $cmdline_offs) \
--add-section .splash="${chemin_splash}" --change-section-vma .splash=$(printf 0x%x $splash_offs) \
--add-section .initrd="${chemin_initrd}" --change-section-vma .initrd=$(printf 0x%x $initrd_offs) \
--add-section .linux="${chemin_noyau}" --change-section-vma .linux=$(printf 0x%x $linux_offs) \
"${chemin_stub}" "${chemin_dst_uki}"

# Signature de l'UKI pour la vérification Secure Boot seulement si la clé et son certificat son présents
if [[ -r "${chemin_sb_clef}" && -r "${chemin_sb_cert}" ]]; then
sbsign --key "${chemin_sb_clef}" --cert "${chemin_sb_cert}" --output "${chemin_dst_uki}" "${chemin_dst_uki}"
sbverify --cert "${chemin_sb_cert}" "${chemin_dst_uki}"
fi
</syntaxhighlight>

Les [[Paramètres linux|paramètres]] du noyau (de la variable <code>$chemin_cmdline</code>) doivent contenir les informations sur votre système de fichier racine afin que ''Linux'' puisse l'amorcer. Vous pouvez vous appuyer sur l'exemple ci-dessous qui comprend une partition chiffrée contenant un sous-volume ''BTRFS''.

<syntaxhighlight lang="bash">
echo "root=UUID=${uuid_racine} cryptdevice=UUID=${uuid_luks} ro rootflags=subvol=@rootfs console=tty0 console=ttyS0,115200n8" > /mnt/etc/kernel/cmdline
</syntaxhighlight>

Pensez bien entendu à remplacer les variables par vos propres valeurs...

Vous pouvez également vous appuyer sur le <code>/proc/cmdline</code> pour visualiser les paramètres utilisés par votre propre système afin de vous en inspirer. La liste des paramètres possible est visualisable dans la [https://www.kernel.org/doc/html/v6.5/admin-guide/kernel-parameters.html documentation] du noyau.

chmod u+x /usr/local/sbin/gen-uki

==Automatisation==
Le script ainsi créé peut être lancé manuellement mais il est préférable qu'il soit appelé à chaque mise à jour de noyau ou d{{'}}''initrd'' afin de garantir un démarrage sur la dernière version disponible. Cette dépendance se créée en l'exposant dans les répertoire de post-construction de nos deux composants d'intérêts.

mkdir -p /etc/initramfs/post-update.d
ln -s /usr/local/sbin/gen-uki /etc/initramfs/post-update.d/zz-gen-uki
ln -s /usr/local/sbin/gen-uki /etc/kernel/postinst.d/zz-gen-uki
chmod u+x /etc/initramfs/post-update.d/zz-gen-uki /etc/kernel/postinst.d/zz-gen-uki

{{info|Le répertoire <code>/etc/initramfs/post-update.d</code> n'est pas créé par défaut dans ''GNU/Linux Debian'' mais est bien parcouru lors de la génération d'une nouvelle archive d{{'}}''init''.}}

==Création des entrées de démarrage==
Dans l'optique d'optimiser au mieux le démarrage de notre machine, nous n'utiliserons aucun chargeur d'amorçage. Nous créerons alors des entrées de démarrage dans notre ''UEFI'' pointant directement sur nos ''UKI'' (son menu nous permettra de sélectionner la version à lancer). Pour se faire, il est possible de passer par l'interface de celui-ci (lorsque l'option est disponible) ou via l'outil [[Efibootmgr]] (universel). Voici un exemple pour les trois générées par le script (il est possible de créer les entrées avant les images) :

<syntaxhighlight lang="bash">
disque_systeme=/dev/nvme0n1

efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\1-debian.efi' -L "Debian UKI 1"
efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\2-debian.efi' -L "Debian UKI 2"
efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\3-debian.efi' -L "Debian UKI 3"
</syntaxhighlight>

Ainsi, dans le cas malencontreux où une mise à jour de noyau ou une reconstruction d{{'}}''initrd'' occasionne une impossibilité à démarrer, les versions précédentes de votre image vous permettront de vous en sortir.

==Sources de la section==
* https://uapi-group.org/specifications/specs/unified_kernel_image/
* https://0pointer.de/blog/brave-new-trusted-boot-world.html
* https://wiki.debian.org/EFIStub#Setting_up_a_Unified_Kernel_Image

=Secure Boot=

{{info|Cette section est facultative.}}

''Secure Boot'' ([https://uefi.org/sites/default/files/resources/UEFI_Spec_2_3_1.pdf chapitre 27] des spécification ''UEFI'') est une fonctionnalité apparue avec la version 2.3.1 de l{{'}}''UEFI'' permettant de borner l'amorçage aux seuls systèmes dont la signature cryptographique est reconnue par sa base interne. Son intérêt principal est d'empêcher l'exécution de code ayant été ajouté à l{{'}}''UEFI PE'' à l'insu de l'administrateur de la machine mais il peut également servir, entre-autre, à empêcher tout autre système (amorçage ''USB'' par exemple) de démarrer.

Afin que cette fonction ai un sens, il est préférable de n'autoriser que vos propres clés. Ceci n'est malheureusement pas possible sur la plupart des ''PC'' du marcher. En effet, les ''UEFI'' des machines grand publique embarquent celles de ''Microsoft'' pour le démarrage de ''Windows'' (obligatoire pour bénéficier de la certification idoine) et elles ne proposent pas (dans toutes celles que j'ai vu) de fonction pour gérer la base interne de clés (elles ne proposent bien souvent même pas d'administrer les entrées de démarrage...). Il est peut-être possible de contourner cette limitation avec l'outil <code>mokutil</code> mais je n'ai pas creusé cette piste... La problématique des clés ''Microsoft'' est bien entendu que leur présence rend caduc l'exclusivité de la validité de vos signatures. Qui peut utiliser leur clé ? L'administration de ce paramètre semble donc réservée aux ordinateurs professionnels (les ''DELL XPS'' le permettent) et aux plateformes serveurs.

Enfin, il convient de s'assurer qu'aucun accès physique non autorisé à la machine n'a lieu car les gros malins qui ont rédigés les spécifications de l{{'}}''UEFI'' n'ont pas crus bon d'imposer le stockage de sa configuration en mémoire morte... L'utilisation d'une mémoire vive maintenue par une pile comme sur l'antique ''BIOS'' ayant retenu leur préférence, le débranchement de cette dernière engendrera une réinitialisation complète des paramètres et de la base de clés ''Secure Boot'' (permettant ainsi l'introduction de toute forme de charges utiles au démarrage), ce qui ruinera la mince barrière de sécurité que nous venons de mettre en place...

==Glossaire==
La base de clés de ''Secure Boot'' comporte cinq [https://www.malekal.com/quest-ce-que-secure-boot-protection-pc-uefi-comment-ca-marche/ sections] :
* '''MOK''' (''Machine Owner Key'') : base de données contenant les clés de l'utilisateur - inutile pour cette procédure
* '''PK''' (''Plateform Key'') : base de données contenant les clés de la machine - utile pour cette procédure
* '''DB''' (''Data Base'') : base de données des clés autorisées (liste blanche) - utile pour cette procédure
* '''KEK''' (''Key Exchange Keys'') : aucune idée - inutile pour cette procédure
* '''DBX''' : (''Data Base'' <introuvable dans les specs mais probablement ''Exclusion''>) : base de données des clés interdites (liste noire) - inutile pour cette procédure

==Génération de clés==
Création du répertoire de travail
mkdir -p /usr/local/lib/secureboot/mok

Génération d'une clé privée ''RSA'' 4096 bits (le maximum possible avec ''Shim'' - que nous n'utilisons pas - est, aux dernières nouvelles ([https://wiki.debian.org/SecureBoot#Generating_a_new_key 21/06/2022]) 2048 bits) et d'un certificat public associé
openssl req -nodes -new -x509 -newkey rsa:4096 -keyout /usr/local/lib/secureboot/mok/MOK.priv -outform DER -out /usr/local/lib/secureboot/mok/MOK.der -days 36500 -subj "/CN=Mon Nom/"

Conversion du certificat en ''PEM'' afin d'être utilisable par <code>sbsign</code>
openssl x509 -inform der -in /usr/local/lib/secureboot/mok/MOK.der -out /usr/local/lib/secureboot/mok/MOK.pem

Empêcher la lecture de ces fichiers par un autre utilisateur que root
chmod 400 /usr/local/lib/secureboot/mok/{MOK.priv,MOK.der,MOK.pem}

Les étapes qui suivent sont réalisées automatiquement par le script créé plus haut et sont notées à titre indicatif.

Le certificat au format ''PEM'' est utilisé par les commandes du paquet <code>sbsigntool</code> alors que la ''DER'' est utilisée par les ''UEFI'' (pourquoi utiliser le même format hein ?). il doit être renseignée deux fois dans les menus de gestion des clés de votre carte mère :
* une fois dans ''Plateform Key'' (''PK'')
* l'autre dans ''DB'' (''Authorized Signatures'')

Le certificat ''DER'' doit être accessible à l{{'}}''UEFI'' pour injection. Vous pouvez le mettre dans toute partition ''FAT'' comme votre ''ESP'' <code>/boot/efi/EFI/</code> ou sur une clé ''USB'' afin de l'y sélectionner depuis le menu dédié (peut être supprimé à l'issue).

==Signature de l'image==
Dans la commande qui suit, la signature de l'image va réécrir par dessus l'originale (sa somme de contrôle va changer). Ce comportement est volontaire mais peut être changé en modifiant la valeur de <code>--output</code>
sbsign --key /usr/local/lib/secureboot/mok/MOK.priv --cert /usr/local/lib/secureboot/mok/MOK.pem --output /boot/efi/EFI/Linux/1-debian.efi /boot/efi/EFI/Linux/1-debian.efi

Vérification de la signature
sbverify --cert /usr/local/lib/secureboot/mok/MOK.pem /boot/efi/EFI/Linux/1-debian.efi

Une fois ''Secure Boot'' activé et votre système démarré, vous pouvez vérifier l'effectivité de cette fonctionnalité via la commande suivante du paquet <code>mokutil</code>
mokutil --sb-state

{{astuce|La signature d'un module noyau complilé par vous même peut se faire via la commande suivante (exemple pour le pilote <code>ixgbe</code>) : <code>/usr/lib/linux-kbuild-6.1/scripts/sign-file sha512 /usr/local/lib/secureboot/mok/MOK.{priv,der} /lib/modules/6.1.0-17-amd64/updates/drivers/net/ethernet/intel/ixgbe/ixgbe.ko /tmp/ixgbe.ko</code>.}}

==Sources de la section==
* https://uefi.org/specifications
* https://wiki.debian.org/SecureBoot#Generating_a_new_key
* https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11

Unbound

2024-02-10T22:26:49Z

Ycharbi : Ajout de la section "Convertir une liste de domaines en RPZ"

[[Category:Service_dns]]

[https://www.nlnetlabs.nl/projects/unbound/about/ Unbound] est un serveur ''DNS'' faisant office de résolveur récursif et pouvant faire autorité sur des domaines locaux. Il est développé par [https://www.nlnetlabs.nl/ NLnet Labs] et se veut à la fois complet en fonctionnalité, léger (grâce à la modularité de ces dernières) et simple à configurer.

=Installation et configuration=
Installation du service avec une ''Debian Bullseye''
apt install --no-install-recommends unbound

Afin d'utiliser directement les serveurs racines pour la résolution récursive des requêtes clientes, il faut télécharger [https://{{SERVERNAME}}/fichiers/services/dns/root.hints la liste] contenant leurs adresses
wget https://www.internic.net/domain/named.root -O /var/lib/unbound/root.hints && chown unbound:unbound /var/lib/unbound/root.hints

Le fichier de configuration suivant sera utilisé

<syntaxhighlight lang="nestedtext">
cat << _EOF_ > /etc/unbound/unbound.conf
# Fichier de configuration d'Unbound pour Debian.
#
# Référez-vous à la page de manuel unbound.conf(5).
#
# Voyez /usr/share/doc/unbound/examples/unbound.conf pour un
# fichier de configuration de référence commenté.
#
# La ligne suivante permet d'inclure les fichiers de configuration
# additionnels depuis le répertoire /etc/unbound/unbound.conf.d.
include-toplevel: "/etc/unbound/unbound.conf.d/*.conf"

server:
statistics-interval: 0
extended-statistics: yes
statistics-cumulative: yes
verbosity: 3

# Paramètres réseau
interface: 127.0.0.1
interface: 192.168.1.5
port: 53
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: no

# Contrôle d'accès
access-control: 127.0.0.0/8 allow
access-control: 192.168.0.0/16 allow
access-control: 0.0.0.0/0 refuse

# DNSSEC
# auto-trust-anchor-file: "/var/lib/unbound/root.key"
harden-dnssec-stripped: yes

# Adresses des serveurs racine
root-hints: "/var/lib/unbound/root.hints"

# Paramètres système
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 3600
cache-max-ttl: 86400
prefetch: yes
num-threads: 6
msg-cache-slabs: 16
rrset-cache-slabs: 16
infra-cache-slabs: 16
key-cache-slabs: 16
rrset-cache-size: 256m
msg-cache-size: 128m
so-rcvbuf: 1m
unwanted-reply-threshold: 10000
do-not-query-localhost: yes
val-clean-additional: yes

# Journalisation
use-syslog: no
logfile: /var/log/unbound.log

# Paramètres du cache
cache-min-ttl: 3600
cache-max-ttl: 86400
prefetch: yes
prefetch-key: yes
_EOF_
</syntaxhighlight>

Il est possible de servir des domaines locaux (faire autorité)

<syntaxhighlight lang="nestedtext">
cat << _EOF_ > /etc/unbound/unbound.conf.d/ycharbi.yo.conf
server:
local-zone: "ycharbi.yo." static
local-data: "ycharbi.yo. IN A 192.168.1.1"
local-data: "toto1.ycharbi.yo. IN A 192.168.1.25"
local-data: "ycharbi.yo. IN MX 10 toto1.ycharbi.yo."
_EOF_
</syntaxhighlight>

Il est également possible de rediriger des requêtes clientes après modification (''DNS'' menteur aussi appelée ''Reponse Policy Zone'' ou ''RPZ'') afin d’interdire l'accès à certains domaines. J'utilise cette fonctionnalité à deux fins :
* Servir mon [[Debmirror|miroir de dépôt local]] à toute mes machines sans avoir à changer leur [[Sources.list|configuration]]
* Éviter certains sites irrespectueux des données personnelles (utilisation d'une liste automatique [[#Liste_RPZ_automatique|plus bas]])

Il est à noter que tous les sous-domaines de chaque entrée sont automatiquement pris en compte.

<syntaxhighlight lang="nestedtext">
cat << _EOF_ > /etc/unbound/unbound.conf.d/rpz.conf
server:
# Miroirs de dépôts APT Debian
local-zone: "ftp.fr.debian.org" redirect
local-data: "ftp.fr.debian.org A 192.168.1.77"
local-zone: "http.debian.net" redirect
local-data: "http.debian.net A 192.168.1.77"
local-zone: "deb.debian.org" redirect
local-data: "deb.debian.org A 192.168.1.77"
local-zone: "security.debian.org" redirect
local-data: "security.debian.org A 192.168.1.77"
local-zone: "httpredir.debian.org" redirect
local-data: "httpredir.debian.org A 192.168.1.77"
local-zone: "debian.map.fastlydns.net" redirect
local-data: "debian.map.fastlydns.net A 192.168.1.77"

# APT utilise aussi des champs SRV pour résoudre l'adresse des miroirs
local-zone: "prod.debian.map.fastly.net" redirect
local-data: "prod.debian.map.fastly.net A 192.168.1.77"
local-zone: "dpvctowv9b08b.cloudfront.net" redirect
local-data: "dpvctowv9b08b.cloudfront.net A 192.168.1.77"
local-zone: "_http._tcp.deb.debian.org." redirect
local-data: "_http._tcp.deb.debian.org. 3600 IN SRV 10 1 80 prod.debian.map.fastly.net."
local-data: "_http._tcp.deb.debian.org. 3600 IN SRV 10 1 80 dpvctowv9b08b.cloudfront.net."

# Saloperies à supprimer
local-zone: "doubleclick.net" redirect
local-data: "doubleclick.net A 127.0.0.1"
local-zone: "googlesyndication.com" redirect
local-data: "googlesyndication.com A 127.0.0.1"
local-zone: "googleadservices.com" redirect
local-data: "googleadservices.com A 127.0.0.1"
local-zone: "google-analytics.com" redirect
local-data: "google-analytics.com A 127.0.0.1"
local-zone: "ads.youtube.com" redirect
local-data: "ads.youtube.com A 127.0.0.1"
local-zone: "adserver.yahoo.com" redirect
local-data: "adserver.yahoo.com A 127.0.0.1"
local-zone: "ask.com" redirect
local-data: "ask.com A 127.0.0.1"
local-zone: "facebook.com" redirect
local-data: "facebook.com A 127.0.0.1"
local-zone: "truste-svc.net" redirect
local-data: "truste-svc.net A 127.0.0.1"
local-zone: "trustarc.com" redirect
local-data: "trustarc.com A 127.0.0.1"
local-zone: "gstatic.com" redirect
local-data: "gstatic.com A 127.0.0.1"
local-zone: "consent.google.com" redirect
local-data: "consent.google.com A 127.0.0.1"
local-zone: "consent.youtube.com" redirect
local-data: "consent.youtube.com A 127.0.0.1"
local-zone: "cdn.privacy-mgmt.com" redirect
local-data: "cdn.privacy-mgmt.com A 127.0.0.1"
local-zone: "privacy-mgmt.com" redirect
local-data: "privacy-mgmt.com A 127.0.0.1"
local-zone: "cdn.cookielaw.org" redirect
local-data: "cdn.cookielaw.org A 127.0.0.1"
local-zone: "digitalfeedback.us.confirmit.com" redirect
local-data: "digitalfeedback.us.confirmit.com A 127.0.0.1"

# Télémétrie Mozilla
local-zone: "incoming.telemetry.mozilla.org" redirect
local-data: "incoming.telemetry.mozilla.org A 127.0.0.1"
_EOF_
</syntaxhighlight>

Vérification de la configuration du service
unbound-checkconf

Redémarrage du service
systemctl restart unbound

Il est également possible de recharger la configuration sans relancer le logiciel. Cela a pour effet de ne pas le faire planter si jamais un fichier de configuration contient une erreur
unbound-control reload

Enfin, il est possible de configurer le système du serveur pour utiliser notre résolveur local et ne pas dépendre d'un résolveur de plus haut niveau (celui de notre ''FAI'' par exemple)
echo "nameserver 127.0.0.1" > /etc/resolv.conf

==Sources de la section==
* https://memo-linux.com/debian-installer-le-serveur-dns-unbound/
* https://memo-linux.com/ubuntu-serveur-dns-unbound/
* https://lists.nlnetlabs.nl/pipermail/unbound-users/2014-October/003573.html
* https://unbound.docs.nlnetlabs.nl/en/latest/manpages/unbound.conf.html

=Convertir une liste de domaines en RPZ=
Il est possible de trouver des listes de domaines générées par des tiers sur Internet ([https://raw.githubusercontent.com/schrebra/Windows.10.DNS.Block.List/main/hosts.txt exemple] d'une liste de domaine utilisés par ''Windows 10'' - [https://github.com/schrebra/Windows.10.DNS.Block.List source]).

Pour les convertir en fichier de configuration ''RPZ'' avec syntaxe ''Unbound'', vous pouvez utiliser mon script :

<syntaxhighlight lang="bash">
#!/bin/bash

# Via un fichier distant
unbound_rbl_src=$(wget -qO - https://raw.githubusercontent.com/schrebra/Windows.10.DNS.Block.List/main/hosts.txt)
# ou via un fichier local
# unbound_rbl_src=$(cat /tmp/windows10-rbl.txt)
unbound_rbl_dst="/tmp/windows10-rbl-unbound.conf"

echo "server:" > "${unbound_rbl_dst}"
for i in $unbound_rbl_src; do
echo -e "\tlocal-zone: \"${i}\" redirect\n\tlocal-data: \"${i} A 127.0.0.1\"" >> "${unbound_rbl_dst}"
done
</syntaxhighlight>

Ce fichier sera à placer dans le répertoire des configurations du résolveur ''DNS'' <code>/etc/unbound/unbound.conf.d/</code> avant rechargement <code>unbound-control reload</code>.

=Liste RPZ automatique=
Le site [https://pgl.yoyo.org pgl.yoyo.org] met à jour et publie une [https://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext liste de domaines] à interdire au format ''Unbound''. Ceci peut être utile afin de filtrer les sites irrespectueux de la vie privée des utilisateurs

{{info|De façon générale, il est préférable de laisser ce filtrage être opéré par les utilisateurs eux-même afin de maintenir un [https://www.arcep.fr/nos-sujets/la-neutralite-du-net.html réseau aussi neutre que possible]. Il est important également de considérer l'aspect sécuritaire au fait de récupérer une liste de résolution canonique sur un site tiers. Rien ne garanti que son administrateur (ou un pirate) n'utilisera cette liste pour faire rediriger un site légitime vers une adresse externe et compromettre l'authenticité de vos communications avec celui-ci. Cette solution est à adapter à la situation locale.}}

Le script suivant (écrit par [https://zestedesavoir.com/@sgble sgble] et adapté par mes soins) permet de récupérer la dernière version de la liste tout en sauvegardant sa copie actuelle, d'en vérifier la syntaxe et ainsi de soit recharger le service, soit restaurer sa version fonctionnelle :

<syntaxhighlight lang="php">
cat << _EOF_ > /usr/local/sbin/maj-rbl-unbound
#!/bin/bash

# Lien de la liste
yoyo_url="https://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext"

# Localisation de la configuration Unbound
unbound_confs="/etc/unbound/unbound.conf.d/"

# Si le fichier précédent existe déjà, le garder en réserver au cas où
if [ -f "${unbound_confs}"/yoyo_blocus.conf ]; then
cp "${unbound_confs}"/yoyo_blocus.conf /tmp/yoyo_blocus.conf.sauv
fi

# Télécharger et placer la liste au bon endroit
wget "${yoyo_url}" -O "${unbound_confs}"/yoyo_blocus.conf && sed -i '1 s/^/server:\n/' "${unbound_confs}"/yoyo_blocus.conf

# Vérifier que Unbound ne rencontre aucun problème avec la liste et recharger si vrai
if unbound-checkconf; then
echo "La nouvelle liste est bonne"
unbound-control reload
echo "Unbound a été rechargé"
# Sinon, rétablir l'ancien fichier qu'on a gardé en réserve
else
echo "La nouvelle liste semble mal formaté"
mv /tmp/yoyo_blocus.conf.sauv "${unbound_confs}"/yoyo_blocus.conf
echo "Une restauration de l'ancienne liste a été effectuée"
fi
_EOF_
</syntaxhighlight>

chmod +x /usr/local/sbin/maj-rbl-unbound

Création d'un [[Minuteur - systemd|minuteur Systemd]] afin d'automatiser l'actualisation de la liste (tous les jours)
mkdir -p /usr/local/etc/systemd/system

<syntaxhighlight lang="ini">
cat << _EOF_ > /usr/local/etc/systemd/system/maj-rbl-unbound.service
[Unit]
Description=Actualisation de la liste RPZ d'Unbound
After=network.target

[Service]
Type=oneshot
ExecStart=maj-rbl-unbound
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target
_EOF_
</syntaxhighlight>

<syntaxhighlight lang="ini">
cat << _EOF_ > /usr/local/etc/systemd/system/maj-rbl-unbound.timer
[Unit]
Description=Exécution journalière de l'actualisation de la liste RPZ d'Unbound

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target
_EOF_
</syntaxhighlight>

ln -s /usr/local/etc/systemd/system/maj-rbl-unbound.service /etc/systemd/system/
ln -s /usr/local/etc/systemd/system/maj-rbl-unbound.timer /etc/systemd/system/

systemctl daemon-reload

systemctl enable maj-rbl-unbound.timer
systemctl start maj-rbl-unbound.timer

=Sources de la section=
* https://zestedesavoir.com/billets/3908/avoir-son-dns-local-securite-controle-et-performance/

Unbound

2024-02-10T21:03:03Z

Ycharbi : /* Liste RPZ automatique */ ajout du lien direct vers la RBL de yoyo.org

[[Category:Service_dns]]

[https://www.nlnetlabs.nl/projects/unbound/about/ Unbound] est un serveur ''DNS'' faisant office de résolveur récursif et pouvant faire autorité sur des domaines locaux. Il est développé par [https://www.nlnetlabs.nl/ NLnet Labs] et se veut à la fois complet en fonctionnalité, léger (grâce à la modularité de ces dernières) et simple à configurer.

=Installation et configuration=
Installation du service avec une ''Debian Bullseye''
apt install --no-install-recommends unbound

Afin d'utiliser directement les serveurs racines pour la résolution récursive des requêtes clientes, il faut télécharger [https://{{SERVERNAME}}/fichiers/services/dns/root.hints la liste] contenant leurs adresses
wget https://www.internic.net/domain/named.root -O /var/lib/unbound/root.hints && chown unbound:unbound /var/lib/unbound/root.hints

Le fichier de configuration suivant sera utilisé

<syntaxhighlight lang="nestedtext">
cat << _EOF_ > /etc/unbound/unbound.conf
# Fichier de configuration d'Unbound pour Debian.
#
# Référez-vous à la page de manuel unbound.conf(5).
#
# Voyez /usr/share/doc/unbound/examples/unbound.conf pour un
# fichier de configuration de référence commenté.
#
# La ligne suivante permet d'inclure les fichiers de configuration
# additionnels depuis le répertoire /etc/unbound/unbound.conf.d.
include-toplevel: "/etc/unbound/unbound.conf.d/*.conf"

server:
statistics-interval: 0
extended-statistics: yes
statistics-cumulative: yes
verbosity: 3

# Paramètres réseau
interface: 127.0.0.1
interface: 192.168.1.5
port: 53
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: no

# Contrôle d'accès
access-control: 127.0.0.0/8 allow
access-control: 192.168.0.0/16 allow
access-control: 0.0.0.0/0 refuse

# DNSSEC
# auto-trust-anchor-file: "/var/lib/unbound/root.key"
harden-dnssec-stripped: yes

# Adresses des serveurs racine
root-hints: "/var/lib/unbound/root.hints"

# Paramètres système
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 3600
cache-max-ttl: 86400
prefetch: yes
num-threads: 6
msg-cache-slabs: 16
rrset-cache-slabs: 16
infra-cache-slabs: 16
key-cache-slabs: 16
rrset-cache-size: 256m
msg-cache-size: 128m
so-rcvbuf: 1m
unwanted-reply-threshold: 10000
do-not-query-localhost: yes
val-clean-additional: yes

# Journalisation
use-syslog: no
logfile: /var/log/unbound.log

# Paramètres du cache
cache-min-ttl: 3600
cache-max-ttl: 86400
prefetch: yes
prefetch-key: yes
_EOF_
</syntaxhighlight>

Il est possible de servir des domaines locaux (faire autorité)

<syntaxhighlight lang="nestedtext">
cat << _EOF_ > /etc/unbound/unbound.conf.d/ycharbi.yo.conf
server:
local-zone: "ycharbi.yo." static
local-data: "ycharbi.yo. IN A 192.168.1.1"
local-data: "toto1.ycharbi.yo. IN A 192.168.1.25"
local-data: "ycharbi.yo. IN MX 10 toto1.ycharbi.yo."
_EOF_
</syntaxhighlight>

Il est également possible de rediriger des requêtes clientes après modification (''DNS'' menteur aussi appelée ''Reponse Policy Zone'' ou ''RPZ'') afin d’interdire l'accès à certains domaines. J'utilise cette fonctionnalité à deux fins :
* Servir mon [[Debmirror|miroir de dépôt local]] à toute mes machines sans avoir à changer leur [[Sources.list|configuration]]
* Éviter certains sites irrespectueux des données personnelles (utilisation d'une liste automatique [[#Liste_RPZ_automatique|plus bas]])

Il est à noter que tous les sous-domaines de chaque entrée sont automatiquement pris en compte.

<syntaxhighlight lang="nestedtext">
cat << _EOF_ > /etc/unbound/unbound.conf.d/rpz.conf
server:
# Miroirs de dépôts APT Debian
local-zone: "ftp.fr.debian.org" redirect
local-data: "ftp.fr.debian.org A 192.168.1.77"
local-zone: "http.debian.net" redirect
local-data: "http.debian.net A 192.168.1.77"
local-zone: "deb.debian.org" redirect
local-data: "deb.debian.org A 192.168.1.77"
local-zone: "security.debian.org" redirect
local-data: "security.debian.org A 192.168.1.77"
local-zone: "httpredir.debian.org" redirect
local-data: "httpredir.debian.org A 192.168.1.77"
local-zone: "debian.map.fastlydns.net" redirect
local-data: "debian.map.fastlydns.net A 192.168.1.77"

# APT utilise aussi des champs SRV pour résoudre l'adresse des miroirs
local-zone: "prod.debian.map.fastly.net" redirect
local-data: "prod.debian.map.fastly.net A 192.168.1.77"
local-zone: "dpvctowv9b08b.cloudfront.net" redirect
local-data: "dpvctowv9b08b.cloudfront.net A 192.168.1.77"
local-zone: "_http._tcp.deb.debian.org." redirect
local-data: "_http._tcp.deb.debian.org. 3600 IN SRV 10 1 80 prod.debian.map.fastly.net."
local-data: "_http._tcp.deb.debian.org. 3600 IN SRV 10 1 80 dpvctowv9b08b.cloudfront.net."

# Saloperies à supprimer
local-zone: "doubleclick.net" redirect
local-data: "doubleclick.net A 127.0.0.1"
local-zone: "googlesyndication.com" redirect
local-data: "googlesyndication.com A 127.0.0.1"
local-zone: "googleadservices.com" redirect
local-data: "googleadservices.com A 127.0.0.1"
local-zone: "google-analytics.com" redirect
local-data: "google-analytics.com A 127.0.0.1"
local-zone: "ads.youtube.com" redirect
local-data: "ads.youtube.com A 127.0.0.1"
local-zone: "adserver.yahoo.com" redirect
local-data: "adserver.yahoo.com A 127.0.0.1"
local-zone: "ask.com" redirect
local-data: "ask.com A 127.0.0.1"
local-zone: "facebook.com" redirect
local-data: "facebook.com A 127.0.0.1"
local-zone: "truste-svc.net" redirect
local-data: "truste-svc.net A 127.0.0.1"
local-zone: "trustarc.com" redirect
local-data: "trustarc.com A 127.0.0.1"
local-zone: "gstatic.com" redirect
local-data: "gstatic.com A 127.0.0.1"
local-zone: "consent.google.com" redirect
local-data: "consent.google.com A 127.0.0.1"
local-zone: "consent.youtube.com" redirect
local-data: "consent.youtube.com A 127.0.0.1"
local-zone: "cdn.privacy-mgmt.com" redirect
local-data: "cdn.privacy-mgmt.com A 127.0.0.1"
local-zone: "privacy-mgmt.com" redirect
local-data: "privacy-mgmt.com A 127.0.0.1"
local-zone: "cdn.cookielaw.org" redirect
local-data: "cdn.cookielaw.org A 127.0.0.1"
local-zone: "digitalfeedback.us.confirmit.com" redirect
local-data: "digitalfeedback.us.confirmit.com A 127.0.0.1"

# Télémétrie Mozilla
local-zone: "incoming.telemetry.mozilla.org" redirect
local-data: "incoming.telemetry.mozilla.org A 127.0.0.1"
_EOF_
</syntaxhighlight>

Vérification de la configuration du service
unbound-checkconf

Redémarrage du service
systemctl restart unbound

Il est également possible de recharger la configuration sans relancer le logiciel. Cela a pour effet de ne pas le faire planter si jamais un fichier de configuration contient une erreur
unbound-control reload

Enfin, il est possible de configurer le système du serveur pour utiliser notre résolveur local et ne pas dépendre d'un résolveur de plus haut niveau (celui de notre ''FAI'' par exemple)
echo "nameserver 127.0.0.1" > /etc/resolv.conf

==Sources de la section==
* https://memo-linux.com/debian-installer-le-serveur-dns-unbound/
* https://memo-linux.com/ubuntu-serveur-dns-unbound/
* https://lists.nlnetlabs.nl/pipermail/unbound-users/2014-October/003573.html
* https://unbound.docs.nlnetlabs.nl/en/latest/manpages/unbound.conf.html

=Liste RPZ automatique=
Le site [https://pgl.yoyo.org pgl.yoyo.org] met à jour et publie une [https://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext liste de domaines] à interdire au format ''Unbound''. Ceci peut être utile afin de filtrer les sites irrespectueux de la vie privée des utilisateurs

{{info|De façon générale, il est préférable de laisser ce filtrage être opéré par les utilisateurs eux-même afin de maintenir un [https://www.arcep.fr/nos-sujets/la-neutralite-du-net.html réseau aussi neutre que possible]. Il est important également de considérer l'aspect sécuritaire au fait de récupérer une liste de résolution canonique sur un site tiers. Rien ne garanti que son administrateur (ou un pirate) n'utilisera cette liste pour faire rediriger un site légitime vers une adresse externe et compromettre l'authenticité de vos communications avec celui-ci. Cette solution est à adapter à la situation locale.}}

Le script suivant (écrit par [https://zestedesavoir.com/@sgble sgble] et adapté par mes soins) permet de récupérer la dernière version de la liste tout en sauvegardant sa copie actuelle, d'en vérifier la syntaxe et ainsi de soit recharger le service, soit restaurer sa version fonctionnelle :

<syntaxhighlight lang="php">
cat << _EOF_ > /usr/local/sbin/maj-rbl-unbound
#!/bin/bash

# Lien de la liste
yoyo_url="https://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext"

# Localisation de la configuration Unbound
unbound_confs="/etc/unbound/unbound.conf.d/"

# Si le fichier précédent existe déjà, le garder en réserver au cas où
if [ -f "${unbound_confs}"/yoyo_blocus.conf ]; then
cp "${unbound_confs}"/yoyo_blocus.conf /tmp/yoyo_blocus.conf.sauv
fi

# Télécharger et placer la liste au bon endroit
wget "${yoyo_url}" -O "${unbound_confs}"/yoyo_blocus.conf && sed -i '1 s/^/server:\n/' "${unbound_confs}"/yoyo_blocus.conf

# Vérifier que Unbound ne rencontre aucun problème avec la liste et recharger si vrai
if unbound-checkconf; then
echo "La nouvelle liste est bonne"
unbound-control reload
echo "Unbound a été rechargé"
# Sinon, rétablir l'ancien fichier qu'on a gardé en réserve
else
echo "La nouvelle liste semble mal formaté"
mv /tmp/yoyo_blocus.conf.sauv "${unbound_confs}"/yoyo_blocus.conf
echo "Une restauration de l'ancienne liste a été effectuée"
fi
_EOF_
</syntaxhighlight>

chmod +x /usr/local/sbin/maj-rbl-unbound

Création d'un [[Minuteur - systemd|minuteur Systemd]] afin d'automatiser l'actualisation de la liste (tous les jours)
mkdir -p /usr/local/etc/systemd/system

<syntaxhighlight lang="ini">
cat << _EOF_ > /usr/local/etc/systemd/system/maj-rbl-unbound.service
[Unit]
Description=Actualisation de la liste RPZ d'Unbound
After=network.target

[Service]
Type=oneshot
ExecStart=maj-rbl-unbound
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target
_EOF_
</syntaxhighlight>

<syntaxhighlight lang="ini">
cat << _EOF_ > /usr/local/etc/systemd/system/maj-rbl-unbound.timer
[Unit]
Description=Exécution journalière de l'actualisation de la liste RPZ d'Unbound

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target
_EOF_
</syntaxhighlight>

ln -s /usr/local/etc/systemd/system/maj-rbl-unbound.service /etc/systemd/system/
ln -s /usr/local/etc/systemd/system/maj-rbl-unbound.timer /etc/systemd/system/

systemctl daemon-reload

systemctl enable maj-rbl-unbound.timer
systemctl start maj-rbl-unbound.timer

=Sources de la section=
* https://zestedesavoir.com/billets/3908/avoir-son-dns-local-securite-controle-et-performance/

Appimage

2024-02-02T17:09:05Z

Ycharbi : Ajout d'une section "Sources de la section" + ajout des fichiers utilisés dans "nos fichiers" + corrections de quelques commandes + correction de fautes de français + suppression d'une balise "info" faisant doublon

[[Category:Gestionnaire_paquets]]

[https://appimage.org/ Appimage] est un format de paquets portable (dit "universel") pour les systèmes d'exploitations utilisant un [[:Category:Noyau_linux|noyau Linux]]. Son but est de permettre la mise à disposition de logiciels indépendamment d'une distribution en particulier. Il se présente sous la forme d'un unique fichier binaire [https://fr.wikipedia.org/wiki/Executable_and_Linkable_Format Executable and Linkable Format] (''ELF'') comportant une image [[Squashfs|SquashFS]]. Cette dernière contient alors toutes les dépendances nécessaires au fonctionnement du programme. On y trouvera une similitude avec certains programmes ''Windows'' ou ''Mac OS X''.

=Avantages=
Les intérêts d'une telle approche sont multiples, tant pour les éditeurs, les développeurs et les utilisateurs que pour les administrateurs.

Habituellement, un logiciel doit être empaqueté dans un format spécifique à une [[:Category:Distributions_linux|distribution Linux]] (''.deb'', ''.rpm'', ''.pkg''...) et doit être livré sans intégrer ses dépendances. L'éditeur doit alors maintenir un paquets par distribution en gérant un nombre de paramètres insoutenable (la version du paquet pour une distribution donnée doit se contenter des librairies imposées dans les dépôts de chaque système !). Un mainteneur de paquet spécifique (bien souvent un bénévole indépendant du projet initial) est alors désigné pour se charger de l'empaquetage, la maintenance et la distribution dans les dépôts servants les différents [[:Category:Gestionnaire_paquets|gestionnaires de paquets]].

L'approche ''AppImage'' réduit donc les intermédiaires intervenant dans le processus de distribution d'un logiciel. L'éditeur construit et met à disposition un paquet standardisé intégrant les composants spécifiques au fonctionnement de sa création sur le dépôt de son choix. Les utilisateurs peuvent alors se le procurer directement (téléchargement depuis leur navigateur ''Web'' par exemple) sans attendre que leur distribution l'embarque (chose qui peut ne jamais arriver en fonction de leur gouvernance). La charge de travail est moindre pour l'éditeur et certains utilisateurs.

En effet, si un programme n'est pas disponible dans les dépôts de sa distribution, ce dernier doit entreprendre un périple qui n'est parfois pas sans conséquence sur son système :
* ajout de dépôts tiers comportant au choix : des failles de sécurités ou du code malveillant, des librairies entrants en conflits avec celles présentes dans la distribution d'origine, une maintenance ne suivant pas la politique de cette dernière, etc... (je ne compte plus les fois où l'assistance à un débutant concerne des problèmes liés à cette liste et dont l'unique point de convergence est la gestion de paquet sous ''Linux''...)
* installation depuis un paquet au format de la distribution d'origine : comme dit précédemment, un paquet standard ne vient pas avec ses dépendances, il s’appuie sur celles des dépôts officiels (modulos les technologies spécifiques comme ''GoLang'' ou ''Electron''). Il faut alors en premier lieu réaliser l'installation dédites dépendances à la main (ou via le gestionnaire de paquet si vous avez le cul bordé de nouilles) pour procéder à celle de votre logiciel. Si les dépendances ne sont pas disponibles dans les dépôts et que les externes rentrent en conflits avec ces dernières, vous ne pouvez pas installer votre logiciel sans risquer de tout casser
* compilation depuis les sources : non content d'être une galère sans nom (sur 100, combien de fois cela a fonctionné pour vous ?), la gestion des mises à jours est au mieux, une plaie totale, au pire impossible (et je ne parle bien entendu pas de la désinstallation qui relève du mystère une fois que des milliers de fichiers se sont disséminés un peu partout sur votre disque...).

Un autre avantage notoire est la non altération du logiciel entre l'éditeur et l'utilisateur par des mainteneurs modifiants les options de compilation ou appliquant des patch avant distribution. On peut noter par exemple certains codecs enfreignant les brevets logiciels aux États Unis d'Amérique alors que cette notion juridique est absente dans le droit Français. Dans ce cas, un paquets hébergé sur un serveur Français pourrait contenir l'ensemble des codecs et profiter à la totalité des utilisateurs mondiaux sans passer par un mainteneur spécifique.

Enfin, il est relativement aisé de cloisonner l'exécution d'un programme contenu dans un unique binaire en comparaison de la méthode traditionnelle visant à en mettre partout sur le système de fichier d'exploitation. Nous utiliserons cette méthode chaque fois que cela est souhaité afin de ne pas pourrir notre machine de production (faites un <code>tree -a ~/.*</code> si vous ne voyez pas de quoi je veux parler...).

=Inconvénients=
Comme toute solution est rarement intégralement rose, les avantages apportés par ''AppImage'' viennent à leur tour contrecarrer ceux apporter par la gestion traditionnelle des paquets sous ''Linux'' :
* pas d'installation et de mise à jour unifié : il n'y a pas d'unique dépôt comme sous une distribution classique centralisant tous les ''AppImage'' pour permettre leur installation et leur mise à jour en une unique commande ou via un magasin d'applications (ceci n'est cependant pas techniquement impossible à l'image de ce qui se fait sur le monde des [[:Category:Ordiphones|ordiphones]])
* sécurité : aucun support de l'équipe de sécurité de la distribution n'est apporté sur le paquet que vous installez, tant concernant les patchs de sécurité que la revue de code (il faut faire plus attention à ce que l'on télécharge). Le cloisonnement est une bonne pratique pour se prémunir au mieux des actes de malveillance ou simplement de la collecte de données personnelles (sous ''Debian'', ce type de comportement non éthique est généralement supprimé par les mainteneurs à la compilation)
* espace disque : taille globale du paquet bien plus importante que via les dépôts officiels puisque il embarque tous les composants nécessaires à son fonctionnement. Il n'y a aucune mutualisation des librairies utilisées par les différents programmes ''AppImage'' (contrairement, dans une [très] moindre mesure, à [https://www.flatpak.org/ Flatpak])

La meilleure approche semble donc une utilisation hybride des deux solutions en privilégiant la méthode traditionnelle (gestionnaire de paquets) et en usant des paquets unifiés lorsque le besoin s'en fait sentir en combinaison d'un cloisonnement lorsque cela est possible/souhaitable.

=Construction d'une image=
==Dépendances==
''AppImage'' n'a besoin pour fonctionner que de <code>libfuse2</code>. Il convient alors de l'installer sur votre système (''Debian 12'' pour l'exemple).
apt install --no-install-recommends libfuse2

L'[https://github.com/AppImage/AppImageKit outil] permettant la construction des images étant lui même un paquet ''AppImage'', il suffit de le télécharger et de le rendre exécutable pour pouvoir commencer à l'utiliser.
wget https://github.com/AppImage/AppImageKit/releases/download/13/appimagetool-x86_64.AppImage -O /usr/local/bin/appimagetool
chmod +x /usr/local/bin/appimagetool

Vous trouverez la version de cette documentation en cache dans [https://{{SERVERNAME}}/fichiers/gestion_paquets/appimage/appimagetool-x86_64.AppImage nos fichiers].

==Construction d'une image==
L'empaquetage d'une application, bien que suivant une trame générique, comporte des spécificités inhérente au programme que vous traitez. Les grandes lignes de ce qui sera montré dans cette section sera transposable pour le votre mais il ne me sera pas possible de rédiger une procédure universelle. Il faudra inévitablement galérer un peu pour votre cas particulier.

===Principes===
La structure d'un paquet ''AppImage'' est globalement la [https://docs.appimage.org/packaging-guide/manual.html#creating-an-appdir-manually suivante] :
AppDir/
AppDir/AppRun
AppDir/monprog.desktop
AppDir/monprog.png
AppDir/usr/bin/monprog
AppDir/usr/lib/libfoo.so.0

* la totalité des ressources nécessaires au fonctionnement du programme doit être contenue dans le dossier normalisé <code>AppDir/</code>
* les chemins aux ressources contenus dans celui-ci doivent obligatoirement êtres relatifs afin de s'assurer que la paquet ''AppImage'' ne va pas utiliser des données (comme des librairies) locales au système. Ce qui donnerait une fausse impression de portabilité (cesserai de fonctionner chez certains utilisateurs)
* le fichier <code>AppRun</code> est ce qui est exécuté au lancement d'un paquet ''AppImage'' (point d'entrée). Il peut s'agir de n'importe quel exécutable

Afin de convertir les chemins absolus en relatifs, les commandes <code>busybox strings AppDir/usr/bin/monprog | grep /usr</code> suivie de <code>sed -i -e 's#/usr#././#g' AppDir/usr/bin/monprog</code> sont données dans la documentation officielle. Il conviendra bien évidemment de s'assurer que cette commande ne casse pas tout.

===VSCodium===
[https://vscodium.com/ VSCodium] est une bifurcation de l'éditeur de code [https://code.visualstudio.com/ Visual Studio Code] de ''Microsoft'' purgée de toute références aux pratiques malveillantes de cette entreprise. De part sa nature ''Microsoftienne'' et ceux, malgré les efforts pour en faire un binaire saint, nous cloisonnerons ce logiciel afin qu'il n'ai pas accès à Internet ainsi qu'au répertoire personnel de notre utilisateur via une prison [https://manpages.debian.org/stretch/firejail/firejail.1.en.html Firejail].

Cette application n'étant pas disponible dans ''Debian'', nous allons la construire nous même.

Les étapes de cette section consisteront à télécharger le paquet ''Debian'' (''.deb'') depuis le site de l'éditeur dans un répertoire de travail et d'y transférer son contenu en vu d'un empaquetage ''AppImage''.

====Préparation====
Création d'une variable de chemin spécifique à notre projet (rendra plus facile les copier/coller pour un autre programme)
export appimage="/tmp/VSCodium/"

Création de l'espace de travail
mkdir -p $appimage/{AppDir/usr/share/,DEB} && cd $appimage

Téléchargement de ''VSCodium''
wget https://github.com/VSCodium/vscodium/releases/download/1.85.2.24019/codium_1.85.2.24019_amd64.deb -P $appimage/DEB/

Extraction de son contenu
dpkg-deb -R $appimage/DEB/codium_1.85.2.24019_amd64.deb $appimage/DEB/

Copie de l'icône et du raccourci pour environnement graphique du programme
cp $appimage/DEB/usr/share/pixmaps/vscodium.png $appimage/AppDir/
cp $appimage/DEB/usr/share/applications/codium.desktop $appimage/AppDir/

Copie des fichiers nécessaires au fonctionnement du programme
cp -rv $appimage/DEB/usr/share/codium $appimage/AppDir/usr/share/

Création d'un point d'entrée à l'exécution de notre paquet
<syntaxhighlight lang="bash">
cat << '_EOF_' > $appimage/AppDir/AppRun
#!/bin/bash

$(dirname "$0")/usr/share/codium/codium ~ --ms-enable-electron-run-as-node $@
#$(dirname "$0")/usr/share/codium/codium $(dirname "$0") --ms-enable-electron-run-as-node $@
_EOF_
</syntaxhighlight>

chmod +x $appimage/AppDir/AppRun

====Empaquetage====
Création du répertoire contenant le résultat
mkdir $appimage/VSCodium

Construction du ''AppImage''
appimagetool $appimage/AppDir/ $appimage/VSCodium/VSCodium.appimage

Votre application est prête à l'emploi !

La section suivante concerne son cloisonnement. Il est complètement optionnel et vous pouvez vous arrêter là si vous n'en avez pas besoin.

Il est possible d'extraire le contenu du paquet via un <code>./VSCodium.appimage --appimage-extract</code>.

====Cloisonnement====
Afin de cloisonner notre application, nous utiliserons le logiciel ''Firejail'', devenu une référence pour cette tâche (il comporte une option spécifique pour notre besoin).

{{attention|L'utilisateur soucieux d'utiliser le cloisonnement devra installer ce programme : <code>apt install --no-install-recommends firejail</code>.}}

Création du script d'exécution du paquet cloisonné
<syntaxhighlight lang="bash">
cat << '_EOF_' > $appimage/VSCodium/vscodium
#!/bin/bash

firejail --quiet --noprofile --nonewprivs --net=none --private=$(dirname "$0") --private-dev --caps.drop=all --seccomp --appimage $(dirname "$0")/VSCodium.appimage --no-sandbox
_EOF_
</syntaxhighlight>

chmod +x $appimage/VSCodium/vscodium

Les paramètres utilisés sont les suivants :
* <code>--quiet</code> : désactive les messages de sorties de <code>firejail</code>. Celles du programme cloisonné continues quant à elles de s'afficher. La variable d'environnement <code>FIREJAIL_QUIET=yes</code> permet le même résultat
* <code>--noprofile</code> : ne pas utiliser de profile par défaut (ils foutent plus la merde qu'autre chose). Il est possible de créer les notre
* <code>--nonewprivs</code> : permet de s'assurer via le [https://www.man7.org/linux/man-pages/man2/prctl.2.html prctl] <code>NO_NEW_PRIVS</code> que le processus fils (notre application) ne peut pas obtenir de nouveau privilèges
* <code>--net=none</code> : coupe totalement l'accès au réseau de la prison
* <code>--private=$(dirname "$0")</code> : monte le répertoire contenant le script d'exécution de la prison (<code>dirname "$0"</code>) comme répertoire personnel du programme cloisonné
* <code>--private-dev</code> : créé un nouveau répertoire <code>/dev</code> ne contenant que les fichiers spéciaux ''disc'', ''dri'', ''dvb'', ''hidraw'', ''null'', ''full'', ''zero'', ''tty'', ''pts'', ''ptmx'', ''random'', ''snd'', ''urandom'', ''video'', ''log'', ''shm'', et ''usb''
* <code>--caps.drop=all</code> : supprime toute les [https://www.man7.org/linux/man-pages/man7/capabilities.7.html capacités] du noyau. Cela répond au principe de moindre privilèges pour les applications ne nécessitant pas d'accès ''root''
* <code>--seccomp</code> : active les filtres ''Secure computing mode'' (''Seccomp'') de la liste noir des appels système par défaut
* <code>--appimage $(dirname "$0")/VSCodium.appimage --no-sandbox</code> : permet le cloisonnement d'un paquet ''AppImage''. L'option <code>--nonewprivs</code> et les filtres de capacités noyau par défaut sont activés avec cette option. Les paramètres qui suivent sont ceux spécifiques au programme cloisonné (notre ''AppImage'' en l’occurrence)

Dans la mesure où le cloisonnement coupe l'accès au réseau, l'ajout de modules complémentaires (greffons) à ''VSCodium'' devra se faire via la méthode d'installation hors-ligne par fichier ''.vsix''. Ces fichiers pourront êtres disposés dans le répertoire de travail passé par <code>--private=</code> afin de les rendre accessibles à l'éditeur de code.

Par commodité, nous pouvons proposer le [https://marketplace.visualstudio.com/_apis/public/gallery/publishers/MS-CEINTL/vsextensions/vscode-language-pack-fr/1.85.2024012409/vspackage pack de langue français] (site officiel des modules de ''Visual Studio Code'') dans l'archive que nous mettrons à disposition des utilisateurs. Pensez à vous chronométrer avant de cliquer sur le lien pour savoir combien de temps vous mettez à simplement trouver le bouton de téléchargement (L’ergonomie façon ''Microsoft''...). Vous pouvez récupérer ce fichier dans [https://{{SERVERNAME}}/fichiers/gestion_paquets/appimage/MS-CEINTL.vscode-language-pack-fr-1.85.2024013109.vsix nos fichiers] et le mettre dans votre répertoire de travail <code>$appimage/VSCodium/</code>.

Génération de l'archive finale
tar -czvf /tmp/VSCodium.tar.gz -C $appimage/ VSCodium

Votre application est maintenant prête à être déployée et utilisée ! Vous pouvez récupérer l'archive finale de cette procédure dans [https://{{SERVERNAME}}/fichiers/gestion_paquets/appimage/VSCodium.tar.gz nos fichiers].

Les utilisateurs devrons décompresser son contenu dans l'emplacement de leur choix et exécuter le script <code>vscodium</code>.

==Sources de la section==
* https://docs.appimage.org/packaging-guide/manual.html
* https://docs.appimage.org/reference/appdir.html

Appimage

2024-01-28T16:32:29Z

Ycharbi : Page créée avec « Category:Gestionnaire_paquets [https://appimage.org/ Appimage] est un format de paquets portable (dit "universel") pour les systèmes d'exploitations utilisant un noyau Linux. Son but est de permettre la mise à disposition de logiciels indépendamment d'une distribution en particulier. Il se présente sous la forme d'un unique fichier binaire [https://fr.wikipedia.org/wiki/Executable_and_Linkable_Format Executable and Linkable Form... »

[[Category:Gestionnaire_paquets]]

[https://appimage.org/ Appimage] est un format de paquets portable (dit "universel") pour les systèmes d'exploitations utilisant un [[:Category:Noyau_linux|noyau Linux]]. Son but est de permettre la mise à disposition de logiciels indépendamment d'une distribution en particulier. Il se présente sous la forme d'un unique fichier binaire [https://fr.wikipedia.org/wiki/Executable_and_Linkable_Format Executable and Linkable Format] (''ELF'') comportant une image [[Squashfs|SquashFS]]. Cette dernière contient alors toutes les dépendances nécessaires au fonctionnement du programme. On y trouvera une similitude avec certains programmes ''Windows'' ou ''Mac OS X''.

=Avantages=
Les intérêts d'une telle approche sont multiples, tant pour les éditeurs, les développeurs et les utilisateurs que pour les administrateurs.

Habituellement, un logiciel doit être empaqueté dans un format spécifique à une [[:Category:Distributions_linux|distribution Linux]] (''.deb'', ''.rpm'', ''.pkg''...) et doit être livré sans intégrer ses dépendances. L'éditeur doit alors maintenir un paquets par distribution en gérant un nombre de paramètres insoutenable (la version du paquet pour une distribution donnée doit se contenter des librairies imposées dans les dépôts de chaque système !). Un mainteneur de paquet spécifique (bien souvent un bénévole indépendant du projet initial) est alors désigné pour se charger de l'empaquetage, la maintenance et la distribution dans les dépôts servants les différents [[:Category:Gestionnaire_paquets|gestionnaires de paquets]].

L'approche ''AppImage'' réduit donc les intermédiaires intervenant dans le processus de distribution d'un logiciel. L'éditeur construit et met à disposition un paquet standardisé intégrant les composants spécifiques au fonctionnement de sa création sur le dépôt de son choix. Les utilisateurs peuvent alors se le procurer directement (téléchargement depuis leur navigateur ''Web'' par exemple) sans attendre que leur distribution l'embarque (chose qui peut ne jamais arriver en fonction de leur gouvernance). La charge de travail est moindre pour l'éditeur et certains utilisateurs.

En effet, si un programme n'est pas disponible dans les dépôts de sa distribution, ce dernier doit entreprendre un périple qui n'est parfois pas sans conséquence sur son système :
* ajout de dépôts tiers comportant au choix : des failles de sécurités ou du code malveillant, des librairies entrants en conflits avec celles présentes dans la distribution d'origine, une maintenance ne suivant pas la politique de cette dernière, etc... (je ne compte plus les fois où l'assistance à un débutant concerne des problèmes liés à cette liste et dont l'unique point de convergence est la gestion de paquet sous ''Linux''...)
* installation depuis un paquet au format de la distribution d'origine : comme dit précédemment, un paquet standard ne vient pas avec ses dépendances, il s’appuie sur celles des dépôts officiels (modulos les technologies spécifiques comme ''GoLang'' ou ''Electron''). Il faut alors en premier lieu réaliser l'installation dédites dépendances à la main (ou via le gestionnaire de paquet si vous avez le cul bordé de nouilles) pour procéder à celle de votre logiciel. Si les dépendances ne sont pas disponibles dans les dépôts et que les externes rentrent en conflits avec ces dernières, vous ne pouvez pas installer votre logiciel sans risquer de tout casser
* compilation depuis les sources : non content d'être une galère sans nom (sur 100, combien de fois cela à fonctionner pour vous ?), la gestion des mises à jours est au mieux, une plaie totale, au pire impossible (et je ne parle bien entendu pas de la désinstallation qui relève du mystère une fois que des milliers de fichiers se sont disséminés un peu partout sur votre disque...).

Un autre avantage notoire est la non altération du logiciel entre l'éditeur et l'utilisateur par des mainteneurs modifiants les options de compilation ou appliquant des patch avant distribution. On peut noter par exemple certains codecs enfreignant les brevets logiciels aux États Unis d'Amérique alors que cette notion juridique est absente dans le droit Français. Dans ce cas, un paquets hébergé sur un serveur Français pourrait contenir l'ensemble des codecs et profiter à la totalité des utilisateurs mondiaux sans passer par un mainteneur spécifique.

Enfin, il est relativement aisé de cloisonner l'exécution d'un programme contenu dans un unique binaire en comparaison de la méthode traditionnelle visant à en mettre partout sur le système de fichier d'exploitation. Nous utiliserons cette méthode chaque fois que cela est souhaité afin de ne pas pourrir notre machine de production (faites un <code>tree -a ~/.*</code> si vous ne voyez pas de quoi je veux parler...).

=Inconvénients=
Comme toute solution est rarement intégralement rose, les avantages apportés par ''AppImage'' viennent à leur tour contrecarrer ceux apporter par la gestion traditionnelle des paquets sous ''Linux'' :
* pas d'installation et de mise à jour unifié : il n'y a pas d'unique dépôt comme sous une distribution classique centralisant tous les ''AppImage'' pour permettre leur installation et leur mise à jour en une unique commande ou via un magasin d'applications (ceci n'est cependant pas techniquement impossible à l'image de ce qui se fait sur le monde des [[:Category:Ordiphones|ordiphones]])
* sécurité : aucun support de l'équipe de sécurité de la distribution n'est apporté sur le paquet que vous installez, tant concernant les patchs de sécurité que la revue de code (il faut faire plus attention à ce que l'on télécharge). Le cloisonnement est une bonne pratique pour se prémunir au mieux des actes de malveillance ou simplement de la collecte de données personnelles (sous ''Debian'', ce types de comportement non éthique est généralement supprimé par les mainteneurs à la compilation)
* espace disque : taille globale du paquet bien plus importante que via les dépôts officiels puisque il embarque tous les composants nécessaires à son fonctionnement. Il n'y a aucune mutualisation des librairies utilisées par les différents programmes ''AppImage'' (contrairement, dans une [très] moindre mesure, à [https://www.flatpak.org/ Flatpak])

La meilleure approche semble donc une utilisation hybride des deux solutions en privilégiant la méthode traditionnelle (gestionnaire de paquets) et en usant des paquets unifiés lorsque le besoin s'en fait sentir en combinaison d'un cloisonnement lorsque cela est possible/souhaitable.

=Construction d'une image=
==Dépendances==
''AppImage'' n'a besoin pour fonctionner que de <code>libfuse2</code>. Il convient alors de l'installer sur votre système (''Debian 12'' pour l'exemple).
apt install --no-install-recommends libfuse2

L'[https://github.com/AppImage/AppImageKit outil] permettant la construction des images étant lui même un paquet ''AppImage'', il suffit de le télécharger et de le rendre exécutable pour pouvoir commencer à l'utiliser.
wget https://github.com/AppImage/AppImageKit/releases/download/13/appimagetool-x86_64.AppImage -O /usr/local/bin/appimagetool
chmod +x /usr/local/bin/appimagetool

==Construction d'une image==
L'empaquetage d'une application, bien que suivant une trame générique, comporte des spécificités inhérente au programme que vous traitez. Les grandes lignes de ce qui sera montré dans cette section sera transposable pour le votre mais il ne me sera pas possible de rédiger une procédure universelle. Il faudra inévitablement galérer un peu pour votre cas particulier.

===Principes===
La structure d'un paquet ''AppImage'' est globalement la [https://docs.appimage.org/packaging-guide/manual.html#creating-an-appdir-manually suivante] :
AppDir/
AppDir/AppRun
AppDir/myapp.desktop
AppDir/myapp.png
AppDir/usr/bin/myapp
AppDir/usr/lib/libfoo.so.0

* la totalité des ressources nécessaires au fonctionnement du programme doit être contenue dans le dossier normalisé <code>AppDir/</code>
* les chemins aux ressources contenus dans celui-ci doivent obligatoirement êtres relatifs afin de s'assurer que la paquet ''AppImage'' ne va pas utiliser des données (comme des librairies) locales au système. Ce qui donnerait une fausse impression de portabilité (cesserai de fonctionner chez certains utilisateurs)
* le fichier <code>AppRun</code> est ce qui est exécuté au lancement d'un paquet ''AppImage'' (point d'entrée). Il peut s'agir de n'importe quel exécutable

Afin de convertir les chemins absolus en relatifs, les commandes <code>busybox strings usr/share/codium/bin/monprog | grep /usr</code> suivie de <code>sed -i -e 's#/usr#././#g' AppDir/usr/bin/monprog</code> sont données dans la documentation officielle. Il conviendra bien évidemment de s'assurer que cette commande ne casse pas tout.

===VSCodium===
[https://vscodium.com/ VSCodium] est une bifurcation de l'éditeur de code [https://code.visualstudio.com/ Visual Studio Code] de ''Microsoft'' purgé de toute références aux pratiques malveillantes de cet éditeur. De part sa nature ''Microsoftienne'' et ceux, malgré les efforts pour en faire un binaire saint, nous cloisonnerons ce logiciel afin qu'il n'ai pas accès à Internet ainsi qu'au répertoire personnel de notre utilisateur via une prison [https://manpages.debian.org/stretch/firejail/firejail.1.en.html Firejail].

Cette application n'étant pas disponible dans ''Debian'', nous allons la construire nous même.

Les étapes de cette section consisteront à télécharger le paquet ''Debian'' (''.deb'') depuis le site de l'éditeur dans un répertoire de travail et d'y transférer son contenu en vu d'un empaquetage ''AppImage''.

====Préparation====
Création d'une variable de chemin spécifique à notre projet (rendra plus facile les copier/coller pour un autre programme)
export appimage="/tmp/VSCodium/"

Création de l'espace de travail
mkdir -p $appimage/{AppDir/usr/share/,DEB} && cd $appimage

Téléchargement de ''VSCodium''
wget https://github.com/VSCodium/vscodium/releases/download/1.85.2.24019/codium_1.85.2.24019_amd64.deb -P $appimage/DEB/

Extraction de son contenu
dpkg-deb -R $appimage/DEB/codium_1.85.2.24019_amd64.deb $appimage/DEB/

Copie de l'icône et du raccourci pour environnement graphique du programme
cp $appimage/DEB/usr/share/pixmaps/vscodium.png $appimage/AppDir/
cp $appimage/DEB/usr/share/applications/codium.desktop $appimage/AppDir/

Copie des fichiers nécessaires au fonctionnement du programme
cp -rv $appimage/DEB/usr/share/codium $appimage/AppDir/usr/share/

Création d'un point d'entrée à l'exécution de notre paquet
<syntaxhighlight lang="bash">
cat << '_EOF_' > $appimage/AppDir/AppRun
#!/bin/bash

$(dirname "$0")/usr/share/codium/codium ~ --ms-enable-electron-run-as-node $@
#$(dirname "$0")/usr/share/codium/codium $(dirname "$0") --ms-enable-electron-run-as-node $@
_EOF_
</syntaxhighlight>

{{info|le fichier <code>AppRun</code> est ce qui est exécuté au lancement d'un paquet ''AppImage''. Il peut s'agir de n'importe quel exécutable.}}

chmod +x $appimage/AppDir/AppRun

====Empaquetage====
Création du répertoire contenant le résultat
mkdir $appimage/VSCodium

Construction du ''AppImage''
appimagetool $appimage/AppDir/ $appimage/VSCodium/VSCodium.appimage

Votre application est prête à l'emploi !

La section suivante concerne son cloisonnement. Il est complètement optionnel et vous pouvez vous arrêter là si vous n'en avez pas besoin.

Il est possible d'extraire le contenu du paquet via un <code>VSCodium.appimage --appimage-extract</code>.

====Cloisonnement====
Afin de cloisonner notre application, nous utiliserons le logiciel ''Firejail'', devenu une référence pour cette tâche (il comporte une option spécifique pour notre besoin).

{{attention|L'utilisateur soucieux d'utiliser le cloisonnement devra installer ce programme : <code>apt install --no-install-recommends firejail</code>.}}

Création du script d'exécution du paquet cloisonné
<syntaxhighlight lang="bash">
cat << '_EOF_' > $appimage/VSCodium/vscodium
#!/bin/bash

firejail --quiet --noprofile --nonewprivs --net=none --private=$(dirname "$0") --private-dev --caps.drop=all --seccomp --appimage $(dirname "$0")/VSCodium.appimage --no-sandbox
_EOF_
</syntaxhighlight>

chmod +x $appimage/VSCodium/vscodium

Les paramètres utilisés sont les suivants :
* <code>--quiet</code> : désactive les sorties de <code>firejail</code>. Les sorties du programme cloisonné continues quant à elles de s'afficher. La variable d'environnement <code>FIREJAIL_QUIET=yes</code> permet le même résultat
* <code>--noprofile</code> : ne pas utiliser de profile par défaut (ils foutent plus la merde qu'autre chose). Il est possible de créer les notre
* <code>--nonewprivs</code> : permet de s'assurer via le [https://www.man7.org/linux/man-pages/man2/prctl.2.html prctl] <code>NO_NEW_PRIVS</code> que le processus fils (notre application) ne peut pas obtenir de nouveau privilèges
* <code>--net=none</code> : coupe totalement l'accès au réseau de la prison
* <code>--private=$(dirname "$0")</code> : monte le répertoire contenant le script d'exécution de la prison (<code>dirname "$0"</code>) comme répertoire personnel du programme cloisonné
* <code>--private-dev</code> : créé un nouveau répertoire <code>/dev</code> ne contenant que les fichiers spéciaux ''disc'', ''dri'', ''dvb'', ''hidraw'', ''null'', ''full'', ''zero'', ''tty'', ''pts'', ''ptmx'', ''random'', ''snd'', ''urandom'', ''video'', ''log'', ''shm'', et ''usb''
* <code>--caps.drop=all</code> : supprime toute les [https://www.man7.org/linux/man-pages/man7/capabilities.7.html capacités] du noyau. Cela répond au principe de moindre privilèges pour les application ne nécessitant pas d'accès ''root''
* <code>--seccomp</code> : active les filtres ''Secure computing mode'' (''Seccomp'') de la liste noir des appels système par défaut
* <code>--appimage $(dirname "$0")/VSCodium.appimage --no-sandbox</code> : permet le cloisonnement d'un paquet ''AppImage''. L'option <code>--nonewprivs</code> et les filtres de capacités noyau par défaut sont activés avec cette option. Les param_tres qui suivent sont ceux spécifique au programme cloisonné (notre ''AppImage'' en l’occurrence)

Dans la mesure où le cloisonnement coupe l'accès au réseau, l'ajout de modules complémentaires (greffons) à ''VSCodium'' devra se faire via la méthode d'installation hors-ligne par fichier ''.vsix''. Ces fichiers pourront êtres disposés dans le répertoire de travail passé par <code>--private=</code> afin de les rendre accessibles à l'éditeur de code.

Par commodité, nous pouvons proposer le [https://marketplace.visualstudio.com/_apis/public/gallery/publishers/MS-CEINTL/vsextensions/vscode-language-pack-fr/1.85.2024012409/vspackage pack de langue français] (site officiel des modules de ''Visual Studio Code'') dans l'archive que nous mettrons à disposition des utilisateurs. Pensez à vous chronométrer avant de cliquer sur le lien pour savoir combien de temps vous mettez à simplement trouver le bouton de téléchargement (L’ergonomie façon ''Microsoft''...). Vous pouvez récupérer ce fichier dans l'archive de résultat de cette section le mettre dans votre répertoire de travail <code>$appimage/VSCodium/</code>.

Génération de l'archive finale
tar -czf /tmp/VSCodium.tar.gz -C $appimage/ VSCodium

Votre application est maintenant prête à être déployée et utilisée !

Les utilisateurs devrons décompresser son contenu dans l'emplacement de leur choix et exécuter le script <code>vscodium</code>.

Busybox init

2024-01-28T11:16:57Z

Ycharbi : /* Busybox */ Ajout d'un lien vers les sources de Busybox en caches dans nos fichiers

[[Category:distributions_linux]]

[[Busybox]] intègre <code>init</code>, un programme pouvant être amorcé directement par un noyau ''Linux'' au démarrage d'une machine. Il est ainsi possible de concevoir un système d'exploitation léger composé uniquement d'un noyau et de ''Busybox''. L'adjonction d'outils supplémentaires sur cette base minimaliste pourra engendrer une distribution spécifiquement conçue pour un besoin particulier. Cette association s’avère donc particulièrement intéressante dans des systèmes embarqués tel que les ''appliances'' réseau comme [https://openwrt.org/ OpenWRT] ou [https://dd-wrt.com/ DD-WRT].

Nous verrons comment construire un tel système en partant des sources de chaque programmes depuis une ''GNU/Linux Debian 12 Bookworm''. Les compilations se feront avec l'ensemble des paramètres par défaut. Je recommande d'utiliser une machine (virtuelle ''amd64'' dans mon cas) spécifiquement installée pour cet usage car un grand nombre de dépendances est nécessaire et il serait dommage de pourrir votre environnement de travail...

L'espace de travail sera le répertoire personnel de l'utilisateur ''root''.

=Linux=
Installation des dépendances
apt install autoconf automake autotools-dev curl libmpc-dev libmpfr-dev libgmp-dev gawk build-essential bison flex texinfo gperf libtool patchutils bc zlib1g-dev libexpat-dev libelf-dev libssl-dev libncurses-dev dwarves

Téléchargement des sources du dernier noyau stable (01/11/2023)

<syntaxhighlight lang="bash">
# Code source
wget https://cdn.kernel.org/pub/linux/kernel/v6.x/linux-6.6.tar.xz -P ~
# Signature GPG
wget https://cdn.kernel.org/pub/linux/kernel/v6.x/linux-6.6.tar.sign -P ~
</syntaxhighlight>

Note : le code source est également disponible dans [https://{{SERVERNAME}}/fichiers/système/noyaux/linux/linux-6.6.tar.xz nos fichiers].

Décompression de l'archive des sources
unxz -k ~/linux-6.6.tar.xz

Vérification de la signature GPG de l'archive
apt install gnupg2
gpg2 --locate-keys torvalds@kernel.org gregkh@kernel.org
gpg2 --tofu-policy good 38DBBDC86092693E
gpg2 --tofu-policy good 79BE3E4300411886
gpg2 --trust-model tofu --verify ~/linux-6.6.tar.sign

Note : la dernière commande doit vous renvoyer plusieurs lignes de résultat dont <code>gpg: Bonne signature de « Greg Kroah-Hartman <gregkh@kernel.org> » [totale]</code>.

Désarchivage des sources
tar xvf ~/linux-6.6.tar
cd ~/linux-6.6/

Création d'une configuration de confection saine avec les paramètres par défaut et compilation avec 4 cœurs de processeur

<syntaxhighlight lang="bash">
make defconfig
make -j4
# Retour dans le répertoire personnel
cd ~
</syntaxhighlight>

Le noyau compilé pour notre architecture x86 64bits se trouve à l'emplacement suivant : <code>~/linux-6.6/arch/x86/boot/bzImage</code>.

=Busybox=
Téléchargement des sources

<syntaxhighlight lang="bash">
wget https://www.busybox.net/downloads/busybox-1.36.1.tar.bz2
wget https://www.busybox.net/downloads/busybox-1.36.1.tar.bz2.sha256
</syntaxhighlight>

Note : le code source est également disponible dans [https://{{SERVERNAME}}/fichiers/système/applications/busybox/busybox-1.36.1.tar.bz2 nos fichiers].

Vérification d'intégrité
sha256sum -c ~/busybox-1.36.1.tar.bz2.sha256

Note : la vérification d'intégrité doit renvoyer <code>Réussi</code>.

Extraction de l'archive compressée
tar xvf ~/busybox-1.36.1.tar.bz2
cd ~/busybox-1.36.1/

Configuration par défaut et compilation du code avec lien statique afin d'embarquer les dépendances dans le binaire final

<syntaxhighlight lang="bash">
make defconfig
make -j4 LDFLAGS="--static"
# Retour dans le répertoire personnel
cd ~
</syntaxhighlight>

''Busybox'' est désormais disponible ici : <code>~/busybox-1.36.1/busybox</code>

=Média d'amorce=
Nous avons dés à présent en notre possession tous les programmes de notre future système d'exploitation. Vous pouvez préparer les vôtres en vue de les intégrer dans les sections qui suivent.

Les méthodes d'amorçages peuvent varier selon les besoins et votre convenance. Je répertorie personnellement 3 cas d'usage :
# mémoire morte avec système de fichier classique type ''EXT4''
# [https://fr.wikipedia.org/wiki/Initrd initramfs]
# ''PXE''

Toute les démonstrations seront réalisées via [[Qemu]]. La mise en œuvre du réseau ne sera pas détaillée car j'utilise des scripts personnalisés avec mon système. La création d'une interface ''tap'' et son exploitation via la directive <code>-device virtio-net-pci,netdev=network0,mac=$tap_mac -netdev tap,id=network0,ifname=$int_tap,script=no,downscript=no</code> permet de lier la machine virtuel au réseau physique via l'adjonction d'un pont réseau.

L'étape <code>1</code> fera office de tronc commun aux autres sections afin de ne pas alourdir le document avec une redondance inutile et difficilement maintenable. Seule celle-ci nécessite l'utilisation d'un périphérique de type bloc, les deux autres peuvent êtres réalisées directement dans <code>~/rootfs</code> si vous le désirez. La réalisation successive des trois étapes est toutefois possible. Il faudra simplement penser à remonter <code>~/rootfs</code> afin de ne pas travailler dans un répertoire vide...

==1. Amorçage en mémoire morte==
Cette façon de faire permet de modifier simplement le contenu de votre distribution après coup. Il suffit pour se faire de monter le système de fichier en écriture pour y actualiser son contenu à votre guise.

Pour l'exemple, je créerai un fichier simulant un périphérique de type bloc du nom de <code>busybox.dd</code> au même titre qu'une mémoire morte. En condition réelle, remplacez celui-ci par votre périphérique physique : <code>/dev/sda</code>; <code>/dev/mmcblk</code>; <code>/dev/nvme0n1</code>...

Création et formatage de la mémoire racine
dd if=/dev/zero of=~/busybox.dd bs=1M count=1024
mkfs.ext4 ~/busybox.dd

Création et montage de l'environnement de travail
mkdir -p ~/rootfs
mount ~/busybox.dd ~/rootfs
cd ~/busybox-1.36.1/

Installation de l'arborescence du système ''Busybox'' dans notre système de fichiers avec [https://stackoverflow.com/questions/49369508/kernel-panic-not-syncing-requested-init-linuxrc-failed-error-2 lien statiques]
make install CONFIG_PREFIX=../rootfs LDFLAGS="--static"
cd ~

Cette étape a créée les répertoires standards permettant d’accueillir les binaires usuels du système selon la [https://fr.wikipedia.org/wiki/Filesystem_Hierarchy_Standard Filesystem Hierarchy Standard] (''FHS''). L'exécutable <code>busybox</code> précédemment compilé a été copié dans le nouveau <code>/bin</code> et des liens symboliques ont étés créés pointant vers celui-ci avec le nom de tous les utilitaires qu'il contient.

Création des points montages des pseudos systèmes de fichiers usuels, de la table de montages statiques et du répertoire accueillant notre futur script d'initialisation
mkdir -p ~/rootfs/proc ~/rootfs/sys ~/rootfs/dev
mkdir -p ~/rootfs/etc
touch ~/rootfs/etc/fstab
mkdir -p ~/rootfs/etc/init.d

Script d'initialisation du système

<syntaxhighlight lang="bash">
bash -c "cat > ~/rootfs/etc/init.d/rcS" << _EOF_
#!/bin/sh

# Message d'accueil
echo "Busybox ycharbi.fr"
# Pseudos systèmes de fichiers usuels
mount -t proc proc /proc
mount -t sysfs sysfs /sys
mount -t devtmpfs none /dev

# Configuration réseau
ip addr add 10.0.0.1/24 dev eth0
ip link set dev eth0 up
ip route add default via 10.0.0.254 dev eth0

# Clavier en AZERTY
loadkmap < /etc/fr.map
_EOF_
</syntaxhighlight>

Attribution du droit d'exécution au script d'initialisation
chmod +x ~/rootfs/etc/init.d/rcS

Configuration des Télétypes (''TTY'')

<syntaxhighlight lang="bash">
bash -c "cat > ~/rootfs/etc/inittab" << _EOF_
::sysinit:/etc/init.d/rcS
ttyS0::respawn:/bin/sh
tty2::askfirst:-/bin/sh
tty3::askfirst:-/bin/sh
tty4::askfirst:-/bin/sh
tty4::respawn:/sbin/getty 38400 tty5
tty5::respawn:/sbin/getty 38400 tty6
::ctrlaltdel:/sbin/reboot
::shutdown:/sbin/swapoff -a
::shutdown:/bin/umount -a -r
::restart:/sbin/init
_EOF_
</syntaxhighlight>

Ce fichier définit les ''TTY'' qui doivent êtres invoqués au lancement de <code>init</code>. Vous devrez probablement adapter ceci à votre besoin. La documentation de ces lignes ainsi que de la configuration appliquée par défaut en cas d'absence du fichier est disponible dans <code>~/busybox-1.36.1/examples/inittab</code>.

Création du binaire de traduction clavier afin d'utiliser l{{'}}''AZERTY''
busybox dumpkmap > ~/rootfs/etc/fr.map

À ce stade, notre mémoire morte est prête.

Pour permettre son amorçage, un éventail de possibilités s'offre à vous : [[Grub]]; [[Systemd-boot]]; [[Efibootmgr#Création_d'une_entrée_de_type_STUB|UEFI stub]]; [[Ipxe]]; [[Installation_slax_-_UEFI_64bits#Préparation_de_l'environnement_hôte|Syslinux]]... Pour ma part et comme précisé en introduction, j'utiliserai [[Qemu#Démarrage_de_la_machine_virtuelle|Qemu]] afin de simplifier au maximum l'exposé.

Démontage du système de fichier
umount ~/rootfs

Note : si vous comptez poursuivre les étapes des sections suivantes, pensez à remonter ce système de fichier ou à en copier le contenu dans un autre répertoire de travail afin de ne pas recommencer à zéro.

Test du système avec ''Qemu'' (<code>apt install --no-install-recommends qemu-system-x86</code>)

<syntaxhighlight lang="bash">
qemu-system-x86_64 \
--enable-kvm \
-m 2048 \
-device virtio-balloon \
-kernel ~/linux-6.6/arch/x86/boot/bzImage \
-append "ro root=/dev/sda console=ttyS0 quiet" \
-cpu host -smp cores=2,threads=1,sockets=1 \
-serial mon:stdio \
-drive id=disk,file="${HOME}"/busybox.dd,format=raw,if=none \
-device ahci,id=ahci \
-device ide-hd,drive=disk,bus=ahci.0 \
-display none
</syntaxhighlight>

Pour un affichage sans port console, il faut supprimer le paramètre <code>console=ttyS0</code> de la directive <code>-append</code>; supprimer la directive <code>-display none</code> et remplacer la ligne <code>ttyS0::respawn:/bin/sh</code> par <code>tty1::respawn:/bin/sh</code> dans le <code>inittab</code>.

==2. Amorçage en initramfs==
L'utilisation d'un système de fichiers initial en mémoire à accès aléatoire apporte encore plus de légèreté à la solution. Un unique fichier compressé vient s'ajouter au noyau en cours d'exécution pour servir la racine construite précédemment. Le système est exécuté intégralement en mémoire vive et peut donc se voir distribué via des protocoles réseaux tel que ''TFTP'' ou ''HTTP''.

Construction de l'archive compressée ''Initramfs''
cd ~/rootfs && find . -print0 | cpio --null -ov --format=newc | gzip -9 > ../initramfs.cpio.gz && cd ~

Test du système avec ''Qemu''

<syntaxhighlight lang="bash">
qemu-system-x86_64 \
--enable-kvm \
-m 2048 \
-device virtio-balloon \
-kernel ~/linux-6.6/arch/x86/boot/bzImage \
-append "ro rootfstype=ramfs rdinit=/sbin/init console=ttyS0 quiet" \
-initrd ~/initramfs.cpio.gz \
-cpu host -smp cores=2,threads=1,sockets=1 \
-serial mon:stdio \
-display none
</syntaxhighlight>

Les différences de lancement sont :
* modification des paramètres noyau ([https://www.man7.org/linux/man-pages/man7/kernel-command-line.7.html cmdline]) de la directive <code>-append</code>
* ajout de la directive <code>-initrd</code>
* les directives concernant le disque ''SATA'' ont étés supprimées

==3. Amorçage initramfs via PXE==
Cette méthode d'amorçage ne varie pas beaucoup de la précédente puisque elle réutilise les mêmes éléments à savoir le noyau et l{{'}}''Initramfs''. Le delta sera sur la syntaxe du chargeur d'amorçage réseau utilisé ainsi que quelques paramètres passés au noyau. Voici la section fonctionnelle pour [[Ipxe]] :

<syntaxhighlight lang="bash">
#!ipxe

set menu-timeout 10000
set submenu-timeout ${menu-timeout}
isset ${menu-defaut} || set menu-defaut Debian_Buster
set serveur_ip 10.0.0.100

menu
item --gap -- -------------DEMARRAGE EN RAM----------------
item busybox Lancer Busybox

choose --timeout ${menu-timeout} --default ${menu-default} target && goto ${target}

:busybox
kernel http://${serveur_ip}/systemes/noyaux/busybox/bzImage ro initrd=initramfs.cpio.gz rootfstype=ramfs rdinit=/sbin/init console=ttyS0
initrd http://${serveur_ip}/systemes/noyaux/busybox/initramfs.cpio.gz
boot
# https://ipxe.org/cmd/kernel
</syntaxhighlight>

=Sources=
* https://dev.to/donaldsebleung/hello-embedded-world-booting-a-minimal-linux-with-busybox-on-risc-v-from-source-2ne9
* https://cs4118.github.io/dev-guides/debian-kernel-compilation.html
* ''POSIX Base Specifications Issue 7'' :
** https://pubs.opengroup.org/onlinepubs/9699919799/utilities/contents.html
** Paramètres du shell Sh : https://pubs.opengroup.org/onlinepubs/9699919799/utilities/V3_chap02.html

Paramètres linux

2024-01-28T10:59:52Z

Ycharbi : Ajout d'un lien vers la documentation officielle des paramètres Linux + remplacement des balises "source" obsolètes + corrections de typographies

[[Category:noyau_linux]]
Cette page regroupe quelques paramètres que l'on peut passer au noyau ''Linux'' lors de son démarrage.

La [https://www.kernel.org/doc/html/v6.5/admin-guide/kernel-parameters.html documentation] officielle regroupe des informations utiles à ce sujet.

=Passer des paramètres au noyau=
==GRUB==
Pour éditer les paramètres passés au noyau lors de son démarrage, il faut éditer le fichier <code>/etc/default/grub</code> et les ajouter dans la variable suivante : <code>GRUB_CMDLINE_LINUX=""</code> séparés par des espaces pour enfin mettre à jour le menu ''GRUB'' :
update-grub

==PXELinux==
Avec PXELinux, les paramètres s'ajoutent après la section ''APPEND'' en les séparant par des espaces.

=Liste de paramètres=
==Shell sur un port série==
===Activer un shell sur un port série===
Afin de pouvoir ce connecter à une machine Linux via son port série, il faut passer l'argument suivant au noyau ([https://www.kernel.org/doc/Documentation/admin-guide/serial-console.rst source]) :
console=ttyS0,115200n8 console=tty0

{{info|Cette façon de faire semble spécifique à [[:Category:Systemd|Systemd]] comme expliqué [https://unix.stackexchange.com/questions/248287/how-can-i-stop-auto-login-console-and-getty-in-raspbian-jessie ici]. Pour [https://fr.wikipedia.org/wiki/Init init] et [https://fr.wikipedia.org/wiki/Init#%C2%AB_init_%C2%BB_de_Unix_System_V_(SysV_init) SystemV], il faut passer par le fichier <code>/etc/inittab</code> documenté [http://tldp.org/LDP/sag/html/config-init.html ici]. Pour [https://fr.wikipedia.org/wiki/Upstart Upstart], voir [https://help.ubuntu.com/community/SerialConsoleHowto ici].}}

===Ajuster les dimensions du shell===
Sur un port série, le shell a une dimension définie à 80x24 (colonnes*lignes) et ne peut être ajusté dynamiquement à la taille de votre terminal si vous jouez avec celle-ci. Il en résultera un cassage de votre prompte si votre ligne de commande dépasse 80 caractères de large ou si vous exécutez un programme en plein écran type ''Ncurse'' ; [[vim]]... (ceci est dû à un [http://lkml.iu.edu/hypermail/linux/noyau/2005.3/08168.html héritage historique]). Afin de changer les dimensions du ''TTY'', j'utilise deux méthodes. Une manuelle ou une automatique (à l'exécution du terminal lors de la connexion de l'utilisateur).

====Ajustement manuel====
Afin de définir une taille au ''TTY'', il faut prendre un terminal normal, le mettre à la taille voulue (plein écran par exemple) et [https://stackoverflow.com/questions/263890/how-do-i-find-the-width-height-of-a-terminal-window récupérer ses dimensions] avec <code>tput cols && tput lines</code>. Il suffit ensuite de définir cette taille dans la console série via [https://superuser.com/questions/1031272/how-to-extend-vim-editor-to-full-screen-in-putty la commande] <code>stty columns 213 rows 56</code>. Le terminal garde alors des dimensions normales après fermeture d'un programme plein écran et arrête de casser le prompt.

====Ajustement automatique====
Cette méthode définit les dimensions du ''TTY'' courant selon celles du terminal qui l'exécute. Ainsi, les valeurs renseignées sont directement les bonnes. Il n'est toutefois toujours pas possible de changer la taille de son terminal avec la souris et de voir cette modification se répercuter automatiquement dans le ''TTY''.

Pour ce faire, il faut ajouter [https://unix.stackexchange.com/questions/16578/resizable-serial-console-window/283206 une fonction] au <code>~/.profile</code> et demander au shell de l'exécuter (dernière ligne) :

<syntaxhighlight lang="bash">
res() {

old=$(stty -g)
stty raw -echo min 0 time 5

printf '\0337\033[r\033[999;999H\033[6n\0338' > /dev/tty
IFS='[;R' read -r _ rows cols _ < /dev/tty

stty "$old"

# echo "cols:$cols"
# echo "rows:$rows"
stty cols "$cols" rows "$rows"
}

[ $(tty) = /dev/ttyS0 ] && res
</syntaxhighlight>

Ceci s'exécute à la connexion de l'utilisateur.

==Nom des interfaces réseaux==
===Notion PNIN===
Avec la version 197 de [[:Category:Systemd|Systemd]] (qui intègre désormais [https://fr.wikipedia.org/wiki/Udev Udev]), une nouvelle méthode de nommage des interfaces réseaux a été introduite, portant le nom de ''Predictable Network Interface Names''.

Voici la [https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/7/html/networking_guide/ch-consistent_network_device_naming justification] de l'introduction de cette fonctionnalité :

''Traditionnellement, les interfaces de réseau sous Linux sont énumérées eth[0123…], mais ces noms ne correspondent pas forcément à des étiquettes sur le châssis. Les plateformes des serveurs modernes avec de multiples adaptateurs réseau peuvent rencontrer des noms d'interfaces qui ne sont pas déterminants et contre-intuitifs. Ceci affecte les adaptateurs réseau intégrés à la carte mère (Lan-on-Motherboard, or LOM) et les adaptateurs add-in (uniques et multi-ports). Dans Red Hat Enterprise Linux 7, Udev prend en charge un certain nombre de schémas d'affectation de noms. Le comportement par défaut est d'assigner des noms fixes basés sur le microprogramme, la topologie et les informations sur l'emplacement. Ceci a pour avantage d'offrir des noms complètement automatiques et prévisibles, qui resteront fixes, même lorsque du matériel est ajouté ou supprimé (il ne se produit pas de ré-énumération) et le matériel endommagé peut être remplacé de façon transparente. L'inconvénient de ce comportement est que les noms sont parfois plus difficiles à lire que les noms traditionnellement utilisés au préalable comme eth0 ou wlan0. Exemple : enp5s0.''

Personnellement je trouve ce système merdique car en plus de rendre les noms d'interfaces incroyablement complexes (si encore il n'y avait que ça...), il les nomment différemment en fonction de la machine sur laquelle est installé le système. Ce qui rend toute tentative d'automatisation par [[script bash|script]] impossible en plus d'obliger l'administrateur à lister ses interfaces avant de commencer à les configurer pour connaître leur nom car in-devinable. Et encore, imaginez quand vous êtes forcé d'utiliser une disposition clavier ''QWERTY'' sur un clavier ''AZERTY'' et que vous avez un nom d'interface comme celui-ci : ''wlx00c0ca4034'' ou celui-là : ''enx000ec6d8bdac''...

À mon humble avis, il est déplorable qu'une "fonctionnalité" aussi chiante et qui doit concerner le 0,00001% des administrateurs systèmes ayant déjà rencontré LE cas (en fonction de l'alignement des astres dans une galaxie lointaine) où une interface réseau, suite à sont remplacement, a un truck chelou qui se produit avec son nom soit activé de base et face chier les 99,99999% restant...

Pour le désactiver, il faut entrer le paramètre suivant :
net.ifnames=0

De plus, je recommande de le désactiver si vous voulez renommer vous-même vos interfaces réseaux comme sur [[Hotspot_wifirst#Changement des noms d'interface|cette documentation]] car sinon cet imbécile de ''Systemd'' ne va pas les prendre en compte (vu qu'il les renommes lui-même en dernière instance - ce que veut ''Systemd'' est toujours prioritaire sur ce que vous voulez, ne l'oubliez pas...).

De plus amples informations sont disponibles (notamment sur les 3 méthodes possibles de désactivation) sur le [https://www.freedesktop.org/wiki/Software/systemd/PredictableNetworkInterfaceNames site officiel].

===Renommage par Iproute2===
Notez qu'il est également possible de [https://serverfault.com/questions/247767/cannot-delete-gre-tunnel renommer manuellement] une interface réseau via <code>iproute2</code> :
ip link set eth0 down
ip link set dev eth0 name toto0
ip link set toto0 up

''Note : Il est impératif d'éteindre l'interface avant d'effectuer la modification (sinon on se tape un "RTNETLINK answers: Device or resource busy").''

===Altname Iproute2===
Depuis [https://lwn.net/Articles/806010/ Linux 5.5], il est possible de définir des noms alternatifs dépassants la limite des 15 caractères sur les interfaces réseaux (désormais limité à [https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7a56493f0620 128 caractères]). Ainsi, une interface peut se voir attribuer des noms alternatifs (lire supplémentaires) longs qui seront utilisables dans les commandes au même titre que le nom principal.

Prenons par exemple les interfaces suivantes :

<syntaxhighlight lang="bash">
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: dummy0: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
link/ether ae:67:a9:67:46:86 brd ff:ff:ff:ff:ff:ff
</syntaxhighlight>

Pour ajouter un nom alternatif à l'interface ''dummy0'', il faudra faire ceci :
ip link prop add dummy0 altname lesdocumentaionsdecemecsonttropdelaballe

Ce qui donnera :

<syntaxhighlight lang="bash">
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: dummy0: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
link/ether ae:67:a9:67:46:86 brd ff:ff:ff:ff:ff:ff
altname lesdocumentaionsdecemecsonttropdelaballe
</syntaxhighlight>

Il donc possible d’interagir avec cette interface directement via ce nom alternatif :

<syntaxhighlight lang="bash">
ip link show lesdocumentaionsdecemecsonttropdelaballe
2: dummy0: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
link/ether ae:67:a9:67:46:86 brd ff:ff:ff:ff:ff:ff
altname lesdocumentaionsdecemecsonttropdelaballe
</syntaxhighlight>

==Rotation de la console==
Si vous avez un écran monté en vertical, il est possible de préciser à la console ([https://www.noyau.org/doc/Documentation/fb/fbcon.txt fbcon]) de pivoter pour vous éviter un torticolis et avoir une plus grande surface d'affichage. La méthode utilisée est expliquée simplement [https://askubuntu.com/questions/237963/how-do-i-rotate-my-display-when-not-using-an-x-server ici].

'''Ce qu'il faut savoir :'''
* '''0''' : Rotation normale
* '''1''' : Rotation horaire
* '''2''' : Rotation anti-horaire
* '''3''' : Inverser l'affichage

'''Paramètre noyau :'''
fbcon=rotate:1

''Note : S'applique à tout les TTY.''

'''Changement dynamique'''

Pour le TTY actif :
echo 1 > /sys/class/graphics/fbcon/rotate

Pour tout les TTY :
echo 1 > /sys/class/graphics/fbcon/rotate_all

==Source de la section==
* https://www.kernel.org/doc/Documentation/admin-guide/kernel-parameters.txt

=Désactiver la journalisation dans le shell=
Lorsque la verbosité est passée en paramètre du noyau et que l'on branche une clé ''USB'', un câble réseau, etc... Ça crache les évènements journal directement dans le shell comme sur un équipement Cisco. Pour désactiver ça, il faut créer le fichier suivant avec ce contenu :
vim /etc/sysctl.d/20-quiet-printk.conf

kernel.printk = 3 3 3 3

Un simple redémarrage suffit pour prendre en compte le changement. Si vous voulez appliquer le changement immédiatement (vous êtes en plein test et redémarrer n'est pas envisageable), exécutez simplement cette commande (non testé mais ça viens de la même source donc il n'y a pas de raison que cela ne fonctionne pas) :
echo "3 3 3 3" > /proc/sys/kernel/printk

==Sources de la section==
* https://wiki.archlinux.org/index.php/Silent_boot#sysctl
* https://unix.stackexchange.com/questions/44999/how-can-i-hide-messages-of-udev/45525#45525

Vim

2024-01-27T12:01:17Z

Ycharbi : /* Quelque commandes */ Correction de la phrase de présentation + remplacement d'une prime inversée par une prime

[[Category:éditeurs de texte]]
[[Fichier:Vim logo.svg|100px]]

[https://fr.wikipedia.org/wiki/Vim Vim] est un éditeur de texte, bifurcation de [https://fr.wikipedia.org/wiki/Vi_(logiciel) vi], signifiant "VI aMélioré" permettant d'éditer des documents de type texte (notamment des fichiers de configuration) dans un terminal ou une console (''shell''). Il ne nécessite pas d'interface graphique pour être exécuté, ce qui en fait un excellent outil sur un serveur, dépourvu d'[[:Category:Environnements bureau|environnements de bureau]].

=Installation=
apt install vim

=Comportement=
Vim possède 5 modes :
# Le mode interactif
# Le mode insertion
# Le mode commande
# Le mode visuel
# Le mode recherche

==Mode interactif==
Lorsque ''Vim'' est exécuté, il est par défaut en mode interactif. Ce mode permet d'utiliser des combinaisons de touche pour interagir avec le texte du document en cours d'édition. Il est par exemple possible, en une combinaison, de couper 4 lignes de texte et de les coller dans un autre emplacement du document, voir dans un autre document.

Mettre un tableau avec les touches qu'on utilise souvent avec le mode interactif

==Mode insertion==
Le mode insertion est le mode classique d'édition de texte. C'est celui dans lequel on tape du texte comme dans n'importe quel autre éditeur.

Pour revenir au mode interactif, il faut presser la touche <code><Echap></code>.

==Mode commande==
Ce mode permet d’interagir avec ''Vim'' par l'intermédiaire de commandes. Ces dernières vont permettre d'enregistrer le document, quitter ''Vim'', importer un document dans un autre, passer des expressions régulières, activer des options et bien d'autres choses...

On entre une commande en étant au préalable en mode interactif et en tapant <code>:</code>.

===Quelque commandes===
Activer l'affichage des numéros de lignes
<syntaxhighlight lang="vim">
se nu
</syntaxhighlight>

désactiver l'affichage des numéros de lignes
<syntaxhighlight lang="vim">
se nu!
</syntaxhighlight>

Activer la coloration syntaxique
<syntaxhighlight lang="vim">
syn on
</syntaxhighlight>

Désactiver la coloration syntaxique
<syntaxhighlight lang="vim">
syn off
</syntaxhighlight>

Afficher la ligne où se trouve le curseur
<syntaxhighlight lang="vim">
set cursorline
</syntaxhighlight>

Masquer le trait de soulignement
<syntaxhighlight lang="vim">
set cursorline!
</syntaxhighlight>

Commenter plusieurs lignes
<syntaxhighlight lang="vim">
,+4 s/^/#/g
</syntaxhighlight>

Dé-commenter plusieurs lignes
<syntaxhighlight lang="vim">
.,+4 s/^#//g
</syntaxhighlight>

Plus simple, pour commenter (après une sélection des lignes à commenter en mode visuel bloc <code><maj>+<v></code> et un appui sur <code>:</code>)
<syntaxhighlight lang="vim">
s/^/#
</syntaxhighlight>

Dé-commenter (après sélection <code><maj>+<v></code> + <code>:</code>)
<syntaxhighlight lang="vim">
s/#//
</syntaxhighlight>

ou <code><maj>+<v></code> puis <code><x></code>.

Ajouter en fin de ligne (après sélection <code><maj>+<v></code> + <code>:</code>)
<syntaxhighlight lang="vim">
s/$/\ :\
s/$/;
</syntaxhighlight>

Ajouter au niveau du curseur (après sélection <code><ctrl>+<v></code> + <code>:</code>)
<syntaxhighlight lang="vim">
s/\%V/\ :
s/\%V/^I
</syntaxhighlight>

vim ajouter à partir du curseur (À trouver) http://andrewradev.com/2011/05/08/vim-regexes/

Placer des curseur là ou on veut pour pouvoir utiliser les regex d'en haut de façon ultra puissante

Remplacer un mot par un autre
<syntaxhighlight lang="vim">
%s/Mot_initial/Nouveau_mot/g
</syntaxhighlight>

Changer encodage caractère
<syntaxhighlight lang="vim">
set fileencoding=latin1
set fileencoding=utf-8
</syntaxhighlight>

Auto complétion ''CSS'' (une fois renseigné, faire <code><ctrl>+<x></code> + <code><ctrl>+<o></code>)
<syntaxhighlight lang="vim">
set omnifunc=csscomplete#CompleteCSS
</syntaxhighlight>

Exécuter une [[Shell bash|commande Bash]] sans quitter ''Vim''
<syntaxhighlight lang="vim">
!Commande_À_Exécuter
</syntaxhighlight>

Importer un fichier depuis ''Vim''
<syntaxhighlight lang="vim">
r Chemin_fichier
</syntaxhighlight>

Indentation automatique
<syntaxhighlight lang="vim">
se ai
</syntaxhighlight>

Permettre un copier/coller respectant l'indentation avec <code>se ai</code>
<syntaxhighlight lang="vim">
se paste
</syntaxhighlight>

Activer/désactiver <code>se paste</code> en appuyant sur <code><F2></code>
<syntaxhighlight lang="vim">
set pastetoggle=<F2>
</syntaxhighlight>

Insensibilité à la casse (utile pour le mode recherche notamment)
<syntaxhighlight lang="vim">
se ic
</syntaxhighlight>

Activer le curseur de sélection avec la souris
<syntaxhighlight lang="vim">
se mouse=a
</syntaxhighlight>

Désactiver le curseur de sélection avec la souris
<syntaxhighlight lang="vim">
se mouse=
</syntaxhighlight>

Scinder l'écran pour ouvrir un autre fichier horizontalement
<syntaxhighlight lang="vim">
split [Nom_fichier] ou :sp
</syntaxhighlight>

En vertical
<syntaxhighlight lang="vim">
vspli ou :vsp
</syntaxhighlight>

{{info|Le couple <code><ctrl-w> + flèche</code> permet de passer d'un fichier à l'autre. }}

Redéfinir l'espace de l'indentation (pour passer de 8 espaces à 3)
<syntaxhighlight lang="vim">
set tabstop=3
set shiftwidth=3
set softtabstop=3
</syntaxhighlight>

Convertir des indentation "espace" en indentation "tabulation"
<syntaxhighlight lang="vim">
%retab!
</syntaxhighlight>
Créer et gérer des onglets
<syntaxhighlight lang="vim">
tabnew [nom_fichier]
</syntaxhighlight>

Se déplacer dans les onglets

En avant : <code>gt</code>, en arrière : <code>gT</code>.

Ouvrir plusieurs fichiers dans un onglet chacun (à exécuter dans ''Bash'') :
vim -p fichier1 fichier2 fichier3

Convertir du texte en majuscule ou en minuscule
* Inverser la casse : sélectionner le texte avec <code>ctrl+v</code> et faire un <code>~</code>

ou

* On peut utiliser <code>U</code> pour mettre en majuscule ou <code>u</code> pour mettre en minuscule

Masquer les commentaires d'un fichier (à ajouter dans un [[#fichiers de configuration|fichier de configuration]])
<syntaxhighlight lang="vim">
set fdm=expr
set fde=getline(v:lnum)=~'^\\s*#'?1:getline(prevnonblank(v:lnum))=~'^\\s*#'?1:getline(nextnonblank(v:lnum))=~'^\\s*#'?1:0
</syntaxhighlight>

Pour '''déplier''' temporairement un bloc de commentaires (un bloc correspondant dans ce cas à plusieurs lignes consécutives commençant par le caractère '''#'''), placez votre curseur sur le pli correspondant au bloc compacté et tapez <code>zo</code> (ou pressez simplement sans sélection pour agir sur tout le document), et <code>zm</code> pour '''le replier'''. Si vous avez déplié plusieurs blocs, vous pouvez '''tous les replier''' d'un coup avec <code>zM</code> ; à l'inverse, vous pouvez '''déplier tous les blocs''' d'un seul coup avec <code>zi</code>.

Utiliser Vim en tant qu'éditeur hexadécimale ([http://pellelatarte.fr/2010/10/utiliser-vi-en-editeur-hexadecimal/ source])
%!xxd
Revenir à la normal
%!xxd -r

{{attention|Un enregistrement en mode hexadécimale enregistrera le texte comme tel, il faudra alors désactiver ce mode et réenregistrer le document pour revenir à la normal.}}

Garder la position du curseur là où il était à la [https://askubuntu.com/questions/202075/how-do-i-get-vim-to-remember-the-line-i-was-on-when-i-reopen-a-file fermeture] du fichier
<syntaxhighlight lang="vim">
if has("autocmd")
au BufReadPost * if line("'\"") > 0 && line("'\"") <= line("$") | exe "normal! g'\"" | endif
endif
</syntaxhighlight>

===Désactiver les fonctions agaçantes===
Avec les mises à jour de ''Vim'', de plus en plus de fonctions inutiles et contres-productives sont installées par défaut (''Debian Stretch'', si tu m'entends...). Ce qui suit a pour but de rendre ''Vim'' de nouveau utilisable comme dans le bon vieux temps.

Désactiver l'ajout automatique de commentaires ([https://superuser.com/questions/271023/vim-can-i-disable-continuation-of-comments-to-the-next-line source])
<syntaxhighlight lang="vim">
set formatoptions-=cro
</syntaxhighlight>

Désactiver la gestion de la souris (qui empêche le copier/coller !)
<syntaxhighlight lang="vim">
set mouse=
</syntaxhighlight>

===Corrections de bogues===
====Corriger le problème des flèches qui affichent A B C D====
De façon totalement aléatoire et sur certaines configurations, l'utilisation des flèches au clavier enclenche automatiquement le monde insertion et tape les lettres A, B, C ou D en fonction de la flèche pressée. Il semble que la façon de régler ce problème diffère selon les configurations. Une liste impressionnante de palliatifs est trouvable [https://vim.fandom.com/wiki/Fix_arrow_keys_that_display_A_B_C_D_on_remote_shell ici]. La solution [https://vim.fandom.com/wiki/Fix_arrow_keys_that_display_A_B_C_D_on_remote_shell#Solution_24 n°24] a réglée celui rencontré sur une Debian 12 installée via ''PXE'' comme des centaines d'autres chaque années dans mon infrastructure (celle-là a décidée de me faire chier).

Il faut re-cartographier les touches fléchées en ajoutant ceci dans le <code>~/.vimrc</code> :
nnoremap <silent> <ESC>OA <UP>
nnoremap <silent> <ESC>OB <DOWN>
nnoremap <silent> <ESC>OC <RIGHT>
nnoremap <silent> <ESC>OD <LEFT>
inoremap <silent> <ESC>OA <UP>
inoremap <silent> <ESC>OB <DOWN>
inoremap <silent> <ESC>OC <RIGHT>
inoremap <silent> <ESC>OD <LEFT>

=Presses papiers=
''Vim'' possèdes plusieurs presses papiers appelés registres (''register'' ou ''buffers'') qui peuvent être exploités afin de maintenir plusieurs copier/coller en mémoires. Il y en a un par lettre de l'alphabet. Ils s'utilisent en '''mode interactif''' avec les touches <code><">+<lettre>+<raccourci></code> de cette manière :

{{attention|Le contenu des presses papiers est sauvegardé même après avoir quitté ''Vim'' (ces informations sont stockés dans le fichier <code>~/.viminfo</code>). Ceci peut avoir des conséquences en terme de confidentialité des informations. Au besoin, pensez à utiliser le registre poubelle ainsi que la suppression du contenu des registres expliqué plus bas.}}

Copier des lignes dans des presses papiers différents

<code>"ayy</code>, <code>"byy</code>, <code>"cyy</code>.

Coller des lignes depuis des presses papiers différents

<code>"ap</code>, <code>"bp</code>, <code>"cp</code>.

Pour ajouter une ligne à un presse papier, il faut préciser la lettre du presse papier voulu, en majuscule <code>"Byy</code>.

Pour copier/coller en prenant en compte le presse papier par défaut (celui que l'on à lors d'un simple <code>yy</code>)

<code>"+yy</code> copie une ligne pour le presse papier par défaut, et <code>"+p</code> colle le presse papier par défaut (ceci n'a aucun intérêt...).

Registre poubelle (équivalent du /dev/null). Permet de supprimer des lignes sans les conserver dans un registre
<code>"_dd</code>

Pour vider le [https://stackoverflow.com/questions/19430200/how-to-clear-vim-registers-effectively contenu] d'un registre, il faut utiliser la commande <code>:let @a = ''</code> en remplaçant la lettre par celle de votre registre ( utiliser <code>"</code> pour le registre par défaut).

=Historique=
L'historique de l'éditeur est parsemé dans le fichier <code>~/.viminfo</code>.

Pour [https://unix.stackexchange.com/questions/204689/how-to-clear-search-and-command-history-in-vim purger] intégralement celui des recherches, il est possible de faire <code>:call histdel('/')</code>. Pour celui des commandes, on fera <code>:call histdel(':')</code>.

Il est également possible de ne supprimer qu'une entrée en particulier via un motif: <code>:call histdel(":", "MOT_CLÉ_CONTENU_DANS_VOTRE_COMMANDE")</code>.

=Macros=
Définir l'intérêt des macros...

Créer des macros
<code>q+<lettre></code> pour passer en mode enregistrement.

<code>q</code> pour terminer l'enregistrement.

<code>@+<lettre></code> pour la jouer (ça fait comme un presse papier).

=Fichiers de configuration=
Les fichiers de configuration de ''Vim'' permettent de définir des paramètres activés à chaque lancement de l'éditeur. Il en existe deux types :
* Un général, actif pour tout les utilisateurs du système : <code>/etc/vim/vimrc</code>
* Un courant, pour chaque utilisateurs en particulier : <code>~/.vimrc</code>
Il suffit de renseigner des commandes Vim (sans les ''':''') dans ces fichiers pour que leur effet soit permanent.

Pour exécuter ''Vim'' tout en [https://evanhahn.com/ignore-vimrc-with-vim/ ignorant] les fichiers de configuration :
vim -u NONE

=Greffons=
Il est possible d'ajouter des fonctionnalités supplémentaires à ''Vim'' par l'intermédiaire de greffons (''plugins''). Il sont à mettre (selon le même principe que le ''vimrc'') dans le répertoire général <code>/etc/vim/</code> ou dans <code>~/.vim/</code> pour les rendre spécifiques à chaque utilisateur.

==Greffons que j'utilise==
Pour une configuration adaptée à un développement ''WEB'', les informations de ce [https://gitea.ycharbi.fr/ycharbi/vim-dev-web dépôt] peuvent-êtres utiles.

===Emmet===
Orienté programmation web, le greffon [http://emmet.io/ Emmet] (anciennement ''Zen Coding'') permet, en utilisant une syntaxe (très) raccourcie, d'écrire du code ''HTML'' et ''CSS'' de façon extrêmement efficace. De plus, il est disponible sur une [http://emmet.io/download/ multitude d'éditeurs]. Il s'installe de la façon suivante :

# Télécharger ''Emmet'' depuis les [https://github.com/mattn/emmet-vim sources]
# Décompresser les répertoires '''autoload''' et '''plugin''' dans <code>~/.vim/</code>

Pour utiliser ''Emmet'', il faut écrire dans un fichier les différentes [http://docs.emmet.io/cheat-sheet/ expressions possibles] et faire la combinaison de touches (en mode interactif) <code><c-y>,</code> (faire '''ctrl + y''' et ensuite sur ''',''').

===IndentLine===
''IndentLine'' permet d'afficher une ligne verticale marquant le niveau d'indentation de votre code. Il est très utile notamment lorsque les bloques de code sont imbriqués sur énormément de niveau (rendant le repérage visuel extrêmement difficile). Il s'installe de la façon suivante :

# Télécharger ''IndentLine'' depuis les [https://github.com/Yggdroot/indentLine sources]
# Décompresser le répertoire '''plugin''' dans <code>~/.vim/</code>
# Ajouter dans le ''.vimrc'' ce paramètre (l'espace de fin est important) : <code>set list lcs=tab:\|\ </code>

==Gestionnaire de greffons==
===Vim-plug===
Télécharger le greffon
curl -fLo ~/.vim/autoload/plug.vim --create-dirs https://raw.githubusercontent.com/junegunn/vim-plug/master/plug.vim

Ajouter les greffons à installer et ajouter dans le ''vimrc''
<syntaxhighlight lang="vim">
call plug#begin()
Plug 'junegunn/vim-easy-align'
Plug 'vim-airline/vim-airline'
Plug 'vim-airline/vim-airline-themes'
Plug 'hzchirs/vim-material'
call plug#end()
</syntaxhighlight>

''On trouve les noms de ces greffons sur leur page GIT.''

Installer les greffons mis dans le ''vimrc'' (aller dans <code>vim</code>)
:PlugInstall

{{info|Tout est mis dans <code>.vim</code>. Le paquet <code>git</code> est nécessaire.}}

Un exemple de ''.vimrc''
<syntaxhighlight lang="vim">
se nu
se termguicolors
set pastetoggle=<F2>

"L'indentation passe à 3 caractères
set tabstop=3
set shiftwidth=3
set softtabstop=3

"Activer les greffons
call plug#begin()
Plug 'junegunn/vim-easy-align'
Plug 'vim-airline/vim-airline'
Plug 'vim-airline/vim-airline-themes'
Plug 'hzchirs/vim-material'
call plug#end()

"Appliquer le thème vim-matérial
colorscheme vim-material
let g:airline_theme='material'
</syntaxhighlight>

====Sources de la section====
* https://github.com/junegunn/vim-plug
* http://vimcolors.com/

=Couleurs 24bits=
Pour avoir des couleurs plus sympas avec ''Vim'' (remplace le ''syn on''), il faut utiliser ''se termguicolors''. Attention, il faut que le terminal utilisé soit compatible. [https://github.com/termstandard/colors Cette page Github] peut aider à déterminer si c'est le cas.

=Sources=
* http://cfennajoui.net/vim/traduit/html/usr_30.txt.php
* http://www.blogduwebdesign.com/developpement-vim/vim-astuce-pour-le-copier-coller/605
* http://qsdqsd.free.fr/Vim/Vim_-_Un_pas_en_avant.html

Serveur de courriels

2024-01-27T11:48:14Z

Ycharbi : Replacement des balise de coloration syntaxique en ligne par des balises codes pour optimiser le chargement de la page + correction de fautes de frappes

[[Category:service_courriels]]

''Postfix'' est un serveur de messagerie électronique se chargeant de la livraison de courriels sur un réseau ''IP''. Il a été conçu comme une alternative plus rapide, plus facile à administrer et plus sécurisée que l'historique ''Sendmail''.

L'environnement gravitant autour de ce thème étant assez complexe (avec son lot de technologies et de termes spécifiques), un [[#Glossaire|glossaire des notions]] utiles a été rédigé en bas de page. Il est recommandé d'aller y jeter un œil si vous n'êtes pas très familier avec le sujet.

Dans ce document, nous mettrons en place :
* Le service de courrier électronique [http://www.postfix.org/ Postfix] avec support d{{'}}''IPv4/IPv6'', négociation de chiffrement via ''TLS'' et ''STARTTLS'', utilisateurs ''Postfix'' et gestion de domaines via ''SQLite'', authentification ''SASL'', gestion des alias, des domaines secondaires, des listes noires ainsi que de ''Milter'' pour les liaisons avec ''OpenDKIM'' et ''Spamassassin''
* Le service ''IMAP'' [https://www.dovecot.org/ Dovecot] avec gestion d{{'}}''IPv4/IPv6'', du ''TLS'' et de ''STARTTLS'' ainsi que des filtres ''Sieve''
* La signature des messages via le protocole ''DKIM'' par l’intermédiaire du logiciel [http://www.opendkim.org/ OpenDKIM]
* Du traitement du pourriel avec [https://spamassassin.apache.org/ SpamAssassin]

Il faudra vous assurer d'avoir la main sur les éléments suivants :
* Prérequis :
** ''Debian'' 11 (''Bullseye'')
** Un nom de domaine avec un enregistrement ''MX'' et ''A''
** Une adresse ''IP'' publique fixe avec possibilité d'enregistrement ''PTR''

* Permettre la communication en écoute des ports ''TCP'' suivants :
** 25 (''SMTP'')
** 465 (''SMTP'' sur ''TLS'' aussi appelé ''Submission'')
** 587 (''SMTP'' ''STARTTLS'')
** 143 (''IMAP'')
** 993 (''IMAPS'')

{{info|J'attire votre attention sur l'importance d'avoir un opérateur Internet faisant correctement son travail (ce qui commence à se faire rare en France...). Il est indispensable d'avoir une adresse ''IP'' fixe non listés par les principaux prestataires anti-pourriels (voir https://mxtoolbox.com/blacklists.aspx) ainsi que la possibilité d'ajouter un champ ''PTR'' (''DNS'' inversé ou ''reverse DNS'') dans le registre de nom de votre ''FAI''. Sans ces pré-requis, votre service sera difficilement fiable car une partie de vos messages risquent d'être bloqués par les serveurs destinataires. Si vous ne pouvez souscrire à un vrai accès Internet (avec un fournisseur sachant ce qu'est une adresse ''IP'' au lieu de vous fournir de la ''TV''...) comme ceux proposés par la [https://www.ffdn.org/ FFDN] ou [https://www.k-net.fr/ K-net] par exemple, il faudra vous tourner vers des hébergeurs en centre de données et opter pour un hébergement de votre serveur dans leurs locaux ou réaliser un tunnel afin d'utiliser leur ''IP'' chez vous (l'auto-hébergement étant la solution à privilégier dans une optique d'indépendance numérique).}}

=Nom de domaine=
==Prérequis DNS==
La messagerie électronique étant dépendante du système de noms de domaine (''DNS''), il vous en faudra un et y définir un enregistrement de type [https://docs.gandi.net/fr/noms_domaine/faq/type_enregistrements_dns/mx_record.html MX] afin d'assurer la distribution de votre courrier.

La façon de configurer les champs de votre zone ''DNS'' étant propre à votre fournisseur de noms, nous ne détaillerons pas cette partie. Sachez seulement que l'enregistrement associant votre nom d'hôte (le champ [https://docs.gandi.net/fr/noms_domaine/faq/type_enregistrements_dns/a_record.html A] pointant sur votre ''IP'' publique) et votre nom de domaine (à ne pas confondre avec le nom de domaine pleinement qualifié (''FQDN'')) devra être configuré pour espérer envoyer et recevoir des courriels.

Il vous faudra donc, pour démarrer, un nom de domaine avec un champ ''A'' et ''MX'' (minimum obligatoire) auquel nous ajouterons, par la suite, un enregistrement ''TXT'' ''SPF'' et ''DKIM'' (facultatifs) afin de diminuer vos chances de finir dans les indésirables de vos destinataires.

Enfin, et toujours dans un soucis de limiter le désagrément susmentionné, il faudra que vous adressiez une demande à votre fournisseur d'accès Internet pour ajouter votre ''FQDN'' à sa zone ''DNS'' inversée (ajout d'un champ de type ''PTR''). Ce point est le plus délicat car plus aucun "grands" ''FAI'' connus ne le permet en France (en 2021). ''Free'' ne propose plus l'option depuis 2019 (bien que toujours présente dans leur interface ''WEB'', celle-ci ne fonctionne plus depuis la migration de leur infrastructure vers ''IPv6'') et font les morts lorsqu'ils sont contactés à ce sujet ; ''SFR'' et ''Bouygues Telecom'' ne sont plus que des fournisseurs de services audiovisuels et ''Orange'' ne sais même pas ce qu'est une adresse ''IP'' fixe (même ''v6''...) alors du ''rDNS''... Internet étant réservé aux professionnels selon leur doctrine malgré leur service d'amateur...

Installation des outils
apt update && apt install --no-install-recommends openssl dnsutils

Test de fonctionnement du champ ''MX''
dig exemple.fr MX

La réponse doit contenir une ''ANSWER SECTION'' avec ceci :
exemple.fr 10800 IN MX 10 mail.exemple.fr

Test de fonctionnement du champ ''A''
dig mail.exemple.fr A

La réponse doit contenir une ''ANSWER SECTION'' avec ceci :
mail.exemple.fr. <TTL> IN A <VOTRE_IP_PUBLIQUE>

==Cas du NAT==
Si votre serveur est placé juste derrière un NAT, il faudra ajouter une entrée dans votre fichier <code>/etc/hosts</code> afin de lui permettre de se résoudre lui-même. Ceci prendra la forme suivante :
<IP_du_serveur> <FQDN>

=Éléments secrets=
Comme tout moyen de communication moderne, les correspondances extérieurs seront chiffrées via des algorithmes négociés au travers du traditionnel protocole de sécurité de la couche transport (''TLS''). La génération d'éléments secrets se fera par le fameux logiciel libre [[openssl|OpenSSL]] que l'on ne présente plus. Nous avons pris le parti de réutiliser ces éléments secrets dans l'ensemble des outils faisant intervenir le chiffrement du système de messagerie. Dans l'idéal, un certificat différent doit être utilisée pour chaque module en nécessitant, conformément à la [https://{{SERVERNAME}}/fichiers/messagerie/courriel/serveur_courriels/anssi/anssi-guide-recommandations_de_securite_relatives_a_tls-v1.2.pdf recommandation] numéro 30 (page 46) du guide de [https://www.ssi.gouv.fr/entreprise/guide/recommandations-de-securite-relatives-a-tls/ recommandation de sécurité relative à TLS] (v1.2) des bonnes pratiques de l{{'}}''ANSSI''.

Création du répertoire d'accueil pour les clés et le certificat x.509
mkdir -p /etc/postfix/tls

Génération du certificat et de la clé pour ''Postfix'' et ''Dovecot''
openssl req -x509 -nodes -days 3650 -newkey rsa:4096 -out /etc/postfix/tls/courriel.pem -keyout /etc/postfix/tls/courriel.key

Pour cette étape, [[Letsencrypt]] peut très bien être utilisé mais sachez que contrairement au ''WEB'', le monde de la messagerie ne vérifie aucunement l'authenticité des certificats (ce qui rend de fait, le chiffrement caduc en cas d'espionnage ciblé...). Il n'est donc pas dérangeant d'utiliser des certificats auto-signés avec une durée de validité démentielle... Pour une confidentialité forte des échanges (en complément de ''TLS''), tournez-vous plutôt vers le protocole [https://fr.wikipedia.org/wiki/Pretty%20Good%20Privacy PGP] qui peut notamment, en plus d'une exploitation manuelle entre deux clients, être utilisé [https://jnphilipp.org/posts/post/auto-encrypt-all-incoming-email-with-postfix/ automatiquement] avec ''Postfix'' via le module ''gpgmail''.

Génération de la clé ''Diffie-Hellman'' (si l'on ne le fait pas, ''Postfix'' utilise la sienne)
openssl dhparam -out /etc/postfix/tls/dh4096.pem 4096

{{info|Avec l'évolution des suites cryptographiques, il devient de plus en plus rare d'utiliser ''Diffie-Hellman'' (au travers des suites ''DHE''). Avec l’avènement de la faille [https://raccoon-attack.com/ Racoon attack], ce protocole est devenu désuet et peu sûr. L'usage de la cryptographie basée sur les courbes elliptiques (''ECC'') pour l'échange de clés de sessions l'a, dans la pratique, remplacé (notamment via ''ECDHE'' et ''ed25519''). Néanmoins (et vous vous en apercevrez peut-être à vos dépends), le monde de la messagerie électronique accuse d'un lourd héritage technologique et d'installations vieillissantes administrées, ou pas, par des gens généralement peu regardants sur l'évolution des standards et dont le principe de veille informatique échappe totalement. Aussi, il n'est pas rare (coucou ''Orange'', une fois de plus...) de devoir supporter des algorithmes et protocoles complètements dépassés pour pouvoir continuer d'échanger avec certains serveurs non mis à jours depuis plusieurs décennies...}}

=Postfix=
Comme présenté en début de page, ''Postfix'' est l'élément central de notre système de messagerie électronique. Il endosse le rôle de ''MTA'' tout en faisant le lien avec les autres composants de l'installation. S'il peut sembler austère à première vue, la complexité de sa configuration est à la hauteur du service qu'il rend car il n'est pas exagéré de dire que la messagerie est la pierre la plus importante d'un auto-hébergement. Logiciel fiable et très personnalisable, c'est l'un des composants qui, une fois mis en place, se fait le plus oublié dans une infrastructure numérique domestique.

==Installation de Postfix==
Installation du serveur ''SMTP''
apt install --no-install-recommends postfix

''Note : Les réponses aux choix proposés n'ont guère d'importance puisque elles ne font que remplir un fichier que nous remplacerons par la suite.''

==Configuration de Postfix==
La configuration principale de ''Postfix'' se fait par l'intermédiaire du fichier <code>main.cf</code> qui renseigne un petit sous-ensemble des paramètres contrôlant les opérations du système de messagerie. Les paramètres non explicitement renseignés sont initialisés avec leur valeur par défaut. Les paramètres appliqués explicitement par l'intermédiaire de ce fichier sont visibles après rechargement du service via la commande <code>postconf -n</code>. La commande <code>postconf -p</code> permet quand à elle de visualiser la totalité des paramètres appliqués, y compris ceux par défaut.

===Main.cf===
Édition du fichier de configuration principal
vim /etc/postfix/main.cf

La configuration suivante sera utilisée :

<syntaxhighlight lang="bash">
# smtpd : entrant/inbound
# smtp : sortant/outbound

# ------------------------------------ Connexion protocole SMTP ------------------------------------ #

# Bannière affichée après le code 220 lorsque l'on se connecte en SMTP sur le serveur
smtpd_banner = $myhostname ESMTP $mail_name
# Désactive la commande SMTP VRFY. Ceci a pour effet d'empêcher de trouver les adresses existante sur le serveur
disable_vrfy_command = yes
# Impose au client SMTP de démarrer la session SMTP par une commande Helo ou ehlo (cette dernière servant au listage des capacités du serveur)
smtpd_helo_required = yes

# ------------------------------------ Gestion des messages locaux (inutile dans notre cas) ------------------------------------ #

# Service qui envoie des notifications "nouveau message"
biff = no
# Avec le courrier local ça ajoute .NDD aux adresses incomplètes (seulement le nom d'hôte)
append_dot_mydomain = no

# ------------------------------------ Nom de machine et réseaux autorisés ------------------------------------ #

# Le nom de la machine du système de messagerie
# Par défaut c'est hôte.domaine.tld mais il est possible de mettre un nom de domaine inversé
myhostname = mail.exemple.fr
# Le domaine utilisé par défaut pour poster les messages
myorigin = mail.exemple.fr
# Liste des domaines pour lesquels le serveur doit accepter le courrier en local
mydestination = mail.exemple.fr, localhost.exemple.fr, localhost
# Relais par lequel notre serveur doit adresser son trafic (nous n'en utilisons aucun)
relayhost =
# Liste des réseaux locaux autorisés (leur permet d'outrepasser le SASL)
mynetworks = 192.168.0.0/16, 127.0.0.0/8
# Activation d'IPv4 et IPv6 (valeur par défaut)
inet_protocols = all
# Séparateur entre le nom d'utilisateur et les extensions d'adresses
recipient_delimiter = +
# Les utilisateurs locaux ne pourront pas envoyer de messages à "utilisateur@nom-de-domaine-partiel" mais devront spécifier le nom de domaine complet
append_dot_mydomain = no
# Interfaces réseaux à écouter (ici toutes)
inet_interfaces = all

# ------------------------------------ Règles SMTP ------------------------------------ #

# Restrictions d'accès appliquées dans le contexte d'une commande RCPT TO
# permit_mynetworks : Autorise les requêtes si l'IP du client correspond à l'un des réseaux spécifiés dans $mynetworks
# permit_sasl_authenticated : Accepter la connexion lorsque le client est authentifié
# reject_non_fqdn_recipient : Rejette la requête lorsque l'adresse RCPT TO n'est pas de forme pleinement qualifiée (FQDN)
# reject_unauth_destination : Rejette la requête sauf si l'une des propositions listés dans la documentation officielle est vraie
# check_recipient_access : Rejette les messages à destination des adresses spécifiées dans le fichier correspondant (permet de ne pas envoyer de message à root)
# reject_unknown_recipient_domain : Rejette la requête lorsque le RCPT TO ne correspond à aucun champ DNS A ou MX
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_recipient,
reject_unauth_destination,
check_recipient_access sqlite:/etc/postfix/sqlite-liste-noire-destinataires.cf,
reject_unknown_recipient_domain,

# Règles sur l'échange HELO qui survient avant la connexion
# permit_mynetworks : Autorise les requêtes si l'IP du client correspond à l'un des réseaux spécifiés dans $mynetworks
# reject_invalid_helo_hostname : Refuser les échanges HELO invalides
# reject_non_fqdn_helo_hostname : Refuser les noms d'hôte invalides (non FQDN)
# reject_unknown_helo_hostname : Refuser les noms d'hôte qui n'ont pas de champ DNS A ou MX dans leurs DNS
smtpd_helo_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
# reject_unknown_helo_hostname

# Règles de connexion des clients
# permit_mynetworks : Autorise les requêtes si l'IP du client correspond à l'un des réseaux spécifiés dans $mynetworks
# permit_inet_interfaces : Accepte les requêtes des clients entrants par les interfaces listés dans $inet_interfaces
# permit_sasl_authenticated : Accepter la connexion lorsque le client est authentifié
# reject_rbl_client : Refuse les connexion des clients (IP) listés dans une liste RBL suite à des envois massifs de pourriels
# reject_plaintext_session : Refuser les connexions non chiffrés
# reject_unauth_pipelining : Vérifie si le drapeau de l'indicateur de session a été activé par Postfix. Si tel est le cas, cela signifierai que le client a utilisé une canalisation ESMTP incorrecte, ce qui est une justification suffisante pour le rejeter.
smtpd_client_restrictions =
permit_mynetworks,
permit_inet_interfaces,
permit_sasl_authenticated,
# reject_rbl_client zen.spamhaus.org
# reject_plaintext_session,
# reject_unauth_pipelining # L'utilisation de reject_unauth_pipelining dans les autres contextes que smtpd_data_restrictions n'est pas recommandé

# Règles sur les expéditeurs
# reject_non_fqdn_sender : Refuser les expéditeurs invalides (non FQDN)
# reject_unknown_sender_domain : Refuser les expéditeurs qui n'ont pas de champ DNS A ou MX dans leurs DNS
# check_sender_access : Vérifie si l'adresse de courriel de l'expéditeur est dans notre fichier liste noire et applique la directive de celle-ci
smtpd_sender_restrictions =
reject_non_fqdn_sender,
reject_unknown_sender_domain,
check_sender_access sqlite:/etc/postfix/sqlite-liste-noire-expediteurs.cf

# Restrictions d'accès optionnelles appliquées dans le contexte d'une commande SMTP DATA
# reject_unauth_pipelining : Expliqué plus haut (trop long)
# permit : Tout est autorisé par défaut
smtpd_data_restrictions =
reject_unauth_pipelining,
permit

# ------------------------------------ Gestion des boites aux lettres et des messages ------------------------------------ #

# Taille des boîtes aux lettres (0 = illimité)
mailbox_size_limit = 0

# Fixer la taille limite des messages (ici 30Mo)
message_size_limit = 31457280

# Répertoire de destination des courriers
# home_mailbox = Maildir/
virtual_mailbox_domains = sqlite:/etc/postfix/sqlite-domaines.cf
virtual_mailbox_base = /var/mail/utilisateurs
virtual_mailbox_maps = sqlite:/etc/postfix/sqlite-utilisateurs.cf
virtual_minimum_uid = 3000
virtual_uid_maps = static:3000
virtual_gid_maps = static:3000
virtual_transport = lmtp:unix:private/dovecot-lmtp

#----------------------------------------------
# Gestion des alias de comptes et de domaines |
#----------------------------------------------

# Emplacement du fichier des alias
# Alias de comptes principaux
alias_maps = sqlite:/etc/postfix/sqlite-alias.cf

# Alias de domaines
virtual_alias_maps = sqlite:/etc/postfix/sqlite-alias-vituels.cf
# virtual_alias_domains = sqlite:/etc/postfix/sqlite-domaines.cf

#--------------------
# SASL serveur SMTP |
#--------------------

# Authentification SMTP (utilise les identifiants IMAP via SASL en passant par Dovecot)
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
# Interdit les méthodes qui autorisent l'authentification anonyme
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_sasl_local_domain = $mydomain
# Reporte le nom d'utilisateur SASL authentifié dans l'en-tête de message "Received" du serveur
smtpd_sasl_authenticated_header = yes
# N'accepte pas le support de l'ancienne commande AUTH (Outlook 4 par exemple)
broken_sasl_auth_clients = no

# ------------------------------------ Chiffrement ------------------------------------ #

# clés et certificats pour les sessions TLS
smtpd_tls_cert_file = $config_directory/tls/courriel.pem
smtpd_tls_key_file = $config_directory/tls/courriel.key
smtpd_tls_dh1024_param_file = $config_directory/tls/dh4096.pem

#------------------
# TLS client SMTP |
#------------------

# Verbosité des journaux
smtp_tls_loglevel = 1
# Impose de se connecter à des serveurs SMTP via TLS
smtp_tls_security_level = encrypt
# N'autoriser que le TLS version 1.2 et 1.3
smtp_tls_protocols = TLSv1.2:TLSv1.3
# incompréhension exprimé plus haut
smtp_tls_mandatory_protocols = TLSv1.2:TLSv1.3
# Journaliser les pairs ne gérants que STARTTLS au lieu de TLS. Probablement pour permettre de réaliser des statistiques
smtp_tls_note_starttls_offer = yes
# N'autoriser que les chiffrements de la liste "medium" définie plus bas
smtp_tls_mandatory_ciphers = medium
# Exclure les algorithmes cryptographiques obsolètes ou insuffisants listés ci-dessous
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, 3DES, RC2, RC4, MD5, PSK, SRP, DSS, AECDH, ADH
# Permet d'obliger le client à se conformer à la suite cryptographique du serveur et non l'inverse
tls_preempt_cipherlist = yes
# Cache TLS. Permet de mémoriser les anciennes sessions TLS afin d'effectuer une poignée de mains raccourcie. Ce qui améliore considérablement les performances
# Inutile avec TLS 1.3 car compris dans la norme
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

#-------------------
# TLS serveur SMTP |
#-------------------

# Verbosité des journaux
smtpd_tls_loglevel = 1
# Impose de se connecter à des serveurs SMTP via TLS
smtpd_tls_security_level = encrypt
# Refuse les authentifications SASL en clair si le serveur gère TLS de façon optionnelle (ça n'a aucun sens mais c'est ce qui est écrit dans la documentation officielle)
smtpd_tls_auth_only = yes
# Indique le chiffrement utilisé dans l'en-tête du message (ça ne sert pas à grand chose si on passe par plusieurs serveurs car les intermédiaires peuvent y mettre leur sauce donc ce n'est qu'indicatif)
smtpd_tls_received_header = yes
# Source du générateur de nombre aléatoire pour les algorithmes de chiffrement
tls_random_source = dev:/dev/urandom
# Versions de TLS autorisés (SSL refusé)
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1, TLSv1.2, TLSv1.3
# Toujours aucune idée de l'utilité mais c'est activé par défaut de toute façon d'après la documentation
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1, TLSv1.2, TLSv1.3
# N'autoriser que les chiffrements de la liste "medium" définie plus bas
smtpd_tls_mandatory_ciphers = medium
# Liste de chiffrements autorisés dans la liste "medium" exploité par "smtp_tls_mandatory_ciphers" et "smtpd_tls_mandatory_ciphers"
tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
# Exclure les algorithmes obsolètes ou insufisants listés ci-dessous
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, 3DES, RC2, RC4, MD5, PSK, SRP, DSS, AECDH, ADH
# Cache TLS. Permet de mémoriser les ancienne sessions TLS afin d'effectuer une poignée de mains raccourcie. Ce qui améliore considérablement les performances
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

# ------------------------------------ En-têtes des courriels ------------------------------------ #

# Emplacement des fichiers de suppression de certains en-têtes à caractère privé contenus dans les messages envoyés
# Concrètement, cela supprime toute la section "Received: from" propre au client (contenant son IP par exemple) -> son SMTP. Seul le "Received: from" son SMTP -> SMTP distant reste
mime_header_checks = regexp:/etc/postfix/header_checks
header_checks = regexp:/etc/postfix/header_checks

# ------------------------------------ OpenDKIM et Spamassassin ------------------------------------ #

# Procédez comme si le filtre de courrier n'était pas présent
milter_default_action = accept
# Version du protocole mail filter
milter_protocol = 6

# Chemins des sockets pour la communication avec les modules opendkim et spamass
smtpd_milters = unix:/var/run/opendkim/opendkim.sock unix:/spamass/spamass.sock
non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock unix:/spamass/spamass.sock

# ------------------------------------ Sources de documentation ------------------------------------ #

# http://postfix.traduc.org/index.php/postconf.5.html
# http://www.postfix.org/postconf.5.html
</syntaxhighlight>

N'oubliez pas d'adapter les réseaux autorisés de la section <code>mynetworks</code> ainsi que le nom de domaine à votre installation. Vous pouvez utiliser la commande <code>sed</code> comme suit pour vous aider :
sed -i 's/exemple\.fr/domaine\.fr/g' /etc/postfix/main.cf

Si vous voulez afficher pour comparaison la [https://www.mkssoftware.com/docs/man1/openssl_ciphers.1.asp suite cryptographique] ''MEDIUM'' d{{'}}''OpenSSL'' avec le paramètre <code>tls_medium_cipherlist</code> définit dans le fichier, vous pouvez utiliser la commande suivante :
openssl ciphers MEDIUM | sed 's/:/\n/g'

===En-têtes vie privée===
On va créer une liste d'expressions régulières servant à supprimer automatiquement certains en-têtes contenant des informations personnelles sur le client émetteur lors de l'envoi du courriel (diminue la quantité d'informations personnelles transmises)

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/postfix/header_checks
/^Received:.*with ESMTPSA/ IGNORE
/^X-Originating-IP:/ IGNORE
/^X-Mailer:/ IGNORE
/^User-Agent:/ IGNORE
_EOF_
</syntaxhighlight>

Les directives contenues dans la section "En-têtes des courriels" du fichier [[#Main.cf|main.cf]] édité ci-dessus indiquent à ''Postfix'' l'emplacement de ces règles

<syntaxhighlight lang="bash">
mime_header_checks = regexp:/etc/postfix/header_checks
header_checks = regexp:/etc/postfix/header_checks
</syntaxhighlight>

Pour que Postfix les utilises, il faut reconstruire la table au format hachée avec la commande
postmap /etc/postfix/header_checks

===Master.cf===
''Postfix'' est un outil dont le fonctionnement sous jacent est complexe et composé de multiples programmes (démons) ayants chacun leur rôle. Le fichier <code>master.cf</code> permet de gérer la façon dont se comportent les différents éléments du système de courrier.

Le [http://www.postfix.org/master.5.html fichier] se présente sous forme de tableau. ''Postfix'' va le parcourir et interpréter chaque lignes, correspondants à un démon, colonne par colonne (avec leur signification en en-tête commenté). Voici le contenu du fichier par défaut, épuré de ses commentaires pour ne pas alourdir l'exposé :

<syntaxhighlight lang="bash">
smtp inet n - y - - smtpd
pickup unix n - y 60 1 pickup
cleanup unix n - y - 0 cleanup
qmgr unix n - n 300 1 qmgr
tlsmgr unix - - y 1000? 1 tlsmgr
rewrite unix - - y - - trivial-rewrite
bounce unix - - y - 0 bounce
defer unix - - y - 0 bounce
trace unix - - y - 0 bounce
verify unix - - y - 1 verify
flush unix n - y 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - y - - smtp
relay unix - - y - - smtp
-o syslog_name=postfix/$service_name
showq unix n - y - - showq
error unix - - y - - error
retry unix - - y - - error
discard unix - - y - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - y - - lmtp
anvil unix - - y - 1 anvil
scache unix - - y - 1 scache
postlog unix-dgram n - n - 1 postlogd
maildrop unix - n n - - pipe
flags=DRXhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FRX user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user}
</syntaxhighlight>

L'opération consiste à ajouter un socket ''TCP'' pour les communications ''STARTTLS'' et ''SMTPS'' ainsi qu'un socket ''UNIX'' pour la communication avec [[#Dovecot|Dovecot]]. Le chemin de l'exécutable de ce dernier sera lui aussi précisé en sous-section. Nous ajouterons donc en fin de fichier les trois sections suivantes :

<syntaxhighlight lang="bash">
cat << '_EOF_' >> /etc/postfix/master.cf

submission inet n - y - - smtpd
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
_EOF_
</syntaxhighlight>

Il est possible de spécifier des paramètres au différentes lignes via l'argument <code>-o</code> (répétable plusieurs fois). Placés ici, ils réécrivent les paramètres correspondants du fichier [[#Main.cf|main.cf]] et leur sont donc prioritaires. Ces arguments pourraient toutefois être placés dans ce dernier (cela reviendrait au même).

==SQLite==
Comme vous l'avez probablement constaté, certaines fonctionnalités utiliserons une base de données [https://fr.wikipedia.org/wiki/SQLite SQLite] (il est également possible de passer par d'autres [http://www.postfix.org/DATABASE_README.html méthode]). Cette technologie a le mérite d'être légère et de permettre la connexion d'outils tiers pour l'édition des données contenues dans la base. Avec la méthode des tables hachées utilisée auparavant, un accès ''root'' combiné à des bidouilles pas très sécurisées étaient nécessaires afin de les éditer sans devoir se connecter manuellement au serveur.

Cette section traite de la création de la base ainsi que des fichiers d'exploitation pour ''Postfix''.

===Installation et création de la base===

Installation de ''SQLite''
apt install --no-install-recommends sqlite3 postfix-sqlite

Création du schéma de la base

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/postfix/postfix.sql
CREATE TABLE IF NOT EXISTS postfix_alias (
id INTEGER PRIMARY KEY AUTOINCREMENT,
alias TEXT NOT NULL UNIQUE,
destination TEXT NOT NULL,
active INTEGER
);
CREATE TABLE IF NOT EXISTS postfix_alias_virtuels (
id INTEGER PRIMARY KEY AUTOINCREMENT,
courriel TEXT NOT NULL UNIQUE,
destination TEXT NOT NULL,
active INTEGER
);
CREATE TABLE IF NOT EXISTS postfix_domaines (
id INTEGER PRIMARY KEY AUTOINCREMENT,
domaine TEXT NOT NULL UNIQUE,
defaut BOOLEAN NOT NULL CHECK (defaut IN (0, 1)),
active INTEGER
);
CREATE TABLE IF NOT EXISTS postfix_liste_noire_destinataires (
id INTEGER PRIMARY KEY AUTOINCREMENT,
courriel TEXT NOT NULL UNIQUE,
action TEXT NOT NULL,
active INTEGER
);
CREATE TABLE IF NOT EXISTS postfix_liste_noire_expediteurs (
id INTEGER PRIMARY KEY AUTOINCREMENT,
courriel TEXT NOT NULL UNIQUE,
code_retour INTEGER NOT NULL,
message TEXT NOT NULL,
active INTEGER
);
CREATE TABLE postfix_utilisateurs (
id INTEGER PRIMARY KEY AUTOINCREMENT,
utilisateur TEXT NOT NULL UNIQUE,
mot_de_passe TEXT NOT NULL,
nom_complet TEXT,
rep_perso TEXT NOT NULL,
uid INTEGER NOT NULL,
gid INTEGER NOT NULL,
privilege TEXT NOT NULL,
prefixe TEXT,
active INTEGER
);
_EOF_
</syntaxhighlight>

Création de la base avec ce schéma
mkdir /etc/postfix/bdd/
# Pour un usage avec le portail WEB Courtail (voir plus bas), il faudra donner les permission de ce répertoire et de la base à www-data
sqlite3 /etc/postfix/bdd/postfix.sqlite < /etc/postfix/postfix.sql

===Création des fichiers d'exploitation de Postfix===
Ces [http://www.postfix.org/SQLITE_README.html fichiers] permettent à ''Postfix'' d'avoir les éléments lui permettant d'exploiter la base. Nous y retrouverons donc naturellement l'emplacement de celle-ci ainsi que la [http://www.postfix.org/sqlite_table.5.html requête] à lui soumettre afin d'obtenir l'information voulue.

Liaison à la table des alias

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/postfix/sqlite-alias.cf
# Chemin de la base SQLite
dbpath = /etc/postfix/bdd/postfix.sqlite
# Requête passée à SQLite
query = SELECT destination FROM postfix_alias WHERE alias='%s' AND active='1'
_EOF_
</syntaxhighlight>

Liason à la tables alias virtuels

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/postfix/sqlite-alias-vituels.cf
# Chemin de la base SQLite
dbpath = /etc/postfix/bdd/postfix.sqlite
# Requête passée à SQLite
query = SELECT destination FROM postfix_alias_virtuels WHERE courriel='%s' AND active='1'
_EOF_
</syntaxhighlight>

Les alias peuvent êtres utiles lors d'inscriptions sur des sites tiers ou d'une communication à des personnes de moyenne confiance. Le principe étant que les courriels envoyés sur ces adresses (connues uniquement des entités pour lesquelles elles ont étés créées) sont redirigés en interne vers votre vraie boite liée à l'alias. L'adresse de l'émetteur peut donc, par la stratégie que vous mettrez en place dans la diffusion de vos alias, être liée à une adresse de votre base et donc identifier une source d'émission. L'intérêt est double : lors de la réception de pourriels sur celui-ci, nous savons quelle entité l'a transmis ou utilisé puisqu'il est unique à chaque interlocuteur. Une action de désactivation de l'alias suivie d'un boycott et d'une possible plainte à la [https://www.cnil.fr/fr/plaintes CNIL] pour manquement au ''RGPD'' peut ainsi être entreprise.

Si cette fonctionnalité est utilisé sérieusement, le risque de pourriels (''SPAM'') est quasiment nul. Couplé aux règles ''Sieve'' abordées plus loin dans la documentation, les alias vont être très utiles afin de classer les courriels reçus automatiquement dans des dossiers et ne pas se retrouver avec les éternelles boite de réception à plus de 2000 messages "non lus". En clair, vous ne subirez plus votre messagerie comme c'est, hélas, bien trop souvent le cas.

{{info|La différence entre les alias et les alias virtuelles réside dans l'en-tête ''Delivered-To'' du message à la réception par ''Postfix''. Avec les alias, l'en-tête est inchangé lors de la distribution du message à la boite locale (et correspond donc à l'en-tête ''to'' du même message). Avec les alias virtuels, l'en-tête est modifié par l'adresse réelle de destination (inconnue de l'expéditeur). Dans les deux cas, cela n'influence pas l'acheminement du courrier mais les alias virtuelles permettent la distribution sur des domaines secondaires quand les alias se restreignent au seul domaine par défaut. Vous pouvez utiliser l'un et l'autre ou seulement l'un des deux (cela ne change rien aux bénéfices apportés à la fonctionnalité).}}

Le champ ''destination'' '''doit être''' l'adresse réelle de l'utilisateur.

Liaison à la table des domaines

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/postfix/sqlite-domaines.cf
# Chemin de la base SQLite
dbpath = /etc/postfix/bdd/postfix.sqlite
# Requête passée à SQLite
query = SELECT domaine FROM postfix_domaines WHERE domaine='%s' AND active='1'
_EOF_
</syntaxhighlight>

Liaison à la table de la liste noire des destinataires

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/postfix/sqlite-liste-noire-destinataires.cf
# Chemin de la base SQLite
dbpath = /etc/postfix/bdd/postfix.sqlite
# Requête passée à SQLite
query = SELECT action FROM postfix_liste_noire_destinataires WHERE courriel='%s' AND active='1'
_EOF_
</syntaxhighlight>

Liaison à la table de la liste noire des expéditeurs

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/postfix/sqlite-liste-noire-expediteurs.cf
# Chemin de la base SQLite
dbpath = /etc/postfix/bdd/postfix.sqlite
# Requête passée a SQLite
query = SELECT code_retour || ' ' || message FROM postfix_liste_noire_expediteurs WHERE courriel='%s' AND active='1'
_EOF_
</syntaxhighlight>

Liaison à la table des utilisateurs

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/postfix/sqlite-utilisateurs.cf
# Chemin de la base SQLite
dbpath = /etc/postfix/bdd/postfix.sqlite
# Requête passée à SQLite
query = SELECT rep_perso FROM postfix_utilisateurs WHERE utilisateur='%s' AND active='1'
_EOF_
</syntaxhighlight>

===Administration de la base===
Afin d'ajouter, modifier, supprimer et lister des informations dans la base ''SQLite'', le ''shell'' intégré à l'outil est une bonne première approche. Par la suite, un logiciel plus graphique (comme une application ''WEB'' par exemple), pourra remplir le rôle d'interface d'administration.

Le ''shell'' de <code>sqlite3</code> se contrôle via la commande suivante :
sqlite3 /etc/postfix/bdd/postfix.sqlite

Les commandes suivantes permettent une utilisation basique de l'outil :

{| class="wikitable"
|-
! Commande !! Signification
|-
| <code>.table</code> || Liste les tables de la base
|-
| <code>.shema <table></code> || Affiche la structure de la table (en-têtes et propriétés)
|-
| <code>.mode column</code> || Affiche le retour d'une requête sous forme de tableau
|-
| <code>.headers on</code> || Affiche les entêtes (clés) des valeurs retournés
|-
| <code>.quit</code> || Quitte l'outil
|}

Gestion des alias :

{| class="wikitable"
|-
! Action !! Commande
|-
| Ajout || <syntaxhighlight lang="sql" inline>INSERT INTO postfix_alias (alias,destination,active) VALUES ("toto","test",1);</syntaxhighlight>
|-
| Désactivation || <syntaxhighlight lang="sql" inline>UPDATE postfix_alias SET active = 0 WHERE alias = "toto";</syntaxhighlight>
|-
| Activation || <syntaxhighlight lang="sql" inline>UPDATE postfix_alias SET active = 1 WHERE alias = "toto";</syntaxhighlight>
|-
| Suppression || <syntaxhighlight lang="sql" inline>DELETE FROM postfix_alias WHERE alias = "toto";</syntaxhighlight>
|-
| Listage || <syntaxhighlight lang="sql" inline>SELECT * FROM postfix_alias;</syntaxhighlight>
|}

Gestion des alias virtuels :

{| class="wikitable"
|-
! Action !! Commande
|-
| Ajout || <syntaxhighlight lang="sql" inline>INSERT INTO postfix_alias_virtuels (courriel,destination,active) VALUES ("ycharbi@exemple.fr","test@exemple.fr",1);</syntaxhighlight>
|-
| Désactivation || <syntaxhighlight lang="sql" inline>UPDATE postfix_alias_virtuels SET active = 0 WHERE courriel = "ycharbi@exemple.fr";</syntaxhighlight>
|-
| Activation || <syntaxhighlight lang="sql" inline>UPDATE postfix_alias_virtuels SET active = 1 WHERE courriel = "ycharbi@exemple.fr";</syntaxhighlight>
|-
| Suppression || <syntaxhighlight lang="sql" inline>DELETE FROM postfix_alias_virtuels WHERE courriel = "ycharbi@exemple.fr";</syntaxhighlight>
|-
| Listage || <syntaxhighlight lang="sql" inline>SELECT * FROM postfix_alias_virtuels;</syntaxhighlight>
|}

Gestion des domaines :

{| class="wikitable"
|-
! Action !! Commande
|-
| Ajout || <syntaxhighlight lang="sql" inline>INSERT INTO postfix_domaines (domaine,defaut,active) VALUES ("toto.fr",1,1);</syntaxhighlight>
|-
| Désactivation || <syntaxhighlight lang="sql" inline>UPDATE postfix_domaines SET active = 0 WHERE domaine = "toto.fr";</syntaxhighlight>
|-
| Activation || <syntaxhighlight lang="sql" inline>UPDATE postfix_domaines SET active = 1 WHERE domaine = "toto.fr";</syntaxhighlight>
|-
| Suppression || <syntaxhighlight lang="sql" inline>DELETE FROM postfix_domaines WHERE domaine = "toto.fr";</syntaxhighlight>
|-
| Listage || <syntaxhighlight lang="sql" inline>SELECT * FROM postfix_domaines;</syntaxhighlight>
|}

{{attention|N'oubliez pas d'ajouter votre domaine à la base (un problème de correspondance de domaine peut entrainer l'erreur ''Relai access denied''). De plus, ne positionnez le drapeau ''defaut'' à ''1'' (pour le mettre en domaine par défaut) que sur un seul domaine. Cette notion n'est utile que pour un usage avec le portail ''WEB'' [https://gitea.ycharbi.fr/YC-NM/Courtail Courtail].}}

Gestion de la liste noire des [http://www.postfix.org/access.5.html destinataires] :

{| class="wikitable"
|-
! Action !! Commande
|-
| Ajout || <syntaxhighlight lang="sql" inline>INSERT INTO postfix_liste_noire_destinataires (courriel,action,active) VALUES ("root@mail.exemple.fr","REJECT",1);</syntaxhighlight>
|-
| Désactivation || <syntaxhighlight lang="sql" inline>UPDATE postfix_liste_noire_destinataires SET active = 0 WHERE courriel = "root@mail.exemple.fr";</syntaxhighlight>
|-
| Activation || <syntaxhighlight lang="sql" inline>UPDATE postfix_liste_noire_destinataires SET active = 1 WHERE courriel = "root@mail.exemple.fr";</syntaxhighlight>
|-
| Suppression || <syntaxhighlight lang="sql" inline>DELETE FROM postfix_liste_noire_destinataires WHERE courriel = "root@mail.exemple.fr";</syntaxhighlight>
|-
| Listage || <syntaxhighlight lang="sql" inline>SELECT * FROM postfix_liste_noire_destinataires;</syntaxhighlight>
|}

Gestion de la liste noire des expéditeurs :

{| class="wikitable"
|-
! Action !! Commande
|-
| Ajout || <syntaxhighlight lang="sql" inline>INSERT INTO postfix_liste_noire_expediteurs (courriel,code_retour,message,active) VALUES ("tata@tata.fr",554,"Parle à ma main, ma tête est malade.",1);</syntaxhighlight>
|-
| Désactivation || <syntaxhighlight lang="sql" inline>UPDATE postfix_liste_noire_expediteurs SET active = 0 WHERE courriel = "tata@tata.fr";</syntaxhighlight>
|-
| Activation || <syntaxhighlight lang="sql" inline>UPDATE postfix_liste_noire_expediteurs SET active = 1 WHERE courriel = "tata@tata.fr";</syntaxhighlight>
|-
| Suppression || <syntaxhighlight lang="sql" inline>DELETE FROM postfix_liste_noire_expediteurs WHERE courriel = "tata@tata.fr";</syntaxhighlight>
|-
| Listage || <syntaxhighlight lang="sql" inline>SELECT * FROM postfix_liste_noire_expediteurs;</syntaxhighlight>
|}

Gestion des utilisateurs :

{| class="wikitable"
|-
! Action !! Commande
|-
| Ajout || <syntaxhighlight lang="sql" inline>INSERT INTO postfix_utilisateurs (utilisateur,mot_de_passe,nom_complet,rep_perso,uid,gid,privilege,prefixe,active) VALUES ("test@exemple.fr","{SHA512-CRYPT}$6$xWfisyC6fLawFcBr$zLm4hfRfs6Pn0RKArnyWcgliBy6lpnRUkDHfHMkvskShfLiv4pRIU6XC5ry0ysd.DeKhoAiZUfnNdmwIai2k50","Test
Dupont","exemple.fr/test/",3000,3000,"administrateur","",1);</syntaxhighlight>
|-
| Désactivation || <syntaxhighlight lang="sql" inline>UPDATE postfix_utilisateurs SET active = 0 WHERE utilisateur = "test@exemple.fr";</syntaxhighlight>
|-
| Activation || <syntaxhighlight lang="sql" inline>UPDATE postfix_utilisateurs SET active = 1 WHERE utilisateur = "test@exemple.fr";</syntaxhighlight>
|-
| Suppression || <syntaxhighlight lang="sql" inline>DELETE FROM postfix_utilisateurs WHERE utilisateur = "test@exemple.fr";</syntaxhighlight>
|-
| Listage || <syntaxhighlight lang="sql" inline>SELECT * FROM postfix_utilisateurs;</syntaxhighlight>
|}

{{Info|Le mot de passe est généré avec ''Dovecot'' dans la section suivante.}}

=Dovecot=
''Dovecot'' est un service gérant les protocoles ''IMAP'' et ''POP''. Il endosse donc le rôle d'intermédiaire entre les utilisateurs et le serveur de messagerie.

==Installation de Dovecot==
''POP'' ayant été totalement abandonné (tant dans son développement que dans l'usage), seul ''IMAP'' sera supporté.
apt install --no-install-recommends dovecot-common dovecot-imapd dovecot-sqlite dovecot-lmtpd

==Création d'un utilisateur==
Comme précisé en introduction, nous exploitons des utilisateurs enregistrés dans la base ''SQLite''.

Il faut tout d'abord générer un mot de passe à la l'aide de la commande suivante (du paquet <code>dovecot-core</code>, véritable nom de dovecot-common (paquet virtuel) installé plus haut)
doveadm pw -s SHA512-CRYPT -p toto1234567890°+

Création de l'utilisateur dans la base

<syntaxhighlight lang="bash">
sqlite3 /etc/postfix/bdd/postfix.sqlite 'INSERT INTO postfix_utilisateurs (utilisateur,mot_de_passe,nom_complet,rep_perso,uid,gid,privilege,prefixe,active) VALUES ("test@exemple.fr","{SHA512-CRYPT}$6$xWfisyC6fLawFcBr$zLm4hfRfs6Pn0RKArnyWcgliBy6lpnRUkDHfHMkvskShfLiv4pRIU6XC5ry0ysd.DeKhoAiZUfnNdmwIai2k50","Test
Dupont","exemple.fr/test/",3000,3000,"administrateur","",1)'
</syntaxhighlight>

{{info|Le fait que l'utilisateur comporte le nom de domaine dans son nom fait qu'il faut renseigner la chaine complète (''utilisateur@domaine'') dans les clients ''IMAP''. Le champ ''privilege'' permet de définir les fonctions autorisées dans notre interface ''WEB'' [https://gitea.ycharbi.fr/YC-NM/Courtail Courtail] développé par nos soins. Si vous ne l'utilisez pas, ceci n'a pas d'importance. Les valeurs gérés sont ''administrateur'' et ''utilisateur''.}}

Créer le répertoire utilisateurs
mkdir /var/mail/utilisateurs
chown 3000:3000 /var/mail/utilisateurs

{{astuce|Dans le cadre d'une migration de serveur (monté en version de ''Debian'' par exemple), nous recommandons d'effectuer une archive ''tar.gz'' du contenu de l'ancien ''MailDir'' et de l'extraire dans le nouveau répertoire utilisateur. Ce répertoire n'existera pas (''Dovecot'' est censé le créer à la première utilisation de son propriétaire), il faudra donc le créer avec un <code>mkdir -p /var/spool/mail/utilisateurs/exemple.fr/votre_utilisateur</code> et lui donner les bons droits avec <code>chown -R 3000:3000 /var/spool/mail/utilisateurs/exemple.fr && chmod -R 700 /var/spool/mail/utilisateurs/exemple.fr</code>.}}

==Configuration de Dovecot==
Ce service utilise un fichier de configuration par fonctionnalité (ce qui en fait pas mal).

===Gestion d'IPv6===
Activation du support d'IPv6 (optionnel suivant votre configuration)
echo -e '\nlisten = *, [::]' >> /etc/dovecot/dovecot.conf

===Emplacement des dossiers utilisateurs===
Configuration de l'[https://doc.dovecot.org/configuration_manual/mail_location/ emplacement du répertoire] des boites aux lettres des utilisateurs
sed -i 's@mail_location = mbox:~/mail:INBOX=/var/mail/%u@mail_location = maildir:/var/mail/utilisateurs/%d/%n@g' /etc/dovecot/conf.d/10-mail.conf

===Emploi du chiffrement===
Configuration de la [https://doc.dovecot.org/configuration_manual/dovecot_ssl_configuration/ couche de chiffrement] (qui sera rendue obligatoire)
mv /etc/dovecot/conf.d/10-ssl.conf /etc/dovecot/conf.d/10-ssl.conf.ori

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/dovecot/conf.d/10-ssl.conf
ssl = required
ssl_cert = </etc/postfix/tls/courriel.pem
ssl_key = </etc/postfix/tls/courriel.key
ssl_min_protocol = TLSv1.2
ssl_cipher_list = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
ssl_prefer_server_ciphers = yes # Oblige l'utilisation de la suite du serveur au lieu du client (Dovecot > 2.2.x)
_EOF_
</syntaxhighlight>

les valeurs sont précédées d'un chevron ouvert qui ne se ferme jamais (''<''). C'est louche mais normal (documentation [http://wiki2.dovecot.org/SSL/DovecotConfiguration officielle de Dovecot]). Il n'y a donc pas d'erreur dans les lignes mentionnées ci-dessus.

{{info|Il est vivement recommandé de ne plus utiliser des algorithmes de cryptographie non ''ECC''. L'usage de ''Diffie-Hellman'' est de façon générale découragé de nos jours.}}

===Configuration de l'authentification===
Désactiver l'authentification en clair ainsi que ''POSIX'' et l'activer par ''SQLite''
sed -i -e 's@#disable_plaintext_auth.*@disable_plaintext_auth = yes@g' -e 's@!include auth-system.conf.ext@#!include auth-system.conf.ext@g' -e 's@#!include auth-sql.conf.ext@!include auth-sql.conf.ext@g' /etc/dovecot/conf.d/10-auth.conf

<syntaxhighlight lang="bash">
cat << '_EOF_' >> /etc/dovecot/dovecot-sql.conf.ext
driver = sqlite
connect = /etc/postfix/bdd/postfix.sqlite

password_query = SELECT utilisateur AS user, mot_de_passe AS password, '/var/mail/utilisateurs/%d/%n' AS userdb_home, 'maildir:/var/mail/utilisateurs/%d/%n' AS userdb_mail, 3000 AS userdb_uid, 3000 AS userdb_gid FROM postfix_utilisateurs WHERE utilisateur = '%u' AND active = 1
user_query = SELECT '/var/mail/utilisateurs/%d/%n' AS home, 'maildir:/var/mail/utilisateurs/%d/%n' AS mail, 3000 AS uid, 3000 AS gid FROM postfix_utilisateurs WHERE utilisateur = '%u' AND active = 1
_EOF_
</syntaxhighlight>

Configuration de l'authentification
mv /etc/dovecot/conf.d/10-master.conf /etc/dovecot/conf.d/10-master.conf.ori

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/dovecot/conf.d/10-master.conf
service auth {
unix_listener /var/spool/postfix/private/auth {
mode = 0660
user = postfix
group = postfix
}

unix_listener auth-userdb {

}
}

service lmtp {
unix_listener /var/spool/postfix/private/dovecot-lmtp {
group = postfix
mode = 0600
user = postfix
}
}
_EOF_
</syntaxhighlight>

Bien que le contenu proposé ne ressemble en rien à ce qui est préremplis dans celui-ci, il s'agit bien de la configuration décrite dans la [https://doc.dovecot.org/configuration_manual/howto/postfix_and_dovecot_sasl/?highlight=master documentation officielle].

===Auto-création des répertoires utilisateurs===
''Dovecot'' peut créer automatiquement les répertoires présents dans une boite au lettres (''/var/mail/utilisateurs/%d/%n@g'') à la connexion des utilisateurs. Ceci leur permet d'avoir un environnement pré-configuré comportant un dossier "envoyé", "brouillons", "Indésirables" et "corbeille" ("réception" est créé par Postfix).
mv /etc/dovecot/conf.d/15-mailboxes.conf /etc/dovecot/conf.d/15-mailboxes.conf.ori

Il faut que les sections correspondantes aux répertoires soient présentes et que l'argument "auto = create" (création du dossier dans l'arborescence) ou "auto = suscribe" (création du dossier et inscription automatique dans le client) soient spécifiées.

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/dovecot/conf.d/15-mailboxes.conf
namespace inbox {
mailbox Sent {
auto = subscribe
special_use = \Sent
}
mailbox Drafts {
auto = subscribe
special_use = \Drafts
}
mailbox Trash {
auto = subscribe
special_use = \Trash
}
mailbox Spam {
auto = subscribe
special_use = \Junk
}
mailbox Archive {
auto = subscribe
special_use = \Archive
}
mailbox Notes {
auto = create
}
}
_EOF_
</syntaxhighlight>

==Sieve==
===Installation de ManageSieve===
''Sieve'' est un système de filtrage du courrier coté serveur permettant l'application d'actions suivant des règles prés-établies. Sa mise en œuvre passe par le service [https://wiki1.dovecot.org/ManageSieve ManageSieve] agissant comme une extension de ''Dovecot''. Les scripts sont créables à la fois sur le serveur et sur les clients (ce sont de simples instructions dans un fichier texte synchronisés par ''IMAP'').
apt install --no-install-recommends dovecot-sieve dovecot-managesieved

Ces deux paquets vont créer les 3 fichiers <code>90-sieve.conf</code>, <code>90-sieve-extprograms.conf</code> et <code>20-managesieve.conf</code>.

===Configuration de ManageSieve===
Édition du fichier <code>20-lmtp.conf</code> pour dire à ''Dovecot'' d'[https://wiki2.dovecot.org/HowTo/PostfixDovecotLMTP utiliser] le greffon ''Sieve'' via [https://doc.dovecot.org/configuration_manual/protocols/lmtp_server/ LMTP]
mv /etc/dovecot/conf.d/20-lmtp.conf /etc/dovecot/conf.d/20-lmtp.conf.ori

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/dovecot/conf.d/20-lmtp.conf
protocol lmtp {
postmaster_address = postmaster@exemple.fr
mail_plugins = quota sieve
}
_EOF_
</syntaxhighlight>

Définition du répertoire de destination des scripts ''Sieve'' (par défaut c'est le ''~'') en modifiant le fichier <code>90-sieve.conf</code>
mv /etc/dovecot/conf.d/90-sieve.conf /etc/dovecot/conf.d/90-sieve.conf.ori

On demande à ''Dovecot'' de créer le dossier ''Sieve'' dans la boite aux lettres (''Maildir'') de l'utilisateur lors de sa première connexion. De plus, il est demandé à l'outil d'utiliser les scripts qui seront ajoutés côté client par l'intermédiaire du [[#Glossaire|MUA]].

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/dovecot/conf.d/90-sieve.conf
plugin {
sieve = ~/sieve/.dovecot.sieve
sieve_before = /var/mail/sieve/before/spam.sieve
sieve_dir = ~/sieve
}
_EOF_
</syntaxhighlight>

Créer l’arborescence pour les scripts ''Sieve'' globaux (actifs pour tous les utilisateurs et s'exécutant avant leurs scripts personnels) et définir les bons droits pour celle-ci
mkdir -p /var/mail/sieve/before && chown -R dovecot: /var/mail/sieve

Redémarrer le service ''Dovecot''
systemctl restart dovecot.service

===Règle globale de gestion du pourriel===
Mise en place d'un script ''Sieve'' global et actif pour tout les utilisateurs. Il va permettre de placer tout les courriels détectés comme du pourriel par ''SpamAssassin'' dans le dossier ''Maildir'' ''"Spam"'' :

<syntaxhighlight lang="bash">
cat << '_EOF_' > /var/mail/sieve/before/spam.sieve
require "fileinto";
if header :contains "X-Spam-Flag" "YES" {
fileinto "Spam";
}
_EOF_
</syntaxhighlight>

Compiler le fichier de règle afin de ne pas avoir un message d'avertissement (non bloquant) dans les journaux concernant les droits
sievec /var/mail/sieve/before/spam.sieve

Cette commande compile le fichier de règles dans le même répertoire que la source sous le nom <code>spam.svbin</code>.

Donner les droits aux fichiers
chown dovecot: /var/mail/sieve/before/spam.*

=OpenDKIM=
''OpenDKIM'' est un logiciel libre implémentant le protocole [https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail DKIM] (''DomainKeys Identified Mail''). Son rôle est d'authentifier le domaine de l'expéditeur (tant en émission qu'en réception) et d'assurer l'intégrité du message. Chaque courriel est alors signé lors de sa transmission initiale et la vérification de celle-ci à la réception permet d'appliquer une politique de traitement (via l'anti pourriel notamment). Couplé à [https://fr.wikipedia.org/wiki/Sender_Policy_Framework SPF] (''Sender Policy Framework''). Il participe donc à réduire la distribution de courriels indésirables aux utilisateurs.

{{info|La mise en œuvre de ''DKIM'' étant plus complexe et lourde à mettre en place qu'un simple enregistrement ''DNS'' ''SPF'', son absence est bien moins pénalisante que ce dernier lors du traitement de vos message par les ''MTA'' destinataires (leur politique est beaucoup plus laxiste à ce sujet).

À titre personnel, je n'ai pas mis en place cette technologie pendant 7 ans et cela ne m'a jamais handicapé. En revanche, ''SPF'' et un enregistrement ''PTR'' ''rDNS'' sont eux, réellement utiles. ''DKIM'' peut jouer si votre message passe tout juste les critères établis par le serveur distant et qu'un point de plus vous permet de ne pas être considéré comme non désiré.}}

Nous nous sommes principalement inspirés de la documentation idoine de ce [https://wiki.debian-fr.xyz/Opendkim Wiki] pour réaliser cette section.

==Installation des paquets==
Nous installons l'outil qui sera exploité par ''Postfix'' afin de signé/vérifier les courriels ainsi que celui permettant de générer nos clés
apt install --no-install-recommends opendkim opendkim-tools

==Création d'un couple de clés==
Notez que nous écrivons cette documentation afin de permettre un usage multi-domaines. Dans cette optique, nous utiliserons un script de génération des clés se basant sur un tableau listant chacun d'eux. Toutefois, nous documentons ci-après la méthode permettant la création manuelle d'un couple de clés si vous privilégiez une approche plus directe. Nous vous invitons tout de même à considérer l'usage de la méthode scripté qui s'accommode aussi bien d'un ou plusieurs domaine.

===Méthode manuelle===
Le paquet ''OpenDKIM'' crée automatiquement le répertoire <code>/etc/dkimkeys</code>. Nous allons donc l'exploiter. La génération d'un couple de clés s'effectue via la commande <code>opendkim-genkey</code> :

<syntaxhighlight lang="bash">
mkdir -p /etc/dkimkeys/clefs/exemple.fr
opendkim-genkey -b 4096 -D /etc/dkimkeys/clefs/exemple.fr -r -d exemple.fr -s mail
echo "mail._domainkey.exemple.fr exemple.fr:mail:/etc/dkimkeys/clefs/exemple.fr/mail.private" >> /etc/dkimkeys/TableClefs
echo "exemple.fr mail._domainkey.exemple.fr" >> /etc/dkimkeys/TableSignatures
echo "exemple.fr" >> /etc/dkimkeys/HotesDeConfiance
chown -R opendkim:opendkim /etc/dkimkeys/clefs/exemple.fr
</syntaxhighlight>

===Méthode scripté===
Le script suivant permet la création des clés de façon récursive en parcourant une liste de domaines initialisée dans le tableau <code>domaines</code>. Il constitue automatiquement l'arborescence à raison d'un répertoire par occurrence afin d'y ranger les fichiers conçus. Bien sûr, vous pouvez réaliser ces opérations vous mêmes via la commande de la section précédente.

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/dkimkeys/genClefs.sh
#!/bin/bash
# Script de génération des clés DKIM pour du multi-domaine

selecteur=mail
repertoire=/etc/dkimkeys
domaines="exemple.fr toto.fr"

for domaine in $domaines; do
mkdir -p $repertoire/clefs/$domaine
opendkim-genkey -b 4096 -D $repertoire/clefs/$domaine -r -d $domaine -s $selecteur
echo "$selecteur._domainkey.$domaine $domaine:$selecteur:$repertoire/clefs/$domaine/$selecteur.private" >> $repertoire/TableClefs
echo "$domaine $selecteur._domainkey.$domaine" >> $repertoire/TableSignatures
echo "$domaine" >> $repertoire/HotesDeConfiance
chown -R opendkim:opendkim $repertoire/clefs/$domaine
done
_EOF_
</syntaxhighlight>

chmod 740 /etc/dkimkeys/genClefs.sh
/etc/dkimkeys/genClefs.sh

===Attribution des droits===
chown opendkim:opendkim /etc/dkimkeys/clefs/
chown opendkim:opendkim /etc/dkimkeys/{TableClefs,TableSignatures,HotesDeConfiance}
chmod 660 /etc/dkimkeys/{TableClefs,TableSignatures,HotesDeConfiance}

==Configuration d'OpenDKIM==
Le fichier est assez simple et reprend les éléments abordés précédemment.
mv /etc/opendkim.conf /etc/opendkim.conf.ori

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/opendkim.conf
Syslog yes
SyslogSuccess yes
Canonicalization relaxed/simple
OversignHeaders From
UserID opendkim
UMask 007
Socket local:/var/spool/postfix/var/run/opendkim/opendkim.sock
PidFile /run/opendkim/opendkim.pid
TrustAnchorFile /usr/share/dns/root.key
# Table des clés
KeyTable /etc/dkimkeys/TableClefs
# Liste les domaines à signer
SigningTable /etc/dkimkeys/TableSignatures
# SigningTable = Donne la correspondance entre les domaines et les selecteurs
ExternalIgnoreList /etc/dkimkeys/HotesDeConfiance
# Donne la correspondance entre les selecteurs et les clés à utiliser
InternalHosts /etc/dkimkeys/HotesDeConfiance
_EOF_
</syntaxhighlight>

Création du répertoire d'accueil pour le socket
mkdir -p /var/spool/postfix/var/run/opendkim

''Note : ce socket permet la communication entre Postfix et OpenDKIM. Le [https://unix.stackexchange.com/questions/74477/postfix-smtpd-warning-connect-to-milter-service-unix-var-run-opendkim-opendki choix] du chemin est guidé par la [http://www.postfix.org/BASIC_CONFIGURATION_README.html#chroot_setup racine d'exécution] du MTA selon les directives du fichier <code>master.cf</code>.''

Don de propriété dessus
chown opendkim:opendkim /var/spool/postfix/var/run/opendkim

Ajout de l'utilisateur ''opendkim'' au groupe ''postfix'' afin de permettre la communication via le socket
usermod -a -G opendkim postfix

Si vous avez été attentif lors de l'édition du fichier [[#Main.cf|main.cf]], vous avez dû remarqué les valeurs se rapportant à cette section. Je vous invite à y lire les commentaires afin de comprendre chacune d'elles.

Tous les éléments locaux sont prêts, nous pouvons redémarrer le service
systemctl restart opendkim.service

==Enregistrement DNS DKIM==
Il ne vous a pas échappé que ce protocole se base lui aussi sur le ''DNS''. Il va falloir publier votre clé publique dans un enregistrement dédié sur votre zone. Ajoutez-en un de type ''TXT'' ou ''DKIM'' comportant le contenu du fichier <code><selecteur>.txt</code> généré avec votre clé tout à l'heure. Du fait de la longueur de la clé (4096 bits), son contenu est tronqué en plusieurs lignes. Cet aspect ne dérange nullement les implémentations ''DNS'' que j'ai pu rencontrer. Il est donc possible d'ajouter la clé à votre zone par un simple copier/coller de celle-ci :

<syntaxhighlight lang="bash">
mail._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; s=email; "
"p=MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAnjMYbRgp+0a7BY5pUdQ2lgMWlnsWCL94nwMfcZ0weEHQoL+ip1s7m95L0HqIjCi3yPn5lL4Lx0wZ8ujPKVhXB3R+E/rjBOUXo26vTULCDdpqfg+IzxvyqjM+644Y8NYb+fRu4WkpBMkptMmogRhHnu3uDS+4/IyEqAH4OOy5SZHW5atwm87KCEDH8LcffLedr/nV22gXe5Wd2M"
"z3RqLPyaOgOxoIqOZKOIy5Xs5x1FCV8MNRdj8xT65GKsriN5/RSXK1NU1dvhnmTl/zuXP95F21YZPbwZEy3EXsyQuiyb1westiXy4fkWi0qV9vdYvyNZLn+wUk6tvY1mQ/OBewnrqGfHR/Tf8r+6Ku29CAYt4k6DXEmlEmZlM3d8Vg7/krlsYdlZIqDmOktxelGg3Oey5IJeqknHZh0lxxNjGm1zPjUKbF0MgMP1DZzlDgHJKIk558IyBV"
"3zNDMIvVbbWNzOyeU5513n0AOx7D8jayHvc3R9GkhyeHDH4XBExcobKPZstsGdEdLLTFnT7fDVAqur53HSuLSAum+0IK8VkC5K0QN21A6DNlzKvCbN4l4blVNg7qlnViqFB9g3ZfAsdCfgca1Dq4iFWS+Z9yuwkfWxdQbKYfcwD8Zb8sLpmTYZmjbk9CcD8jTFkJwKpLaT2Beo8YJdKh31V/Fkd6MXbI5gECAwEAAQ==" ) ; ----- DKIM key mail for exemple.fr
</syntaxhighlight>

Pour vérifier la prise en compte de votre modification, vous pouvez utiliser la commande suivante pour requêter le serveur ''DNS'' :
dig mail._domainkey.exemple.fr TXT

Nous utiliserons des [[#Outils_WEB|outils WEB]] à la fin pour tester ceci de façon plus approfondie.

=Spamassassin=
''Spamassassin'' est un programme écrit en ''Perl'' et en ''C'' diffusé sous la licence libre ''Apache'' version 2.0. Il a pour rôle de filtrer le trafic des courriels transitant par un ''MTA'' (''Postfix'' dans notre cas) dans l'optique d'identifier pour traitement les messages indésirables. Celui-ci peut prendre diverses formes dans la mesure où l'outil donne la possibilité à l'administrateur de réaliser ces propres filtres. Les actions les plus courantes sont de rejeter le message ou de le marquer pour trie via ''Sieve'' (solution retenue). Gardez en tête qu'il n'est pas impossible de faire face à des faux positifs et que le rejet de tels messages peuvent avoir des conséquences pour vos utilisateurs. Il convient alors d'appliquer les mesures adéquates à votre situation selon le flux que représente les pourriels.

Pour chaque message filtrés, une note est attribuée au courriel selon des critères arbitraires tels que ceux énoncés en prérequis et sera utilisée lors de la lecture des règles afin de déterminer le sort réservé à celui-ci. Vous comprenez alors l'importance de respecter les standards de "propreté" énoncés en début de page pour que vos propres messages ne soient pas mal-traités par vos destinataires.

Les sources suivantes ont, entre autres, permis d'écrire cette section :
* https://wiki.debian.org/DebianSpamAssassin
* https://www.malekal.com/installer-configurer-spamassassin-debian/
* https://www.linuxbabe.com/redhat/spamassassin-centos-rhel-block-email-spam

==Installation de Spamassassin==
Le système de gestion des indésirables fonctionne au travers de trois composantes. Un module (''spamass-milter'') lié à ''Postfix'' écoutant sur un socket via le protocole ''Milter'' les messages provenant de celui-ci; un client nommé ''spamc'' exécuté par le module et chargé de transmettre les messages à ''spamd'' via un autre socket; un démon (''spamd'') chargé de la qualification des messages ainsi que de leur traitement.

Installation des composants
apt install --no-install-recommends spamassassin spamc spamass-milter

Création d'un utilisateur dédié au service
useradd --system --home-dir /run/spamassassin --shell /usr/sbin/nologin --user-group spamassassin

Activation du service au démarrage
systemctl enable spamassassin.service

==Configuration de spamd==
Par défaut, le démon ''spamd'' s'exécute avec l'utilisateur <code>postfix</code> et communique au module ''spamass-milter'' via un socket ''TCP''. Dans le respect du [https://fr.wikipedia.org/wiki/Principe_de_moindre_privil%C3%A8ge principe de moindre privilège], un utilisateur dédié a été ajouté et pour des raisons d'optimisation, de sécurité ainsi que de bon sens, le socket ''TCP'' laissera sa place à un socket ''UNIX''. Ce dernier est bien plus rapide (ne se tape pas tout le modèle ''OSI'' pour réaliser une communication locale...) et plus sécurisé (pas d'écoute ni de redirection de trames réseau possible).

''Spamassassin'' ne créant pas lui-même le répertoire d'accueil de son socket, que nous situerons, [https://refspecs.linuxfoundation.org/FHS_3.0/fhs/ch03s15.html conformément] au [https://fr.wikipedia.org/wiki/Filesystem_Hierarchy_Standard Filesystem Hierarchy Standard] (''FHS''), dans le <code>/run</code> (qui est monté en ''tmpfs'' dans ''Debian''), nous ajouterons une [https://unix.stackexchange.com/questions/74477/postfix-smtpd-warning-connect-to-milter-service-unix-var-run-opendkim-opendki configuration] pour [https://www.freedesktop.org/software/systemd/man/tmpfiles.d.html systemd-tmpfiles] afin de le fabriquer au démarrage.

<syntaxhighlight lang="bash">
cat << '_EOF_' > /usr/lib/tmpfiles.d/spamassassin.conf
d /run/spamassassin 0750 spamassassin spamassassin - -
_EOF_
</syntaxhighlight>

Pour la session active, nous créerons ce répertoire manuellement afin de ne pas avoir à redémarrer tout de suite
mkdir -p /var/run/spamassassin
chown spamassassin:spamassassin /var/run/spamassassin

''Note : <code>/var/run</code> est un lien symbolique du tmpfs <code>/run</code> présent de base dans le système.''

Configuration du service

<syntaxhighlight lang="bash">
# Commenter toutes les lignes existantes
sed -i '/^$/!s/^/#/g' /etc/default/spamassassin

# Configuration du démon pour utiliser l'utilisateur spamassassin, un PID à un emplacement donné et un socket personnalisé du type UNIX
cat << '_EOF_' >> /etc/default/spamassassin

OPTIONS="--username spamassassin --create-prefs --max-children 5 --helper-home-dir --socketpath=/run/spamassassin/spamassassin.sock --socketowner=spamassassin --socketgroup=spamassassin --socketmode=0660"
PIDFILE="/var/run/spamassassin/spamd.pid"
CRON=0
_EOF_
</syntaxhighlight>

Ajout d'une action en cas de détection de pourriel

<syntaxhighlight lang="bash">
cat << '_EOF_' >> /etc/spamassassin/local.cf

rewrite_header Subject *****SPAM*****
report_safe 0
whitelist_from *@exemple.fr

add_header all Report _REPORT_
add_header spam Flag _YESNOCAPS_
add_header all Status _YESNO_, score=_SCORE_ required=_REQD_ tests=_TESTS_ autolearn=_AUTOLEARN_ version=_VERSION_
add_header all Level _STARS(*)_
add_header all Checker-Version SpamAssassin _VERSION_ (_SUBVERSION_) on _HOSTNAME_

skip_rbl_checks 1
_EOF_
</syntaxhighlight>

Cette action ajoutera le préfixe ''*****SPAM*****'' au sujet du message considéré comme indésirable ainsi que des en-têtes de marquage (notamment ''X-Spam-Flag: YES''). Ceci aura pour effet de déclencher l'action de la règle ''Sieve'' globale écrite plus haut et de placer le message dans le dossier approprié. La dernière ligne désactive quant à elle la vérification des adresses ''IP'' émétrices via les [https://www.altospam.com/glossaire/listes-noires.php RBL] intégrées au logiciel (vous pouvez l'enlever si vous en voulez mais je ne sais pas ce qu'ils font des traces que vous laissez).

==Configuration de spamass-milter==
<syntaxhighlight lang="bash">
# Commenter toutes les lignes existantes
sed -i '/^$/!s/^/#/g' /etc/default/spamass-milter

# Configuration du démon pour utiliser l'utilisateur spamassassin, un PID à un emplacement donné et un socket personnalisé du type UNIX
cat << '_EOF_' >> /etc/default/spamass-milter

OPTIONS="-u spamass-milter -i 127.0.0.1 -- -s 10485760 --socket=/run/spamassassin/spamassassin.sock"
SOCKET="/var/spool/postfix/spamass/spamass.sock"
SOCKETOWNER="spamass-milter:spamass-milter"
_EOF_
</syntaxhighlight>

{{info|Si vous désirez rejeter les messages identifiés comme indésirables, vous pouvez ajouter le paramètre <code>-r <note></code> à la suite de l'adresse ''IP'' de lien local où ''<note>'' correspond à la note attribué au message par ''Spamassassin'' que vous considérez comme étant le seuil d'acceptabilité. Tout courriel ayant une note égale ou supérieur à ce seuil sera alors rejeté avec un code 550 à l'expéditeur.}}

Ajout des utilisateurs <code>spamassassin</code> et <code>postfix</code> au groupe <code>spamass-milter</code> pour permettre la communication inter-socket
usermod -a -G spamassassin spamass-milter
usermod -a -G spamass-milter postfix

''Note : la communication entre Postfix et Spamass-milter se fait à la fin du fichier [[#Main.cf|main.cf]] sur la même ligne que pour le socket d'OpenDKIM.''

==Automatisation de l'apprentissage==
L'outil dispose d'une fonctionnalité d'apprentissage basée sur l'[https://fr.wikipedia.org/wiki/Inf%C3%A9rence_bay%C3%A9sienne inférence bayésienne]. Afin d'entraîner le moteur sur les messages reçus, vous pouvez utiliser la tâche planifiée suivante (nécessite le logiciel [[Cron]]) :

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/cron.daily/Spamassassin-bayés
#!/bin/bash
# Script de mise à jour automatique de la base bayésienne de Spamassassin

# Mise à jour des règles de spamassassin
# Pour utiliser cette fonctionnalité, il faut importer la clé GPG d'un canal de règles anti-pourriels.
# Dans la mesure où, comme expliqué, nous ne recevons pas de messages non désirés, nous n'avons pas explorer cette piste.
# /usr/bin/sa-update

# Auto-apprentissage de Spamassassin sur les messages existants dans les boites aux lettres
/usr/bin/sa-learn --ham /var/spool/mail/utilisateurs/*/*/cur/*
/usr/bin/sa-learn --spam /var/spool/mail/utilisateurs/*/*/.Spam/cur/*
_EOF_
</syntaxhighlight>

chmod +x /etc/cron.daily/Spamassassin-bayés

{{info|La [https://cwiki.apache.org/confluence/display/SPAMASSASSIN/SiteWideBayesSetup documentation officielle] conseille de ne réaliser cette tâche que manuellement après vérification des messages présents dans votre boite aux lettres. Ceci dans une optique de ne pas apprendre de fausses données. Vous pouvez par exemple effectuer manuellement les commandes de cette section après un épisode de réception non désiré afin d'améliorer la détection. Si vous souhaitez suivre cette recommandation, pensez à ne pas le laisser dans ce répertoire afin que ''Cron'' ne l'exécute pas quotidiennement.}}

=Tests de fonctionnement=
Nous voici arrivé au grand moment : celui du test !

Il va falloir redémarrer tous les services configurés précédemment afin de valider leur bon fonctionnement. Habituellement, j'aurai procédé par étape au file des sections mais l'écosystème abordé ayant la particularité de faire appel à des composants inter-dépendants, il est difficile de réaliser des tests d'intégration continue sans devoir revenir modifier des configurations tout au long du cheminement, ce qui aurai rendu la lecture exécrable. Ayant conscience de la difficulté de suivre une procédure aussi conséquente (et en vous assurant de la tâche encore plus importante qu'a été sa rédaction), j'ai préféré faire le choix d'une configuration en une traite, quitte à devoir vous faire corriger les quelques erreurs d'inattentions dans la lecture par la suite en vous appuyant sur les journaux du système. Soyez sûr que l'idée d'user au maximum de copier/coller pour l'application de ce document a été la trame directrice de sa rédaction afin de faciliter la mise en place de votre propre messagerie électronique.

==Redémarrage des services==

{{astuce|Il peut être judicieux d'afficher les journaux concernant la messagerie dans un second terminal pendant que vous redémarrez les services via un <code>tail -f /var/log/mail.log</code>.}}

systemctl restart spamass-milter.service
systemctl restart spamassassin.service
systemctl restart opendkim.service
systemctl restart dovecot.service
systemctl restart postfix.service

Vous pouvez naturellement afficher le statut de chacun des services via la commande <code>systemctl status <service></code> afin de vérifier l'état de leur exécution ainsi que la commande <code>journalctl -feu <service></code> pour en afficher les journaux propres dans leur intégralité.

==Tests de communication==
Quoi de mieux pour tester le fonctionnement que l'envoi d'un message ? Utilisez un client ''IMAP'' comme [[Rainloop]] ou [https://www.thunderbird.net/fr/ Thunderbird] (vous pouvez également configurer l'[[Thunderbird#Auto-configuration|auto-configuration]] pour celui-ci) et pensez à regarder le code source des messages sur la boite de destination afin de regarder leurs en-têtes. Vous y verrez la suite cryptographique utilisée pour la transmission, la note attribuée par ''Spamassassin'' ainsi que la signature ''DKIM''.

==Outils WEB==
Après avoir validé l'aspect fonctionnel de votre installation, il peut être judicieux de s'attarder sur l'aspect qualitatif au regard des standards de l'époque.

Pour ce faire, vous pouvez utiliser les outils ''WEB'' suivant qui vous attribueront des notes et vous détailleront les divers points examinés dans le but de vous améliorer :
* https://mxtoolbox.com pour vérifier vos résolutions DNS ainsi que la présence de votre adresse ''IP'' dans une liste noire d'indésirable
* https://www.mail-tester.com afin de visualiser les points attrayants à l'acceptabilité de vos messages (cela peut être l'occasion d'utiliser un alias...)
* https://cryptcheck.fr pour lister les suites cryptographiques ayant pu être négocier par le serveur distant

{{astuce|Vous pouvez [https://rtcamp.com/tutorials/mail/server/testing/smtp/ vérifier] si votre serveur [https://fr.wikipedia.org/wiki/Open_relay relaie ouvertement] les courriels sur Internet (il ne doit pas le faire) via l'outil <code>swaks</code> utilisée comme suit depuis un client :
swaks --server mail.exemple.fr --to toto@tutu.org
}}

==Test de détection de pourriels==
Il est possible de simuler un courriel frauduleux en envoyant un message contenant la chaîne de caractère suivante :
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

Vous verrez dans le journal <code>/var/log/mail.log</code> la phrase <code>stored mail into mailbox 'Spam'</code> informant de l'application de la règle ''Sieve'' de rangement.

Depuis votre client de messagerie, vous verrez le message précédemment envoyé placé dans la boite "indésirables".

=Débogage=
==Messages d'erreurs connus==
Cette section regroupe quelques erreurs qui ont déjà étés rencontrés et observables dans le fichier <code>/var/log/mail.log</code>.

{| class="wikitable"
|-
! Message !! Signification
|-
| <code>mail for exemple.fr loops back to myself</code> || Le nom de domaine du champ MX n'est pas renseigné au paramètre "mydestination" dans le main.cf
|-
| <code>postfix warning: SASL: Connect to private/auth failed: No such file or directory</code> || Indique un problème avec ''Dovecot'' (gérant l'authentification). Il faut repasser dans les fichiers de configuration de celui-ci
|}

=Commandes utiles=
==Affichage des configurations==

{| class="wikitable"
|-
! Commande !! Signification
|-
| <code>postconf -d</code> || Renvoie le contenu du fichier [[#Main.cf|main.cf]] par défaut
|-
| <code>postconf -n</code> || Renvoie le contenu actuel du fichier [[#Main.cf|main.cf]] sans les commentaires
|-
| <code>postconf -p</code> || Renvoie la configuration totale de ''Postfix'', valeurs par défaut comprises
|-
| <code>doveconf -n</code> ou <code>dovecot -n</code> || Renvoie l'ensemble de la configuration de ''Dovecot''
|}

==Requêter la base de donnée==
Afin de tester les différents fichiers de liaison de la base de données ''SQLite'' à ''Postfix'', il est possible d'utiliser la commande <code>postmap</code> sous cette forme
postmap -q chaine_à_tester sqlite:/etc/postfix/sqlite-FONCTION.cf

Pour vérifier l'existance d'un utilisateur ou d'un domaine, nous utiliserons la commande de cette façon
postmap -q test@exemple sqlite:/etc/postfix/sqlite-utilisateurs.cf
postmap -q jmador.yo sqlite:/etc/postfix/sqlite-domaines.cf

==Gestion de la file d'attente de courrier==
La file d'attente des messages de ''Postfix'' (''mail queue'') est l'endroit où sont stockés les courriels en cours d'envoi/réception ou qui sont revenus au serveur suite à un [[#Glossaire|message de non-délivrance]]. Les commandes utiles permettant de la gérer sont les suivantes (tirées de [https://www.system-linux.eu/index.php?post/2009/01/27/Traitement-de-Queue-mail-Postfix ce document]) :

{| class="wikitable"
|-
! Commande !! Signification
|-
| <code>postqueue -p</code> || Liste les messages en queue
|-
| <code>postsuper -d DBB3F1A7</code> || Supprime un message en queue
|-
| <code>postsuper -d ALL</code> || Supprime tous les messages en queue
|-
| <code>postsuper -h DBA3F1A7</code> || Mettre un messages en attente
|-
| <code>postsuper -H DBA3F1A7</code> || Remettre un messages en mode normale
|-
| <code>postsuper -r DBA3F1A7</code> || Remettre en queue un message
|-
| <code>postsuper -r ALL</code> || Remettre en queue tous les messages
|-
| <code>postcat -q DBA3F1A9</code> || Afficher le contenu d'un message
|-
| <code>postqueue -f</code> || Forcer l'envoi des messages en queue
|}

=Glossaire=
Le lexique entourant le domaine de la messagerie électronique est assez singulier. Voici quelques éléments de vocabulaire.

==Rôles de messageries==
* Agent de Transport du Courriel ou ''MTA'' (''Mail Transport Agent'') : service chargé d'acheminer les courriels vers un service de distribution du courrier (''MDA''). Ce service est assuré par le protocole ''SMTP'' (utilisé par ''Postfix'' dans notre cas)
* Agent de Distribution du Courriel ou ''MDA'' (''Mail Delivery Agent'') : service chargé de déposer le courriel dans la boite aux lettres d'un utilisateur. Il s'occupe également des contraintes d'espace disque (quota, disque plein..) ou de corruption et prévient le ''MTA'' des erreurs de distribution. Cette tâche est assurée par les protocoles ''POP'', ''IMAP'' et ''JMAP'' (utilisés par ''Dovecot dans notre cas)
* Agent Utilisateur du Courriel ou ''MUA'' (''Mail User Agent'') : logiciel client de messagerie électronique (''Rainloop'', ''Roundcube'', ''Thenderbird'', ''Outlook''...) chargé de présenter les courriels aux utilisateurs et de permettre leur rédaction. Il parle directement au ''MDA'' pour les requêtes de réception et au ''MTA'' pour l'envoi de ses messages

==Protocoles mis en œuvre==
* ''Simple Mail Transfer Protocol'' ([https://fr.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol SMTP]) : protocole de communication utilisé pour transférer le courriel vers les serveurs de messagerie électronique
* ''Internet Message Access Protocol'' ([https://fr.wikipedia.org/wiki/Internet_Message_Access_Protocol IMAP]) : protocole permettant à un client d'accéder à ses courriels directement sur les serveurs de messagerie via un logiciel de consultation
* ''Transport Layer Security'' ([https://fr.wikipedia.org/wiki/Transport_Layer_Security TLS]) : protocole de négociation d'éléments secrets entre deux correspondant. Son objectif est de permettre l'établissement d'une communication sécurisée
* ''DomainKeys Identified Mail'' ([https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail DKIM]) : norme d'authentification fiable du nom de domaine de l'expéditeur d'un courriel. Permet également de garantir l'intégrité d'un message. Plus de détails sur ces balises [https://help.returnpath.com/hc/fr/articles/222481088-Aper%C3%A7u-du-DNS-record-pour-la-signature-DKIM ici]
** Selecteur : élément de l'en-tête ''DKIM'' indiquant l'emplacement de la clé dans la zone ''DNS'' du domaine. Cet élément est concaténé avec le domaine pour effectuer une requête de résolution comme vu [[#Enregistrement_DNS_DKIM|précédemment]]
* ''GNU Privacy Guard'' ([https://fr.wikipedia.org/wiki/GNU_Privacy_Guard GPG]) : implémentation libre du standard [https://fr.wikipedia.org/wiki/OpenPGP OpenPGP] permettant d'assurer la confidentialité et l'intégrité d'un message par un secret connu des seuls correspondants
* Milter : [http://www.postfix.org/MILTER_README.html extension] présente sous forme d'[https://fr.wikipedia.org/wiki/Interface_de_programmation interface de programmation] du ''MTA'' permettant d'intégrer un programme dans la file de traitement des courriels. C'est le mécanisme qui nous permet de traiter les pourriels ainsi que les signatures ''DKIM'' mais peut aussi servir à l'analyse [https://www.clamav.net/ anti-virale]
* ''Domain Name System'' ([https://fr.wikipedia.org/wiki/Domain_Name_System DNS]) : service d'annuaire distribué stockant des informations textuelles dans des enregistrements de différents types
** Enregistrement de type ''A'' et ''AAAA'' : fournit la correspondance entre un nom d'hôte et une adresse ''IP'' (respectivement version 4 et version 6)
** Enregistrement de type ''MX'' : fournit la correspondance entre le nom d'hôte du serveur de messagerie et un domaine. La concaténation de ces deux informations donne le nom pleinement qualifié (''FQDN'') et permet aux ''MTA'' distants de résoudre l'adresse ''IP'' du serveur de destination d'un messsage avec comme seule information le domaine de destination contenu dans le champ ''X-Original-to'' d'un courriel
** Enregistrement de type ''TXT'' : champ de texte libre destiné principalement à rendre le ''DNS'' fléxible aux nouveaux usages. Un autre protocole n'a alors qu'à lire le contenu du champ pour obtenir l'information à traiter selon un formatage qu'aura respecté son rédacteur
* ''Local Mail Transfer Protocol'' ([https://fr.wikipedia.org/wiki/Local_Mail_Transfer_Protocol LMTP]) : protocole ''SMTP'' simplifié destiné aux seuls échange de courriels entre utilisateurs d'un même ''MTA''

==Divers==
* Pourriel ou ''SPAM'' : message non désiré et souvent nuisible (hameçonnage, virus, arnaque...). Ils viennent rarement seuls car leurs expéditeurs ont pour habitude d'en envoyer massivement. les pourriels représentaient tout de même entre [https://fr.wikipedia.org/wiki/Spam#Spam_publicitaire 90 et 97%] du trafic total des courriels fin des années 2000. L'[https://fr.wikipedia.org/wiki/Spam#Origine_du_terme_%C2%AB_spam_%C2%BB origine du mot] ''SPAM'' provient d'une marque de viande dont les pratiques publicitaires se rapprochaient de la pratique moderne. Sur un serveur personnel, il reste tout de même assez simple de s'en prémunir en respectant une politique stricte de transmission de vos adresses ([[#Cr.C3.A9ation_des_fichiers_d.27exploitation_de_Postfix|alias]]).
* ''HAM'' : désigne les courriels désirés. Cette notion est utilisée par le logiciel anti-pourriels ''Spamassassin'' lors de son usage de l'[https://fr.wikipedia.org/wiki/Inf%C3%A9rence_bay%C3%A9sienne inférence bayésienne]. Le terme est issue d'une partie du jambon en référence aux origines du mot ''SPAM'' et représente son opposé
* Boites aux lettres (BAL) : répertoire de messagerie personnelle d'un utilisateur destinée à accueillir ses correspondances (répertoire <code>~/Maildir</code> de la documentation)
* Message de non-délivrance ([https://www.altospam.com/glossaire/bounce.php bounce]) : courrier émis par un ''MTA'' à l'émetteur d'un message lorsque celui-ci n'a pu être délivré afin de l'en informer
* Relais de courrier ouvert : serveur ''SMTP'' permettant à n'importe qui sur Internet d'envoyer un courriel par son intermédiaire
* Liste noire en temps réel ([https://www.altospam.com/glossaire/listes-noires.php Realtime Blackhole List] ou ''RBL'') : listes de serveurs ou de réseaux IP connus pour aider, accueillir, produire ou retransmettre des pourriels ou fournir un service pouvant en émettre (relais ouverts)

Vim

2024-01-27T11:17:29Z

Ycharbi : Replacement des balise de coloration syntaxique en ligne par des balises codes pour optimiser le chargement de la page + correction de fautes de Français + actualisation du lien pour les couleurs 24 bits + ajout d'un lien vers le dépôt Gitea vim-dev-web

[[Category:éditeurs de texte]]
[[Fichier:Vim logo.svg|100px]]

[https://fr.wikipedia.org/wiki/Vim Vim] est un éditeur de texte, bifurcation de [https://fr.wikipedia.org/wiki/Vi_(logiciel) vi], signifiant "VI aMélioré" permettant d'éditer des documents de type texte (notamment des fichiers de configuration) dans un terminal ou une console (''shell''). Il ne nécessite pas d'interface graphique pour être exécuté, ce qui en fait un excellent outil sur un serveur, dépourvu d'[[:Category:Environnements bureau|environnements de bureau]].

=Installation=
apt install vim

=Comportement=
Vim possède 5 modes :
# Le mode interactif
# Le mode insertion
# Le mode commande
# Le mode visuel
# Le mode recherche

==Mode interactif==
Lorsque ''Vim'' est exécuté, il est par défaut en mode interactif. Ce mode permet d'utiliser des combinaisons de touche pour interagir avec le texte du document en cours d'édition. Il est par exemple possible, en une combinaison, de couper 4 lignes de texte et de les coller dans un autre emplacement du document, voir dans un autre document.

Mettre un tableau avec les touches qu'on utilise souvent avec le mode interactif

==Mode insertion==
Le mode insertion est le mode classique d'édition de texte. C'est celui dans lequel on tape du texte comme dans n'importe quel autre éditeur.

Pour revenir au mode interactif, il faut presser la touche <code><Echap></code>.

==Mode commande==
Ce mode permet d’interagir avec ''Vim'' par l'intermédiaire de commandes. Ces dernières vont permettre d'enregistrer le document, quitter ''Vim'', importer un document dans un autre, passer des expressions régulières, activer des options et bien d'autres choses...

On entre une commande en étant au préalable en mode interactif et en tapant <code>:</code>.

===Quelque commandes===
Activer l'affichage des numéros de lignes
<syntaxhighlight lang="vim">
se nu
</syntaxhighlight>

désactiver l'affichage des numéros de lignes
<syntaxhighlight lang="vim">
se nu!
</syntaxhighlight>

Activer la coloration syntaxique
<syntaxhighlight lang="vim">
syn on
</syntaxhighlight>

Désactiver la coloration syntaxique
<syntaxhighlight lang="vim">
syn off
</syntaxhighlight>

Afficher la ligne où se trouve le curseur
<syntaxhighlight lang="vim">
set cursorline
</syntaxhighlight>

Masquer le trait de soulignement
<syntaxhighlight lang="vim">
set cursorline!
</syntaxhighlight>

Commenter plusieurs lignes
<syntaxhighlight lang="vim">
,+4 s/^/#/g
</syntaxhighlight>

Dé-commenter plusieurs lignes
<syntaxhighlight lang="vim">
.,+4 s/^#//g
</syntaxhighlight>

Plus simple, pour commenter (après une sélection des lignes à commenter en mode visuel bloc <code><maj>+<v></code> et un appui sur <code>:</code>)
<syntaxhighlight lang="vim">
s/^/#
</syntaxhighlight>

Dé-commenter (après sélection <code><maj>+<v></code> + <code>:</code>)
<syntaxhighlight lang="vim">
s/#//
</syntaxhighlight>

ou <code><maj>+<v></code> puis <code><x></code>.

Ajouter en fin de ligne (après sélection <code><maj>+<v></code> + <code>:</code>)
<syntaxhighlight lang="vim">
s/$/\ :\
s/$/;
</syntaxhighlight>

Ajouter au niveau du curseur (après sélection <code><ctrl>+<v></code> + <code>:</code>)
<syntaxhighlight lang="vim">
s/\%V/\ :
s/\%V/^I
</syntaxhighlight>

vim ajouter à partir du curseur (À trouver) http://andrewradev.com/2011/05/08/vim-regexes/

Placer des curseur là ou on veut pour pouvoir utiliser les regex d'en haut de façon ultra puissante

Remplacer un mot par un autre
<syntaxhighlight lang="vim">
%s/Mot_initial/Nouveau_mot/g
</syntaxhighlight>

Changer encodage caractère
<syntaxhighlight lang="vim">
set fileencoding=latin1
set fileencoding=utf-8
</syntaxhighlight>

Auto complétion ''CSS'' (une fois renseigné, faire <code><ctrl>+<x></code> + <code><ctrl>+<o></code>)
<syntaxhighlight lang="vim">
set omnifunc=csscomplete#CompleteCSS
</syntaxhighlight>

Exécuter une [[Shell bash|commande Bash]] sans quitter ''Vim''
<syntaxhighlight lang="vim">
!Commande_À_Exécuter
</syntaxhighlight>

Importer un fichier depuis ''Vim''
<syntaxhighlight lang="vim">
r Chemin_fichier
</syntaxhighlight>

Indentation automatique
<syntaxhighlight lang="vim">
se ai
</syntaxhighlight>

Permettre un copier/coller respectant l'indentation avec <code>se ai</code>
<syntaxhighlight lang="vim">
se paste
</syntaxhighlight>

Activer/désactiver <code>se paste</code> en appuyant sur <code><F2></code>
<syntaxhighlight lang="vim">
set pastetoggle=<F2>
</syntaxhighlight>

Insensibilité à la casse (utile pour le mode recherche notamment)
<syntaxhighlight lang="vim">
se ic
</syntaxhighlight>

Activer le curseur de sélection avec la souris
<syntaxhighlight lang="vim">
se mouse=a
</syntaxhighlight>

Désactiver le curseur de sélection avec la souris
<syntaxhighlight lang="vim">
se mouse=
</syntaxhighlight>

Scinder l'écran pour ouvrir un autre fichier horizontalement
<syntaxhighlight lang="vim">
split [Nom_fichier] ou :sp
</syntaxhighlight>

En vertical
<syntaxhighlight lang="vim">
vspli ou :vsp
</syntaxhighlight>

{{info|Le couple <code><ctrl-w> + flèche</code> permet de passer d'un fichier à l'autre. }}

Redéfinir l'espace de l'indentation (pour passer de 8 espaces à 3)
<syntaxhighlight lang="vim">
set tabstop=3
set shiftwidth=3
set softtabstop=3
</syntaxhighlight>

Convertir des indentation "espace" en indentation "tabulation"
<syntaxhighlight lang="vim">
%retab!
</syntaxhighlight>
Créer et gérer des onglets
<syntaxhighlight lang="vim">
tabnew [nom_fichier]
</syntaxhighlight>

Se déplacer dans les onglets

En avant : <code>gt</code>, en arrière : <code>gT</code>.

Ouvrir plusieurs fichiers dans un onglet chacun (à exécuter dans ''Bash'') :
vim -p fichier1 fichier2 fichier3

Convertir du texte en majuscule ou en minuscule
* Inverser la casse : sélectionner le texte avec <code>ctrl+v</code> et faire un <code>~</code>

ou

* On peut utiliser <code>U</code> pour mettre en majuscule ou <code>u</code> pour mettre en minuscule

Masquer les commentaires d'un fichier (à ajouter dans un [[#fichiers de configuration|fichier de configuration]])
<syntaxhighlight lang="vim">
set fdm=expr
set fde=getline(v:lnum)=~'^\\s*#'?1:getline(prevnonblank(v:lnum))=~'^\\s*#'?1:getline(nextnonblank(v:lnum))=~'^\\s*#'?1:0
</syntaxhighlight>

Pour '''déplier''' temporairement un bloc de commentaires (un bloc correspondant dans ce cas à plusieurs lignes consécutives commençant par le caractère '''#'''), placez votre curseur sur le pli correspondant au bloc compacté et tapez <code>zo</code> (ou pressez simplement sans sélection pour agir sur tout le document), et <code>zm</code> pour '''le replier'''. Si vous avez déplié plusieurs blocs, vous pouvez '''tous les replier''' d'un coup avec <code>zM</code> ; à l'inverse, vous pouvez '''déplier tous les blocs''' d'un seul coup avec <code>zi</code>.

Utiliser Vim en tant qu'éditeur hexadécimale ([http://pellelatarte.fr/2010/10/utiliser-vi-en-editeur-hexadecimal/ source])
%!xxd
Revenir à la normal
%!xxd -r

{{attention|Un enregistrement en mode hexadécimale enregistrera le texte comme tel, il faudra alors désactiver ce mode et réenregistrer le document pour revenir à la normal.}}

Garder la position du curseur là où il était à la [https://askubuntu.com/questions/202075/how-do-i-get-vim-to-remember-the-line-i-was-on-when-i-reopen-a-file réouverture] du fichier
<syntaxhighlight lang="vim">
if has("autocmd")
au BufReadPost * if line("'\"") > 0 && line("'\"") <= line("$") | exe "normal! g`\"" | endif
endif
</syntaxhighlight>

===Désactiver les fonctions agaçantes===
Avec les mises à jour de ''Vim'', de plus en plus de fonctions inutiles et contres-productives sont installées par défaut (''Debian Stretch'', si tu m'entends...). Ce qui suit a pour but de rendre ''Vim'' de nouveau utilisable comme dans le bon vieux temps.

Désactiver l'ajout automatique de commentaires ([https://superuser.com/questions/271023/vim-can-i-disable-continuation-of-comments-to-the-next-line source])
<syntaxhighlight lang="vim">
set formatoptions-=cro
</syntaxhighlight>

Désactiver la gestion de la souris (qui empêche le copier/coller !)
<syntaxhighlight lang="vim">
set mouse=
</syntaxhighlight>

===Corrections de bogues===
====Corriger le problème des flèches qui affichent A B C D====
De façon totalement aléatoire et sur certaines configurations, l'utilisation des flèches au clavier enclenche automatiquement le monde insertion et tape les lettres A, B, C ou D en fonction de la flèche pressée. Il semble que la façon de régler ce problème diffère selon les configurations. Une liste impressionnante de palliatifs est trouvable [https://vim.fandom.com/wiki/Fix_arrow_keys_that_display_A_B_C_D_on_remote_shell ici]. La solution [https://vim.fandom.com/wiki/Fix_arrow_keys_that_display_A_B_C_D_on_remote_shell#Solution_24 n°24] a réglée celui rencontré sur une Debian 12 installée via ''PXE'' comme des centaines d'autres chaque années dans mon infrastructure (celle-là a décidée de me faire chier).

Il faut re-cartographier les touches fléchées en ajoutant ceci dans le <code>~/.vimrc</code> :
nnoremap <silent> <ESC>OA <UP>
nnoremap <silent> <ESC>OB <DOWN>
nnoremap <silent> <ESC>OC <RIGHT>
nnoremap <silent> <ESC>OD <LEFT>
inoremap <silent> <ESC>OA <UP>
inoremap <silent> <ESC>OB <DOWN>
inoremap <silent> <ESC>OC <RIGHT>
inoremap <silent> <ESC>OD <LEFT>

=Presses papiers=
''Vim'' possèdes plusieurs presses papiers appelés registres (''register'' ou ''buffers'') qui peuvent être exploités afin de maintenir plusieurs copier/coller en mémoires. Il y en a un par lettre de l'alphabet. Ils s'utilisent en '''mode interactif''' avec les touches <code><">+<lettre>+<raccourci></code> de cette manière :

{{attention|Le contenu des presses papiers est sauvegardé même après avoir quitté ''Vim'' (ces informations sont stockés dans le fichier <code>~/.viminfo</code>). Ceci peut avoir des conséquences en terme de confidentialité des informations. Au besoin, pensez à utiliser le registre poubelle ainsi que la suppression du contenu des registres expliqué plus bas.}}

Copier des lignes dans des presses papiers différents

<code>"ayy</code>, <code>"byy</code>, <code>"cyy</code>.

Coller des lignes depuis des presses papiers différents

<code>"ap</code>, <code>"bp</code>, <code>"cp</code>.

Pour ajouter une ligne à un presse papier, il faut préciser la lettre du presse papier voulu, en majuscule <code>"Byy</code>.

Pour copier/coller en prenant en compte le presse papier par défaut (celui que l'on à lors d'un simple <code>yy</code>)

<code>"+yy</code> copie une ligne pour le presse papier par défaut, et <code>"+p</code> colle le presse papier par défaut (ceci n'a aucun intérêt...).

Registre poubelle (équivalent du /dev/null). Permet de supprimer des lignes sans les conserver dans un registre
<code>"_dd</code>

Pour vider le [https://stackoverflow.com/questions/19430200/how-to-clear-vim-registers-effectively contenu] d'un registre, il faut utiliser la commande <code>:let @a = ''</code> en remplaçant la lettre par celle de votre registre ( utiliser <code>"</code> pour le registre par défaut).

=Historique=
L'historique de l'éditeur est parsemé dans le fichier <code>~/.viminfo</code>.

Pour [https://unix.stackexchange.com/questions/204689/how-to-clear-search-and-command-history-in-vim purger] intégralement celui des recherches, il est possible de faire <code>:call histdel('/')</code>. Pour celui des commandes, on fera <code>:call histdel(':')</code>.

Il est également possible de ne supprimer qu'une entrée en particulier via un motif: <code>:call histdel(":", "MOT_CLÉ_CONTENU_DANS_VOTRE_COMMANDE")</code>.

=Macros=
Définir l'intérêt des macros...

Créer des macros
<code>q+<lettre></code> pour passer en mode enregistrement.

<code>q</code> pour terminer l'enregistrement.

<code>@+<lettre></code> pour la jouer (ça fait comme un presse papier).

=Fichiers de configuration=
Les fichiers de configuration de ''Vim'' permettent de définir des paramètres activés à chaque lancement de l'éditeur. Il en existe deux types :
* Un général, actif pour tout les utilisateurs du système : <code>/etc/vim/vimrc</code>
* Un courant, pour chaque utilisateurs en particulier : <code>~/.vimrc</code>
Il suffit de renseigner des commandes Vim (sans les ''':''') dans ces fichiers pour que leur effet soit permanent.

Pour exécuter ''Vim'' tout en [https://evanhahn.com/ignore-vimrc-with-vim/ ignorant] les fichiers de configuration :
vim -u NONE

=Greffons=
Il est possible d'ajouter des fonctionnalités supplémentaires à ''Vim'' par l'intermédiaire de greffons (''plugins''). Il sont à mettre (selon le même principe que le ''vimrc'') dans le répertoire général <code>/etc/vim/</code> ou dans <code>~/.vim/</code> pour les rendre spécifiques à chaque utilisateur.

==Greffons que j'utilise==
Pour une configuration adaptée à un développement ''WEB'', les informations de ce [https://gitea.ycharbi.fr/ycharbi/vim-dev-web dépôt] peuvent-êtres utiles.

===Emmet===
Orienté programmation web, le greffon [http://emmet.io/ Emmet] (anciennement ''Zen Coding'') permet, en utilisant une syntaxe (très) raccourcie, d'écrire du code ''HTML'' et ''CSS'' de façon extrêmement efficace. De plus, il est disponible sur une [http://emmet.io/download/ multitude d'éditeurs]. Il s'installe de la façon suivante :

# Télécharger ''Emmet'' depuis les [https://github.com/mattn/emmet-vim sources]
# Décompresser les répertoires '''autoload''' et '''plugin''' dans <code>~/.vim/</code>

Pour utiliser ''Emmet'', il faut écrire dans un fichier les différentes [http://docs.emmet.io/cheat-sheet/ expressions possibles] et faire la combinaison de touches (en mode interactif) <code><c-y>,</code> (faire '''ctrl + y''' et ensuite sur ''',''').

===IndentLine===
''IndentLine'' permet d'afficher une ligne verticale marquant le niveau d'indentation de votre code. Il est très utile notamment lorsque les bloques de code sont imbriqués sur énormément de niveau (rendant le repérage visuel extrêmement difficile). Il s'installe de la façon suivante :

# Télécharger ''IndentLine'' depuis les [https://github.com/Yggdroot/indentLine sources]
# Décompresser le répertoire '''plugin''' dans <code>~/.vim/</code>
# Ajouter dans le ''.vimrc'' ce paramètre (l'espace de fin est important) : <code>set list lcs=tab:\|\ </code>

==Gestionnaire de greffons==
===Vim-plug===
Télécharger le greffon
curl -fLo ~/.vim/autoload/plug.vim --create-dirs https://raw.githubusercontent.com/junegunn/vim-plug/master/plug.vim

Ajouter les greffons à installer et ajouter dans le ''vimrc''
<syntaxhighlight lang="vim">
call plug#begin()
Plug 'junegunn/vim-easy-align'
Plug 'vim-airline/vim-airline'
Plug 'vim-airline/vim-airline-themes'
Plug 'hzchirs/vim-material'
call plug#end()
</syntaxhighlight>

''On trouve les noms de ces greffons sur leur page GIT.''

Installer les greffons mis dans le ''vimrc'' (aller dans <code>vim</code>)
:PlugInstall

{{info|Tout est mis dans <code>.vim</code>. Le paquet <code>git</code> est nécessaire.}}

Un exemple de ''.vimrc''
<syntaxhighlight lang="vim">
se nu
se termguicolors
set pastetoggle=<F2>

"L'indentation passe à 3 caractères
set tabstop=3
set shiftwidth=3
set softtabstop=3

"Activer les greffons
call plug#begin()
Plug 'junegunn/vim-easy-align'
Plug 'vim-airline/vim-airline'
Plug 'vim-airline/vim-airline-themes'
Plug 'hzchirs/vim-material'
call plug#end()

"Appliquer le thème vim-matérial
colorscheme vim-material
let g:airline_theme='material'
</syntaxhighlight>

====Sources de la section====
* https://github.com/junegunn/vim-plug
* http://vimcolors.com/

=Couleurs 24bits=
Pour avoir des couleurs plus sympas avec ''Vim'' (remplace le ''syn on''), il faut utiliser ''se termguicolors''. Attention, il faut que le terminal utilisé soit compatible. [https://github.com/termstandard/colors Cette page Github] peut aider à déterminer si c'est le cas.

=Sources=
* http://cfennajoui.net/vim/traduit/html/usr_30.txt.php
* http://www.blogduwebdesign.com/developpement-vim/vim-astuce-pour-le-copier-coller/605
* http://qsdqsd.free.fr/Vim/Vim_-_Un_pas_en_avant.html

Vim

2024-01-27T10:52:49Z

Ycharbi : Ajout de la section "Corrections de bogues"

[[Category:éditeurs de texte]]
[[Fichier:Vim logo.svg|100px]]

[https://fr.wikipedia.org/wiki/Vim Vim] est un éditeur de texte, bifurcation de [https://fr.wikipedia.org/wiki/Vi_(logiciel) vi], signifiant "VI aMélioré" permettant d'éditer des documents de type texte (notamment des fichiers de configuration) dans un terminal ou une console (''shell''). Il ne nécessite pas d'interface graphique pour être exécuté, ce qui en fait un excellent outil sur un serveur, dépourvu d'[[:Category:Environnements bureau|environnements de bureau]].

=Installation=
apt install vim

=Comportement=
Vim possède 5 modes :
# Le mode interactif
# Le mode insertion
# Le mode commande
# Le mode visuel
# Le mode recherche

==Mode interactif==
Lorsque ''Vim'' est exécuté, il est par défaut en mode interactif. Ce mode permet d'utiliser des combinaisons de touche pour interagir avec le texte du document en cours d'édition. Il est par exemple possible, en une combinaison, de couper 4 lignes de texte et de les coller dans un autre emplacement du document, voir dans un autre document.

Mettre un tableau avec les touches qu'on utilise souvent avec le mode interactif

==Mode insertion==
Le mode insertion est le mode classique d'édition de texte. C'est celui dans lequel on tape du texte comme dans n'importe quel autre éditeur.

Pour revenir au mode interactif, il faut presser la touche <syntaxhighlight lang="bash" inline><Echap></syntaxhighlight>.

==Mode commande==
Ce mode permet d’interagir avec ''Vim'' par l'intermédiaire de commandes. Ces dernières vont permettre d'enregistrer le document, quitter ''Vim'', importer un document dans un autre, passer des expressions régulières, activer des options et bien d'autres choses...

On entre une commande en étant au préalable en mode interactif et en tapant <syntaxhighlight lang="bash" inline>:</syntaxhighlight>.

===Quelque commandes===
Activer l'affichage des numéros de lignes
<syntaxhighlight lang="vim">
se nu
</syntaxhighlight>

désactiver l'affichage des numéros de lignes
<syntaxhighlight lang="vim">
se nu!
</syntaxhighlight>

Activer la coloration syntaxique
<syntaxhighlight lang="vim">
syn on
</syntaxhighlight>

Désactiver la coloration syntaxique
<syntaxhighlight lang="vim">
syn off
</syntaxhighlight>

Afficher la ligne où se trouve le curseur
<syntaxhighlight lang="vim">
set cursorline
</syntaxhighlight>

Masquer le trait de soulignement
<syntaxhighlight lang="vim">
set cursorline!
</syntaxhighlight>

Commenter plusieurs lignes
<syntaxhighlight lang="vim">
,+4 s/^/#/g
</syntaxhighlight>

Dé-commenter plusieurs lignes
<syntaxhighlight lang="vim">
.,+4 s/^#//g
</syntaxhighlight>

Plus simple, pour commenter (après une sélection des lignes à commenter en mode visuel bloc <syntaxhighlight lang="bash" inline><maj>+<v></syntaxhighlight> et un appui sur <syntaxhighlight lang="bash" inline>:</syntaxhighlight>)
<syntaxhighlight lang="vim">
s/^/#
</syntaxhighlight>

Dé-commenter (après sélection <syntaxhighlight lang="bash" inline><maj>+<v></syntaxhighlight> + <syntaxhighlight lang="bash" inline>:</syntaxhighlight>)
<syntaxhighlight lang="vim">
s/#//
</syntaxhighlight>

ou <syntaxhighlight lang="bash" inline><maj>+<v></syntaxhighlight> puis <syntaxhighlight lang="bash" inline><x></syntaxhighlight>.

Ajouter en fin de ligne (après sélection <syntaxhighlight lang="bash" inline><maj>+<v></syntaxhighlight> + <syntaxhighlight lang="bash" inline>:</syntaxhighlight>)
<syntaxhighlight lang="vim">
s/$/\ :\
s/$/;
</syntaxhighlight>

Ajouter au niveau du curseur (après sélection <syntaxhighlight lang="bash" inline><ctrl>+<v></syntaxhighlight> + <syntaxhighlight lang="bash" inline>:</syntaxhighlight>)
<syntaxhighlight lang="vim">
s/\%V/\ :
s/\%V/^I
</syntaxhighlight>

vim ajouter à partir du curseur (À trouver) http://andrewradev.com/2011/05/08/vim-regexes/

Placer des curseur là ou on veut pour pouvoir utiliser les regex d'en haut de façon ultra puissante

Remplacer un mot par un autre
<syntaxhighlight lang="vim">
%s/Mot_initial/Nouveau_mot/g
</syntaxhighlight>

Changer encodage caractère
<syntaxhighlight lang="vim">
set fileencoding=latin1
set fileencoding=utf-8
</syntaxhighlight>

Auto complétion ''CSS'' (une fois renseigné, faire <syntaxhighlight lang="bash" inline><ctrl>+<x></syntaxhighlight> + <syntaxhighlight lang="bash" inline><ctrl>+<o></syntaxhighlight>)
<syntaxhighlight lang="vim">
set omnifunc=csscomplete#CompleteCSS
</syntaxhighlight>

Exécuter une [[Shell bash|commande Bash]] sans quitter ''Vim''
<syntaxhighlight lang="vim">
!Commande_À_Exécuter
</syntaxhighlight>

Importer un fichier depuis ''Vim''
<syntaxhighlight lang="vim">
r Chemin_fichier
</syntaxhighlight>

Indentation automatique
<syntaxhighlight lang="vim">
se ai
</syntaxhighlight>

Permettre un copier/coller respectant l'indentation avec <syntaxhighlight lang="vim" inline>se ai</syntaxhighlight>
<syntaxhighlight lang="vim">
se paste
</syntaxhighlight>

Activer/désactiver <syntaxhighlight lang="vim" inline>se paste</syntaxhighlight> en appuyant sur <syntaxhighlight lang="bash" inline><F2></syntaxhighlight>
<syntaxhighlight lang="vim">
set pastetoggle=<F2>
</syntaxhighlight>

Insensibilité à la casse (utile pour le mode recherche notamment)
<syntaxhighlight lang="vim">
se ic
</syntaxhighlight>

Activer le curseur de sélection avec la souris
<syntaxhighlight lang="vim">
se mouse=a
</syntaxhighlight>

Désactiver le curseur de sélection avec la souris
<syntaxhighlight lang="vim">
se mouse=
</syntaxhighlight>

Scinder l'écran pour ouvrir un autre fichier horizontalement
<syntaxhighlight lang="vim">
split [Nom_fichier] ou :sp
</syntaxhighlight>

En vertical
<syntaxhighlight lang="vim">
vspli ou :vsp
</syntaxhighlight>

{{info|Le couple <syntaxhighlight lang="bash" inline><ctrl-w> + flèche</syntaxhighlight> permet de passer d'un fichier à l'autre. }}

Redéfinir l'espace de l'indentation (pour passer de 8 espaces à 3)
<syntaxhighlight lang="vim">
set tabstop=3
set shiftwidth=3
set softtabstop=3
</syntaxhighlight>

Convertir des indentation "espace" en indentation "tabulation"
<syntaxhighlight lang="vim">
%retab!
</syntaxhighlight>
Créer et gérer des onglets
<syntaxhighlight lang="vim">
tabnew [nom_fichier]
</syntaxhighlight>

Se déplacer dans les onglets

En avant : <syntaxhighlight lang="vim" inline>gt</syntaxhighlight>, en arrière : <syntaxhighlight lang="vim" inline>gT</syntaxhighlight>.

Ouvrir plusieurs fichiers dans un onglet chacun (à exécuter dans ''Bash'') :
vim -p fichier1 fichier2 fichier3

Convertir du texte en majuscule ou en minuscule
* Inverser la casse : sélectionner le texte avec <syntaxhighlight lang="bash" inline>ctrl+v</syntaxhighlight> et faire un <syntaxhighlight lang="bash" inline>~</syntaxhighlight>

ou

* On peut utiliser <syntaxhighlight lang="bash" inline>U</syntaxhighlight> pour mettre en majuscule ou <syntaxhighlight lang="bash" inline>u</syntaxhighlight> pour mettre en minuscule

Masquer les commentaires d'un fichier (à ajouter dans un [[#fichiers de configuration|fichier de configuration]])
<syntaxhighlight lang="vim">
set fdm=expr
set fde=getline(v:lnum)=~'^\\s*#'?1:getline(prevnonblank(v:lnum))=~'^\\s*#'?1:getline(nextnonblank(v:lnum))=~'^\\s*#'?1:0
</syntaxhighlight>

Pour '''déplier''' temporairement un bloc de commentaires (un bloc correspondant dans ce cas à plusieurs lignes consécutives commençant par le caractère '''#'''), placez votre curseur sur le pli correspondant au bloc compacté et tapez <syntaxhighlight lang="bash" inline>zo</syntaxhighlight> (ou pressez simplement sans sélection pour agir sur tout le document), et <syntaxhighlight lang="bash" inline>zm</syntaxhighlight> pour '''le replier'''. Si vous avez déplié plusieurs blocs, vous pouvez '''tous les replier''' d'un coup avec <syntaxhighlight lang="bash" inline>zM</syntaxhighlight> ; à l'inverse, vous pouvez '''déplier tous les blocs''' d'un seul coup avec <syntaxhighlight lang="bash" inline>zi</syntaxhighlight>.

Utiliser Vim en tant qu'éditeur hexadécimale ([http://pellelatarte.fr/2010/10/utiliser-vi-en-editeur-hexadecimal/ source])
%!xxd
Revenir à la normal
%!xxd -r

{{attention|Un enregistrement en mode hexadécimale enregistrera le texte comme tel, il faudra alors désactiver ce mode et réenregistrer le document pour revenir à la normal.}}

Garder la position du curseur là où il était à la [https://askubuntu.com/questions/202075/how-do-i-get-vim-to-remember-the-line-i-was-on-when-i-reopen-a-file réouverture] du fichier
<syntaxhighlight lang="vim">
if has("autocmd")
au BufReadPost * if line("'\"") > 0 && line("'\"") <= line("$") | exe "normal! g`\"" | endif
endif
</syntaxhighlight>

===Désactiver les fonctions agaçantes===
Avec les mises à jour de ''Vim'', de plus en plus de fonctions inutiles et contres-productives sont installées par défaut (''Debian Stretch'', si tu m'entends...). Ce qui suit a pour but de rendre ''Vim'' de nouveau utilisable comme dans le bon vieux temps.

Désactiver l'ajout automatique de commentaires ([https://superuser.com/questions/271023/vim-can-i-disable-continuation-of-comments-to-the-next-line source])
<syntaxhighlight lang="vim">
set formatoptions-=cro
</syntaxhighlight>

Désactiver la gestion de la souris (qui empêche le copier/coller !)
<syntaxhighlight lang="vim">
set mouse=
</syntaxhighlight>

===Corrections de bogues===
====Corriger le problème des flêches qui affichent A B C D====
De façon totalement aléatoire et sur certaines configurations, l'utilisation des flèches au clavier enclenche automatiquement le monde insertion et tape les lettres A, B, C ou D en fonction de la flèche préssée. Il semble que la façon de régler ce problème diffère selon les configurations. Une liste impressionnante de paliatifs est trouvable [https://vim.fandom.com/wiki/Fix_arrow_keys_that_display_A_B_C_D_on_remote_shell ici]. La solution [https://vim.fandom.com/wiki/Fix_arrow_keys_that_display_A_B_C_D_on_remote_shell#Solution_24 n°24] a réglée celui rencontré sur une Débian 12 installée via ''PXE'' comme des centaines d'autres chaque années dans mon infrastructure (celle-là a décidée de me faire chier).

Il faut recartographier les touches flèchées en ajoutant ceci dans le <code>~/.vimrc</code> :
nnoremap <silent> <ESC>OA <UP>
nnoremap <silent> <ESC>OB <DOWN>
nnoremap <silent> <ESC>OC <RIGHT>
nnoremap <silent> <ESC>OD <LEFT>
inoremap <silent> <ESC>OA <UP>
inoremap <silent> <ESC>OB <DOWN>
inoremap <silent> <ESC>OC <RIGHT>
inoremap <silent> <ESC>OD <LEFT>

=Presses papiers=
''Vim'' possèdes plusieurs presses papiers appelés registres (''register'' ou ''buffers'') qui peuvent être exploités afin de maintenir plusieurs copier/coller en mémoires. Il y en a un par lettre de l'alphabet. Ils s'utilisent en '''mode interactif''' avec les touches <syntaxhighlight lang="bash" inline><">+<lettre>+<raccourci></syntaxhighlight> de cette manière :

{{attention|Le contenu des presses papiers est sauvegardé même après avoir quitté ''Vim'' (ces informations sont stockés dans le fichier <syntaxhighlight lang="bash" inline>~/.viminfo</syntaxhighlight>). Ceci peut avoir des conséquences en terme de confidentialité des informations. Au besoin, pensez à utiliser le registre poubelle ainsi que la suppression du contenu des registres expliqué plus bas.}}

Copier des lignes dans des presses papiers différents

<syntaxhighlight lang="bash" inline>"ayy</syntaxhighlight>, <syntaxhighlight lang="bash" inline>"byy</syntaxhighlight>, <syntaxhighlight lang="bash" inline>"cyy</syntaxhighlight>.

Coller des lignes depuis des presses papiers différents

<syntaxhighlight lang="bash" inline>"ap</syntaxhighlight>, <syntaxhighlight lang="bash" inline>"bp</syntaxhighlight>, <syntaxhighlight lang="bash" inline>"cp</syntaxhighlight>.

Pour ajouter une ligne à un presse papier, il faut préciser la lettre du presse papier voulu, en majuscule <syntaxhighlight lang="bash" inline>"Byy</syntaxhighlight>.

Pour copier/coller en prenant en compte le presse papier par défaut (celui que l'on à lors d'un simple <syntaxhighlight lang="bash" inline>yy</syntaxhighlight>)

<syntaxhighlight lang="bash" inline>"+yy</syntaxhighlight> copie une ligne pour le presse papier par défaut, et <syntaxhighlight lang="bash" inline>"+p</syntaxhighlight> colle le presse papier par défaut (ceci n'a aucun intérêt...).

Registre poubelle (équivalent du /dev/null). Permet de supprimer des lignes sans les conserver dans un registre
<syntaxhighlight lang="bash" inline>"_dd</syntaxhighlight>

Pour vider le [https://stackoverflow.com/questions/19430200/how-to-clear-vim-registers-effectively contenu] d'un registre, il faut utiliser la commande <syntaxhighlight lang="bash" inline>:let @a = ''</syntaxhighlight> en remplaçant la lettre par celle de votre registre ( utiliser <syntaxhighlight lang="bash" inline>"</syntaxhighlight> pour le registre par défaut).

=Historique=
L'historique de l'éditeur est parsemé dans le fichier <syntaxhighlight lang="bash" inline>~/.viminfo</syntaxhighlight>.

Pour [https://unix.stackexchange.com/questions/204689/how-to-clear-search-and-command-history-in-vim purger] intégralement celui des recherches, il est possible de faire <syntaxhighlight lang="vim" inline>:call histdel('/')</syntaxhighlight>. Pour celui des commandes, on fera <syntaxhighlight lang="vim" inline>:call histdel(':')</syntaxhighlight>.

Il est également possible de ne supprimer qu'une entrée en particulier via un motif: <syntaxhighlight lang="vim" inline>:call histdel(":", "MOT_CLÉ_CONTENU_DANS_VOTRE_COMMANDE")</syntaxhighlight>.

=Macros=
Définir l'intérêt des macros...

Créer des macros
<syntaxhighlight lang="bash" inline>q+<lettre></syntaxhighlight> pour passer en mode enregistrement.

<syntaxhighlight lang="bash" inline>q</syntaxhighlight> pour terminer l'enregistrement.

<syntaxhighlight lang="bash" inline>@+<lettre></syntaxhighlight> pour la jouer (ça fait comme un presse papier).

=Fichiers de configuration=
Les fichiers de configuration de ''Vim'' permettent de définir des paramètres activés à chaque lancement de l'éditeur. Il en existe deux types :
* Un général, actif pour tout les utilisateurs du système : <syntaxhighlight lang="bash" inline>/etc/vim/vimrc</syntaxhighlight>
* Un courant, pour chaque utilisateurs en particulier : <syntaxhighlight lang="bash" inline>~/.vimrc</syntaxhighlight>
Il suffit de renseigner des commandes Vim (sans les ''':''') dans ces fichiers pour que leur effet soit permanent.

Pour exécuter ''Vim'' tout en [https://evanhahn.com/ignore-vimrc-with-vim/ ignorant] les fichiers de configuration :
vim -u NONE

=Greffons=
Il est possible d'ajouter des fonctionnalités supplémentaires à ''Vim'' par l'intermédiaire de greffons (''plugins''). Il sont à mettre (selon le même principe que le ''vimrc'') dans le répertoire général <syntaxhighlight lang="bash" inline>/etc/vim/</syntaxhighlight> ou dans <syntaxhighlight lang="bash" inline>~/.vim/</syntaxhighlight> pour les rendre spécifiques à chaque utilisateur.

==Greffons que j'utilise==
===Emmet===
Orienté programmation web, le greffon [http://emmet.io/ Emmet] (anciennement ''Zen Coding'') permet, en utilisant une syntaxe (très) raccourcie, d'écrire du code ''HTML'' et ''CSS'' de façon extrêmement efficace. De plus, il est disponible sur une [http://emmet.io/download/ multitude d'éditeurs]. Il s'installe de la façon suivante :

# Télécharger ''Emmet'' depuis les [https://github.com/mattn/emmet-vim sources]
# Décompresser les répertoires '''autoload''' et '''plugin''' dans <syntaxhighlight lang="bash" inline>~/.vim/</syntaxhighlight>

Pour utiliser ''Emmet'', il faut écrire dans un fichier les différentes [http://docs.emmet.io/cheat-sheet/ expressions possibles] et faire la combinaison de touches (en mode interactif) <syntaxhighlight lang="bash" inline><c-y>,</syntaxhighlight> (faire '''ctrl + y''' et ensuite sur ''',''').

===IndentLine===
''IndentLine'' permet d'afficher une ligne verticale marquant le niveau d'indentation de votre code. Il est très utile notamment lorsque les bloques de code sont imbriqués sur énormément de niveau (rendant le repérage visuel extrêmement difficile). Il s'installe de la façon suivante :

# Télécharger ''IndentLine'' depuis les [https://github.com/Yggdroot/indentLine sources]
# Décompresser le répertoire '''plugin''' dans <syntaxhighlight lang="bash" inline>~/.vim/</syntaxhighlight>
# Ajouter dans le ''.vimrc'' ce paramètre (l'espace de fin est important) : <syntaxhighlight lang="bash" inline>set list lcs=tab:\|\ </syntaxhighlight>

==Gestionnaire de greffons==
===Vim-plug===
Télécharger le greffon
curl -fLo ~/.vim/autoload/plug.vim --create-dirs https://raw.githubusercontent.com/junegunn/vim-plug/master/plug.vim

Ajouter les greffons à installer et ajouter dans le ''vimrc''
<syntaxhighlight lang="vim">
call plug#begin()
Plug 'junegunn/vim-easy-align'
Plug 'vim-airline/vim-airline'
Plug 'vim-airline/vim-airline-themes'
Plug 'hzchirs/vim-material'
call plug#end()
</syntaxhighlight>

''On trouve les noms de ces greffons sur leur page GIT.''

Installer les greffons mis dans le ''vimrc'' (aller dans <syntaxhighlight lang="bash" inline>vim</syntaxhighlight>)
:PlugInstall

{{info|Tout est mis dans <syntaxhighlight lang="bash" inline>.vim</syntaxhighlight>. Le paquet <syntaxhighlight lang="bash" inline>git</syntaxhighlight> est nécessaire.}}

Un exemple de ''.vimrc''
<syntaxhighlight lang="vim">
se nu
se termguicolors
set pastetoggle=<F2>

"L'indentation passe à 3 caractères
set tabstop=3
set shiftwidth=3
set softtabstop=3

"Activer les greffons
call plug#begin()
Plug 'junegunn/vim-easy-align'
Plug 'vim-airline/vim-airline'
Plug 'vim-airline/vim-airline-themes'
Plug 'hzchirs/vim-material'
call plug#end()

"Appliquer le thème vim-matérial
colorscheme vim-material
let g:airline_theme='material'
</syntaxhighlight>

====Sources de la section====
* https://github.com/junegunn/vim-plug
* http://vimcolors.com/

=Couleurs 24bits=
Pour avoir des couleurs plus sympas avec ''Vim'' (remplace le ''syn on''), il faut utiliser ''se termguicolors''. Attention, il faut que le terminal utilisé soit compatible. [https://gist.github.com/XVilka/8346728 Cette page Github] peut aider à déterminer si c'est le cas.

=Sources=
* http://cfennajoui.net/vim/traduit/html/usr_30.txt.php
* http://www.blogduwebdesign.com/developpement-vim/vim-astuce-pour-le-copier-coller/605
* http://qsdqsd.free.fr/Vim/Vim_-_Un_pas_en_avant.html

Base de registre - windows

2024-01-16T19:49:23Z

Ycharbi : Ajout de la section "Activer la visionneuse Windows"

[[Category:windows]]

La [https://www.malekal.com/registre-windows/ base de registre Windows] ou registre ''Windows'' est une base de données structurées où sont stockées un grand nombre d’informations sous la forme de clé et de valeur.
Elles sont utilisées par le système d'exploitation et ses composants ainsi que les programmes installés par l’utilisateur pour sauvegarder des données utiles à leurs fonctionnements.

=Heure UTC=
''Windows'' étant un système d'exploitation produit par une PME peu au fait de ce qui se fait en informatique, celui-ci ne gère pas son horloge en ''UTC''... Ceci a pour effet de faire perde 2h à l'horloge à chaque démarrage après un ''Linux''. Comble de malchance, il n'effectue qu'une seule requête ''NTP'' par jour (et non ce n'est pas au démarrage)... Ce qui ne permet pas au système de se caler correctement si on ne le laisse pas allumé 24h... Et il reperdra 2h au prochain démarrage succédant à un ''Linux'' de toute façon...

Ce comportement n'est pas configurable dans les paramètres mais est modifiable au niveau de la base de registre en y ajoutant [https://{{SERVERNAME}}/fichiers/windows/base_registre/RealTimeIsUniversal.reg la clé suivante] et en redémarrant.

<syntaxhighlight lang="reg">
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation]
"RealTimeIsUniversal"=hex(b):01,00,00,00,00,00,00,00
</syntaxhighlight>

==Source de la section==
* https://superuser.com/questions/975717/does-windows-10-support-utc-as-bios-time#975764

=Activer la visionneuse Windows=
Pour une raison inconnue, la visionneuse d'images intégrée à ''Windows'' n'est plus présente depuis la version 10 du [https://www.gnu.org/proprietary/malware-microsoft.html maliciel] de ''Microsoft'', ces derniers estimant que ''Paint'' remplit plus efficacement ce rôle... Cette estimation n'étant pas du goût des gens "normaux" (normaux étant à pondérer au vu du système d'exploitation qu'ils utilisent...), nous allons la réactiver (car oui elle est toujours livrée de base...).

Télécharger l'archive [https://{{SERVERNAME}}/fichiers/windows/base_registre/Activer_Visionneuse_de_photos_Windows_sur_Windows_11_et_10-616e74209fd5d.zip suivante] et exécuter le fichier de registre <code>Activer_Visionneuse_de_photos_Windows.reg</code>.

La visionneuse d'image est de nouveau opérationnelle.

==Source de la section==
* https://lecrabeinfo.net/restaurer-la-visionneuse-de-photos-windows-sur-windows-11-et-10.html

Firefox

2024-01-14T16:50:27Z

Ycharbi : Ajout de la section "Désactiver le rafraîchissement automatique" + remplacement des balises de coloration syntaxique

Infiniband - linux

2024-01-14T16:15:16Z

Ycharbi : /* Partie PC-1 */ Ajout de détails concernant le module noyau "ib_ipoib" + don de méthodes pour afficher des informations sur la carte IB

[[Category:réseaux linux]]

[https://fr.wikipedia.org/wiki/Bus_InfiniBand Infiniband] est un bus haut débit permettant le transfert de données entre machines. Il agit au niveau 1 et 2 du modèle OSI et permet une communication à faible latence via le protocole Infiniband ou via l'une des 3 surcouches supportés:
* IP sur InfiniBand (IPoIB): présente une couche IP au-dessus de l'Infiniband
* Sockets Direct Protocol (SDP): présente une couche socket au-dessus de l'Infiniband avec transferts zéro-copie par RDMA
* SCSI RDMA Protocol (SRP): encapsulation de SCSI dans de l'Infiniband

Pour chacune de ces surcouches, il faudra que la couche Infiniband (1 et 2) soit montée correctement pour qu'elle fonctionne. Infiniband est un protocole prévu pour fonctionner avec des commutateurs spécifiques agissant comme des gestionnaires de sous-réseau. Toute connexion entre machine doit en avoir au moins un (si plusieurs, une relation maitre/esclave se définit entre eux). En cas de connexion directe de PC à PC sans commutateur, il faudra utiliser un gestionnaire de sous-réseau virtuel (''opensm'' dans notre cas).

{{Info|Cette documentation a été testé sous Debian Buster via deux cartes Infiniband Mellanox ConnectX. Une 1 port et l'autre 2 ports. Leur référence exacte est introuvable (même avec <source lang="bash" inline>lspci</source> - les deux cartes affichent les mêmes informations alors qu'elles sont différentes) mais je crois que c'est des ConnectX première génération.}}

=Visualisation=
Il est possible de visualiser l'état des connexions Infiniband via les commandes contenus dans le paquet <source lang="bash" inline>opensm</source>.

ibstat
ibstatus
ibhosts et ibnodes
ibnetdiscover

Il est possible de réaliser un PING entre deux machines via les commandes suivantes:

'''Sur un PC'''
ibping -S

'''Sur l'autre'''
ibping 2

''Le numéro correspond à celui de l'interface en partant de 1.''

=IP sur Infiniband=
l'IPoIB (Internet Protocol over Infiniband) est une surcouche permettant l’utilisation des protocoles IPv4 et IPv6 sur un lien Infiniband.

Cette section va être divisé en deux partie étant donnée que le gestionnaire de sous-réseau n'a besoin d'être installé que sur une des deux machines. Nous les nommerons PC-1 et PC-2 (PC-1 étant le gestionnaire de sous-réseau).

==Partie PC-1==
'''Activation des modules noyau'''
modprobe ib_ipoib
modprobe ib_umad

{{info|le module <code>ib_ipoib</code> peut être chargé pour utiliser le mode
[https://docs.nvidia.com/networking/display/mlnxofedv551032/ip+over+infiniband+(ipoib) IPoIB amélioré] via le paramètre <code>ipoib_enhanced{{=}}1</code>. On chargera alors le module comme suit : <code>modprobe ib_ipoib ipoib_enhanced{{=}}1</code>}}

Les interfaces Infiniband sont désormais visibles via un <code>ip link</code>. Il est à noter que le module <code>ib_umad</code> n'est utile que sur le gestionnaire de sous-réseau (''OpenSM'').

Des détails sur les interfaces sont visibles via la commande <code>ibstat</code> des pilotes [https://network.nvidia.com/products/infiniband-drivers/linux/mlnx_ofed/ Mellanox OFED] disponible via l'archive de leur site ou via le paquet ''Debian'' <code>mstflint</code>. Cette commande met simplement en [https://wiki.archlinux.org/title/InfiniBand#Software_subnet_manager forme] les informations contenues dans <code>/sys/class/infiniband/''<pilote>''/ports/''<num_iface>''/</code>.

'''Instalaltion d'OpenSM'''
apt install opensm

''Par défaut, le service ne se lance ni automatiquement, ni au démarrage.''

'''Définir une adresse IP sur l'interface'''
ip a a 192.168.151.1/24 dev ibp4s0d1

'''L'allumée administrativement'''
ip l set ibp4s0d1 up

'''Démarrer le gestionnaire de sous-réseau'''
systemctl start opensm

''L'interface montera lorsque PC-2 sera prêt.''

'''Amélioration des performances'''

Il est possible d'augmenter significativement les performances en mettant l'interface en mode "connecté" en lieu et place de "datagram". Ceci a pour effet de débrider la MTU maximale attribuable à cette dernière (passant de 2044 à 65520). Personnellement, je passe de 1,29 Go/s à 2,39 Go/s sur [[Iperf]] avec ce mode. Je n'ai trouvé aucun aspect négatif à ce changement (c'est à ce demander pourquoi il n'est pas activé par défaut... d'autant plus que le protocole se démerde pour fonctionner si ce n'est mis que d'un côté).
echo connected > /sys/class/net/ibp4s0d1/mode

Pour repasser en mode ''datagram'':
echo datagram > /sys/class/net/ibp4s0d1/mode

''La MTU se change d'elle même.''

===Automatisation===
Il est possible de faire en sorte que ces étapes soient automatiques au démarrage de la machine en activant le service (''enable''), ajoutant les module à l'image de mémoire initiale (''initrd'') et en configurant l'adresse IP dans le fichier idoine (''/etc/network/interfaces'').

'''Activer le service au démarrage'''
systemctl enable opensm

'''Ajouter les modules à l'image de mémoire initiale'''
echo -e "ip_ipoib\nib_umad" >> /etc/modules
update-initramfs -u
et mettre à jour votre chargeur d'amorçage ([[Grub|GRUB]] dans l'exemple suivant):
update-grub

'''Figer la configuration réseau'''
echo -e "\nauto ibp4s0d1\niface ibp4s0d1 inet static\n\taddress 192.168.151.1/24" >> /etc/network/interfaces

==Partie PC-2==
Cette partie est similaire à la première, les étapes nécessaires au gestionnaire de sous-réseau en moins.

modprob ip_ipoib
ip a a 192.168.151.1/24 dev ibp1s0
ip l set ibp1s0 up
echo connected > /sys/class/net/ibp4s0d1/mode

Les machines sont opérationnelles.

==Sources de la section==
* https://serverfault.com/questions/678532/connect-two-infiniband-cards-to-each-other-without-a-switch
* https://www.servethehome.com/configure-ipoib-mellanox-hcas-ubuntu-12041-lts/
Voir aussi:
* https://www.kernel.org/doc/html/latest/infiniband/ipoib.html

=Sources=
* http://serveur.ipgirl.com/rseau-infiniband-entre-3-serveurs-ferm.html
* https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/7/html/networking_guide/sec-configuring_the_subnet_manager
* https://helios.himmelbauer-it.at/blogs/general/infiniband-mellanox-40gbit-link-on-debian-7/
* https://www.slideshare.net/FarkhandaKiran/infini-band-and-ethernet

Infiniband - linux

2024-01-14T11:40:04Z

Ycharbi : /* Partie PC-1 */ correction de fautes de frappe sur l'activation des modules noyaux + changement de la balise code "ip link"

[[Category:réseaux linux]]

[https://fr.wikipedia.org/wiki/Bus_InfiniBand Infiniband] est un bus haut débit permettant le transfert de données entre machines. Il agit au niveau 1 et 2 du modèle OSI et permet une communication à faible latence via le protocole Infiniband ou via l'une des 3 surcouches supportés:
* IP sur InfiniBand (IPoIB): présente une couche IP au-dessus de l'Infiniband
* Sockets Direct Protocol (SDP): présente une couche socket au-dessus de l'Infiniband avec transferts zéro-copie par RDMA
* SCSI RDMA Protocol (SRP): encapsulation de SCSI dans de l'Infiniband

Pour chacune de ces surcouches, il faudra que la couche Infiniband (1 et 2) soit montée correctement pour qu'elle fonctionne. Infiniband est un protocole prévu pour fonctionner avec des commutateurs spécifiques agissant comme des gestionnaires de sous-réseau. Toute connexion entre machine doit en avoir au moins un (si plusieurs, une relation maitre/esclave se définit entre eux). En cas de connexion directe de PC à PC sans commutateur, il faudra utiliser un gestionnaire de sous-réseau virtuel (''opensm'' dans notre cas).

{{Info|Cette documentation a été testé sous Debian Buster via deux cartes Infiniband Mellanox ConnectX. Une 1 port et l'autre 2 ports. Leur référence exacte est introuvable (même avec <source lang="bash" inline>lspci</source> - les deux cartes affichent les mêmes informations alors qu'elles sont différentes) mais je crois que c'est des ConnectX première génération.}}

=Visualisation=
Il est possible de visualiser l'état des connexions Infiniband via les commandes contenus dans le paquet <source lang="bash" inline>opensm</source>.

ibstat
ibstatus
ibhosts et ibnodes
ibnetdiscover

Il est possible de réaliser un PING entre deux machines via les commandes suivantes:

'''Sur un PC'''
ibping -S

'''Sur l'autre'''
ibping 2

''Le numéro correspond à celui de l'interface en partant de 1.''

=IP sur Infiniband=
l'IPoIB (Internet Protocol over Infiniband) est une surcouche permettant l’utilisation des protocoles IPv4 et IPv6 sur un lien Infiniband.

Cette section va être divisé en deux partie étant donnée que le gestionnaire de sous-réseau n'a besoin d'être installé que sur une des deux machines. Nous les nommerons PC-1 et PC-2 (PC-1 étant le gestionnaire de sous-réseau).

==Partie PC-1==
'''Activation des modules noyau'''
modprobe ib_ipoib
modprobe ib_umad

''Les interfaces Infiniband sont désormais visibles via un <code>ip link</code>. Il est à noter que le module "ib_umad" n'est utile que sur le gestionnaire de sous-réseau.''

'''Instalaltion d'OpenSM'''
apt install opensm

''Par défaut, le service ne se lance ni automatiquement, ni au démarrage.''

'''Définir une adresse IP sur l'interface'''
ip a a 192.168.151.1/24 dev ibp4s0d1

'''L'allumée administrativement'''
ip l set ibp4s0d1 up

'''Démarrer le gestionnaire de sous-réseau'''
systemctl start opensm

''L'interface montera lorsque PC-2 sera prêt.''

'''Amélioration des performances'''

Il est possible d'augmenter significativement les performances en mettant l'interface en mode "connecté" en lieu et place de "datagram". Ceci a pour effet de débrider la MTU maximale attribuable à cette dernière (passant de 2044 à 65520). Personnellement, je passe de 1,29 Go/s à 2,39 Go/s sur [[Iperf]] avec ce mode. Je n'ai trouvé aucun aspect négatif à ce changement (c'est à ce demander pourquoi il n'est pas activé par défaut... d'autant plus que le protocole se démerde pour fonctionner si ce n'est mis que d'un côté).
echo connected > /sys/class/net/ibp4s0d1/mode

Pour repasser en mode ''datagram'':
echo datagram > /sys/class/net/ibp4s0d1/mode

''La MTU se change d'elle même.''

===Automatisation===
Il est possible de faire en sorte que ces étapes soient automatiques au démarrage de la machine en activant le service (''enable''), ajoutant les module à l'image de mémoire initiale (''initrd'') et en configurant l'adresse IP dans le fichier idoine (''/etc/network/interfaces'').

'''Activer le service au démarrage'''
systemctl enable opensm

'''Ajouter les modules à l'image de mémoire initiale'''
echo -e "ip_ipoib\nib_umad" >> /etc/modules
update-initramfs -u
et mettre à jour votre chargeur d'amorçage ([[Grub|GRUB]] dans l'exemple suivant):
update-grub

'''Figer la configuration réseau'''
echo -e "\nauto ibp4s0d1\niface ibp4s0d1 inet static\n\taddress 192.168.151.1/24" >> /etc/network/interfaces

==Partie PC-2==
Cette partie est similaire à la première, les étapes nécessaires au gestionnaire de sous-réseau en moins.

modprob ip_ipoib
ip a a 192.168.151.1/24 dev ibp1s0
ip l set ibp1s0 up
echo connected > /sys/class/net/ibp4s0d1/mode

Les machines sont opérationnelles.

==Sources de la section==
* https://serverfault.com/questions/678532/connect-two-infiniband-cards-to-each-other-without-a-switch
* https://www.servethehome.com/configure-ipoib-mellanox-hcas-ubuntu-12041-lts/
Voir aussi:
* https://www.kernel.org/doc/html/latest/infiniband/ipoib.html

=Sources=
* http://serveur.ipgirl.com/rseau-infiniband-entre-3-serveurs-ferm.html
* https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/7/html/networking_guide/sec-configuring_the_subnet_manager
* https://helios.himmelbauer-it.at/blogs/general/infiniband-mellanox-40gbit-link-on-debian-7/
* https://www.slideshare.net/FarkhandaKiran/infini-band-and-ethernet

Firefox

2023-12-19T19:25:16Z

Ycharbi : /* Forcer l'usage du presse papier */ Ajout d'une bannière attention concernant le dysfonctionnement du collage dans element-web

Installation automatique d'un paquet Debian

2023-11-18T19:09:11Z

Ycharbi : /* Usage pratique */ Ajout d'une bannière d'information listant les valeurs possibles de DEBIAN_FRONTEND

[[Category:apt]]
Lors de l'installation de paquets avec [[:Category:apt|APT]], certain d'entre eux posent des questions via une interface ''ncurses'', ce qui gène leur installation via des scripts (et ceux, même avec l'option '''-y'''). Pour y remédier, il faut soit désactiver complètement cette interaction ''ncurses'' afin d'utiliser les valeurs par défaut ou soit configurer ''debconf'' afin de préciser nous même les paramètres à appliquer par défaut pour un paquet.

=Désactivation de l’interaction=
Il faut définir la variable ''DEBIAN_FRONTEND'' comme suit
export DEBIAN_FRONTEND=noninteractive

et la réactiver quand on en a plus besoin
unset DEBIAN_FRONTEND

==Usage pratique==
export DEBIAN_FRONTEND=noninteractive
apt -y install foopackage
apt -y install barpackage
unset DEBIAN_FRONTEND

{{info|La variable [https://fr.linux-console.net/?p{{=}}17177 DEBIAN_FRONTEND] supporte les valeurs <code>noninteractive</code> : ne pose aucune questions et utilise les valeurs par défaut ; <code>dialogue</code> : pose les questions via une interface ''ncurses'' (valeur par défaut) ; <code>texte</code> : pose les questions via une interface teste simple ; <code>gtk</code> : pose les questions via une interface graphique ''GTK'' (nécessite les paquets cdebconf-gtk et gkdebconf).}}

=Configuration de debconf=
Pour cette partie, il va falloir passer des arguments au programme debconf (qui définit les variables à passer à DPKG lors des installations). Afin de connaître les valeurs possibles, il faut installer le paquet debconf-utils (inutile si vous connaissez les valeurs à l'avance)
apt install debconf-utils

La commande ''debconf-get-selection'' permet de lister l'ensemble des variables possibles. On peut l'utiliser avec un pipe pour filtrer ce qui nous intéresse. Personnellement, je l'utilise avec ''less'' et sa fonction de recherche '''/''' afin de trouver ce qui m'intéresse.
debconf-get-selection | less

Pour définir une valeur personnalisé, on l'utilise comme suit (exemple avec Wireshark)
echo "wireshark-common wireshark-common/install-setuid boolean true" | debconf-set-selections

Il suffit ensuite d'installer le paquet (ici ''wireshark'') et constater que le paquet ne pose plus la question qui faisait chier
apt install -y wireshark

=Source=
* http://languor.us/disable-pop-ups-unattended-non-interactive-apt-get-install-ubuntu-debian

Openssh

2023-11-11T15:09:59Z

Ycharbi : Ajout de la section "SSH inversé"

[[Category:service_ssh]]
[[Category:shell]]

=Authentification par clef SSH=
Au lieu de s'authentifier par mot de passe, les utilisateurs peuvent s'authentifier grâce à la cryptographie asymétrique et son couple de clefs privée/publique, comme le fait le serveur ''SSH'' auprès du client ''SSH''.

==Générer ses clefs==
Pour générer un couple de clefs, tapez sur le client :
ssh-keygen -t ed25519

ou avec plus de paramètres :

ssh-keygen -a 100 -t ed25519 -f ~/.ssh/id_ed25519

Paramètres :
* -a : nombre d'itérations de la [https://fr.wikipedia.org/wiki/Fonction_de_d%C3%A9rivation_de_cl%C3%A9 fonction de dérivation de clé]. Permet de rendre la clé plus résistante aux attaques par force brut. La valeur par défaut est définie à 16
* -t : type de clé. La taille d'une clé ''ed25519'' est fixée dans le code d{{'}}''OpenSSH''. Le paramètre <syntaxhighlight lang="bash" inline>-b</syntaxhighlight> permet de la spécifier pour les autres formats
* -f : fichier de destination

Ensuite, il faut envoyer le fichier '''~/.ssh/id_ed25519.pub''' du client sur le serveur, tapez sur le client :
scp /home/user/.ssh/id_ed25519.pub UTILISATEUR@SERVEUR:/home/user/.ssh/authorized_keys

ou

ssh-copy-id -i ~/.ssh/id_ed25519.pub UTILISATEUR@SERVEUR

''Note: le même paramètre <syntaxhighlight lang="bash" inline>-i</syntaxhighlight> peut être utilisé avec la commande <syntaxhighlight lang="bash" inline>ssh</syntaxhighlight> afin de spécifier la clé à utiliser si plusieurs sont présentes.''

{{astuce|Pour [https://www.phcomp.co.uk/Tutorials/Unix-And-Linux/ssh-check-server-fingerprint.html vérifier l'empreinte] d'une clef, il faut utiliser la [https://linux.die.net/man/1/ssh-keygen commande] <syntaxhighlight lang="bash" inline>ssh-keygen -lf /chemin/de/la/clef</syntaxhighlight>. Le hachis résultant est à comparer avec celui de la clef qui est présenté lors de la première connexion à un serveur (les deux doivent bien sûr être identiques).}}

==Restreindre l'usage d'une clef==
Il est possible de limiter le périmètre d'usage d'une clef ''SSH'' via quelques paramètres dans le fichier ''authorized_keys'' du client. Il est ainsi possible de permettre la connexion d'un client avec une clef spécifique seulement depuis une liste d'''IP'' tout en forçant une commande précise. Par exemple:
vim ~/.ssh/authorized_keys

<syntaxhighlight lang="bash">
from="192.168.1.4,192.168.1.10",command="ls -al --color /" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIKWbjAEe0X+NFr0WjEgdJ2vKAIYwYSW6WkJvP2Zg/M4q root@toto
</syntaxhighlight>

Le client n'effectuera alors automatiquement la commande définie par le paramètre ''command'' avant que la connexion ne se ferme d'elle même. De plus, la clef ne sera utilisable que depuis les adresses ''IP'' listés.

===Sources de la section===
* https://stackoverflow.com/questions/402615/how-to-restrict-ssh-users-to-a-predefined-set-of-commands-after-login
* https://www.linuxjournal.com/article/8257
* http://man.openbsd.org/OpenBSD-current/man5/sshd_config.5#ForceCommand

==Déactiver l'authentification par mot de passe==
Si nous voulons déactiver l'accès par mot de passe, il faut ajouter la ligne suivante au fichier '''/etc/ssh/sshd_config''':
[...]
PasswordAuthentication no

Vous pouvez vous référer à la section traitant du fichier de configuration d{{'}}''OpenSSH'' [[#Fichier sshd_config|plus bas]].

=Déactiver known hosts de SSH=
==Problème==

Lors d'une exécution d'un script contenant du ''SSH'', et lorsque vous avez changé une de vos machines sur la quelle vous vous connectez, ssh demande une intervention humaine:

The authenticity of host '192.168.1.2 (192.168.1.2)' can't be established.
ECDSA key fingerprint is XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX.
Are you sure you want to continue connecting (yes/no)?

Lorsque vous avez change l'ordinateur en gardant la même ''IP'' :

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA host key for foo-bar.net has changed,
and the key for the corresponding IP address 127.0.0.1
is unchanged. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in /home/user/.ssh/known_hosts:6
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Le problème avec cette intervention est que le script n'avance pas sans vous.
Pour ma part, j'ai un script qui se lance lors d'une coupure électrique, sans mon intervention mon script qui permet l'extinction de mes machines virtuelles ne ce termine pas... c'est pas cool.

==Résolution==

Voici une solution que j'ai trouvé: il faut passer des paramètres a notre commande ''SSH'':

ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no root@192.168.1.2

{{attention|Ceci désactive la vérification de la somme de contrôle des clés ''SSH''. Ne faîtes ceci que si vous savez ce que vous faîtes car cela rend votre connexion plus sensible à des attaques [https://fr.wikipedia.org/wiki/Attaque_de_l'homme_du_milieu man in the middle].}}

=Séquences d'échappement=
Parfois lors de la perte d'une session ''SSH'' (problème de connexion ou bug coté serveur) le SHELL ne renvoi pas de ''broken pipe'', ce qui fait que l'on se retrouve avec un terminal bloqué (hyper casse couille) et la seule façon de s'en sortir est d'user de la commande <syntaxhighlight lang="bash" inline>kill</syntaxhighlight>. La seule ? Pas tout à fait.

Il existe un truc qui déchire et qu'on ne trouve nul par (c'est toujours les meilleurs choses les mieux gardées) : les séquences d'échappement.

Ces séquences permettent d'interagir avec le SHELL se trouvant en dessous de la session ''SSH'' via le client ''OpenSSH'' lui même. Ainsi, on peu demander à ce cher client de tuer lui même la session au lieu de devoir le faire à sa place quand rien ne va plus (sympa non ?).

==Liste==
Voici la liste exhaustive de ces merveilles (à précéder par la touche <syntaxhighlight lang="bash" inline><Entrer></syntaxhighlight>):
* '''~.''' : Termine la connexion (et toute les sessions multiplexées)
* '''~B''' : Envoi un ''BREAK'' au système distant
* '''~C''' : Ouvre un prompt ''ssh'' (la commande <syntaxhighlight lang="bash" inline>?</syntaxhighlight> permet de lister ce que l'on peut y faire)
* '''~R''' : Renégocie la clé de session (SSH version 2 uniquement)
* '''~V/v''' : Augmente/diminue le degré de verbosity (LogLevel)
* '''~^Z''' : Met ''SSH'' en pause
* '''~#''' : Liste toute les connexions redirigées
* '''~&''' : Quitte la session ''SSH'' sans la fermer. On ne peut pas revenir dessus, ça ne sert donc complètement à rien (je ne vois pas pourquoi quelqu'un à développer ça ?!)
* '''~?''' : Écrit cette liste en anglais avec le vrai texte
* '''~~''' : Dans le cas ou le tild (''~'') entre en conflit avec quelque chose, il est possible de le taper 2 fois avant une séquence d'échappement pour l'envoyer.

{{info|Ceci ne fonctionne que lorsque le SHELL ne nous donne pas la main. Vous pouvez tester sur une page de <syntaxhighlight lang="bash" inline>man</syntaxhighlight> pour tester par exemple.}}

==Sources de la section==
* https://askubuntu.com/questions/29942/how-can-i-break-out-of-ssh-when-it-locks
* https://lonesysadmin.net/2011/11/08/ssh-escape-sequences-aka-kill-dead-ssh-sessions/amp/

=Absence de broken pipe après un redémarrage=
Sur une Debian 8 (Jessie), le fait de redémarrer une machine alors que l'on est connecté en ''SSH'' sur celle-ci ne renvoi pas de broken pipe (la session n'est pas clôturée à l'extinction). Ceci est très énervant car on se retrouve avec un terminal bloqué sur un prompt inactif et l'arrivé du fameux broken pipe se fait, dans le meilleur des cas, attendre une bonne minute, dans le pire, pour toujours... Pour régler cette merde il suffit d'installer la librairie systemd qui gère se comportement et de redémarrer la machine.
apt install libpam-systemd
reboot

=Tunnel SSH=
Faire un tunnel ''SSH'' :
ssh -L 5232:localhost:5232 root@192.168.180.32
* -L : Rediriger un flux TCP ou un socket UNIX sur le client local
* Format : ''<port local que l'on utilisera sur notre machine>''''':'''''<adresse de l'hôte distant>''''':'''''<port du service distant>''
Ceci mérite une explication pour être clair. Parfois, on installe un programme ([http://radicale.org Radicale] pour mon exemple) qui écoute exclusivement sur son localhost (127.0.0.1) via le port 5232. Quand le serveur n'a pas d'interface graphique (ce qui est normalement le cas si on est pas Windobien), on a pas de navigateur internet. Il peut être utile d'accéder quand même à l'interface d'admin du service (en fait on en a absolument besoin). Il faut donc rediriger le trafic du localhost de l'hôte distant sur notre machine pour l'administration. On prend donc le trafic localhost:5232 du serveur et on le balance sur le localhost:5232 de notre PC local d'admin.

=Relai SSH=
Dans le cas d'une machine accessible seulement depuis une autre (cas d'un PC derrière un routeur ''NAT'' par exemple) embarquant un serveur ''SSH'', il est possible de l'utiliser comme ''Proxy SSH'' afin de joindre celle-ci. Ceci m'est utile pour administrer des machines virtuelles opérants dans un ''VLAN NATté'' par l'hyperviseur avec ma [[#Authentification_par_clef_SSH|clé SSH]]. Pour ce faire, depuis le client:
ssh -J titi@relai toto@destination

==Source de la section==
* https://tuxicoman.jesuislibre.net/2017/02/connexion-ssh-a-travers-un-ordinateur-relai-avec-proxyjump.html

=SSH inversé=
Il est possible de se connecter au client ayant initié une session ''SSH'' via la création d'un socket spécifique. Cette technique se nomme le ''reverse SSH''. Cela peut-être utile dans le cas d'un dépannage ou pour transférer des fichiers à une machine ne disposant pas d'un accès publique à Internet (cas d'un ''NAT'' par exemple). Cette méthode permet alors la prise en main d'un client sans redirection de port au niveau de son accès ''WAN''.

Depuis le client vers le dépanneur :
ssh -NR 12345:localhost:22 utilisateur-dépanneur@ip-dépanneur

Paramètres :
* -N : n'exécute ni aucune commande ni aucun shell. Cela permet de n'utiliser la session ''SSH'' que pour ouvrir un socket distant et non pour administrer la destination. Dans notre cas, la session sert juste à créer le socket sur lequel nous allons nous connecter
* -R : redirige le socket local vers le socket distant. C'est ce paramètre qui permettra au dépanneur de se connecter au client via un socket local créé pour l'occasion
* 12345:localhost:22 : socket-sur-dépanneur:adresse-d'écoute-du-socket:socket-à-rediriger-vers-12345

Depuis le dépanneur vers le client en passant par le socket redirigé :
ssh -p 12345 utilisateur-client@localhost

Il est aussi possible d'y transférer des fichiers :
scp -P 12345 /chemin/fichier/dépanneur utilisateur-client@localhost:/destination/fichier/pour/le/client

==Source de la section==
* https://doc.ubuntu-fr.org/tutoriel/reverse_ssh#connexion_directe

=Agent SSH=
Le serveur ''OpenSSH'' embarque un agent capable d'enregistrer le mot de passe de vos clés ''SSH''. Vous pouvez donc initier des connexion sans avoir à renseigner cette information à chaque fois.

Initialiser l'agent pour le [[Shell bash|shell]] courant
eval "$(ssh-agent -s)"

Enregistrer le mot de passe de votre clé
ssh-add /root/.ssh/id_ed25519

{{Info|Utilisée sans argument, la commande <syntaxhighlight lang="bash" inline>ssh-add</syntaxhighlight> va chercher les clés dans le répertoire personnel de votre utilisateur local courant.}}

==Sources de la section==
* https://rabexc.org/posts/using-ssh-agent
* https://mytrashcode.com/open-connection-authentication-agent

=Fichier sshd_config=
Voici quelques paramètres qu'il peut être utile d'appliquer sur un serveur ''SSH'' (<syntaxhighlight lang="bash" inline>/etc/ssh/sshd_config</syntaxhighlight>):

==Généralités==
<syntaxhighlight lang="bash">
PermitRootLogin no
PasswordAuthentication no

AllowUsers toto sauvegardes
ClientAliveInterval 1800

UseDNS no
</syntaxhighlight>

Description des paramètres :
* '''PermitRootLogin''' : ''{no|yes|prohibit-password}'': définit si l'utilisateur ''root'' peut se connecter. La directive '''prohibit-password''' permet de n'autoriser que l'utilisation de [[#Authentification par clef SSH|clés SSH]] avec ce dernier
* '''PasswordAuthentication''' : ''{no|yes}'': définit si la connexion par mot de passe est autorisé pour tous les utilisateurs (''root'' à part) ou si seulement les clés SSH sont permises
* '''AllowUsers''' : liste blanche des utilisateurs autorisés à ce connecter
* '''ClientAliveInterval''' : si le paramètre est définit, ''OpenSSH'' compte le temps (en secondes) depuis le dernier paquet reçu du client et envoi une demande de réponse à celui-ci. Couplé au paramètre '''ClientAliveCountMax''' (valeur par défaut à ''3''), le serveur fermera automatiquement la session en cas de non réponse prolongée de ce dernier (nombre de fois compté depuis la dernière réponse). Ceci n'est utile que si la connexion entre les deux paires est interrompu (plus de réseau)
* '''UseDNS''' : ''{no|yes}'' : définit si ''OpenSSH'' doit résoudre les noms de domaine. Ce paramètre, non content d'être inutile, ralenti CONSIDÉRABLEMENT l'établissement de la connexion dans le cas ou le serveur DNS est injoignable (fréquent dans des LAB de tests)

==Chiffrement==
N'utiliser que des [https://cipherli.st/ chiffrements sérieux] :
<syntaxhighlight lang="bash">
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
</syntaxhighlight>

Je vous conseil également d'utiliser que des clés ''RSA'' et ''ed25519'' en commentant les lignes <syntaxhighlight lang="bash" inline>HostKey /etc/ssh/ssh_host_dsa_key</syntaxhighlight> et <syntaxhighlight lang="bash" inline>HostKey /etc/ssh/ssh_host_ecdsa_key</syntaxhighlight>.

Vérifiez également que la version de ''SSH'' utilisée est la 2 via le paramètre <syntaxhighlight lang="bash" inline>Protocol 2</syntaxhighlight>.

N'oubliez pas de recharger le service :
systemctl reload ssh

=Fichier ssh_config=
Le client ''SSH'' peut aussi être configuré par utilisateur du système. Il sera alors possible de définir des paramètres personnalisés en fonction de celui se connectant à une machine. Le fichier est ) créer dans le répertoire personnel de chaque utilisateur le nécessitant (<syntaxhighlight lang="bash" inline>~/.ssh/config</syntaxhighlight>).

Pour utiliser une clé spécifique pour la connexion à une machine :
<syntaxhighlight>
Host nomMachine
Hostname fc00:0:0:1::2
User root
Port 22
IdentityFile ~/.ssh/id_ed25519-sauv
IdentitiesOnly yes
IgnoreUnknown UseKeychain,AddKeysToAgent
AddKeysToAgent yes
</syntaxhighlight>

Description des paramètres :
* '''Host nomMachine''' : Ouvre une section concernant un hôte en particulier. La valeur ''nomMachine'' vient créer un nom d'hôte utilisable par ''OpenSSH'' au même titre que si l'on avait rentré une ligne dans le fichier ''hosts''
* '''Hostname''' : adresse de la machine distante
* '''User''' : utilisateur de la machine distante
* '''Port''' : port ''SSH'' de la machine distante
* '''IdentityFile''' : clé ''SSH'' à utiliser (par défaut, seul les noms de clés par défaut sont recherchés)
* '''IdentitiesOnly''' : n'utilise que la clé spécifiée dans le paramètre précédent. Si omis, le client ''SSH'' va tester une connexion distante avec toute les clés qu'il trouvera (occasionnant autant d'échec de connexion sur la machine distante)
* '''IgnoreUnknown''' : permet d'ignorer les paramètres inexistants. Les deux valeurs sont des paramètres faisant la même chose mais sur deux systèmes différents. La première est pour MacOSX et la deuxième pour Linux. Cela permet de faire des copier/coller de configuration sans réfléchir
* '''AddKeysToAgent''' : si la clé ''SSH'' utilisée contient une phrase de passe, elle ne sera demandée que la première fois et stockée dans l'agent ''SSH''

==Sources de la section==
* https://www.man7.org/linux/man-pages/man5/ssh_config.5.html
* https://computingforgeeks.com/managing-ssh-connections-on-linux-unix-using-ssh-config-file/

Busybox init

2023-11-02T10:41:31Z

Ycharbi : Suppression d'un "cd ~" inutile + ajout de la commande permettant d'installer Qemu sans tout le bordel associé afin de réaliser les tests + ajout du code source de linux dans nos fichiers

[[Category:distributions_linux]]

[[Busybox]] intègre <code>init</code>, un programme pouvant être amorcé directement par un noyau ''Linux'' au démarrage d'une machine. Il est ainsi possible de concevoir un système d'exploitation léger composé uniquement d'un noyau et de ''Busybox''. L'adjonction d'outils supplémentaires sur cette base minimaliste pourra engendrer une distribution spécifiquement conçue pour un besoin particulier. Cette association s’avère donc particulièrement intéressante dans des systèmes embarqués tel que les ''appliances'' réseau comme [https://openwrt.org/ OpenWRT] ou [https://dd-wrt.com/ DD-WRT].

Nous verrons comment construire un tel système en partant des sources de chaque programmes depuis une ''GNU/Linux Debian 12 Bookworm''. Les compilations se feront avec l'ensemble des paramètres par défaut. Je recommande d'utiliser une machine (virtuelle ''amd64'' dans mon cas) spécifiquement installée pour cet usage car un grand nombre de dépendances est nécessaire et il serait dommage de pourrir votre environnement de travail...

L'espace de travail sera le répertoire personnel de l'utilisateur ''root''.

=Linux=
Installation des dépendances
apt install autoconf automake autotools-dev curl libmpc-dev libmpfr-dev libgmp-dev gawk build-essential bison flex texinfo gperf libtool patchutils bc zlib1g-dev libexpat-dev libelf-dev libssl-dev libncurses-dev dwarves

Téléchargement des sources du dernier noyau stable (01/11/2023)

<syntaxhighlight lang="bash">
# Code source
wget https://cdn.kernel.org/pub/linux/kernel/v6.x/linux-6.6.tar.xz -P ~
# Signature GPG
wget https://cdn.kernel.org/pub/linux/kernel/v6.x/linux-6.6.tar.sign -P ~
</syntaxhighlight>

Note : le code source est également disponible dans [https://{{SERVERNAME}}/fichiers/système/noyaux/linux/linux-6.6.tar.xz nos fichiers].

Décompression de l'archive des sources
unxz -k ~/linux-6.6.tar.xz

Vérification de la signature GPG de l'archive
apt install gnupg2
gpg2 --locate-keys torvalds@kernel.org gregkh@kernel.org
gpg2 --tofu-policy good 38DBBDC86092693E
gpg2 --tofu-policy good 79BE3E4300411886
gpg2 --trust-model tofu --verify ~/linux-6.6.tar.sign

Note : la dernière commande doit vous renvoyer plusieurs lignes de résultat dont <code>gpg: Bonne signature de « Greg Kroah-Hartman <gregkh@kernel.org> » [totale]</code>.

Désarchivage des sources
tar xvf ~/linux-6.6.tar
cd ~/linux-6.6/

Création d'une configuration de confection saine avec les paramètres par défaut et compilation avec 4 cœurs de processeur

<syntaxhighlight lang="bash">
make defconfig
make -j4
# Retour dans le répertoire personnel
cd ~
</syntaxhighlight>

Le noyau compilé pour notre architecture x86 64bits se trouve à l'emplacement suivant : <code>~/linux-6.6/arch/x86/boot/bzImage</code>.

=Busybox=
Téléchargement des sources

<syntaxhighlight lang="bash">
wget https://www.busybox.net/downloads/busybox-1.36.1.tar.bz2
wget https://www.busybox.net/downloads/busybox-1.36.1.tar.bz2.sha256
</syntaxhighlight>

Vérification d'intégrité
sha256sum -c ~/busybox-1.36.1.tar.bz2.sha256

Note : la vérification d'intégrité doit renvoyer <code>Réussi</code>.

Extraction de l'archive compressée
tar xvf ~/busybox-1.36.1.tar.bz2
cd ~/busybox-1.36.1/

Configuration par défaut et compilation du code avec lien statique afin d'embarquer les dépendances dans le binaire final

<syntaxhighlight lang="bash">
make defconfig
make -j4 LDFLAGS="--static"
# Retour dans le répertoire personnel
cd ~
</syntaxhighlight>

''Busybox'' est désormais disponible ici : <code>~/busybox-1.36.1/busybox</code>

=Média d'amorce=
Nous avons dés à présent en notre possession tous les programmes de notre future système d'exploitation. Vous pouvez préparer les vôtres en vue de les intégrer dans les sections qui suivent.

Les méthodes d'amorçages peuvent varier selon les besoins et votre convenance. Je répertorie personnellement 3 cas d'usage :
# mémoire morte avec système de fichier classique type ''EXT4''
# [https://fr.wikipedia.org/wiki/Initrd initramfs]
# ''PXE''

Toute les démonstrations seront réalisées via [[Qemu]]. La mise en œuvre du réseau ne sera pas détaillée car j'utilise des scripts personnalisés avec mon système. La création d'une interface ''tap'' et son exploitation via la directive <code>-device virtio-net-pci,netdev=network0,mac=$tap_mac -netdev tap,id=network0,ifname=$int_tap,script=no,downscript=no</code> permet de lier la machine virtuel au réseau physique via l'adjonction d'un pont réseau.

L'étape <code>1</code> fera office de tronc commun aux autres sections afin de ne pas alourdir le document avec une redondance inutile et difficilement maintenable. Seule celle-ci nécessite l'utilisation d'un périphérique de type bloc, les deux autres peuvent êtres réalisées directement dans <code>~/rootfs</code> si vous le désirez. La réalisation successive des trois étapes est toutefois possible. Il faudra simplement penser à remonter <code>~/rootfs</code> afin de ne pas travailler dans un répertoire vide...

==1. Amorçage en mémoire morte==
Cette façon de faire permet de modifier simplement le contenu de votre distribution après coup. Il suffit pour se faire de monter le système de fichier en écriture pour y actualiser son contenu à votre guise.

Pour l'exemple, je créerai un fichier simulant un périphérique de type bloc du nom de <code>busybox.dd</code> au même titre qu'une mémoire morte. En condition réelle, remplacez celui-ci par votre périphérique physique : <code>/dev/sda</code>; <code>/dev/mmcblk</code>; <code>/dev/nvme0n1</code>...

Création et formatage de la mémoire racine
dd if=/dev/zero of=~/busybox.dd bs=1M count=1024
mkfs.ext4 ~/busybox.dd

Création et montage de l'environnement de travail
mkdir -p ~/rootfs
mount ~/busybox.dd ~/rootfs
cd ~/busybox-1.36.1/

Installation de l'arborescence du système ''Busybox'' dans notre système de fichiers avec [https://stackoverflow.com/questions/49369508/kernel-panic-not-syncing-requested-init-linuxrc-failed-error-2 lien statiques]
make install CONFIG_PREFIX=../rootfs LDFLAGS="--static"
cd ~

Cette étape a créée les répertoires standards permettant d’accueillir les binaires usuels du système selon la [https://fr.wikipedia.org/wiki/Filesystem_Hierarchy_Standard Filesystem Hierarchy Standard] (''FHS''). L'exécutable <code>busybox</code> précédemment compilé a été copié dans le nouveau <code>/bin</code> et des liens symboliques ont étés créés pointant vers celui-ci avec le nom de tous les utilitaires qu'il contient.

Création des points montages des pseudos systèmes de fichiers usuels, de la table de montages statiques et du répertoire accueillant notre futur script d'initialisation
mkdir -p ~/rootfs/proc ~/rootfs/sys ~/rootfs/dev
mkdir -p ~/rootfs/etc
touch ~/rootfs/etc/fstab
mkdir -p ~/rootfs/etc/init.d

Script d'initialisation du système

<syntaxhighlight lang="bash">
bash -c "cat > ~/rootfs/etc/init.d/rcS" << _EOF_
#!/bin/sh

# Message d'accueil
echo "Busybox ycharbi.fr"
# Pseudos systèmes de fichiers usuels
mount -t proc proc /proc
mount -t sysfs sysfs /sys
mount -t devtmpfs none /dev

# Configuration réseau
ip addr add 10.0.0.1/24 dev eth0
ip link set dev eth0 up
ip route add default via 10.0.0.254 dev eth0

# Clavier en AZERTY
loadkmap < /etc/fr.map
_EOF_
</syntaxhighlight>

Attribution du droit d'exécution au script d'initialisation
chmod +x ~/rootfs/etc/init.d/rcS

Configuration des Télétypes (''TTY'')

<syntaxhighlight lang="bash">
bash -c "cat > ~/rootfs/etc/inittab" << _EOF_
::sysinit:/etc/init.d/rcS
ttyS0::respawn:/bin/sh
tty2::askfirst:-/bin/sh
tty3::askfirst:-/bin/sh
tty4::askfirst:-/bin/sh
tty4::respawn:/sbin/getty 38400 tty5
tty5::respawn:/sbin/getty 38400 tty6
::ctrlaltdel:/sbin/reboot
::shutdown:/sbin/swapoff -a
::shutdown:/bin/umount -a -r
::restart:/sbin/init
_EOF_
</syntaxhighlight>

Ce fichier définit les ''TTY'' qui doivent êtres invoqués au lancement de <code>init</code>. Vous devrez probablement adapter ceci à votre besoin. La documentation de ces lignes ainsi que de la configuration appliquée par défaut en cas d'absence du fichier est disponible dans <code>~/busybox-1.36.1/examples/inittab</code>.

Création du binaire de traduction clavier afin d'utiliser l{{'}}''AZERTY''
busybox dumpkmap > ~/rootfs/etc/fr.map

À ce stade, notre mémoire morte est prête.

Pour permettre son amorçage, un éventail de possibilités s'offre à vous : [[Grub]]; [[Systemd-boot]]; [[Efibootmgr#Création_d'une_entrée_de_type_STUB|UEFI stub]]; [[Ipxe]]; [[Installation_slax_-_UEFI_64bits#Préparation_de_l'environnement_hôte|Syslinux]]... Pour ma part et comme précisé en introduction, j'utiliserai [[Qemu#Démarrage_de_la_machine_virtuelle|Qemu]] afin de simplifier au maximum l'exposé.

Démontage du système de fichier
umount ~/rootfs

Note : si vous comptez poursuivre les étapes des sections suivantes, pensez à remonter ce système de fichier ou à en copier le contenu dans un autre répertoire de travail afin de ne pas recommencer à zéro.

Test du système avec ''Qemu'' (<code>apt install --no-install-recommends qemu-system-x86</code>)

<syntaxhighlight lang="bash">
qemu-system-x86_64 \
--enable-kvm \
-m 2048 \
-device virtio-balloon \
-kernel ~/linux-6.6/arch/x86/boot/bzImage \
-append "ro root=/dev/sda console=ttyS0 quiet" \
-cpu host -smp cores=2,threads=1,sockets=1 \
-serial mon:stdio \
-drive id=disk,file="${HOME}"/busybox.dd,format=raw,if=none \
-device ahci,id=ahci \
-device ide-hd,drive=disk,bus=ahci.0 \
-display none
</syntaxhighlight>

Pour un affichage sans port console, il faut supprimer le paramètre <code>console=ttyS0</code> de la directive <code>-append</code>; supprimer la directive <code>-display none</code> et remplacer la ligne <code>ttyS0::respawn:/bin/sh</code> par <code>tty1::respawn:/bin/sh</code> dans le <code>inittab</code>.

==2. Amorçage en initramfs==
L'utilisation d'un système de fichiers initial en mémoire à accès aléatoire apporte encore plus de légèreté à la solution. Un unique fichier compressé vient s'ajouter au noyau en cours d'exécution pour servir la racine construite précédemment. Le système est exécuté intégralement en mémoire vive et peut donc se voir distribué via des protocoles réseaux tel que ''TFTP'' ou ''HTTP''.

Construction de l'archive compressée ''Initramfs''
cd ~/rootfs && find . -print0 | cpio --null -ov --format=newc | gzip -9 > ../initramfs.cpio.gz && cd ~

Test du système avec ''Qemu''

<syntaxhighlight lang="bash">
qemu-system-x86_64 \
--enable-kvm \
-m 2048 \
-device virtio-balloon \
-kernel ~/linux-6.6/arch/x86/boot/bzImage \
-append "ro rootfstype=ramfs rdinit=/sbin/init console=ttyS0 quiet" \
-initrd ~/initramfs.cpio.gz \
-cpu host -smp cores=2,threads=1,sockets=1 \
-serial mon:stdio \
-display none
</syntaxhighlight>

Les différences de lancement sont :
* modification des paramètres noyau ([https://www.man7.org/linux/man-pages/man7/kernel-command-line.7.html cmdline]) de la directive <code>-append</code>
* ajout de la directive <code>-initrd</code>
* les directives concernant le disque ''SATA'' ont étés supprimées

==3. Amorçage initramfs via PXE==
Cette méthode d'amorçage ne varie pas beaucoup de la précédente puisque elle réutilise les mêmes éléments à savoir le noyau et l{{'}}''Initramfs''. Le delta sera sur la syntaxe du chargeur d'amorçage réseau utilisé ainsi que quelques paramètres passés au noyau. Voici la section fonctionnelle pour [[Ipxe]] :

<syntaxhighlight lang="bash">
#!ipxe

set menu-timeout 10000
set submenu-timeout ${menu-timeout}
isset ${menu-defaut} || set menu-defaut Debian_Buster
set serveur_ip 10.0.0.100

menu
item --gap -- -------------DEMARRAGE EN RAM----------------
item busybox Lancer Busybox

choose --timeout ${menu-timeout} --default ${menu-default} target && goto ${target}

:busybox
kernel http://${serveur_ip}/systemes/noyaux/busybox/bzImage ro initrd=initramfs.cpio.gz rootfstype=ramfs rdinit=/sbin/init console=ttyS0
initrd http://${serveur_ip}/systemes/noyaux/busybox/initramfs.cpio.gz
boot
# https://ipxe.org/cmd/kernel
</syntaxhighlight>

=Sources=
* https://dev.to/donaldsebleung/hello-embedded-world-booting-a-minimal-linux-with-busybox-on-risc-v-from-source-2ne9
* https://cs4118.github.io/dev-guides/debian-kernel-compilation.html
* ''POSIX Base Specifications Issue 7'' :
** https://pubs.opengroup.org/onlinepubs/9699919799/utilities/contents.html
** Paramètres du shell Sh : https://pubs.opengroup.org/onlinepubs/9699919799/utilities/V3_chap02.html